מה זה DNS Over TLS?
אתה כבר יודע שיש הרבה באז בשנים האחרונות סביב הצפנת תעבורת אינטרנט. גם אם לא שמתם תשומת לב רבה, עליכם לשים לב לזרם של מנעולים ירוקים ליד כתובות URL ו- HTTPS שצצים בכל מקום. הסיבה לכך היא שיותר אתרים מתמיד מצפינים תנועה.
הצפנת תנועה באינטרנט מגנה הן על האתר והן על האנשים המבקרים בו. התוקפים אינם יכולים לרגל בקלות אחר תנועה מוצפנת בזמן שהיא עוברת בין המחשב לאתר שלך, ושומרת על פרטי הכניסה שלך וכל דבר אחר שאתה מגיש.
יש חתיכה אחת שלא מוצפנת באמצעות HTTPS, שאילתת ה- DNS. אם אינך מכיר, אתרים קיימים למעשה בכתובת IP. כשאתה אגרוף כתובת אתר של אתר, אתה מגיש בקשה נוספת לשרת DNS ושואל לאיזו כתובת IP שכתובת האתר שייכת. לרוב, שרת DNS שייך לספק האינטרנט שלך. אז הם, וכל אחד אחר שעשוי להאזין, יכולים לראות לאילו אתרים אתם הולכים לרשום אותם. מכיוון ש- DNS אינו מוצפן כברירת מחדל, זה קל למדי עבור כל סוג של צד שלישי לפקח על שאילתות DNS.
DNS Over TLS מביא את אותו סוג של הצפנה שאתה מצפה עם HTTPS לשאילתות DNS. אז האדם היחיד שמקבל את השאילתה שלך והנתונים לגבי האתר שאתה מבקר בו הוא שרת ה- DNS שאתה בוחר ותוכל לבחור. אינך צריך להשתמש ב- DNS של ספק האינטרנט שלך ואסור לך לעשות זאת.
מה אתה יכול לעשות?
התמיכה ב- DNS באמצעות TLS עדיין לא בוגרת כמו HTTPS, אך היא עדיין קלה מספיק כדי להתקין אותה ולהשתמש בה. ישנן מספר אפשרויות בהן תוכל להשתמש כדי להגן על תנועת ה- DNS שלך. ראשית, ראוי לציין כי שימוש ב- VPN שהוגדר כהלכה כבר יגן עליך. תעבורת ה- DNS שלך תועבר דרך ה- VPN לשרתי ה- DNS של הספק. אם אתה כבר משתמש ב- VPN, אל תדאג, אם כי תוכל להגדיר הגנה נוספת אם תרצה.
אם אינך משתמש ב- VPN, אתה עדיין יכול להצפין את תנועת ה- DNS שלך באמצעות DNS באמצעות TLS. יש פרויקט קוד פתוח מצוין, הנקרא Stubby, שמצפין אוטומטית את שאילתות ה- DNS שלך ומעביר אותם לשרת DNS שיכול להתמודד עם DNS באמצעות TLS. מכיוון שהפרויקט הוא קוד פתוח, הוא זמין בחינם עבור Windows, Mac ו- Linux.
הגדר סטאבי
חלונות
ל- Stubby מתקין Windows .msi נוח אשר יתקין את Stubby יחד עם קובץ תצורת ברירת מחדל. עבור לדף המתקין והורד את מתקין Windows .msi.
ברגע שיש לך את זה, הפעל את המתקין. אין אשף התקנה גרפי או משהו כזה. אתה רק צריך לאשר שאתה נותן גישה למתקין. זה ידאג לכל השאר.
הכל עבור סטאבי ב- Windows ממוקם ב:
C: קבצי תכנית שמנמנים
זה כולל את קובץ התצורה של YAML.
פתח שורת פקודה. אתה יכול להשתמש בהפעל והקלד cmd. התחל לספרייה השחורה. לאחר מכן, הרץ את ה- exe והעביר לו את התצורה כדי להתחיל את סטאבי.
C: UsersUserNamecd C: קבצי תוכנה שמנמנים
ג: תוכנית קבציםStubbystubby.exe -C stubby.yml
עכשיו סטאבבי יפעל במערכת שלך. אם ברצונך לבדוק זאת, הפעל את הפקודה הבאה כדי לבדוק אם היא פועלת כראוי.
