Comments 29
Всё упирается в надёжность частных ключей для серверов DNS, получается?
> маленькую утилиту, которую должен установить каждый
> (пока только под Mac)
Вывод из топика: каждый должен установить МакОС :-)
> (пока только под Mac)
Вывод из топика: каждый должен установить МакОС :-)
Не совсем так. По первой ссылке на гитхаб:
>The daemon is known to work on recent versions of OSX, OpenBSD, NetBSD, Dragonfly BSD, FreeBSD and Linux.
Так что сервер можно установить на любой роутер и использовать так же как bind.
>The daemon is known to work on recent versions of OSX, OpenBSD, NetBSD, Dragonfly BSD, FreeBSD and Linux.
Так что сервер можно установить на любой роутер и использовать так же как bind.
Приятная новость. Стоит попробовать поставить. OpenDNSы прописаны уже больше года — работают куда надежней провайдерских.
У нас тоже было дело. И ставил OpenDNS. Но у них идиотская привычка если не достучался до DNS-сервера, то вместо сайта вываливать свою рекламу. Ладно бы только для несуществующих доменов. Так нет, иногда вываливал для работающих, просто видимо от их серверов каналы на DNS-провайдера были слабые. Лучше пользоваться провайдерскими, там и ретрекеры всякие, время отклика минимальное. А если есть проблемы, то проще временно Google использовать 8.8.8.8 и 8.8.4.4.
Год назад в Эстонии налоговый департамент разослал всем местным интернет провайдерам предписание, в котором обязывал при заходе на сайты онлайн-казино (в списке их было пару сотен) перенаправлять клиентов на сайт налогового. Work around нашёлся очень быстро — прописываешь себе ДНС серверами 8.8.8.8 и 8.8.4.4 и можешь дальше играть.
Хм, ну если у какого-то правительства появиться желание «поиграться» с подменой DNS, то достаточно будет заблокировать OpenDNS и юзерам будет некуда деваться, кроме как возвращаться к открытому протоколу. Правильно я понимаю?
>Криптографическая защита DNS-трафика означает фундаментально новый уровень интернет-безопасности.
Защита от атаки подмены DNS? Насколько часто она встречается в реальном мире?
Защита от атаки подмены DNS? Насколько часто она встречается в реальном мире?
Важность DNSCrypt трудно переоценить… означает фундаментально новый уровень интернет-безопасности
Переоценить действительно трудно. Как и вообще дать какую-либо оценкунафига козе баян зачем шифровать DNS трафик. Кому надо взламывать окно и пытаться пролезть через оконную раму, если в доме широко и приглашающе распахнуты все двери?!
Переоценить действительно трудно. Как и вообще дать какую-либо оценку
Если не опенсорц, то не интересно — даже на роутер не поставить.
Интересно, а ссылка на github — не достаточно для того, чтобы определить open source или нет? Я даже туда сходил и заглянул в файлик COPYING, там написано
» Permission to use, copy, modify, and distribute this software for any
» purpose with or without fee is hereby granted, provided that the above
» copyright notice and this permission notice appear in all copies.
и чуть ниже уточнение, что некоторые внешние библиотеки/использованный код — public domain, MIT, BSD.
» Permission to use, copy, modify, and distribute this software for any
» purpose with or without fee is hereby granted, provided that the above
» copyright notice and this permission notice appear in all copies.
и чуть ниже уточнение, что некоторые внешние библиотеки/использованный код — public domain, MIT, BSD.
Осталось написать патч к бинду.
Не вижу особого смысла в подобных проектах, пока среди массовой публики нет грамотной культуры работы с шифрованными данными и кругами ключей/сертификатов в частности. О какой безопасности может идти речь, если даже в браузере, при работе с SSL/TLS пользователи не сверяют отпечатки ключей сервера с эталонными и слепо полагаются на цепочки авторизационных служб?
Может я чего-то не понимаю в этой схеме?
Окей, DNSCrypt скрыл от внешнего наблюдателя мой запрос к DNS серверу. А следом мой браузер (или какой другой клиент) соединяется используя IP адрес из DNS-ответа (неважно, SSL или нет) — который виден внешнему наблюдателю в заголовках пакетов. И что мы в итоге скрыли? Да собственно ничего особенного. Всё равно видно соединения, не по именам, так по IP адресам.
Окей, DNSCrypt скрыл от внешнего наблюдателя мой запрос к DNS серверу. А следом мой браузер (или какой другой клиент) соединяется используя IP адрес из DNS-ответа (неважно, SSL или нет) — который виден внешнему наблюдателю в заголовках пакетов. И что мы в итоге скрыли? Да собственно ничего особенного. Всё равно видно соединения, не по именам, так по IP адресам.
Я вот только не могу понять, для чего нужно именно шифровать DNS-трафик? Что в нем может быть сверхсекретного? А для защиты от подмены и отравления кэша есть DNSSEC — штатная фича Windows Server 2008 R2.
Не врите, в Windows Server 2008 R2 имеется поддержка только rsasha1, в свете того, что корневая зона подписана rsasha256, становится очевидно, что microsoft dns не поддерживает dnssec (то бишь микрософтовский резолвер не сможет выстроить полную цепочку доверия). Вдобавок, если попытаться провалидировать rsasha1 + nsec3 + opt-out, ответом будет servfail, что несколько расходится с написанным на технете.
Так есть же технология DNS SEC, которая позволяет на основе ключей шифровать данные между клиентом и днс сервером, а так же между днс серверами. В этой технологии каждый новый днс сервер должен подписать свой ключ у вышестоящего днс сервера. Это позволяет и шифровать трафик, и защитится от подмены днс зоны.
Зачем все это: в DNSSec есть один вопрос, который не могут решить уже давно — защищенность последней мили, то есть трафика от резолвера к клиенту. Все дело в том, что большинство stub-резолверов валидацией не занимаются, поэтому против него можно провести атаку отравления кэша. Вот для предотвращения этой атаки и идут на подобные ухищрения.
Sign up to leave a comment.
Криптографическая защита DNS-трафика