Parus16.ru

Парус №16
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Битва за данные пользователей: зачем нужно шифровать DNS-запросы

Битва за данные пользователей: зачем нужно шифровать DNS-запросы

ЕгорЕгор Морозов | 28 Ноября, 2019 — 18:10

Картинки по запросу dns over https doh

Специалисты по обеспечению конфиденциальности и безопасности находятся в центре публичной борьбы за будущее шифрования трафика в интернете. В сентябре кабельные компании и другие представители телекоммуникационной отрасли в США направили в Конгресс письмо с протестом против планов Google по шифрованию трафика системы доменных имен (DNS) в браузере. В этом месяце Mozilla отправила в Конгресс собственное письмо, в котором просила законодателей не рассматривать этот протест, поскольку он основан на «фактических неточностях».

Речь идет о том, как следует шифровать DNS-трафик — сетевые запросы, которые преобразуют понятные людям доменные имена (адреса сайтов) в IP-адреса серверов. Когда пользователь вводит доменное имя в браузере, тот запрашивает у ближайшего указанного в настройках DNS-сервера IP-адрес, связанный с этим доменным именем.

По умолчанию эти запросы и ответы сервера отправляются по сети в виде обычного текста, что означает, что кто-то может перехватить их и перенаправить пользователя в другое место назначения. Простые текстовые DNS-запросы также позволяют администраторам сети видеть, на какие сайты заходят пользователи: фактические действия могут быть зашифрованы, но и такие знания могут предоставить ценную информацию, например, для рекламодателей.

Шифрование DNS гарантирует, что «браузер общается с тем, с чем вы хотите взаимодействовать, а не с тем, куда вас зовут вредоносные программы», — говорит Тим Эйприл, главный архитектор сетевой компании Akamai.

Никто не спорит с тем, что DNS должен быть зашифрован. Третьи стороны не должны иметь возможность перехватывать и перенаправлять пользователей на сторонние сайты, на которых могут быть размещены вредоносные программы или поддельные формы авторизации. Разногласия заключатся лишь в том, как это шифрование должно быть сделано.

Существует два варианта: так называемые DNS поверх TLS и DNS поверх HTTPS. Первый подчеркивает безопасность и дает администраторам сетей больше контроля, а второй подчеркивает конфиденциальность пользователей. С точки зрения удобства использования пользователи не заметят различий с любым из этих подходов, чего нельзя сказать о системных администраторах.

Два способа шифрования

Современные сети полагаются на протокол защиты транспортного уровня (TLS) для безопасного обмена данными, например, для просмотра веб-страниц, передачи файлов, VPN-подключений, сеансов удаленного рабочего стола и передачи голоса по IP-телефонии. Одна сторона соединения, обычно сервер, имеет сертификат с цифровой подписью, выданный доверенным центром сертификации. Другая сторона соединения, обычно клиент, использует сертификаты для проверки того, с кем он обменивается данными.

Поскольку протокол TLS уже широко используется для обеспечения конфиденциальности, аутентификации и целостности данных, расширение протокола для работы с DNS является вполне логичным. DNS поверх TLS (IETF RFC 7858) определяет, как DNS-пакеты будут шифроваться с помощью TLS и передаваться по широко используемому протоколу управления передачей (TCP).

По умолчанию DNS проходит через порт 53 по протоколу TCP или UDP. При использовании DNS поверх TLS все зашифрованные пакеты отправляются через порт 853. Большинство общедоступных DNS-серверов, включая Cloudflare, Quad9 и Google, уже поддерживают DNS поверх TLS, и компании, использующие собственную DNS-инфраструктуру, также могут использовать такое шифрование.

Читайте так же:
Джойстик для самолетов на компьютер

Google включил поддержку DNS поверх TLS в Android Pie (Android 9), чтобы пользователи могли настраивать шифрование DNS как для Wi-Fi, так и для мобильной сети, и многие приложения и устройства уже умеют работать с этой опцией.

«Мы решили проблему, добавив DNS к TLS», — сказал Пол Викси, изобретатель DNS и генеральный директор Farsight Security. Он также признает, что такое решение не является «веб-дружественным» в том смысле, что нет простого пользовательского интерфейса для включения этой функции.

DNS поверх HTTPS (IETF RFC8484) в значительной степени разработан с оглядкой на принципы работы современного интернета, поскольку он вбрасывает все пакеты данных в поток HTTPS вместе с другим зашифрованным веб-трафиком. В отличие от своего конкурента, DNS поверх HTTPS не шифрует отдельные запросы, а вместо этого пропускает их через зашифрованный туннель между клиентом и сервером.

