Какво е DNS над TLS?
Вече знаете, че през последните няколко години има много бръмчания около криптирането на уеб трафика. Дори и да не сте обърнали много внимание, трябва да забележите наплива на зелени ключалки в близост до URL адреси и HTTPS изскачащи навсякъде. Това е така, защото повече сайтове от всякога криптират трафика.
Шифроването на уеб трафик защитава както сайта, така и хората, които го посещават. Нападателите не могат лесно да шпионират криптиран трафик, когато той преминава между вашия компютър и уебсайт, запазвайки данните ви за вход и всичко друго, което изпращате в безопасност.
Има едно парче, което не се криптира чрез HTTPS, DNS заявката. Ако не сте запознати, уебсайтовете действително съществуват на IP адрес. Когато пробиете URL адреса на даден сайт, отправяте друга заявка към DNS сървър с въпрос към кой IP адрес принадлежи към този URL адрес. По-често DNS сървърът принадлежи на вашия интернет доставчик. Така те, както и всеки друг, който може да слуша, могат да видят на кои сайтове ще отидете и да ги регистрирате. Тъй като DNS не е криптиран по подразбиране, за всеки вид трета страна е доста лесно да наблюдава DNS заявки.
DNS Over TLS носи същия тип криптиране, който очаквате с HTTPS към DNS заявки. Така че единственият човек, който получава вашето запитване и данните за кой сайт посещавате, е DNS сървърът, който сте избрали, и можете да изберете. Не е необходимо да използвате DNS на вашия доставчик на интернет услуги и не трябва.
Какво можеш да направиш?
Поддръжката за DNS през TLS все още не е толкова зряла, колкото HTTPS, но все още е достатъчно лесна за настройка и използване. Има редица опции, които можете да използвате, за да защитите вашия DNS трафик. Първо, заслужава да се отбележи, че използването на правилно конфигуриран VPN вече ще ви защити. Вашият DNS трафик ще бъде тунелиран през VPN към DNS сървърите на доставчика. Ако вече използвате VPN, не се притеснявайте, въпреки че можете да настроите допълнителна защита, ако желаете.
Ако не използвате VPN, все още можете да шифровате DNS трафика си с DNS през TLS. Има отличен проект с отворен код, наречен Stubby, който автоматично криптира вашите DNS заявки и ги насочва към DNS сървър, който може да обработва DNS през TLS. Тъй като проектът е с отворен код, той е свободно достъпен за Windows, Mac и Linux.
Настройте Stubby
Windows
Stubby има удобен инсталатор на Windows .msi, който ще инсталира Stubby заедно с конфигурационен файл по подразбиране. Преминете към страницата на инсталатора и изтеглете инсталатора на Windows .msi.
След като го имате, стартирайте инсталатора. Няма съветник за графична настройка или нещо друго. Трябва само да потвърдите, че давате достъп на инсталатора. Той ще се погрижи за останалото.
Всичко за Stubby в Windows се намира на адрес:
C: Program FilesStubby
Това включва конфигурационния файл YAML.
Отворете командния ред. Можете да използвате Run и напишете cmd. Промяна в директорията Stubby. След това стартирайте .exe и го предавайте конфигурацията, за да започнете Stubby.
C: UsersUserNamecd C: Program FilesStubby
C: Program FilesStubbystubby.exe -C stubby.yml
Stubby вече ще работи на вашата система. Ако искате да го тествате, изпълнете следната команда, за да видите дали работи правилно.
В: Програмни файловеStubbygetdns_query -s @ 127.0.0.1 www.google.com
Ако това работи, Stubby е настроен правилно. Сега, ако искате да промените DNS сървърите, които Stubby използва, отворете stubby.yml и модифицирайте записите на DNS сървъра, за да съответстват на избраните от вас сървъри. Уверете се, че избраните от вас сървъри поддържат DNS през TLS.
Преди да можете да използвате системата Stubby широко, ще трябва да модифицирате разделителните системи на Windows (DNS сървъри) на Windows. За да направите това, ще трябва да изпълните команда с администраторски права. Затворете съществуващия прозорец на командния ред. След това се върнете към стартовото си меню и потърсете 'cmd'. Щракнете с десния бутон върху него и изберете „Стартирай като администратор.“ В получения прозорец изпълнете следното:
PowerShell -ExecutionPolicy bypass -file "C: Program FilesStubbystubby_setdns_windows.ps1"
Нищо от това не е много добро, ако не можете да направите промените постоянни. За целта ще трябва да създадете планирана задача, която се стартира при стартиране. За щастие, разработчиците на Stubby предоставиха шаблон за това. В прозореца за изпълнение на командния ред, който имате, направете промените си постоянни.
schtasks / create / tn Stubby / XML "C: Program FilesStubbystubby.xml" / RU Това е всичко! Вашият компютър с Windows вече е конфигуриран да използва Stubby за изпращане на вашия DNS през TLS. В Linux този процес е много прост. И дистрибуциите, базирани на Ubuntu и Debian, вече са налични Stubby в своите хранилища. Просто трябва да го инсталирате и да промените вашия DNS, за да използвате Stubby. Започнете с инсталирането на Stubby $ sudo apt инсталирайте мъниче
След това редактирайте конфигурационния файл Stubby, ако решите. Достъпно е на /etc/stubby/stubby.yml. Отворете го в любимия си текстов редактор със судо. Ако сте направили някакви промени в DNS сървърите, рестартирайте Stubby. $ sudo systemctl рестартира мъничето
Ще трябва да промените и записите на сървъра на имена в /etc/resolv.conf. Отворете това с текстовия си редактор и судо. Създайте единичен запис като този по-долу. nameserver 127.0.0.1
Сега проверете дали Stubby работи. Отидете на dnsleaktest.com и пуснете теста. Ако се появят сървърите, които сте конфигурирали Stubby да използвате, компютърът ви успешно работи Stubby. Настройката Stubby на OSX също е доста проста. Ако имате Homebrew, процесът е мъртъв прост, но и в противен случай е доста лесен. С Hombrew можете да инсталирате пакета Stubby. $ brew инсталирайте мъниче
Преди да започнете Stubby up като услуга, можете да промените конфигурацията на YAML на /usr/local/etc/stubby/stubby.yml. След като сте доволни от нещата, можете да стартирате Stubby като услуга. Услугите за варене на $ sudo започват инат
Ако нямате Homebrew, можете да инсталирате Stubby GUI. Той е достъпен тук. DNS над TLS започва да придобива сцепление. Скоро ще е нещо обичайно. Дотогава настройка и програми като Stubby са необходими. Ясно е обаче, че не е твърде трудно да се настроите. В близко бъдеще поддръжката за DNS през TLS ще има огромен тласък напред, когато Google включва подразбиране поддръжка с Android. В резултат на това трябва да бъде само въпрос на време, преди Apple да следва с поддръжка за iOS. Платформите за десктоп вероятно няма да изостават твърде много. След това отново те вече имат поддръжка и вие просто сте го активирали.Linux
OSX
Заключителни мисли
