DNS Over TLS & Over HTTPS теперь и на iOS/Android и для всех сетей сразу [Спасибо Cloudflare]



    DNS Over TLS & Over HTTPS (Далее DOT & DOH) — пожалуй именно те технологии которые кардинально повышают приватность и безопасность в Интернете. Есть еще Encrypted SNI, но для её использования нужны DOH и DOT

    Обращаю внимание, само приложение — очень UserFriendly даже без глубоких знаний технологий настоятельно рекомендуется ознакомится с ним.


    Краткая справка: DNS — система получения IP адреса, фундаментальная часть интернета, которая используется каждый раз при веб браузинге. Открывая тот или иной ресурс, вы сообщаете своему оператору связи куда вы зашли, причем даже если вы поменяете DNS на другой (8.8.8.8 от Google например) — это вам не поможет, из-за отсутствия шифрования в протоколе, что позволяет производить подмену и перенаправление трафика не целевой сервер (фактически атака MITM).

    Совсем недавно основной проблемой безопасности в сети был HTTP, но, спасибо Google & LetsEncrypt — она практически решена — теперь что конкретно вы смотрите на сайте — теперь неизвестно провайдеру, осталось только две проблемы:

    1. DNS Leak: Это та самая проблема которая может быть решена используя DOH & DOT
    2. Domain SNI Leak — проблема раскрытия SNI возникает при установке HTTPS соединения с сайтом, однако, перед началом зашифрованной передачи — браузер в открытом виде передаёт доменное имя сайта для соединение серверу, стандарт eSNI решит эту проблему, но это следующий шаг



    Некоторое время назад, на Habr были опубликованы статьи: (рекомендую ознакомиться):

    1. Google Public DNS тихо включили поддержку DNS over TLS
    2. Встречаем сервис от Cloudflare на адресах 1.1.1.1 и 1.0.0.1, или «полку публичных DNS прибыло!»

    И казалось бы, счастье уже близко, две крупные компании решили реализовать новые протоколы и вот-вот поддержка доберётся до конечных пользователей. (Особенно в случае с Chrome)

    Но по непонятной причине, поддержка DOT & DOH сейчас есть только в «ночных» сборках Firefox, не говоря уже о системном уровне Android & iOS.

    Однако, спасибо CloudFlare, который решил воспользоватся медлительностью Google, и выпустил приложение для iOS & Android

    Приложение очень простое, в случае с iOS работа осуществляется через установку профиля VPN
    Не путать с настоящим VPN! После установки профиля — фактически будет установлен VPN к самому себе (на 127.0.0.1) и DNS запросы будут отправлены в CloudFlare через DOT & DOH, трафик же пойдет по обычному маршруту.



    Что приятно, в приложение есть возможность настроить режим DNS Over TLS или DNS Over HTTPS. по умолчнию используется последний вариант.


    Отмечу еще раз, появление иконки VPN не говорит об использовании «VPN» в привычном смысле этого слова, убедится вы сможете зайдя на любой определитель IP, например 2ip.ru

    И еще, в случае смены DNS в настройках сети — при переходе от WiFi к WiFi вам нужно каждый раз менять настройки, не говоря уже о DNS для сети оператора связи, редактировать этот параметр иногда вообще невозможно.

    В случае с приложением — для любых сосединений будет автоматическим использован DOH / DOT от CloudFlare.
    Поделиться публикацией
    Комментарии 75
      +3
      Неудобно это все. Ждем пока Гугл разродится. За ним все быстро подтянутся.

      И еще, в случае смены DNS в настройках сети — при переходе от WiFi к WiFi вам нужно каждый раз менять настройки, не говоря уже о DNS для сети оператора связи, редактировать этот параметр иногда вообще невозможно.

      Вот эту часть бабушке объяснить вообще невозможно.
        0
        так для этого и сделали приложение =) кстати от гугла нашел аналог, но согласен надо ждать нативной, системной поддержки в iOS/Android и Chrome
          0
          Аналог — это не Intra от Jigsaw случайно?
            0
            он самый
        0
        в 9 ведре DOH есть и так
          –4

          Удобно, зачем NSA связываться с местными провайдерами или перехватывать трафик. Приходишь к cloudflare и спрашиваешь кто там в последнее время заходил на сайт example.com.

