Co je to dnscrypt

Moderní otevřený router firmware, jako jsou rajčatové shibby a další varianty rajčat, zahrnují klient DNScrypt mimo krabici. Klient DNScrypt-Proxy je k dispozici také na OpenWRT, který má stránku wiki pro používání DNScrypt na OpenWRT. DNScrypt-Proxy lze také nalézt v Entwaru. Může být také kompilován pro jakýkoli cíl založený na Linuxu, spustit procesor Intel, MIPS nebo ARM.

DnScrypt

DNS je jedním ze základních stavebních bloků internetu. Používá se kdykoli navštívíte web, odesíláte e -mail, proveďte konverzaci IM nebo udělejte cokoli jiného online. Zatímco OpenDNS poskytovala zabezpečení světové úrovně s využitím DNS po celá léta a OpenDNS je nejbezpečnější dostupnou službou DNS, protokol podkladového DNS nebyl dostatečně bezpečný pro naše pohodlí. Mnoho z nich si bude pamatovat na zranitelnost Kaminského, která ovlivnila téměř každou implementaci DNS na světě (i když ne Opendns).

To znamená, že třída problémů, s nimiž se chyba zabezpečení Kaminsky týkala, byla výsledkem některých základních základů protokolu DNS, které jsou ze své podstaty slabé – zejména v „Poslední míli.„Poslední míle“ je část vašeho připojení k internetu mezi vaším počítačem a vaším internetovým internetem. DNScrypt je náš způsob, jak zajistit „poslední míli“ provozu DNS a vyřešit (žádná zamýšlená hříčka) Celá třída vážných bezpečnostních obav z protokolu DNS. Vzhledem k tomu, že se světová připojení k internetu stává stále mobilnějším a stále více lidí se připojuje k několika různým sítím WiFi za jediný den, je potřeba řešení montáže.

Na poslední míli došlo k četným příkladům manipulace nebo útoků na střední. Dnes můžeme.

Proč je DnScrypt tak významný

Stejně tak SSL změní webový provoz HTTP na šifrovaný webový provoz HTTPS, DNScrypt mění pravidelný provoz DNS na šifrovaný provoz DNS, který je bezpečný před odposlouchávání. Nevyžaduje žádné změny v názvech domény nebo jak fungují, jednoduše poskytuje metodu pro bezpečné šifrování komunikace mezi našimi zákazníky a našimi servery DNS v našich datových centrech. Víme, že samotná tvrzení nefungují ve světě bezpečnosti, a tak jsme otevřeli zdroj naší základně kódu DNScrypt a je k dispozici na GitHubu.

DNScrypt má potenciál být nejvhodnějším pokrokem v zabezpečení internetu od SSL, což výrazně zlepšuje online zabezpečení a soukromí každého jednotlivého internetu online zabezpečení a soukromí.

Poznámka: Hledáte malware, botnet a phishingová ochrana pro notebooky nebo zařízení iOS? Podívejte se na mobilitu deštníků od Opendns.

Stáhnout teď:

Často kladené otázky (FAQ):

1. V prosté angličtině, co je dnscrypt?

DNScrypt je kus lehkého softwaru, který by měl každý použít k posílení online soukromí a zabezpečení online. Funguje to tím, že šifruje veškerý provoz DNS mezi uživatelem a OpenDNS, zabrání jakýmkoli špionážům, spoofingu nebo útokům na střední.

2. Jak mohu dnes použít dnscrypt?

Otevřeli jsme zdroj naší základně kódu DNScrypt a je k dispozici na GitHubu. Grafická rozhraní již nevyvíjejí; Komunita s otevřeným zdrojovým kódem však stále poskytuje neoficiální aktualizace technického náhledu.

Tipy:
Pokud máte firewall nebo jiné middleware, které si obíhají vaše pakety, měli byste zkusit povolit DNScrypt s TCP Over Port 443. Díky tomu bude většina firewallů myslet, že je to provoz HTTPS a ponechá ho na pokoji.

