среда, 18 ноября 2015 г.

Увеличиваем интернет-безопасность с помощью DNScrypt

Эта статья написана по просьбе одного из читателей блога. И должен сказать - тема весьма интересная.

В наше время, всё более остро встаёт вопрос о защите передаваемого трафика в сети Интернет. Очень многие могут позариться на ваши данные - от злоумышленников, который всеми силами будут хотеть заполучить ваши пароли к различным сервисам, до спецслужб, которые хотят знать всё о каждом вашем шаге. И на данное время, существует большое количество "средств самообороны" в Интернете. Об одном таком простом, но весьма эффективном средстве, пойдёт речь в этой статье - DNScrypt.


Существует такой замечательный ресурс, под названием OpenDNS, который предоставляет свои публичные DNS-сервера. OpenDNS предлагает DNS-решения для пользователей и предприятий, как альтернативу использованию DNS-сервера, предлагаемого их провайдером. Размещение серверов компании в стратегически важных районах и использование большого кэша доменных имен приводит к тому, что OpenDNS, как правило, выполняет запросы гораздо быстрее, тем самым увеличивая скорость открытия страницы. Результаты DNS-запросов некоторое время кэшируются в операционной системе и/или приложениях, так что эта скорость может быть заметна не при каждом запросе, а только при тех запросах, которые не кэшированы.

Так как трафик между DNS-сервером и вашим компьютером не шифруется, это создаёт серьёзную опасность перехвата трафика. Шифрование DNS-трафика позволит защитить клиента от атак "человек посередине", при которых злоумышленник вклинивается в канал связи и притворяется DNS-сервером. Кроме того, шифрование предотвращает наблюдение за трафиком и блокирует активность злоумышленников, связанную с подбором идентификаторов пакетов или отправкой фиктивных DNS-ответов. Проще говоря: шифрование DNS предотвратит фишинговые атаки, когда вместо желаемой страницы, открывается её вредоносная копия, где вы вводите свои данные. Со всеми вытекающими. Плюс ко всему, провайдеру станет гораздо тяжелее узнать, какие сайты вы посещали (ибо в логах не будет информации о запросах на разрешение имён). Чтобы всё это организовать, проект OpenDNS выпустил замечательную утилиту с открытым исходным кодом - DNScrypt.

Эта утилита будет шифровать весь передаваемый трафик между вашим компьютером и OpenDNS-серверами. Если ваш провайдер блокирует какой-нибудь сайт по его доменному имени - теперь этот сайт заработает! Ещё один плюс. Данная утилита доступна на великом множестве систем. Опишу установку и настройку на примере Debian и Ubuntu/Linux Mint.

В Ubuntu 14.04 и Debian 8, этой утилиты нет. Варианта 2: собирать самому или использовать сторонние репозитории. В случае Ubuntu, это будет PPA-репозиторий:

sudo add-apt-repository ppa:xuzhen666/dnscrypt
sudo apt-get update
sudo apt-get install dnscrypt-proxy

В случае Дэбиана, достаточно скачать пакет dnscrypt-proxy из репозитория тестового выпуска. И установить с помощью GDebi, либо командой sudo dpkg -i dnscrypt-proxy_1.6.0-2_amd64.deb.

Для самостоятельной сборки:

wget https://raw.github.com/simonclausen/dnscrypt-autoinstall/master/dnscrypt-autoinstall.sh && chmod +x dnscrypt-autoinstall.sh && ./dnscrypt-autoinstall.sh

В процессе установки будет предложено выбрать DNS-сервер. Выбирайте OpenDNS.

Дополнительной настройки не требуется, в пакете есть всё необходимое. Всё что вам нужно - слега перенастроить подключение к сети. Открываем настройку сетевых соединений, выбираем своё, идём на вкладку IPv4, меняем Авто (Auto) на Автоматически (только адреса) (Auto (Address only) и указываем DNS-адрес 127.0.2.1





Перезагружаемся, подключаемся и переходим по ссылке. Если вы увидите это


Поздравляю! Всё работает как положено. Теперь ваш интернет стал безопаснее. В дополнение к шифрованию DNS-трафика, вы можете зашифровать и HTTP-трафик, посредством тех же прокси-серверов. Или браузера Tor. Об этом поговорим в следующих статьях. Вопросы как всегда в комментариях.

4 комментария:

  1. пытаюсь установить пакет
    dnscrypt-proxy_1.6.1-1_amd64.deb
    через synaptic не находит подскажите почему ?

    ОтветитьУдалить
    Ответы
    1. Synaptic показывает то, что находится в репозиториях, а не то, что вы скачали. Устанавливать DEB-пакет нужно либо через gdebi, либо в терминале командой sudo dpkg -i имя_пакета.deb

      Удалить
    2. Этот комментарий был удален автором.

      Удалить
  2. Здравствуйте.Установил OpenDNS решил что поможет обойти блокированные сайты,не получилось.Потом установил Bitmask сразу открылись все двери работало все замечательно и быстро.На следующий день не хочет запускаться ни в какую.переустанавливал тоже не помогло.Если Вас не затруднит посмотреть снимок я Вам отправлю.Вы как профессионал дадите свое заключение.Уж очень хорошая штуковина Bitmask работает быстро и отключается и включается всего одним нажатием.За ранее благодарю.

    ОтветитьУдалить