LINUX.ORG.RU

И всетаки какие Шифрованные DNS лучше и перспективнее?

 , ,


0

1

Вот и настало время. Мой домашний провайдер был замечен за перенаправлением dns-запросов на свои сервера, позвонил в ТП, те долго отнекивались(ну а что, откуда ТП такое знать?), но я не отстовал и они пошли в ЦОД, откуда вернулись с подтверждением моей теории и сказали что ничего исправлять не будут, всем остальным клиентам посрать и ни вообще ничего не заметили.
Ну ок, пошел на роутер, начал заворачивать роутерский dns трафик через vpn и задумался, а ведь есть более современные решения для этого дела, почему их не попробовать? У меня и одноплатник есть, который можно для этих целей задействовать.

Остался вопрос, что выбрать:
-DNSCrypt
-DNS-over-HTTPS
-DNS-over-TLS
А еще где скачать покет под debian, списки dns-серверов поддерживающие данные протоколы.
И что по настройкам, мне потребуется поднимать BIND/dnsmasq или клиенты самостоятельно могут кешировать и отдавать запросы, без доп. костылей?

Deleted

Эмм, в России уже почти 10 лет как подменяют днс и сертификаты. Теперь везде в мире перенимают опыт, привыкай.

anonymous ()

Сразу оговорюсь, я не спец по сетям, но насчёт днс-серверов могу сказать, что читал о новом клоудфларе (1.1.1.1).
У них запрос шифруется, но ответ идёт не шифрованный. В обсуждениях людям это не понравилось.
Если кто может расписать более детально - думаю все будут рады услышать. А то они пишут приватность бла-бла-бла...

Xant1k ()
Ответ на: комментарий от anonymous

Началось это не с РФ. Перед тем как что-то сказать, трижды стоит подумать, а после этого еще раз десять раз подумать)

anonymous ()
Ответ на: комментарий от Xant1k

Там же DNS over HTTPS, как ответ может быть нешифрованным?

Deleted ()

Молодец, взял и спалился провайдеру, что ты криптоонорхизд и твоя жопа хочет бутылки.

bodqhrohro_promo ()

-DNSCrypt
-DNS-over-HTTPS
-DNS-over-TLS

DNSsec оказался слишком сложным, и его никто не осилил?

Deleted ()

Кто-то использует провайдерские dns? Есть для этого причины?

anonymous ()
Ответ на: комментарий от Deleted

забыл про него, навыдумывали стандартов

Deleted ()
Ответ на: комментарий от anonymous

А зачем тогда остальные навыдумывали?

Deleted ()
Ответ на: комментарий от anonymous

ну действительно, это про тебя

Так кого интересуют страны третьего мира? Тотальное внедрение MITM, с маскировкой под легитимность, в «правовом» государстве, насколько мне известно, началось с РФ и перешло на всех соседей. Это вам не Европа, где люди хотя бы возмущаются на грубые нарушения прав и свобод. В Азии всё можно. Менталитет-с.

anonymous ()
Ответ на: комментарий от anonymous

Они быстрые и не лежат. Публичные типа 8.8.8.8 и сотни других (включая все корневые) тоже заворачиваются провайдером, но при этом лежат чаще чем нет.

anonymous ()

Использую DNSCrypt почти полгода. Жалоб нет.

HTaeD ★★★★ ()
Ответ на: комментарий от Deleted

DNSSEC не обеспечивает приватности, только проверку подлинности.

anonymous ()
Ответ на: комментарий от anonymous

Они быстрые и не лежат.

Эм, гугловские тоже быстрые и не лежат (не припомню падения лет за 8. по скорости тоже разница не велика)

+ Провайдеры используют блокировки по dns, а меня это не устраивает.

anonymous ()
Ответ на: комментарий от Legioner

Ещё как подменяют. Смотри внимательней в следующий раз на то что тебе отдают и сравни хотя бы тут https://www.grc.com/fingerprints.htm

Это не новость на самом деле, ещё в 2010 что ли началось у самых разных провайдеров. Защита ДНС помогала от нелегитимных сертификатов раньше (только если он не подписан). Как думаешь сколько людей не получит поддельные серты? 99% интернета с MITM в РФ.

anonymous ()
Ответ на: комментарий от Deleted

Все эти стандарты пока в экспериментальной стадии и развивались параллельно, но DNSCrypt именно _последней_ версии - это наиболее универсальное на данный момент решение, объединяющее все это. Все предпочтения можно задавать в его настройках, конфигурационный файл хорошо комментирован.

anonymous ()
Ответ на: комментарий от anonymous

У гугловских домены 3 уровня сломаны 5 раз на месяц, больше ни у кого такой шляпы не было. И постоянно сайты перестают резолвится на несколько минут. Это очень заметно.

anonymous ()
Ответ на: комментарий от anonymous

99% интернета с MITM в РФ

Как ты себе представляешь MITM современного HTTPS без воплей браузера о подмене?

