Како сачувати нос Вашег ИСП-а из историје прегледача помоћу шифрованог ДНС-а

Смрт мрежне неутралности и попуштање прописа о томе како интернет провајдери управљају мрежним саобраћајем корисника изазвали су многе забринутости око приватности. Интернет провајдери (и други који гледају саобраћај док пролазе путем Интернета) дуго су имали алат који им омогућава да са лакоћом прате интернет навике појединаца: њихове ДНС сервере. И ако већ нису уновчили те податке (или их користе да би променили начин на који ви видите Интернет), они ће ускоро и ускоро.

ДНС сервиси су телефонски именици Интернета, који пружају стварну мрежну адресу Интернет протокола (ИП) која је повезана са именима домаћина и домена других интернет услуга. На пример, они претварају арстецхница.цом у 50.31.169.131. Ваш интернет провајдер нуди ДНС као део вашег сервиса, али ваш провајдер такође може да забележи ваш ДНС саобраћај у суштини, бележећи целу историју прегледања.

"Отворени" ДНС сервиси пружају начин заобилажења услуга ИСП-а из разлога приватности и сигурности - и на неким мјестима, избјегавања филтрирања садржаја, надзора и цензуре. И 1. априла (не шала), Цлоудфларе је лансирао свој нови, бесплатни ауторитативни ДНС сервис високих перформанси дизајниран да повећа приватност корисника на Интернету. Ова нова понуда је такође обећала начин да се ДНС саобраћај потпуно сакрије од енкрипције приказа.

Именован по адреси Интернет протокола, 1.1.1.1 је резултат партнерства са истраживачком групом АПНИЦ, азијско-пацифичким интернет регистром. Иако је доступан и као "отворени" конвенционални ДНС ресолвер (и врло брз), Цлоудфларе подржава два енкриптована ДНС протокола.

Док је изведен са неким јединственим Цлоудфларе фларе, 1.1.1.1 није први енкриптовани ДНС сервис на било који начин - Куад9, Цисцо ОпенДНС, Гооглеов 8.8.8.8 сервис, и мноштво мањих провајдера подржавају различите шеме за шифровање ДНС захтева у потпуности. Али енкрипција не значи нужно да је ваш саобраћај невидљив; неке шифроване ДНС услуге евидентирају ваше захтјеве у различите сврхе.

Цлоудфларе је обећао да неће пријавити ДНС саобраћај појединаца и ангажовао је вањску фирму за ревизију тог обећања. АПНИЦ жели да користи податке о саобраћају како би указао на ИП адресу, која има несретно наслеђе да је депонија за "интернет смеће" саобраћаја, у истраживачке сврхе, према АПНИЦ-овом Геоффу Хустону. Али у овом случају, АПНИЦ неће имати приступ шифрованом ДНС саобраћају.

За кориснике, искоришћавање шифрованих ДНС услуга из Цлоудфларе-а или било које друге ДНС услуге усредсређене на приватност није тако лако као промена броја у мрежним поставкама. Ниједан оперативни систем тренутно не подржава било коју од шифрованих ДНС услуга без додатка неког софтвера који није пријатељски за корисника. И нису све услуге створене једнаке у смислу софтверске подршке и перформанси.

Али са подацима о потрошачима као производима на свим вијестима однедавно, кренуо сам да видим како функционира Цлоудфлареова шифрирана ДНС служба. И превазиђен од стране мог унутрашњег лабораторијског пацова, завршио сам тестирање и дисекцију клијената за више ДНС провајдера користећи три успостављена протокола за ДНС енкрипцију: ДНСЦрипт, ДНС преко ТЛС и ДНС преко ХТТПС-а. Сви они могу да раде, али дозволите ми да вас упозорим: док је све лакше, избор шифроване ДНС руте није нешто што бисте данас могли да пређете преко маме или тате преко телефона. (Осим ако, наравно, ваши родитељи нису искусни корисници Линук командне линије.)

Зашто то радимо, опет?