            –3
            это делается не ради nsa, а для защиты монополии на браузерную историю пользователей.
              +1
              Почему? Кто вам мешает сделать свой личный DOH сервер?
              Основной плюс — конфиденциальность и защита от MITM + подготовка к eSNI.

              В конечном итоге транспорт (провайдеры) будут видеть только IP + порт и шифрованную HTTPS трубу, в которой неизвестно что летит, а при TLS 1.3 все совсем хорошо — там и Perfect Forward Security есть.
                0
                «личный» никого не волнует. Волнует, чтобы провайдеры не имели доступа к поисковыми запросам и посещенным страницам своих пользователей. Сейчас эта информация почти полностью у Гугла и больше взять ее негде.

                Но раньше такую информацию продавали и некоторые крупные провайдеры, продавали тем же клиентам, по сути. Гуглу такая «альтернатива» не нравилась, отсюда и повальное внедрение https везде где можно. Гугл просто перекрыл доступ к данным поиска и посещений для всех, кроме себя.

                Единичные пользователи никому не интересны, важно было перекрыть именно массовый сбор данных.
                  0
                  А в чем проблема? Раньше доступ имели все, сейчас только Google (ну не только он)

                  Однако — раньше нельзя было никак себя обезопасить от доступа истории браунинга, сейчас — масса методов в 1 клик.

                  Чем меньше сторон имеет доступ к данным — тем лучше.
                    0
                    Именно себя можно было обезопасить очень давно, vpn называется (и другие туннели).

                    Я к тому, что не стоит думать, что Гугл этими инициативами заботится о вашей приватности. У Cloudflare тоже свои виды на этот счет.
                      0
                      VPN — не массовый метод, а вот DNS — вполне. Отказаться от слежки гуглом — можно, а вот от слежки провайдером — нет. (Это я о сравнении http vs https и DNS vs DOH)
                        0
                        Как вы откажетесь от слежки Гуглом?
                        Как раз vpn помогает против слежки провайдером. Чтобы решить вопрос для себя. От Гугла так просто не спрячешься…
                          0
                          Чойто? Chromium + любой другой DNS.

                          Опять же подчёркиваю, VPN не массовый метод.
                            0
                            Гугл вас отслеживает десятками способов. Так что одним лишь Хромиумом не обойтись, надо использовать какой-то приватный режим с сохранением кук только от вручную прописанных сайтов. И вообще не заходить ни в один из сервисов Гугла. Тогда, возможно, он о вас и не узнает.
                              +1
                              Трекинг от Google на мой взгляд более безопасен, чем со стороны провайдера и всей цепочки узлов между сайтом и вами.
                                0
                                А какая разница, кто будет продавать ваши профили — провайдер или гугл?
                                  +5
                                  Гугл очень большой и далеко. Если Гугл станет продавать (или у него утечет) персональную инфу плохо станет большинству людей в мире. От российского товарища майора Гугл может защищаться долгими переписками и судами.
                                  На не российских товарищей майоров плевать, они меня в тюрьму не посадят.

                                  А провайдер мелкий и рядом. Защиты от товарища майора у провайдера нет. Он обязан ему все отдать по первому свистку. Лицензию терять провайдеру не хочется.
                                  От продажи или утечки инфы у любого провайдера пострадают только его клиенты, что в мировом масштабе мелочи. Не хочется быть в пострадавшей группе.
                                    0
                                    Согласен на 100%, но с другой стороны, пока не введены белые списки, самого себя от слежки провайдером можно обезопасить с помощью туннеля.
                                    А от Гугла это будет не так просто сделать. И при необычайном стечении обстоятельств, он таки передаст нужные данные «вашим» спец. службам (или заинтересует ими своих). Правда, для этого надо реально очень серьезно нарушить закон и тут и там.
                                      0
                                      Технологии подошли к тому что эта защита будет автоматической для всех. Точно так же как шифрование всего http стало автоматическим для всех. Делать ничего не надо. Надо просто установить обновления.