Смотри внимательней в следующий раз на то что тебе отдают и сравни хотя бы тут https://www.grc.com/fingerprints.htm

УМВР, ЧЯДНТ?

anonymous ()
Ответ на: комментарий от anonymous

Разберись в матчасти, что ли. Чтобы подменять сертификаты, нужно выпустить его от доверенного центра, также это не сработает для запиненных сертификатов. Как только доверенный центр выпустит такой сертификат, его корневой сертификат тут же отзовут и он перестанет работать. Это технически нереализуемо.

Legioner ★★★★★ ()
Ответ на: комментарий от Deleted

Ну, вообще это разные вещи. DNSSEC гарантирует только целостность данных (защита от подмены), но не конфиденциальность. А все эти днскрипты, насколько я понимаю, ориентированы в первую очередь на сокрытие запросов.

tiandrey ★★★★★ ()
Ответ на: комментарий от Legioner

Никто не мешает положить сертификат в сборочки (собственно так и поступают), распространять с обновлениями, или подождать пока пользователь нажмёт «добавить в доверенные». И всё это делают последние 10 лет.

anonymous ()
Ответ на: комментарий от anonymous

У гугловских домены 3 уровня сломаны 5 раз на месяц, больше ни у кого такой шляпы не было.

Какие dns прописать запасными? Свой поднимать?

Это очень заметно.

Не сталкивался. Хотя везде гугловские dns прописаны, но не припомню проблем.

anonymous ()
Ответ на: комментарий от anonymous

никто не мешает квовавой геббебне проникнуть к тебе домой ночью пока спишь и не внедрить сертификатов.
хватит нести чушь.

system-root ★★★★ ()
Ответ на: комментарий от anonymous

Это твои фантазии. Хотели бы подменять, просто на сайте провайдера выложили бы корневые сертификаты и инструкции по их добавлению для разных ОС.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

В среднем это выглядит как доверенный сертификат от cloudflare или comodo (я уж не буду про то где подписывают «утёкшими» валидными сертами, а так тоже делают).

С lets encrypt всё ещё печальней. Почему-то это считается нормой, следить куда ты ходишь и что ты читаешь.

anonymous ()
Ответ на: комментарий от tiandrey

DNSSEC гарантирует только целостность данных (защита от подмены), но не конфиденциальность. А все эти днскрипты, насколько я понимаю, ориентированы в первую очередь на сокрытие запросов.

Да, днскрипт ориентирован на сокрытие, но среди списка серверов можно выбрать поддерживающие DNSSEC.

anonymous ()
Ответ на: комментарий от Legioner

Ну да, конечно. А резать запрещённые статьи в интернете они как по-твоему будут без MITM? Только если раньше он был из-за различного рода соседства, то теперь он повсюду. Да что там, почтовые сервера с ним.

anonymous ()
Ответ на: комментарий от system-root

Хаха, только что проверил, никаких красных окон не выдаёт. Энжой, что называется.

anonymous ()
Ответ на: комментарий от anonymous

Какие dns прописать запасными? Свой поднимать?

Все, что идет на 53 в открытом виде по днс-протоколу, провайдер завернет на себя.

anonymous ()
Ответ на: комментарий от anonymous

Зелёный замочек отключается через некоторое время после загрузки, видимо за этим в хром и добавили защиту от подобного. 100% вручную не добавлялись.

anonymous ()
Ответ на: комментарий от Deleted

вот кстати DNSSEC я бы с осторожностью дома использовал.
маны systemd-resolved, но емнип там по дефолту включена деградация с ворнингами в лог. т.е. это нужно настраивать или вообще смысла нет.
а настроишь на рестрикт и получишь головной боли, т.к. оно ломается. просто молча ничего не работает или только определённый сайт.

system-root ★★★★ ()

ну вообще то не на свои, а на федеральных хранителей

darkenshvein ★★★★★ ()

dnscrypt-proxy v2 умеет всё что тебе нужно.

anonymous ()
Ответ на: комментарий от anonymous

В «сборочки» и троян можно положить, и майнер, и все что угодно. Просто не надо ими пользоваться.

deadNightTiger ★★★★ ()
Ответ на: комментарий от anonymous

Ну здрасьте. Блокируют весь домен, если HTTPS.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.