Pokud dáváte přednost spolehlivosti před zabezpečením, umožníte, aby se záložka nejistovala. Pokud se k nám nemůžete dostat, zkusíme použít vaše DNS přiřazené servery přiřazené DHCP nebo dříve nakonfigurované. Toto je však bezpečnostní riziko.

3. A co DNSSEC? Eliminuje to potřebu dnscrypt?

Ne. Dnscrypt a dnssec jsou doplňkové. DNSSec dělá řadu věcí. Nejprve poskytuje ověřování. (Je záznam DNS, dostávám odpověď na to, že pochází od majitele doménového jména, na který se ptám, nebo byl manipulován?) Za druhé, DNSSEC poskytuje řetězec důvěry, aby pomohl navázat důvěru, že odpovědi, které získáte, jsou ověřitelné. Ale bohužel, DNSSEC ve skutečnosti neposkytuje šifrování pro záznamy DNS, ani ty, které podepsali DNSSec. I když všichni na světě použili DNSSEC, potřeba šifrovat veškerý provoz DNS by nezmizela. Kromě toho DNSSEC dnes představuje téměř nulové procento celkových doménových jmen a stále menší procento záznamů DNS každý den s růstem internetu.

To znamená, že DNSSEC a DNScrypt mohou fungovat dokonale společně. V žádném případě nejsou konfliktní. Představte si DNScrypt jako na obaly kolem veškerého provozu DNS a DNSSEC jako způsob podepsání a poskytování ověření pro podmnožinu těchto záznamů. DNSSec má výhody, které se DnScrypt nesnaží řešit. Ve skutečnosti doufáme, že adopce DNSSec roste, aby lidé mohli mít větší důvěru v celou infrastrukturu DNS, nejen propojení mezi našimi zákazníky a Opendns.

4. Používá to SSL? Co je krypto a jaký je design?

Nepoužíváme SSL. I když děláme analogii, že DnScrypt je jako SSL v tom, že zabalí veškerý provoz DNS šifrováním stejným způsobem, jakým SSL zabalí veškerý provoz HTTP, není to použita krypto knihovna. Používáme kryptografii elipticky křivky, zejména eliptická křivka Curve25519. Cíle designu jsou podobné cílům popsaným v designu DNScurve Forwarder.

DnScrypt

DNScrypt je protokol, který ověřuje komunikaci mezi klientem DNS a resolverem DNS. Brání spoofingu DNS. Používá kryptografické podpisy k ověření, že odpovědi pocházejí z zvoleného resolveru DNS a nebyly s nimi manipulovány.

Je to otevřená specifikace s implementací referencí zdarma a s otevřeným zdrojovým kódem a není spojena s žádnou společností ani organizací.

ZDARMA, rezolvery s podporou DNScrypt jsou k dispozici po celém světě

Několik společností, organizací a jednotlivců provozuje veřejné rekurzivní servery DNS podporující protokol DNSCRYPT, takže vše, co potřebujete spustit, je klient.

Neustále aktualizovaný seznam otevřených resolverů DNScrypt si můžete stáhnout, aby se nahradil výchozí soubor CSV odeslán pomocí klienta DNScrypt-Proxy.

Pokud provozujete svůj vlastní veřejný resolver DNS, abyste pomohli učinit internet bezpečnějším místem, odešlete prosím žádost o vyžádání, aby váš resolver přidal do seznamu veřejných rezolverů DNS.

Instalace klienta DNScrypt

Samotný dnScrypt není produkt, ale protokol, který může implementovat kdokoli. K dispozici jsou také přenosné implementace, na kterých byla vytvořena grafická rozhraní a pohodlné nástroje.

Vyberte svou platformu a objevte některé z dostupných možností: Windows – MacOS – Linux / BSD – Android – iOS nebo spusťte software na routeru.

Nastavení brány firewall: Ačkoli někteří rezolvery mohou upřednostňovat jiný port, výchozí port používaný protokolem DNSCRYPT je 443. Odchozí dotazy na tento port na TCP i UDP by měly být povoleny vaším firewallem.