                                      Мы говорим про обычных людей. Понятно что международных наркобаронов такая защита не устроит. Но об их защите я беспокоиться не хочу.
                                      –3
                                      И за что же вас сажать в тюрьму? И, самое главное, зачем?
                                        +2
                                        если вы не толсто троллите, то откройте для себя чудный ментовской конвейер посадок за мемасики. погуглите правоприменительную практику по 282-й статье (возбуждение ненависти и вражды), и 354.1 (реабилитация нацизма), и 148 (оскорбление чувств верующих), и 280.1 (призывы к сепаратизму)
                                          –1
                                          Всегда любил аргументы в стиле «ты неправ, а почему — сам погугли».
                                            0
                                            извините, если вам так показалось, но просто 282 статья и посадки за репосты по ней — это такой жупел, не знать о котором… странно. Поэтому ваш вопрос для многих похож на троллинг. Я не уверен, что мне хочется на полном серьезе объяснять, почему солнышко встает на востоке и садится на западе, это как бы common knowledge.
                                              0
                                              Когда-то и плоская Земля была common knowledge, это вообще не аргумент.

                                              С другой стороны, мы сейчас не обсуждаем ситуацию, когда человек целенаправленно совершает что-то противозаконное — в таком случае пускать лучи ненависти в сторону майора и считать себя правым — такой себе зашквар.

                                              Разговор же шел за то, что майор, якобы, наснифает трафик законопослушного гражданина и посадит в тюрьму. При этом обоснованием, за что именно посадит и зачем майору это делать, ув. BugM решил не заморачиваться, равно как и примерами подобных ситуаций, видимо, так же считая, что это как бы common knowledge и доказательств не требует, поскольку (непонятно только почему) само собой разумеющееся.
                                                0
                                                Глупо гордиться своим невежеством.
                                                  0
                                                  Не глупее, чем считать ГТР пруфом для всего.
                                          +2
                                          Есть такая штука, называется «показатели». Когда нет реальных преступлений, будут сажать за репосты чего-то там, потому что план выполнить нужно. Да и по самой статье, которая «за репосты» тоже план есть и его нужно делать.

                                          Поинтересуйтесь, как считается эффективность работы силовых структур на постсовке. За что им дают премии и выговоры.
                                            –1
                                            Какое отношение репосты имеют к провайдерам?
                                              0
                                              Вы это серьезно спрашиваете? Анализ открытого трафика на уровне провайдера сразу даст и информацию о факте «экстремистской» деятельности (даже самый банальный анализ по ключевым словам) и доказательную базу (нужно будешь лишь официальный ответ от провайдера о том, к кому относится данный трафик).

                                              Материалов можно будет набрать на сотни уголовных дел, открывать которые будут по мере надобности согласно плану. И сразу доступна финансовая информация, если были какие-то платежи (сразу понятно, в какие банки отправлять запросы и что арестовывать) и история переписки (ее уже можно читать людям по конкретному человеку и попытаться найти чем бы еще поживиться, раз уже привлекают)

                                              Сейчас беднягам нужно лазить по вконтактикам самостоятельно, делать запросы, а на некоторые могут и не ответить, если расследование ведет какой-то далекий провинциальный отдел и т.д. Это резко сокращает количество «раскрываемых» дел за период да и повышает вероятность сопротивления со стороны «преступника».
                                                0
                                                Т.е. с реальными уголовными делами «поснифали трафик — посадили» вы не знакомы, но твердо уверены.
                                                  0
                                                  Пожалуй, на этом стоит закончить. Потрудитесь прочитать тред с начала, пожалуйста.
                                                    –2
                                                    Нет уж, потрудитесь объясниться, сколько материала было собрано, сколько уголовных дел на основании снифа было заведено.
                                                      0
                                                      Вы правда думаете, что кто-то в интернетах вам обязан какую-то аналитику собирать, отчетики готовить? «Потрудитесь объясниться», че, серьезно?
                                                      Если вами правда движет интерес, а не желание до%№ться до столба, то почитайте, например, о деле Дмитрия Богатова. Эталонный пример того, как работает схема «вычислим тебя по айпи» и сколько усилий невиновному человеку стоит доказать, что он не верблюд.
                                                        –1
                                                        Не, ну, конечно, можно ничего не показывать, но тогда не удивляйтесь, когда на вас показывают пальцем, крутят пальцем у виска и хихикают.

