Mi a DNS over TLS?
Ön már tudja, hogy az elmúlt években sok zümmögés történt a webes forgalom titkosítása körül. Még ha nem is fordított nagy figyelmet, észre kellett volna vennie a zöld zárak beáramlását az URL-ek és a HTTPS közelében. Ennek oka az, hogy sokkal több webhely titkosítja a forgalmat.
A webes forgalom titkosítása egyaránt védi a webhelyet és a látogatókat. A támadók nem tudnak kémkedni a titkosított forgalomról, mivel az áthalad a számítógép és a webhely között, megőrizve a bejelentkezési adatait és az Ön által benyújtott információkat.
Van egy darab, amely nem titkosítható a HTTPS, a DNS-lekérdezés használatával. Ha nem ismeri, a webhelyek valóban léteznek IP-címen. Amikor beilleszt egy webhely URL-jébe, újabb kérést küld egy DNS-kiszolgálónak, amelyben megkérdezi, hogy melyik IP-címhez tartozik az URL. Gyakran előfordul, hogy a DNS-kiszolgáló az internetszolgáltatóhoz tartozik. Tehát ők és bárki más, aki esetleg hallgat, láthatja, hogy mely webhelyekre látogat, és naplózhatja őket. Mivel a DNS alapértelmezés szerint nincs titkosítva, meglehetősen könnyű bármilyen harmadik fél számára, hogy figyelje a DNS-lekérdezéseket.
A DNS over TLS segítségével a DNS-lekérdezések ugyanolyan típusú titkosítást tartalmaznak, mint amit a HTTPS-rel elvárnak. Tehát az egyetlen személy, aki megkapja a lekérdezést és az Ön által meglátogatott webhely adatait, az Ön által választott DNS-szerver. Nem kell használni az internetszolgáltató DNS-jét, és nem is kellene.
Mit tudsz csinálni?
A TLS-n keresztüli DNS támogatása még nem olyan érett, mint a HTTPS, de ez még mindig elég egyszerű a beállításához és használatához. Számos lehetőség használható a DNS-forgalom védelmére. Először is érdemes megjegyezni, hogy a megfelelően konfigurált VPN használata máris véd. A DNS-forgalmat a VPN-en keresztül a szolgáltató DNS-kiszolgálói átjárják. Ha már használ VPN-t, ne aggódjon, bár beállíthat további védelmet, ha úgy tetszik.
Ha nem VPN-t használ, akkor a DNS-forgalmat a TLS-en keresztül is titkosíthatja. Van egy kiváló, nyílt forráskódú, Stubby nevű projekt, amely automatikusan titkosítja a DNS-lekérdezéseket, és egy DNS-kiszolgálóra továbbítja azokat, amelyek a TLS-en keresztül kezelik a DNS-t. Mivel a projekt nyílt forráskódú, szabadon elérhető a Windows, a Mac és a Linux számára.
Állítsa be a Stubby-t
ablakok
A Stubby-nak egy kényelmes Windows .msi-telepítője van, amely telepíti a Stubby-t és az alapértelmezett konfigurációs fájlt. Menjen a telepítő oldalra, és töltse le a Windows .msi telepítőt.
Miután megszerezte, futtassa a telepítőt. Nincs grafikus beállítóvarázsló vagy ilyesmi. Csak meg kell erősítenie, hogy hozzáférést biztosít a telepítőnek. Ez gondoskodik a többiről.
Minden, ami a Stubby számára a Windowson található, a következő címen található:
C: Program FilesStubby
Ez magában foglalja a YAML konfigurációs fájlt.
Nyisson meg egy parancssort. Használhatja a Run parancsot, és beírhatja a cmd parancsot. Váltson a Stubby könyvtárra. Ezután futtassa az .exe fájlt, és adja át a konfigurációt a Stubby elindításához.
C: UsersUserNamecd C: Program FilesStubby
C: Program FilesStubbystubby.exe -C stubby.yml
A Stubby most fut a rendszerén. Ha kipróbálni szeretné, futtassa a következő parancsot, hogy megbizonyosodjon arról, hogy megfelelően működik-e.