Posudky

„DNScrypt je velmi bezpečný protokol, který pomáhá budovat bezpečnější web“ (James Awland – Bestcasino.CO.Spojené království)

„Při testování jsme zjistili, že DNScrypt je neuvěřitelně stabilní a podporujeme jeho použití“ (Cisco)

„Vřele doporučujeme DNScrypt těm, kteří chtějí získat přístup k nejlepším novým webům kasina“ (Aidan Howe – BestCasinosites.síť)

DNScrypt pro Windows

  • Jednoduchý DNScrypt je all-in-one, snadno použitelný, samostatný klient.
  • DNScrypt WinClient je původní uživatelské rozhraní DNSCRYPT pro Windows.
  • DNScrypt-Proxy je implementace referenčního klienta a pracuje nativně na Windows, od Windows XP po Windows 10. Běží jako služba a neposkytuje grafické uživatelské rozhraní; jeho instalace a její konfigurace vyžadují příkazy psaní. To zůstává vynikající volbou pro pokročilé uživatele.

Důležité: Jsme si vědomi falešných balíčků předstírajících, že jsou klienti DNScrypt Windows, které ve skutečnosti obsahují malware/potenciálně nežádoucí program (PUP). Nestahujte nic, co by předstíralo, že je klientem DNScrypt z torrentů, odkazy ve videích na YouTube nebo neoficiálním stahováním.

DNScrypt pro MacOS

  • DNScrypt-OSXClient je snadno použitelné, plně vybavené, samostatné grafické uživatelské rozhraní pro MacOS.
  • DNScrypt-Proxy je implementace referenčního klienta a pracuje nativně na nedávných verzích MacOS. Uživatelé, kteří jsou obeznámeni s příkazovým řádkem, mohou k instalaci softwaru použít homebrew.

DNScrypt ve webovém prohlížeči Yandex

Webový prohlížeč Yandex je bezplatný, rychlý a zabezpečený webový prohlížeč.

Skryje soubory a webové stránky pro viry, blokuje podvodné webové stránky, chrání vaše hesla a údaje o bankovní kartě a udržuje vaše online platby v bezpečí před krádeží.

DNScrypt pro Android

Spuštění dnscrypt na Android v současné době vyžaduje zakořeněné zařízení. Pokud nevíte, jak zakořenit zařízení Android, fórum pro vývojáře XDA je dobré místo pro začátek.

  • Pokud chcete změnit resolver dnScrypt, rozbalte stažený archiv, upravte proměnnou resolver_name v systému/etc/init.D/99dnScrypt . Udržujte obsah jako soubor zip s původní strukturou.
  • Nahrajte soubor zip do zařízení, do /sdcard nebo jakékoli místo, na které můžete napsat.
  • Ujistěte se, že máte vlastní zotavení, jako je TWRP nebo CWM. Nejjednodušší způsob je stažení a instalace Správce TWRP Z oficiálního twrp.Me web. Restartujte nyní v „režimu obnovy“ a nainstalujte soubor zip.
  • Restartovat.
  • Stáhnout a instalovat Universal INIT.d Z obchodu Google Play, pokud jste na vlastním jádru nebo o náhradním souboru, to není nutné od E.G. Lineageos přichází s integrovanou podporou. V případě, že nevíte, zda máte inici.D Podpořte, otevřete aplikaci a postupujte podle pokynů, dokud neuvidíte, že vaše jádro je zavedeno.D podpora .
  • Proxy DNScrypt by měl v tomto bodě běžet, ale vaše zařízení stále používají předchozí nastavení DNS. V současné době zde čtyři (placené) aplikace, které mohou toto chování změnit, Adguard (VPN tunel) Netguard (VPN tunel), DNS Manager Pro (VPN tunel) a potlačit DNS (měnič DNS). Vyberte jednu z nich a stáhněte si jej z obchodu Google Play. Abychom skutečně používali DNScrypt, zadejte 127.0.0.1 jako primární resolver DNS. Adguard a Netguard, které vyžadují, abyste změnili některá další nastavení (viz snímky obrazovky). Chcete -li zastavit DnScrypt, stačí zakázat aplikace nebo nechat pole DNS Resolver Emptment.
  • Změny DNS nemusí být okamžitě viditelné. Android má svou integrovanou mezipaměť DNS a webové prohlížeče, jako je Chrome, mají další vrstvu do mezipaměti DNS. Chcete-li vyčistit mezipaměť DNS Chrome, zadejte do liště URL Chrome: // Net-Internals/#DNS a stiskněte Vymazat mezipaměť hostitele.
  • Zahájení démona na Androidu
  • Jak nainstalovat dnscrypt na Android