                                                        И какое отношение дело Богатова имеет к «Анализ открытого трафика на уровне провайдера» и «Материалов можно будет набрать на сотни уголовных дел»? В огороде бузина, в Киеве дядька.
                                              0
                                              Да даже когда есть реальные преступления, надо проводить настоящее расследование, виновный может быть грамотным в правовых вопросах, иметь адвоката, с ним надо возиться и морочиться, и, в целом, без гарантии результата. А репостики вот они, под своими именами в дружелюбном Вконтакте.

                                              Правда защита трафика тут вот прямо совсем не поможет.
                                                –1
                                                >Правда защита трафика тут вот прямо совсем не поможет.

                                                Об этом и речь. Шифрование трафика и днс от провайдера не имеет вообще никакого смысла, потому что нет ни одного уголовного дела, заведенного по принципу «поснифали трафик — посадили».

                                                Ну знает провайдер, что я почитываю хабру и новостники, ну видит, что я пишу комментарии — мне от этого ни холодно, ни жарко. Я бы еще понял, если бы люди переживали за приватность, если бы людям не нравилась идея заработка провайдерами на бигдате, но играться в неуловимого Джо и всерьез верить, что майор хочет всех пересажать при том, что нет ни одного уголовного дела, сляпанного на снифе — это уже попахивает ГТР и шизой.
                                                  0
                                                  Опять тёплое с мягким смешали, защита DNS — важный шаг к обфускации Интернета, после запуска eSNI банить неугодные ресурсы можно будет только по IP, сейчас же ещё можно по домену при наличии DPI.

                                                  Повышение цены атаки — это хорошо. В конечном итоге будет выбор — сломать пол Интернета или ничего не делать.
                                                    –2
                                                    Вот уж никогда бы не подумал, что цп, наркосайты и прочая чернуха, коей 99.999% выгрузки, можно назвать «неугодными ресурсами», подразумевая, что власть их блокирует исключительно из страха, что люди посмотрят цп, обнюхаются спидов и устроят революцию.
                                                      0
                                                      я не вижу смысла продолжать с вами диалог
                                                        –1
                                                        Какая жалость.
                                0
                                Где VPN не массовый? Практически все «жопоприкрыватели» для смартов — работают через VPN. Если чел ваяет свой — то он, как правило, тоже будет через VPN, в силу того, что проще всего настроить и пользоваться.
                                  0
                                  Массовое использование — это на уровне браузера или OS.
                                    0
                                    Массово, все кто хотят «сменить страну» — качают всякие VPN-проги из гуглопея или тунца. Тех, кто настраивает VPN через систему, вбивая адрес и прочие параметры руками — минимум, как правило это те, у кого есть свой сервер. Обычный пользователь скачает готовую прогу.

