Che cos'è DNS over TLS?
Sai già che negli ultimi anni c'è stato un sacco di buzz nella crittografia del traffico web. Anche se non hai prestato molta attenzione, devi aver notato l'afflusso di lucchetti verdi vicino a URL e HTTPS che spuntano ovunque. Questo perché più siti che mai stanno crittografando il traffico.
La crittografia del traffico Web protegge sia il sito che le persone che lo visitano. Gli aggressori non possono facilmente spiare il traffico crittografato mentre passa tra il tuo computer e un sito Web, mantenendo al sicuro le tue informazioni di accesso e qualsiasi altra cosa che invii.
C'è un pezzo che non viene crittografato utilizzando HTTPS, la query DNS. Se non si ha familiarità, i siti Web esistono effettivamente con un indirizzo IP. Quando si inserisce il punch nell'URL di un sito, si effettua un'altra richiesta a un server DNS chiedendo a quale indirizzo IP appartiene l'URL. Più spesso, quel server DNS appartiene al tuo ISP. Quindi, loro e chiunque altro stia ascoltando, possono vedere in quali siti stai andando e registrarli. Poiché il DNS non è crittografato per impostazione predefinita, è abbastanza facile per qualsiasi tipo di terza parte monitorare le query DNS.
DNS Over TLS offre lo stesso tipo di crittografia previsto con HTTPS per le query DNS. Quindi, l'unica persona che riceve la tua query e i dati su quale sito stai visitando è il server DNS che hai scelto e puoi scegliere. Non è necessario utilizzare il DNS del proprio ISP e non è necessario.
Cosa sai fare?
Il supporto per DNS su TLS non è ancora maturo come HTTPS, ma è ancora abbastanza facile da configurare e utilizzare. Esistono diverse opzioni che è possibile utilizzare per proteggere il traffico DNS. Innanzitutto, vale la pena notare che l'utilizzo di una VPN correttamente configurata ti proteggerà già. Il tuo traffico DNS verrà trasferito attraverso la VPN ai server DNS del provider. Se stai già utilizzando una VPN, non ti preoccupare, anche se puoi impostare una protezione aggiuntiva, se lo desideri.
Se non stai utilizzando una VPN, puoi comunque crittografare il tuo traffico DNS con DNS su TLS. Esiste un eccellente progetto open source, chiamato Stubby, che crittografa automaticamente le tue query DNS e le indirizza a un server DNS in grado di gestire DNS su TLS. Poiché il progetto è open source, è disponibile gratuitamente per Windows, Mac e Linux.
Installa Stubby
finestre
Stubby ha un comodo programma di installazione per Windows .msi che installerà Stubby insieme a un file di configurazione predefinito. Vai alla pagina di installazione e scarica il programma di installazione di Windows .msi.
Una volta che lo hai, esegui il programma di installazione. Non esiste una procedura guidata di installazione grafica o altro. Devi solo confermare che stai dando l'accesso al programma di installazione. Al resto penserà il resto.
Tutto per Stubby su Windows si trova in:
C: Program FilesStubby
Ciò include il file di configurazione YAML.
Apri un prompt dei comandi. Puoi usare Esegui e digitare cmd. Passare alla directory Stubby. Quindi, esegui il file .exe e passalo alla configurazione per avviare Stubby.
C: UsersUserNamecd C: Program FilesStubby
C: Program FilesStubbystubby.exe -C stubby.yml
Stubby ora sarà in esecuzione sul tuo sistema. Se vuoi provarlo, esegui il comando seguente per vedere se funziona correttamente.
C: Program FilesStubbygetdns_query -s @ 127.0.0.1 www.google.com
Se funziona, Stubby è impostato correttamente. Ora, se si desidera modificare i server DNS utilizzati da Stubby, aprire stubby.yml e modificare le voci del server DNS in modo che corrispondano ai server di propria scelta. Assicurarsi che i server scelti supportino DNS su TLS.
Prima di poter utilizzare Stubby a livello di sistema, dovrai modificare i resolver upstream (server DNS) di Windows. Per fare ciò, dovrai eseguire un comando con privilegi di amministratore. Chiudi la finestra del prompt dei comandi esistente. Quindi, torna al menu di avvio e cerca "cmd". Fai clic destro su di esso e seleziona "Esegui come amministratore". Nella finestra risultante, esegui quanto segue:
PowerShell -ExecutionPolicy bypass -file "C: Program FilesStubbystubby_setdns_windows.ps1"
Niente di tutto ciò è molto valido se non è possibile rendere permanenti le modifiche. Per fare ciò, dovrai creare un'attività pianificata che verrà eseguita all'avvio. Per fortuna, gli sviluppatori di Stubby hanno fornito un modello per questo. Nella finestra del prompt dei comandi in esecuzione che hai, rendere permanenti le modifiche.
schtasks / create / tn Stubby / XML "C: Program FilesStubbystubby.xml" / RU È tutto! Il tuo PC Windows è ora configurato per utilizzare Stubby per inviare il tuo DNS su TLS. Su Linux, questo processo è molto semplice. Entrambe le distribuzioni basate su Ubuntu e Debian hanno già Stubby disponibile nei loro repository. Devi solo installarlo e cambiare il tuo DNS per usare Stubby. Inizia installando Stubby $ sudo apt installa tozze
Successivamente, modifica il file di configurazione Stubby, se lo desideri. È disponibile su /etc/stubby/stubby.yml. Aprilo nel tuo editor di testo preferito con sudo. Se hai apportato modifiche ai server DNS, riavvia Stubby. $ sudo systemctl riavvio tozzo
Dovrai anche cambiare le voci del nameserver in /etc/resolv.conf. Aprilo con il tuo editor di testo e anche sudo. Crea una singola voce come quella qui sotto. nameserver 127.0.0.1
Ora, prova che Stubby sta funzionando. Vai su dnsleaktest.com ed esegui il test. Se vengono visualizzati i server che hai configurato Stubby per l'uso, il computer esegue Stubby correttamente. Configurare Stubby su OSX è anche abbastanza semplice. Se hai Homebrew, il processo è completamente semplice, ma altrimenti è anche abbastanza facile. Con Hombrew, puoi installare il pacchetto Stubby. $ brew installa tozzo
Prima di avviare Stubby up come servizio, è possibile modificare la configurazione YAML in /usr/local/etc/stubby/stubby.yml. Una volta che sei soddisfatto delle cose, puoi avviare Stubby come servizio. I servizi di birra $ sudo iniziano tozzi
Se non hai Homebrew, puoi installare la GUI di Stubby. È disponibile qui Il DNS su TLS sta iniziando a guadagnare trazione. Presto sarà un luogo comune. Fino ad allora, sono necessari setup e programmi come Stubby. Chiaramente, però, non è troppo difficile da configurare. Nel prossimo futuro, il supporto per DNS su TLS vedrà un enorme progresso quando Google include il supporto predefinito con Android. Di conseguenza, dovrebbe essere solo una questione di tempo prima che Apple segua il supporto iOS. Le piattaforme desktop probabilmente non saranno troppo indietro. Inoltre, hanno già il supporto e l'hai appena abilitato.Linux
OSX
Pensieri di chiusura