Поскольку соединение использует HTTPS и HTTP/2, все пакеты выглядят одинаково. Любой, кто отслеживает порт 443 — стандартный порт HTTPS — не сможет идентифицировать DNS-запросы из всего остального веб-трафика.

Плюсы и минусы каждого подхода

Для сторонников конфиденциальности DNS через TLS недостаточно хорош, потому что любой, кто контролирует сеть, будет знать, что любая активность на 853-ем порту связана с этим DNS. Хотя наблюдатель не будет знать фактическое содержание запроса, поскольку и ответ, и запрос зашифрованы, тот факт, что сетевой администратор или провайдер будут знать, что есть такая активность, уже может привести к последствиям для пользователя (в худшем случае этот порт может быть вообще закрыт). Хотя DNS поверх TLS безопасен, он не так удобен с точки зрения конфиденциальности, как DNS поверх HTTPS.

Еще один недостаток DNS поверх TLS заключается в том, что разработчикам программного обеспечения и производителям устройств необходимо внести изменения, чтобы их приложения и оборудование поддерживали этот протокол. И если такой поддержки нет, даже если указанный DNS-сервер может работать с таким шифрованием, оно не будет защищать данные пользователя.

DNS поверх HTTPS более демократичен, поскольку любой пользователь, использующий поддерживаемый веб-браузер, автоматически получает шифрование DNS. DNS поверх HTTPS лишает любые третьи стороны — в том числе поставщиков интернет-услуг и правительственные учреждения — возможности просматривать информацию о том, какие сайты посещает пользователь. Это именно то, что хотят защитники конфиденциальности, но это противоположно тому, что нужно сетевым администраторам.

Конфиденциальность против безопасности

DNS поверх HTTPS возводит конфиденциальность в абсолют, но создатели приложений родительского контроля, антивирусных программ, корпоративных брандмауэров и других сетевых инструментов не разделяют эту идеологию. Включение DNS поверх HTTPS по умолчанию в веб-браузере означает, что все DNS-запросы передаются на указанный DNS-сервер, который может не являться собственным DNS-сервером организации или провайдера.

Картинки по запросу android oreo

Mozilla объявила, что DNS поверх HTTPS будет использоваться по умолчанию для пользователей Firefox в Соединенных Штатах, и это изменение в настоящее время активно внедряется. Firefox автоматически передает весь DNS-трафик популярному серверу Cloudflare 1.1.1.1 и игнорирует существующие настройки DNS пользователя. Это обходит все связанные с DNS сетевые правила фильтрации, в том числе позволяет попасть на сайты, доступ к которым блокируется по DNS.

Читайте так же:
Ибп powercom raptor rpt 600a отзывы

Google также включил DNS поверх HTTPS для пользователей Chrome, но тут его принцип работы немного отличается, поскольку браузер по умолчанию использует DNS поверх HTTPS только в том случае, если у пользователя есть служба, совместимая с DNS поверх HTTPS.

Microsoft, как обычно, хочет усидеть на двух стульях одновременно: с одной стороны, компания планирует поддерживать DNS поверх HTTPS в Windows, с другой — хочет дать системным администраторам некоторый контроль.

Эйприл считает, что шифрование DNS — это «разумное ограничения доступа» к плохим ресурсам, но с ним нужно быть осторожнее. Провайдеры частенько блокируют имена хостов, используемые Wannacry и другими вредоносными программами, и временами перенаправляют пользователей, пытающихся получить доступ к вредоносным или заблокированным сайтам. Администраторы общедоступных сетей Wi-Fi модифицируют DNS-запросы, чтобы сначала загружалась страница авторизации для новых пользователей. DNS поверх HTTPS ломает все эти настройки.

Картинки по запросу mozilla dns over https

Отчасти поэтому Mozilla не включает DNS поверх HTTPS для пользователей Firefox в Соединенном Королевстве, так как там закон требует от интернет-провайдеров блокировать доступ к нелегальным веб-сайтам, таким как те, которые связаны с детской порнографией.

DNS поверх HTTPS против DNS поверх TLS — это еще одна разновидность борьбы за данные о просмотре веб-страниц пользователем и за то, кто получит доступ к ним. DNS-запросы от Firefox будут отправляться в Cloudflare, что означает, что Cloudflare будет иметь доступ к огромному количеству данных DNS. По словам Викси, технологические компании, которые управляют централизованными DNS-серверами, такие как Cloudflare и Google, в конечном итоге получат выгоду от DNS поверх HTTPS, поскольку именно они будут получать информацию о том, что люди просматривают в интернете.