                                    На десктопах — всякие расширения для браузеров, это тоже, чаще всего — VPN.
                                      0
                                      Массовое — на уровне браузера автоматически, стандарты типа DOH будут использованы для всей базы браузеров. Никаких настроек не потребуется.
                                        0
                                        Пока, автоматическое на уровне браузера есть только в Опере — там VPN :)
                                          0
                                          Ниже ответили — в Firefox уже есть.
                                            0
                                            Ветка началась именно с этого:
                                            Именно себя можно было обезопасить очень давно, vpn называется
                                            Вопрос шире, чем DNS.
                                              0
                                              DNS + eSNI даст дополнительную защиту от MITM, это не замена VPN. Но хороший вектор развития.
                                                0
                                                С этим я не спорю
                    0
                    Но по непонятной причине, поддержка DOT & DOH сейчас есть только в «ночных» сборках Firefox
                    Это не так, она есть в релизе 63. В настройках сети.
                      0
                      Firefox? Wikipedia об этом не знает, если это так — предлагаю дополнить статью там.
                      PS: по нормальному конечного должен быть режим «по умолчанию» для массового использования.
                        0
                        Подтверждаю:
                        image
                        Firefox Quatum 63.0 (64-бит)
                          0
                          Firefox 63.0.1 (64-бит) DOH точно есть (Настройки-Основные-Параметры сети). Вроде работает.
                            0
                            Википедия лишь отражает то, что пишут в авторитетных источниках. Если никто авторитетный не написал про использование DoH в Firefox, то и в Википедии этого не будет.
                          +1
                          На андроиде также через профиль VPN работает. Фигня. У меня стоит файрвол работающий через VPN, рекламу режет. Как мне их совместить? Никак, либо одно, либо другое. А ещё иногда надо к корпоративному VPN цепляться для доступа к локалке. А всё сразу не включить. Костыли вобщем.
                            0
                            Ну так есть же AdGuard, который и рекламу режет и DNS over Whatever поддерживает.
                              0
                              Вы настроили vpn просто, чтобы резать через него рекламу?
                                0
                                Нет. У меня AdGuard. Но я не знал что он может DNS over что-то там. А рекламу режет отлично.
                                  0
                                  Десктопный adguard и без всяких vpn весь https трафик по-умолчанию расшифровывает и вполне может сообщать о нем куда надо. Лишние телодвижения касательно приватности вам вряд ли нужны)
                                    0
                                    «Куда надо».., это врядли адреса моих провайдеров, а это уже не плохо.
                                      0
                                      Есть гораздо более плохие адреса. Но так как это уже обсуждается выше, то повторяться не буду.

                                      habr.com/post/429648/#comment_19360828
                                  0
                                  В Android нельзя сделать банальные сетевые вещи, вроде настройки DNS-серверов для мобильного соединения, и просто так устанавливать свои правила iptables для совершения перенаправления на локальный прокси-сервер, вырезающий рекламу, или поднимать полноценный VPN, как вы бы это сделали в полноценной компьютерной ОС, поэтому используют мега-костыль: поднимают как бы локальный VPN через специальное API, чтобы весь трафик на уровне пакетов перенаправлялся в локальную программу, в программу встроен userspace TCP/IP-стек для восстановления пакетов до уровня соединений, далее (в случае программы для замены DNS) программа отслеживает попытки соединения на порт 53 через UDP или TCP и перенаправляет его на внутренний обработчик DNS, а все остальные соединения вручную выполняет заново (создает сокет, подключается, пересылает данные).
                                0
                                А в Android 9 это можно включить и без дополнительного приложения
                                Enable Private DNS with 1.1.1.1 on Android 9 Pie
                                blog.cloudflare.com/enable-private-dns-with-1-1-1-1-on-android-9-pie
                                  0

                                  А в чем смысл шифровать DNS, кроме как, защиты от подмены ответа? Провайдер же все равно знает IP соединения и, может по нему восстановить основную часть домена для более-менее крупных сайтов?

                                    0
                                    Как? Все используют CDN в случае с Google за IP может быть как облако Гугл, так и поиск или Youtube.
                                      0
                                      В случае, когда на одном адресе сидит несколько доменов, провайдер может заглянуть в SNI (если у него есть соответствующее оборудование). SNI не шифруется (в отличие от eSNI).
                                        0
                                        Так я и говорю что надо eSNI, только для него вначале нужен безопасный DNS
                                    –1
                                    Все эт хорошо, но есть один недостаток. При использовании буржуйских ДНС серверов контент начинает идти из далека. Долго думал почему у меня обновления для iPhone так долго качаются. Потом выяснил, что все дело в 8.8.8.8
                                      +1
                                      Это проблема вашего провайдера и тонкого канала до зарубежного сегмента :)
                                        0
                                        Это проблема всей страны…
                                          0
                                          Зря вы так, Youtube часто намного лучше работает при использовании оригинальных серверов, заместо провайдерского GGC. Об этом есть пару статей на хабре.
                                        0

                                        У меня время от времени сайт гугла был недоступен, я на провайдера грешил, пока не отказался от DNS 8.8.8.8 — с тех пор ни единого разрыва.

                                          0
                                          Скорее всего ваш провайдер подменяет или дропает пакеты до DNS от Google :)
                                          0
                                          Да, поднимал у себя на роутере DNS over TLS через CloudFlare, до них пинг 50мс. Ощутимо замедляет.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое