blog0015.jpg

Основы безопасности в интернете: DNS

Поговорим о насущном.

Протокол DNS, сиречь преобразования имен в IP адреса, является весьма древним изобретением. В те светлые времена еще никто не занимался подменой DNS трафика, а собирать DNS запросы для дальнейшего анализа никому даже в голову придти не могло. Но времена меняются. Сейчас подмена DNS трафика является совершенно нормальным явлением, а DNS запросы индивидуума представляют коммерческую ценность. Как сделать так, чтобы ваш провайдер не мог собирать информацию о посещаемых вами сайтах ?

Первое пришедшее в голову - использовать публичные адреса Гугла 8.8.8.8 и 8.8.4.4. Ответ неверный. Во первых Гугл является крупнейшим оператором Big Data, собственно для него ваши запросы представляют коммерческую ценность и он их с удовольствием логирует. Кроме того он сотрудничает с российскими властями. Во вторых провайдеры давно уже перехватывают и модифицируют запросы на UDP 53, поэтому что вы вобъете у себя в DNS большого значения не имеет - запросы все равно пойдут через провайдера. Самый неприятный опыт у меня был с OpenDNS серверами, которые перенаправили фейсбучный траффик на свои фейковые сервера, подписанные собственным сертификатом.

Еще в 90 годах был разработан механизм DNS Sec, который подписывает A записи. Но механизм, являясь по сути костылями, оказался таким громоздким, что сегодня его уже мало кто поддерживает. Кроме того подписывание не защищает от пассивного наблюдения.

Дальнейшее развитие механизмов защиты уже отошло от стандартного открытого протокола. На данный момент мне известно две версии защищенного протокола - DNS Curve и DNS Crypt. Я остановился на втором продукте.

Адрес проекта - https://dnscrypt.org/

Оригинальная версия службы является опенсорсной и выложена на Гитхабе - https://github.com/jedisct1/dnscrypt-proxy/wiki

Данный сервис ставится на любые windows клиенты, начиная с XP, Linux поддерживается по умолчанию. Для версий, начиная с Vista доступен конфигуратор с GUI - Simple DNS Crypt - https://simplednscrypt.org/ Он требует NET 4.5, поэтому недоступн для XP.

Установка сервиса элементарна. После установки он поднимает собственный DNS сервер и начинает слушать 53 порт на 127.0.0.1, каковой адрес и нужно прописать в настройках адаптера. Все полученные запросы он заворачивает в алгоритм шифрования со сменой ключей в каждую сессию и шлет на выбранные в настройках внешние сервера на 443 порт.

Использование данного механизма защищает вас во первых от перенаправления траффика вашим провайдером через собственные сервера, во вторых позволят скрыть ваши запросы от анализа.

 

Подробности
Просмотров: 1799

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 
  • Главная
  • Основы безопасности в интернете: DNS