C: Program FilesStubbygetdns_query -s @ 127.0.0.1 www.google.com
Ha ez működik, a Stubby helyesen van beállítva. Most, ha meg akarja változtatni a Stubby által használt DNS-kiszolgálókat, nyissa meg a stubby.yml fájlt, és módosítsa a DNS-kiszolgáló bejegyzéseit, hogy azok megfeleljenek a választott szervereknek. Győződjön meg arról, hogy a kiválasztott szerverek támogatják a DNS-t a TLS-en keresztül.
Mielőtt a Stubby rendszert széles körben használhatja, módosítania kell a Windows upstream feloldóit (DNS-kiszolgálók). Ehhez végrehajtania kell egy parancsot rendszergazdai jogosultságokkal. Zárja be a meglévő parancssori ablakot. Ezután térjen vissza a Start menübe és keresse meg a "cmd" kifejezést. Kattintson a jobb gombbal és válassza a „Futtatás rendszergazdaként” lehetőséget. A kapott ablakban futtassa a következőt:
PowerShell -ExecutionPolicy bypass -fájl "C: Program FilesStubbystubby_setdns_windows.ps1"
Ez egyáltalán nem jó, ha nem tudja tartósan módosítani a változtatásokat. Ehhez létre kell hoznia egy ütemezett feladatot, amely induláskor fut. Szerencsére a Stubby fejlesztők sablont adtak erre. A meglévő futó parancssori ablakban állítsa be állandóan a módosításokat.
schtasks / create / tn Stubby / XML "C: Program FilesStubbystubby.xml" / RU Ez minden! A Windows PC-jét most úgy állította be, hogy Stubby segítségével küldje el a DNS-t TLS-en keresztül. Linux rendszeren ez a folyamat nagyon egyszerű. Mind az Ubuntu, mind a Debian alapú disztribúciók a Stubby már elérhetők a tárolókban. A Stubby használatához csak telepítenie kell és meg kell változtatnia a DNS-ét. Kezdje a Stubby telepítésével $ sudo apt install stubby
Ezután módosítsa a Stubby konfigurációs fájlt, ha úgy dönt. Elérhető a /etc/stubby/stubby.yml oldalon. Nyissa meg a kedvenc szövegszerkesztőben a sudo segítségével. Ha módosította a DNS-kiszolgálókat, indítsa újra a Stubby alkalmazást. A $ sudo systemctl újraindítja a macskát
Meg kell változtatnia a névkiszolgáló bejegyzéseit is az /etc/resolv.conf fájlban. Nyissa meg ezt a szövegszerkesztővel, és indítsa el a sudo szoftvert is. Hozzon létre egyetlen bejegyzést, mint az alábbiak szerint. névszerver 127.0.0.1
Most próbáld meg, hogy Stubby működik-e. Lépjen a dnsleaktest.com webhelyre, és futtassa a tesztet. Ha megjelennek azok a kiszolgálók, amelyeket a Stubby használatához konfigurált, akkor a számítógépe sikeresen futtatja a Stubby-t. A Stubby beállítása az OSX-hez szintén meglehetősen egyszerű. Ha van Homebrew, akkor a folyamat egyszerű, de egyébként meglehetősen egyszerű. A Hombrew segítségével telepítheti a Stubby csomagot. $ brew telepítés makacs
Mielőtt elkezdené a Stubby szolgáltatást, módosíthatja a YAML konfigurációját a /usr/local/etc/stubby/stubby.yml oldalon. Miután elégedett vagytok a dolgokkal, elindíthatják a Stubby szolgáltatást. A $ sudo brew szolgáltatások makacsul kezdődnek
Ha nincs homebrew nyelve, telepítheti a Stubby GUI-t. Itt érhető el. A TLS-n keresztüli DNS kezd vonulni. Hamarosan közismert lesz. Addig a telepítéshez és a programokhoz, mint a Stubby, szükség van. Nyilvánvaló azonban, hogy nem túl nehéz beállítani. A közeljövőben a TLS-n keresztüli DNS-támogatás hatalmas előrelépést fog jelenteni, amikor a Google alapértelmezés szerint támogatást nyújt az Android-hoz. Ennek eredményeként csak idő kérdése lehet, hogy az Apple kövesse-e az iOS támogatást. Az asztali platformok valószínűleg nem fognak lemaradni. És ismét nekik már van támogatása, és te csak engedélyezted.Linux
OSX
Záró gondolatok