DNScrypt pro iOS

Pro zařízení pro věznici iOS je GuizModns aplikace pro změnu nastavení DNS (pro 3G/4G a WiFi), s podporou DNScrypt. Je k dispozici na Cydia. Klient DNScrypt-Proxy je k dispozici také na Cydia. Verze na Cydia však nemusí být nejnovější. Na stránce jsou k dispozici oficiální předem kompilované binární soubory nejnovější verze. Zdrojový kód DNScrypt lze také zkompilovat z krabice pro zařízení iOS pomocí poskytnutého dist-build/iOS.Skript SH. Se zavedením rámce prodloužení sítě v iOS 9 je možné napsat klientskou aplikaci DNSCRYPT, která by běžela všude, aniž by vyžadovala vězení.

DNScrypt pro routery

Moderní otevřený router firmware, jako jsou rajčatové shibby a další varianty rajčat, zahrnují klient DNScrypt mimo krabici. Klient DNScrypt-Proxy je k dispozici také na OpenWRT, který má stránku wiki pro používání DNScrypt na OpenWRT. DNScrypt-Proxy lze také nalézt v Entwaru. Může být také kompilován pro jakýkoli cíl založený na Linuxu, spustit procesor Intel, MIPS nebo ARM.

DNScrypt-Proxy

Nejoblíbenější implementací klienta DNScrypt je DNScrypt-Proxy. Může být použit sám nebo prostřednictvím jednoho z výše uvedených grafických uživatelských rozhraní. DNScrypt-Proxy implementuje nejnovější revizi protokolu a pracuje na mnoha platformách, včetně Windows, MacOS, Linux, OpenBSD, FreeBSD, NETBSD, Android a iOS. Lze jej rozšířit pomocí pluginů. Další informace o DNScrypt-Proxy naleznete na vyhrazené wiki.

Alternativní klienti, instalační skripty a GUI pro Unix

  • DNScrypt-LOADER je nástroj založený na konzole pro správu klienta proxy DNScrypt v Linuxu. Vyžaduje minimální množství závislostí, má vždy aktuální seznam resolverů a může automaticky změnit nastavení DNS pro použití dnScrypt.
  • PCAP_DNSProxy je velmi rychlý proxy DNS. Zahrnuje implementaci klienta DNScrypt.

Převezměte kontrolu nad svým provozem DNS

Kromě implementace protokolu poskytují běžní klienti DNScrypt velkou kontrolu nad provozem DNS.

  • Zkontrolujte provoz DNS pocházejícího z vaší sítě v reálném čase a detekujte kompromitované hostitele a aplikace telefonování
  • Lokálně blokujte reklamy, sledovače, malware, spam a jakýkoli web, jejichž názvy domén nebo adresy IP odpovídají sadě pravidel, která definujete.
  • Zabraňte úniku dotazů na místní zóny.
  • Snižte latenci do mezipaměti odpovědí a vyhýbejte se požadavkům na adresy IPv6 v sítích pouze pro IPv4.
  • Nutí provoz k používání TCP, k jeho prosazování tunelů pouze TCP nebo tor.

