Què és el DNS per TLS?
Ja sabeu que en els darrers anys hi ha hagut molta sorpresa sobre el xifrat del trànsit web. Fins i tot si no heu parat gaire atenció, heu notat l’afluència de panys verds a prop d’URL i HTTPS que apareixen a tot arreu. Això passa perquè més llocs que mai xifren trànsit.
Xifrar el trànsit web protegeix tant el lloc com les persones que el visiten. Els atacants no poden espiar fàcilment el trànsit xifrat a mesura que passa entre el vostre ordinador i un lloc web, mantenint la informació d’inici de sessió i qualsevol altra cosa que envieu segur.
Hi ha una peça que no es xifra mitjançant l’ús de HTTPS, la consulta DNS. Si no els coneixeu, els llocs web existeixen realment a una adreça IP. Quan punxeu a l’URL d’un lloc, feu una altra sol·licitud a un servidor DNS demanant a quina adreça IP pertany aquesta URL. Sovint, el servidor DNS pertany al vostre ISP. Així, ells i qualsevol altra persona que pugui escoltar poden veure els llocs on aneu i els registreu. Com que el DNS no està xifrat de manera predeterminada, és fàcil que qualsevol tipus de tercer controli les consultes DNS.
DNS Over TLS aporta el mateix tipus de xifrat que espereu amb HTTPS a consultes DNS. Per tant, l’única persona que rep la consulta i les dades sobre quin lloc visiteu és el servidor DNS que trieu i podeu triar-lo. No heu d’utilitzar el DNS del vostre ISP i no ho heu de fer.
Què pots fer?
El suport per a DNS mitjançant TLS encara no és tan madur com HTTPS, però és prou fàcil de configurar i utilitzar. Hi ha diverses opcions que podeu utilitzar per protegir el vostre trànsit DNS. Primer, val la pena assenyalar que l’ús d’una VPN configurada correctament ja us protegirà. El trànsit DNS es sintonitzarà a través de la VPN als servidors DNS del proveïdor. Si ja utilitzeu una VPN, no us preocupeu, però podeu configurar protecció addicional si voleu.
Si no utilitzeu una VPN, encara podeu xifrar el trànsit DNS amb DNS a través de TLS. Hi ha un excel·lent projecte de codi obert, anomenat Stubby, que xifra automàticament les consultes DNS i les dirigeix a un servidor DNS que pot gestionar DNS mitjançant TLS. Com que el projecte és de codi obert, està disponible lliurement per a Windows, Mac i Linux.
Configuració Stubby
Windows
Stubby té un convenient instal·lador de Windows .msi que instal·larà Stubby juntament amb un fitxer de configuració predeterminat. Dirigiu-vos a la pàgina de l’instal·lador i baixeu l’instal·lador de Windows .msi.
Un cop el tingueu, executeu l’instal·lador. No hi ha cap assistent de configuració gràfica ni res. Només haureu de confirmar que esteu donant accés a l'instal·lador. Es cuidarà de la resta.
Tot per a Stubby a Windows es troba a:
C: Programes d'arxiusStubby
Inclou el fitxer de configuració de YAML.
Obriu un indicador d'ordres. Podeu fer servir Executar i escriure cmd. Canvieu al directori Stubby. A continuació, executeu el .exe i passeu-la a la configuració per començar Stubby.
C: UsersUserNamecd C: Files de programaStubby
C: Programes d'arxiusStubbystubby.exe -C stubby.yml
Stubby s’executa ara al vostre sistema. Si voleu provar-ho, executeu la següent comanda per veure si funciona correctament.
C: Fitxers de programaStubbygetdns_query -s @ 127.0.0.1 www.google.com
Si això funciona, Stubby està configurat correctament. Ara, si voleu canviar els servidors DNS que utilitza Stubby, obriu stubby.yml i modifiqueu les entrades del servidor DNS perquè coincideixin amb els servidors que trieu. Assegureu-vos que els servidors que trieu admeten DNS mitjançant TLS.
Abans que pugueu utilitzar tot el sistema Stubby, haureu de modificar els resolvers amunt de Windows (servidors DNS). Per fer-ho, haureu d’executar una ordre amb privilegis d’administració. Tanqueu la finestra de sol·licitud d'ordres existent. Després, torneu al menú inicial i cerqueu "cmd". Feu clic amb el botó dret a sobre i seleccioneu "Executa com a administrador". A la finestra resultant, executeu el següent:
PowerShell -ExecutionPolicy bypass -file "C: Program FilesStubbystubby_setdns_windows.ps1"
Res d'això és molt bo si no podeu fer que els canvis siguin permanents. Per fer-ho, haureu de crear una tasca programada que s'executei a l'inici. Per sort, els desenvolupadors de Stubby van proporcionar una plantilla per això. A la finestra de sol·licitud de comandaments en execució que tingueu, feu els canvis permanents.
schtasks / create / tn Stubby / XML "C: Program FilesStubbystubby.xml" / RU Això és tot! El vostre PC Windows ja està configurat per utilitzar Stubby per enviar el DNS a través de TLS. A Linux, aquest procés és molt senzill. Tant les distribucions basades en Ubuntu com en Debian tenen Stubby ja disponible als seus dipòsits. Només cal instal·lar-lo i canviar el DNS per utilitzar Stubby. Comença per instal·lar Stubby $ sudo apt instal·lar stubby
A continuació, editeu el fitxer de configuració Stubby, si voleu. Està disponible a /etc/stubby/stubby.yml. Obriu-lo al vostre editor de text favorit amb sudo. Si heu fet canvis en els servidors DNS, reinicieu Stubby. $ sudo systemctl reinicia stubby
També haureu de canviar les entrades del servidor de noms a /etc/resolv.conf. Obriu-ho també amb l'editor de text i el sudo. Creeu una entrada única com la següent. servidor de noms 127.0.0.1
Ara, prova que Stubby funciona. Vés a dnsleaktest.com i executa la prova. Si apareixen els servidors que heu configurat Stubby per utilitzar-lo, el vostre equip està executant correctament Stubby. Configurar Stubby a OSX també és bastant simple. Si teniu Homebrew, el procés és simple, però també és bastant fàcil. Amb Hombrew, podeu instal·lar el paquet Stubby. $ brew instal·lar stubby
Abans d’iniciar Stubby up com a servei, podeu modificar la configuració de YAML a /usr/local/etc/stubby/stubby.yml. Un cop estigueu contents de les coses, podeu iniciar Stubby com a servei. Els serveis de cervesa $ sudo comencen a ser primordial
Si no teniu Homebrew, podeu instal·lar la interfície gràfica. Està disponible aquí El DNS sobre TLS comença a guanyar tracció. Aviat, serà habitual. Fins aleshores, la configuració i programes com Stubby són necessaris. Tanmateix, és evident que no és massa difícil configurar-se. En un futur pròxim, el suport per a DNS mitjançant TLS veurà un gran impuls endavant quan Google inclogui el suport per defecte amb Android. Com a resultat, només hauria de ser qüestió de temps abans que Apple segueixi amb suport iOS. Les plataformes d'escriptori probablement no quedaran enrere. Aleshores, de nou, ja tenen suport, i el teniu activat.Linux
OSX
Pensaments de cloenda
