Криптографическая защита DNS-трафика

[mtp]

Всё упирается в надёжность частных ключей для серверов DNS, получается?

[mtp]

> маленькую утилиту, которую должен установить каждый

> (пока только под Mac)

Вывод из топика: каждый должен установить МакОС :-)

[zhovner]

Не совсем так. По первой ссылке на гитхаб:

>The daemon is known to work on recent versions of OSX, OpenBSD, NetBSD, Dragonfly BSD, FreeBSD and Linux.

Так что сервер можно установить на любой роутер и использовать так же как bind.

[mtp]

Ну так вывод из приведённых сведений в топике. Кое-кто недостаточно подробно читал источники, видимо :-)

Ализар, добавь упоминания всех платформ в статью, пожалуйста.

[coocheenin]

Приятная новость. Стоит попробовать поставить. OpenDNSы прописаны уже больше года — работают куда надежней провайдерских.

[FSA]

У нас тоже было дело. И ставил OpenDNS. Но у них идиотская привычка если не достучался до DNS-сервера, то вместо сайта вываливать свою рекламу. Ладно бы только для несуществующих доменов. Так нет, иногда вываливал для работающих, просто видимо от их серверов каналы на DNS-провайдера были слабые. Лучше пользоваться провайдерскими, там и ретрекеры всякие, время отклика минимальное. А если есть проблемы, то проще временно Google использовать 8.8.8.8 и 8.8.4.4.

[timukas]

Год назад в Эстонии налоговый департамент разослал всем местным интернет провайдерам предписание, в котором обязывал при заходе на сайты онлайн-казино (в списке их было пару сотен) перенаправлять клиентов на сайт налогового. Work around нашёлся очень быстро — прописываешь себе ДНС серверами 8.8.8.8 и 8.8.4.4 и можешь дальше играть.

[SlavikF]

Хм, ну если у какого-то правительства появиться желание «поиграться» с подменой DNS, то достаточно будет заблокировать OpenDNS и юзерам будет некуда деваться, кроме как возвращаться к открытому протоколу. Правильно я понимаю?

[iximiuz]

В ответ можно будет просто заблокировать «какое-нибудь» правительство.

[mtp]

Можете попробовать начать с китайского.

[bazilxp]

У них тут DNS часть системы фильтрации интернета, в корень смотрят

[amosk]

Но по крайней мере юзер сразу узнает о факте блокировки и сможет искать альтернативные варианты, зная что вероятнее всего открытому протоколу нельзя доверять.

[VolCh]

>Криптографическая защита DNS-трафика означает фундаментально новый уровень интернет-безопасности.

Защита от атаки подмены DNS? Насколько часто она встречается в реальном мире?

[VenomBlood]

Как и любая другая атака — не встречается до тех пор, пока это кому-нибудь не понадобится.

[Beholder]

Когда понадобится — могут применить и атаку подмены провайдера…

[digest]

Важность DNSCrypt трудно переоценить… означает фундаментально новый уровень интернет-безопасности

Переоценить действительно трудно. Как и вообще дать какую-либо оценку нафига козе баян зачем шифровать DNS трафик. Кому надо взламывать окно и пытаться пролезть через оконную раму, если в доме широко и приглашающе распахнуты все двери?!

[RussianNeuroMancer]

Если не опенсорц, то не интересно — даже на роутер не поставить.

[NickLion]

Интересно, а ссылка на github — не достаточно для того, чтобы определить open source или нет? Я даже туда сходил и заглянул в файлик COPYING, там написано

» Permission to use, copy, modify, and distribute this software for any
» purpose with or without fee is hereby granted, provided that the above
» copyright notice and this permission notice appear in all copies.

и чуть ниже уточнение, что некоторые внешние библиотеки/использованный код — public domain, MIT, BSD.

[RussianNeuroMancer]

Не заметил — сразу промотал к FAQ. Полагал, что подобный вопрос должен был быть освящён в нём.

[AstonMartin]

Осталось написать патч к бинду.

[Cancel]

Не вижу особого смысла в подобных проектах, пока среди массовой публики нет грамотной культуры работы с шифрованными данными и кругами ключей/сертификатов в частности. О какой безопасности может идти речь, если даже в браузере, при работе с SSL/TLS пользователи не сверяют отпечатки ключей сервера с эталонными и слепо полагаются на цепочки авторизационных служб?

[VolCh]

Ладно цепочке, многие (в том числе и я) доверяют самоподписанным сертификатам.

[ilynxy]

Может я чего-то не понимаю в этой схеме?

Окей, DNSCrypt скрыл от внешнего наблюдателя мой запрос к DNS серверу. А следом мой браузер (или какой другой клиент) соединяется используя IP адрес из DNS-ответа (неважно, SSL или нет) — который виден внешнему наблюдателю в заголовках пакетов. И что мы в итоге скрыли? Да собственно ничего особенного. Всё равно видно соединения, не по именам, так по IP адресам.

[dime]

Это не для сокрытия соединения, а для защиты от подмены доменного имени.

[System32]

Я вот только не могу понять, для чего нужно именно шифровать DNS-трафик? Что в нем может быть сверхсекретного? А для защиты от подмены и отравления кэша есть DNSSEC — штатная фича Windows Server 2008 R2.

[karkarramba]

Не врите, в Windows Server 2008 R2 имеется поддержка только rsasha1, в свете того, что корневая зона подписана rsasha256, становится очевидно, что microsoft dns не поддерживает dnssec (то бишь микрософтовский резолвер не сможет выстроить полную цепочку доверия). Вдобавок, если попытаться провалидировать rsasha1 + nsec3 + opt-out, ответом будет servfail, что несколько расходится с написанным на технете.

[imperial]

Так есть же технология DNS SEC, которая позволяет на основе ключей шифровать данные между клиентом и днс сервером, а так же между днс серверами. В этой технологии каждый новый днс сервер должен подписать свой ключ у вышестоящего днс сервера. Это позволяет и шифровать трафик, и защитится от подмены днс зоны.

[karkarramba]

Зачем все это: в DNSSec есть один вопрос, который не могут решить уже давно — защищенность последней мили, то есть трафика от резолвера к клиенту. Все дело в том, что большинство stub-резолверов валидацией не занимаются, поэтому против него можно провести атаку отравления кэша. Вот для предотвращения этой атаки и идут на подобные ухищрения.