Сторонники конфиденциальности считают, что не провайдеры, а сами пользователи должны отвечать за то, как они попадают на сайты в интернете. Но решение Mozilla заставляет пользователей Firefox использовать Cloudflare независимо от их собственных предпочтений.

Большинство пользователей не заметят никакой разницы, когда шифрованный DNS станет стандартным, что уже произошло для пользователей Chrome. Для компаний и интернет-провайдеров социально-сознательный, ориентированный на пользователя подход вынуждает идти на компромисс: ценой повышения конфиденциальности является снижение безопасности.

Реальность современного интернета заключается в том, что интернет-провайдеры и компании играют определенную роль в предотвращении угроз для пользователей. В идеале веб-браузеры должны позволять пользователям выбирать, следует ли использовать DNS поверх TLS или DNS поверх HTTPS, а также предоставлять пользователям возможность контролировать, какого поставщика DNS использовать.

Руководство по установке DNS сервера в локальной сети

Получи бесплатную консультацию от компьютерного сервиса Master Soft:

  • Ремонт и настройка ПК любой сложности, опыт 11 лет
  • Гарантия 12 мес. на все виды услуг
  • Быстрый ремонт, так как все запчасти в наличии
  • Быстрый выезд мастера, 40-60 мин.
  • Скидка 20% при оформлении онлайн заявки

Наличие DNS сервера в сети значительно облегчает жизнь системным администраторам и пользователям. DNS преобразует полные имена узлов (FQDN) в IP-адреса. Благодаря этому пользователям для доступа к ресурсам сервера не нужно вводить его числовой адрес (например, 192.168.15.250). Достаточно написать что-то вроде «server1» или любое другое имя, которое задал администратор. Запомнить его гораздо проще, чем набор чисел.

Читайте так же:
Бокс для роутера на стену

dns01

DNS и Active Directory — пошаговая установка

Служба DNS входит в базовый комплект компонентов серверных операционных систем от компании Microsoft, начиная с самых первых версий. Ее инсталляция, как и установка DHCP, не занимает много времени. Предварительная установка DNS сервера является базовым условием для развертывания мощнейшего комплекса инструментов администрирования сетевых пользователей и компьютеров – домена Active Directory.

Предварительная подготовка

Перед тем, как будет выполнена полная установка DNS, должна быть проведена предварительная подготовка. Для начала станции, на которой планируется развернуть службу, следует присвоить статический IP-адрес. Также необходимо указать подходящее имя, которое будет соответствовать новому домену.

dns02_stat_adress

Нами должна быть выполнена активация роли DNS-сервера на активной в данный момент станции, чтобы получить доступ к соответствующей оснастке и управляющим командам. Искомое находится в оснастке «Управление сервером» (Панель управления>>Администрирование>>УС). Раскрываем вкладку и щелкаем мышью по надписи «Роли». Жмем «Добавить» и в появившемся списке указываем нужный нам пункт. Мы активировали установку DNS в Windows Server.

dns03-role-dns

После завершения инсталляции сервер доменных имен оказывается полностью готов к работе. Пока на нем нет ни одной рабочей зоны, и сервер выполняет только кэширующие функции.

Типы доменных зон

Всего существует 3 типа зон:

  • основная (для записи и чтения);
  • дополнительная (только для чтения; нужна, чтобы обеспечить отказоустойчивость и распределить нагрузку);
  • зона-заглушка (хранит минимальный объем записей).

Кроме того, зоны могут быть:

  • прямого просмотра (для преобразования имен в ip-адрес);
  • обратного просмотра (противоположный предыдущему процесс).

dns04-dns-zones

Налаживаем работу DNS сервера и создаем зоны

Нам нужно создать DNS-зону. Для этого следует выполнить следующие действия:

    1. Открываем «Панель управления», выбираем пункт «Администрирование». После этого находим элемент DNS и щелкаем по нему. Откроется консоль управления системой доменных имен.
    2. Раскрываем наш сервер, нажав на знак плюса рядом с ним.
    3. Выполним раскрытие узла «Зоны прямого просмотра» (Forward Lookup Zones в англоязычной версии) в левой части окна управляющей консоли, нажав «+» или значок треугольника (в зависимости от версии).
    4. Щелкнем ПКМ по «Зонам прямого просмотра». Всплывает контекстное меню. Там нам нужно выбрать пункт «Новая зона». Запустится мастер, позволяющий создать новую зону. Жмем «далее».