ג: קבצי תוכניתStubbygetdns_query -s @ 127.0.0.1 www.google.com
אם זה עובד, סטאבי מוגדר כהלכה. כעת, אם ברצונך לשנות את שרתי ה- DNS בהם משתמש סטאבי, פתח את stubby.yml ושנה את רשומות שרתי ה- DNS כך שתתאים לשרתים שתבחר. וודא שהשרתים שאתה בוחר תומכים ב- DNS באמצעות TLS.
לפני שתוכל להשתמש במערכת Stubby רחבה, תצטרך לשנות את הרזולוציה הזרימה של Windows (שרתי DNS). לשם כך תצטרך לבצע פקודה עם הרשאות מנהל. סגור את חלון שורת הפקודה הקיימת שלך. לאחר מכן חזור לתפריט ההתחלה שלך וחפש 'cmd'. לחץ באמצעות לחצן העכבר הימני עליו ובחר "הפעל כמנהל." בחלון שהתקבל, הפעל את הפעולות הבאות:
PowerShell - ביצוע עקיפת פוליטיקיי-קובץ "C: קבצי תוכנהStubbystubby_setdns_windows.ps1"
כל זה לא טוב מאוד אם לא תוכלו לבצע את השינויים קבועים. לשם כך תצטרך ליצור משימה מתוזמנת הפועלת בעת ההפעלה. למרבה המזל, מפתחי ה- Stubby סיפקו תבנית לכך. בחלון שורת הפקודה שברשותך, בצע את השינויים שלך קבועים.
schtasks / create / tn Stubby / XML "C: FilesStubbystubby.xml" / RU זה הכל! מחשב Windows שלך מוגדר כעת להשתמש ב- Stubby לשליחת ה- DNS שלך באמצעות TLS. ב- Linux, תהליך זה הוא פשוט מאוד. הפצות מבוססות Ubuntu ו- Debian כבר קיימות סטאבי במאגר שלהם. אתה רק צריך להתקין אותו ולשנות את ה- DNS שלך לשימוש ב- Stubby. התחל בהתקנת Stubby $ sudo apt להתקין מגושם
בשלב הבא, ערוך את קובץ התצורה Stubby, אם בחרת. זה זמין ב /etc/stubby/stubby.yml. פתח אותו בעורך הטקסט המועדף עליך באמצעות sudo. אם ביצעת שינויים בשרתי ה- DNS, הפעל מחדש את Stubby. $ sudo systemctl הפעל מחדש את הגזם
תצטרך לשנות גם את ערכי השרתים ב- /etc/resolv.conf. פתח את זה גם עם עורך הטקסטים שלך וגם עשה זאת. צור רשומה יחידה כמו זו למטה. שרת השמות 127.0.0.1
כעת, בדוק שסטאבי עובד. עבור אל dnsleaktest.com והפעל את המבחן. אם השרתים שהגדרת את Stubby להשתמש בהם מופיעים, המחשב שלך מפעיל בהצלחה את Stubby. הגדרת ה- Stubby ב- OSX היא גם די פשוטה. אם יש לך Homebrew, התהליך פשוט מת, אבל זה גם קל למדי אחרת. בעזרת Hombrew תוכלו להתקין את חבילת Stubby. התקנת דגי סטאבבי
לפני שתפעיל את Stubby כשירות, תוכל לשנות את תצורת YAML ב /usr/local/etc/stubby/stubby.yml. ברגע שאתה מרוצה מדברים, אתה יכול להפעיל את Stubby כשירות. שירותי חלוקת סודו $ מתחילים גסיים
אם אין לך Homebrew, אתה יכול להתקין את ממשק המשתמש ה- Stubby. זה זמין כאן. DNS באמצעות TLS מתחיל לצבור משיכה. בקרוב זה יהיה דבר שבשגרה. עד אז, יש צורך בהתקנה ותוכניות כמו Stubby. ברור, עם זאת, זה לא קשה מדי להתארגנות. בעתיד הקרוב, תמיכה ב- DNS באמצעות TLS תראה דחיפה אדירה כאשר גוגל כוללת תמיכה כברירת מחדל עם אנדרואיד. כתוצאה מכך, זה צריך להיות רק עניין של זמן עד שאפל תעקוב אחר התמיכה של iOS. ככל הנראה, פלטפורמות שולחן העבודה לא ישתרכו מאחור. ואז שוב, יש להם כבר תמיכה ופשוט הפעלת אותה.לינוקס
OSX
מחשבות סוגרות