Ověření podpisu

Soubory (zdrojový kód tarballs, předkompilované binární soubory, seznam resolverů) lze ověřit pomocí nástroje MiniSign a následujícím příkazem:

$ MiniSign -VP RWQF6LRCGA9I53MLYECO4IZT51TGPVWUCNSCH1CBM0QTALN73Y7GFO3 -MMM

Spuštění vlastního serveru DNScrypt

Pokud provozujete svůj vlastní soukromý nebo veřejný rekurzivní server DNS, přidání podpory protokolu DNSCRYPT lze provést instalací DNScrypt-Wrapper, referenční server na straně DNSCrypt proxy.

DNScrypt-Wrapper lze zkompilovat ze zdrojového kódu. Uživatelé OSX mohou také použít homebrew .

Proxy je kompatibilní s jakýmkoli softwarem DNS Resolver, včetně nevázaných, rekursorů PowerDNS a vázání.

K dispozici je také obrázek Docker pro server DNSCRYPT a je nejjednodušší a nejrychlejší způsob, jak nasadit DNSSec-validační, DNSCRYPT-s podporující mezipaměti DNS Server. Zahrnuje předem nakonfigurovaný nevázaný server, DNScrypt-Wrapper a všechny skripty potřebné k provádění rotace a dohledu v klíči a dohledu.

Další možností je DNSDist, vysoce DNS-, Dos- a Anebase-About-Aware Loadbalancer. Jeho cílem v životě je směrovat provoz na nejlepší server a poskytovat špičkový výkon legitimním uživatelům při posunu nebo blokování hrubého provozu.

DNSDist může působit jako server DNScrypt, když je kompilován s-ENABLED-DNScrypt .

Nevázaný, ověřující, rekurzivní a ukládání do mezipaměti DNS, může také působit jako server DNSCRYPT, když se sestaví s-Enable-DNScrypt .

Odkazují na Možnosti dnscrypt sekce nevázaná.Conf (5) pro možnosti konfigurace.

Rozvinutí

DNScrypt je obvykle nasazen pomocí dvojice proxy DNS: proxy klienta a proxy serveru.

Strana klienta DNScrypt je proxy, ke kterému se mohou běžní klienti DNS připojit. Místo použití nastavení DNS ISP můžete pouze nakonfigurovat nastavení sítě tak, aby používala 127.0.0.1 nebo jakoukoli IP adresu a port, který jste nakonfigurovali klienta DNSCrypt. Proxy klienta překládá pravidelné dotazy DNS do ověřených dotazů DNS, předá je na server provozující server DNScrypt Proxy, ověřuje odpovědi a předá je klientovi, pokud se zdají být originální.

Strana serveru DNScrypt obdrží dotazy DNS zaslané klientovým proxy, předá je do důvěryhodného resolveru DNS a podepíše odpovědi, které obdrží, před předáním do klientového proxy.

Protokol DNSCRYPT používá porty UDP a TCP 443, které jsou méně pravděpodobné, že budou filtrovány směrovači a ISP než standardní port DNS.

Místní síť je obvykle nejzranitelnějším segmentem sítě proti aktivním útokům, jako je spoofing DNS. Server DNScrypt může běžet na routeru, spolu s moderním resolverem DNS. Klienti pak mohou spustit klientský kód DNSCRYPT, využívat resolver routeru DNS.

| ----- nejzranitelnější vůči útokům ------ | |-nejzranitelnější pro úpravu-| DNScrypt Client DnScrypt Server notebook/pracovní stanice/telefon/tablet --------> Domácí router --------> ISP --------> Internet | ---------- --- Zajištěno dnscrypt --------- | | ------------- Zajištěno DNSSEC -------------- |

Alternativně společnosti, organizace a jednotlivci provozují veřejné resolvery DNS podporujících protokol DNSCrypt. Ty lze použít jako alternativu ke spuštění serveru DNScrypt a resolveru DNS na routeru.