    dns05-new zone

      1. В следующем окне сохраняем параметры по умолчанию и жмем «далее».
      2. Появляется диалоговое окно с настройкой опций репликации. В первый раз все можно оставить по умолчанию. В этом случае репликация будет выполняться на все контроллеры домена Active Directory.
      3. В поле имени зоны вводим подходящую запись (например, ourcompany.com или zavod.local). Идем дальше.

      dns zone name

        1. В разделе настройки динамических обновлений выбираем только безопасные обновления и идем дальше.

        dns upd

        1. Завершаем работу мастера, нажав на соответствующую кнопку.

        dns end

        Мы создали зону прямого просмотра. Можно считать, что установка DNS выполнена успешно. С помощью оснастки теперь можно будет увидеть список сетевых компьютеров домена AD с соответствующими IP-адресами и DNS –именами.

        Полезные команды для администрирования DNS

        Если установка DNS сервера выполнена успешна, далее администратора ждет масса рутинных операций, связанных с его обслуживанием. Существуют определенные инструменты командной строки, которые позволяют автоматизировать многие процедуры, сделать процесс администрирования не таким рутинным и скучным. В первую очередь речь идет о DNSCMD.

        Приведем некоторые примеры команды с параметрами.

        • DNSCMD <зона DNS> /info (выводит массу полезной информации о сервере).
        • DNSCMD <…> /statistics (подробная статистика).
        • DNSCMD <…> /zonepause (приостановка работы зоны).
        • DNSCMD <…> /zoneresume (возобновление работы зоны).

        Для эффективной работы сети должна быть также выполнена установка DHCP. Эта служба позволяет компьютерам в сети автоматически получать адреса. Но об этом будет рассказано в других статьях, посвященных настройке серверных служб.

        Для чего нужен днс сервер

        Установка и настройка DNS-сервера в Windows Server 2012: подробное руководство

        DNS (Domain Name System) – система доменных имен. В статье Настройка простой (одноранговой) локальной сети мы задавали IP адреса компьютеров и использовали их для удаленного подключения. Если простейшая сеть состоит (минимум) из двух компьютеров, то нет проблем, все ОК и хорошо.

        Но, представим, что наша сеть разрослась до сотни, тысячи десятков тысяч и более компьютеров. Суть DNS в том, что DNS хранит данные о соответствии IP-адреса домену. То есть каждому IP-адресу, состоящему из цифр, соответствует буквенное имя, домен (Domain).

        Благодаря DNS в компьютере хранится таблица соответствия вида «Имя домена» = «IP-адрес».

        Так же система доменных имен удобнее визуально, согласитесь проще запомнить имя mycomp чем IP-адрес 192.168.1.1 , особенно если таких компьютеров много. Например, компьютер бухгалтера можно назвать compbuh и не запоминать его IP-адрес.

        Соответствия IP-адресов именам, ресурсные записи доменов, а так же иную информацию хранит в себе DNS-сервер. По сути своей DNS-сервер это служба которая обеспечивает работоспособность DNS.

        DHCP (англ. Dynamic Host Configuration Protocol — протокол динамической настройки узла) – это сетевой протокол, который позволяет получать устройствам, например компьютерам, IP-адреса автоматически.

        Например, у вас дома стоит роутер, который раздает интернет. У вас есть компьютер и ноутбук. Именно DHCP раздает вашим устройствам (компьютеры, ноутбуку, смартфону) IP-адреса. Именно IP-адреса позволяют устройствам обмениваться информацией с роутером, благодаря чему на устройствах есть интернет.

        Рассмотрим установку DNS на Windows Server 2012.

        Установка DNS на Windows Server 2012

        Откройте диспетчер серверов и выберите пункт «Добавить роли и компоненты».
        Добавить роли и компоненты
        На следующей странице установите флажок «Пропускать эту страницу по умолчанию» и нажмите «Далее».
        Перед началом работы
        В окне «Выбор типа установки» нажмите «Далее».
        Выбор типа установки
        Выберите сервер, на который будет производиться установка роли DNS сервера. Если у вас один сервер, выбираете его. Если несколько — необходимый. В моем примере один сервер.
        Выбор целевого сервера
        Далее нужно выбрать, какие роли необходимо устанавливать, соответственно нужно установить роль DNS сервера, поэтому выбирается он. Нажимаем «Далее».
        Выбор ролей сервера
        Выбор компонентов уже осуществлен, нажимаем «Далее».
        Выбор компонентов DNS-сервера
        Далее появляется информация, на что обратить внимание при установке роли DNS сервера, нужно нажать «Далее».
        На что обратить внимание при установке DNS-сервера
        Далее необходимо подтвердить установку нажатием кнопки «Установить».
        Подтверждение установки DNS-сервера
        После чего запускается процесс установки, который длится около 3 минут.
        Процесс установки DNS-сервера
        Дождитесь завершения установки и нажмите кнопку «Закрыть».
        Роль сервера DNS-сервер установлена. Для запуска средств управления DNS сервером нужно использовать Диспетчер серверов -> Средства -> DNS.
        Роль сервера DNS-сервер установлена