Постоји много разлога да желите да ДНС саобраћај буде безбеднији. Док Веб саобраћај и друге комуникације могу бити заштићене криптографским протоколима као што је Транспорт Лаиер Сецурити (ТЛС), скоро сав ДНС саобраћај се преноси нешифровано. То значи да ваш ИСП (или било ко други између вас и остатка Интернета) може да забележи сајтове које посећујете чак и када користите другу ДНС услугу и користите те податке у више сврха, укључујући филтрирање приступа садржају и прикупљање података за рекламне сврхе.

"Имамо проблем са" последњом миљом "у ДНС-у", рекао је Крикет Лиу, главни ДНС архитекта у компанији Инфоблок за мрежну безбедност. "Већина безбедносних механизама које смо решили са сервером на сервер проблемима. Али имамо проблем када имамо разлучиваче на различитим оперативним системима и немамо никакав начин да их осигурамо." То је посебно проблем, рекао је Лиу, у земљама које имају непријатељскији однос с Интернетом.

Само коришћење ДНС сервиса који не води евиденцију помаже у извесној мери. Али то не спречава некога да филтрира те захтеве засноване на садржају или да ухвати адресе у њима са пакетним хватањем или опремом за дубинско испитивање пакета. Поред једноставних, пасивних напада прислушкивања, постоји и опасност од активнијих напада на ваш ДНС саобраћај - напоре од стране ИСП-а или владе на жици да "лажи" идентитет ДНС сервера, усмеравајући саобраћај на сопствени сервер за пријаву или блокирање саобраћаја. Нешто слично (иако очигледно није злонамерно) изгледа да се дешава са АТ & Т-ом (случајним) погрешним пребацивањем саобраћаја на адресу Цлоудфларе-а 1.1.1.1, на основу опажања форум плаката на ДСЛРепортс.

Најочигледнији начин за избегавање надгледања је коришћење виртуелне приватне мреже. Иако ВПН скривају садржај вашег интернет саобраћаја, повезивање са ВПН-ом може захтевати прво ДНС захтев. Када једном покренете ВПН сесију, ДНС захтјеви могу се повремено преусмјерити изван ваше ВПН везе путем веб прегледника или другог софтвера, стварајући "цурење ДНС-а" које откривају које странице посјећујете.

Тамо где долазе шифровани ДНС протоколи - ДНСЦрипт протокол (подржан између осталог и Цисцо ОпенДНС-ом), ДНС резолуција преко ТЛС-а (подржана од стране Цлоудфларе-а, Гоогле-а, Куад9 и ОпенДНС-а), и ДНС резолуција преко ХТТПС-а (тренутно подржава Цлоудфларе, Гоогле и услугу за блокирање садржаја за одрасле ЦлеанБровсинг). Шифровани саобраћај такође осигурава да се саобраћај не може нањушити или модификовати и да се захтев не може прочитати ако се неко маскира као ДНС сервис који елиминише нападе на средњи човек и шпијунирање. Употреба ДНС проки-ја за једну од ових услуга (било директно на вашем уређају или на "серверу" у вашој локалној мрежи) помоћи ће да се спречи цурење ВПН ДНС-а, јер ће проки увек бити најбрже одговарујући ДНС сервер.

Међутим, та приватност не долази у пакету за масовну потрошњу. Ниједан од ових протокола тренутно није подржан од стране било ког ДНС решивача који је претходно упакован са оперативним системом. Сви они захтевају инсталацију (и вероватно компилацију) клијентске апликације која делује као локални „ДНС“ сервер, преносећи захтјеве које су направили претраживачи и друге апликације узводно на сигуран ДНС провајдер по вашем избору. И док су две од три технологије предложене стандарде, ниједна опција коју смо тестирали није нужно у коначном облику.

Дакле, ако се одлучите за роњење у шифрованом ДНС-у, вероватно ћете желети да користите Распберри Пи или неки други намјенски хардвер да га покренете као ДНС сервер за вашу кућну мрежу. То је зато што ћете установити да је конфигурисање једног од ових клијената више него довољно хакера. Зашто поновити процес више пута када можете само да поставите питање о поставкама ДХЦП-а у вашој локалној мрежи да бисте све показали у једној успешној инсталацији као ДНС сервер? Постављао сам ово питање више пута док сам гледао како се клијенти руше на Виндовсу и заспали на МацОС-у током тестирања.

Погледајте видео: Introduction to Amazon Web Services by Leo Zhadanovsky (Децембар 2019).