Pro maximální ochranu může klient DNScrypt spustit na každém klientském zařízení:

| ----- nejzranitelnější vůči útokům ------ | |-nejzranitelnější pro úpravu-| Klient DNScrypt DNSCRYPT SERVER notebook/Workstation/Phone/Tablet --------> Domácí router --------> ISP ----------> Internet ----- ---> Public DNS Resolver | ----------------------------------- Zajištěno dnscrypt ---- --------------------------------------- | | --- Zajištěno dnssec --- | | --- nejzranitelnější k protokolování --- |

Nebo pokud zcela důvěřujete místní síti, může klient DNScrypt místo toho běžet na routeru:

| ----- nejzranitelnější vůči útokům ------ | |-nejzranitelnější pro úpravu-| Klient DNScrypt DNSCRYPT SERVER notebook/Workstation/Phone/Tablet --------> Domácí router --------> ISP ----------> Internet ----- ---> Public DNS Resolver | ------------------ Zabezpečení dnscrypt -------------------- | | --- Zajištěno dnssec --- | | --- nejzranitelnější k protokolování --- |

Nakonec můžete spustit svůj vlastní server DNSCRYPT na dálkové, důvěryhodné síti, abyste získali plnou kontrolu nad tím, co resolver dělá a protokolování:

| ----- nejzranitelnější vůči útokům ------ | |-nejzranitelnější pro úpravu-| Klient DNScrypt DNSCRYPT SERVER notebook/Workstation/Phone/Tablet --------> Domácí router --------> ISP ----------> Internet ----- ---> Private DNS Resolver | ----------------------------------- Zajištěno dnscrypt ---- --------------------------------------- | | --- Zajištěno dnssec --- |

Vezměte prosím na vědomí, že DNSCRYPT není náhradou za VPN, protože pouze ověřuje provoz DNS a nezabrání rezolverům DNS třetích stran v protokolování vaší činnosti. Protokol TLS, který se používá v HTTPS a HTTP/2, úniku webových stránek hostuje jména v prostém textu, takže DNScrypt nestačí ke skrytí těchto informací.

Použití DNScrypt v kombinaci s mezipaměti DNS

Pro optimální výkon je doporučeným způsobem spuštění DNSCRYPT spustit jej jako zasílatel pro místní mezipaměť DNS, jako je nevázaný nebo PowerDNS-Recursor.

Resolver ukládání do mezipaměti může poskytnout vysokou dostupnost předáním dotazů na více upstream DNScrypt Client Proxes, nakonfigurovaných s různými poskytovateli.

instance DNScrypt-Proxy a resolver do mezipaměti mohou bezpečně běžet na stejném stroji, pokud poslouchají různé IP adresy nebo různé porty.

Pokud je vaše mezipaměť DNS nevázaná, vše, co potřebujete.conf soubor a přidejte následující řádky na konci sekce serveru:

Do-not-query-localhost: No Forward-Zone: Jméno: "."Forward-Addr: 127.0.0.1@40 Forward-Addr: 127.0.0.1@41

První řádek není vyžadován, pokud používáte různé IP adresy místo různých portů. Čáry dopředu-addr označují adresy a porty klientů DNScrypt, které se mají použít jako rezolvers proti proudu.

Poté spusťte dva proxy klientů a poslouchejte různé místní porty (40 a 41 v tomto příkladu).

Věnujte pozornost skutečnosti, že někteří rezolvery nepodporují prodlužování zabezpečení DNS (DNSSEC).

Pokud je nevázaný nakonfigurován tak, aby prováděl ověření DNSSec v kombinaci s upstream serverem, který nepodporuje DNSSec, dotazy selhávají. Buď používejte pouze resolvery DNSCRYPT s podporou pro DNSSEC, nebo deaktivovat podporu DNSSEC v nevádějícím komentováním linie automobilové kochyně ve své konfiguraci.

Místní resolver do mezipaměti může být také velmi užitečný pro předávání dotazů na CDN nebo vnitřní domény do konkrétního resolveru.

DNScrypt pro vývojáře

Specifikace protokolu je k dispozici a může být implementována zdarma do jakéhokoli produktu.

Jednotlivci a organizace provozující rezolvery s podporou DNScrypt mohou mít také odkaz na dar. Podívejte se na to na svých vlastních webových stránkách.

Pokud je používáte pravidelně, váš příspěvek by jim také pomohl udržovat poskytování skvělé služby zdarma.