        Создание зоны прямого просмотра на DNS сервере

        В диспетчере DNS на группе «Зоны прямого просмотра» необходимо щелкните правой кнопкой мыши и выберите «Создать новую зону». Запустится мастер создания новой зоны. Нажмите «Далее».

        Мастер создания новой DNS-зоны

        Выберите «Создать новый файл», так как другого DNS сервера нет, нажмите «Далее».

        Создание нового файла DNS-зоны

        Затем нужно выбрать «Тип динамического обновления» на время такой функционал стоит запретить. Жмем «Далее» и «Готово».

        Выбор типа динамического обновления DNS-зоны

        Зона создана, теперь можно сделать запись типа A, например, для этого же сервера. Для этого по зоне нужно щелкнуть правой кнопкой мыши и нажать «Создать узел A или AAAA».

        Создать узел A или AAAA

        Далее отключаем брандмауэр Windows Server: Центр управления сетями и общим доступом -> Брандмауэр Windows (слева внизу) -> Включение и отключение брандмауэра Windows — > отключаем для всех типов сетей.

        Отключаем брандмауэр Windows Server

        Далее задаем IP-адрес сервера. Проверяем созданную зону.

        Далее задаем IP-адрес сервера

        Проверить работу только что установленного DNS сервера, например, запустить командную строку и попробовать пропинговать узел который был создан чуть ранее.

        Проверяем работу установленного DNS сервера

        Анатолий Бузов

        Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

        Как настроить DNS

        DNS (Domain Name System) — это система преобразования доменных имён в IP-адреса. DNS-сервер содержит записи соответствия определённых доменных имён (имён хостов) соответствующим IP-адресам. Система DNS используется как в Интернете, так и в локальной сети.

        Настройка DNS на компьютере

        1 Нажмите правой кнопкой мыши по значку сети в панели задач.

        2 Выберите Центр управления сетями и общим доступом:

        dns-setup-0011

        3 Нажмите на ссылку, соответствующую нужному сетевому подключению:

        dns-setup-0012

        4 Нажмите кнопку Свойства:

        dns-setup-0013

        5 Найдите в списке пункт Протокол Интернета версии 4 (TCP/IPv4) и выделите его левой кнопкой мыши.

        6 Нажмите кнопку Свойства:

        dns-setup-0014

        7 Установите переключатель в положение Получить адрес DNS-сервера автоматически если в вашей сети работает DHCP-сервер.

        В противном случае, установите переключатель в положение Использовать следующие адреса DNS-серверов и укажите адреса серверов.

        8 Нажмите OK:

        Как настроить DNS на компьютере

        9 Нажмите кнопку Закрыть в окне Ethernet:Свойства для применения настроек:

        dns-setup-0016

        10 Нажмите кнопку Закрыть в окне Состояние — Ethernet:

        dns-setup-0017

        Настройка DNS на роутере

        Если в вашей локальной сети компьютеры подключены к Интернету через роутер, то в качестве DNS-сервера на компьютерах должен быть указан внутренний IP роутера (например, 192.168.0.1). Всё, что нужно для этого — это включённый DHCP-сервер и включённый параметр DNS relay.

        Проверьте настройки DNS в конфигурации WAN-порта:

        dns-setup-0021

        Как настроить DNS на роутере

        Войдите в конфигурацию LAN-порта:

        dns-setup-0024

        Проверьте настройки DNS relay:

        Включение DNS relay

        Что такое DNS relay и для чего он нужен

        DNS relay — это функция трансляции DNS. Если функция включена, в качестве DNS-сервера будет использоваться сам роутер. DNS служба роутера будет разрешать не только Интернет-имена, но и внутренние имена в локальной сети.

        Если фукнция выключена, компьютерам будет выдаваться DNS-сервер провайдера или сервер, указанный вручную в настройках WAN-порта. При этом, компьютеры не смогут обращаться друг к другу по имени хоста, т.к. сервера провайдера не обладают информацией о сопоставлении внутренних IP-адресов с именами компьютеров внутри локальной сети.

        После смены настроек DNS рекомендуется сбросить кэш командой ipconfig /flushdns

        голоса
        Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector