1 (edytowany przez Cezary 2018-08-14 12:09:17)

Temat: DNS over ...

Jak zapewne wiecie, zapytania DNS wysyłane są do serwerów zwykłym protokołem. Daje to czasami bardzo złym ludziom pewne metody ataku/dostępu do sieci których zapewne chcielibyśmy uniknąć. Lub po prostu dbamy o własne bezpieczeństwo np. na wakacyjnych podróżach.

Ostatnimi czasy pojawiło się kilka możliwości szyfrowania połączenia. Wszystko chyba zaczynało się się od protokołu DNSCrypt, odpowiedni poradnik znajdziecie pod u mnie na eko.one.pl: OpenWrt - DNSCrypt. Pierwsze serwery dostępne były od OpenDNS, później pojawiły się również następne (obecnie pakiet z wydania stabilnego OpenWrt zawiera definicję ponad 100 serwerów).

Wraz z pojawieniem się DNSów/serwisu http://1.1.1.1 od Cloudflare popularny stał się protokół DNS over TLS czyli po prostu szyfrowanie ruchu do dnsów. Pierwotny poradnik dla OpenWrt na blogu Cloudflare zakładał wyrzucenie dnsmasq i instalację serwera dns o nazwie unbound, który stosowany jest np. TurrisOS. Inny poradnik można znaleźć na także na forum OpenWrt. Dla tych którzy nie chcą pozbywać się dnsmasq powstał kolejny poradnik wykorzystujący program stubby, który współistnieje w systemie razem z dnsmasq, podobnie jak to było w przypadku dnscrypta.

Istnieje kolejna możliwość - wykorzystanie protokołu DNS over HTTPS (opis można także znaleźć w serwisie Cloudflare) wspieranego m.in przez wspomniany Cloudflare oraz Google. W OpenWrt można do tego celu zastosować pakiet https_dns_proxy który doczekał się także testów wydajności.

Coraz więcej mówi się/pisze się o potrzebie zabezpieczania dnsów. Może więc warto spróbować zastosować jedną z metod?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

2

Odp: DNS over ...

Ja tylko dodam, że obecnie jest dnscrypt-proxy v2, który jest nieco bardziej zaawansowaną zabawką niż v1 i on też wspiera DNS-over-HTTPS. Jest tam cała masa różnych dodatków jak np. równoważenie ruchu DNS przesyłając go do różnych serwerów DNS. Jest też zaimplementowana spora część rzeczy z dnsmasq, np. cache DNS, co sprawia, że dnscrypt-proxy jest w stanie wyeliminować dnsmasq, przynajmniej jeśli chodzi o kwestię DNS. Choć z tego co patrzyłem to w repo OpenWRT (dawniej LEDE, dawniej OpenWRT big_smile) to jeszcze tej wersji dnscrypt-proxy nie ma. Na andku i linux'ach (nawet w Debianie) już v2 się pojawiła i działa naprawdę cacy. Pytanie czy i kiedy pojawi się v2 w OpenWRT?

3

Odp: DNS over ...

Ja od kilku miesięcy używam DNSCrypt v1 z OpenDNS i wszystko działa jak należy. Zastanawiam się tylko jaka jest różnica między DNSCrypt a innymi rozwiązaniami wymienionymi przez Cezarego, czy DNSCrypt jest gorszy od nich, mniej bezpieczny?

Jeśli chodzi o brak DNSCrypt v2 w OpenWRT to myślę, że wszystko rozbija się o rozmiar, v2 jest strasznie kobylaste.

Przy okazji mam pytanie, czy da się ustawić DNSCrypt v1 z OpenWRT 18.06 aby używał dnsów Cloudflare (1.1.1.1), na liście nie ma Cloudflare, a w v2 juz jest.

Moja sieć domowa: LTE-A od PLAY -> Huawei B715 + antena ALL-ANT L4G MIMO -> Netgear R7800 (OpenWrt 18.06-SNAPSHOT od Cezarego) -> Netgear S8000 -> 2 x D-Link GO-SW-8G -> Netgear EX7300 -> Netgear WN3100RPv2 -> QNAP TS-251+ (2 x 4TB WD RED, RAID 1) -> APC Back BX700U-FR
Pozdrawiam!

4

Odp: DNS over ...

dnscrypt to po prostu inny protokół.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: DNS over ...

dnscrypt-proxy v2 wspiera protokoły DNSCrypt v1, DNSCrypt v2 i DNS-over-HTTP/2 , także to nie jest już jedynie inny protokół. smile
Tu jest lista serwerów, z którymi on może współpracować: https://dnscrypt.info/public-servers (są tam też i te od Cloudflare)

Co do samego bezpieczeństwa, to nie ma zbytnio różnicy, ruch jest szyfrowany i tu i tu. Jedyna różnica to chyba tylko taka, że ten DNS-over-HTTP/2 jest/będzie oficjalnym standard, a DNSCrypt to taki bardziej wynalazek był, by zaradzić temu że ruch DNS nie był szyfrowany, ale to nigdy nie był standard, po prostu organizacje jak OpenDNS wspierały go lub nie. Tam jeszcze jakieś różnice są w samych protokołach były ale nie pamiętam dokładnie co. big_smile

Co do samego rozmiaru, to dnscrypt-proxy v2 może robić w zasadzie to co robi dnsmasq w kwestii DNS, może też działać równolegle z nim (np. cache DNS można włączyć w dnsmasq i wyłączyć w dnscrypt albo odwrotnie, itp). Można też zupełnie z dnsmasq zrezygnować i używać innego demona od DHCP w połaczeniu z dnscrypt v2 i też będzie działać bez problemu. U mnie andek i debian już na dnscrypt v2 działają od jakiegoś czasu, przydałoby się i w OpenWRT to wrzucić. :]

6

Odp: DNS over ...

morfik napisał/a:

dnscrypt-proxy v2 wspiera protokoły DNSCrypt v1, DNSCrypt v2 i DNS-over-HTTP/2 , także to nie jest już jedynie inny protokół. smile
Tu jest lista serwerów, z którymi on może współpracować: https://dnscrypt.info/public-servers (są tam też i te od Cloudflare)

Zgadza się, ale to jest lista serwerów dns dla v2. Z tego co widzę, to w v1 nie ma Cloudflare, a przynajmniej w wersji, która znajduje się w OpenWrt.

Moja sieć domowa: LTE-A od PLAY -> Huawei B715 + antena ALL-ANT L4G MIMO -> Netgear R7800 (OpenWrt 18.06-SNAPSHOT od Cezarego) -> Netgear S8000 -> 2 x D-Link GO-SW-8G -> Netgear EX7300 -> Netgear WN3100RPv2 -> QNAP TS-251+ (2 x 4TB WD RED, RAID 1) -> APC Back BX700U-FR
Pozdrawiam!

7

Odp: DNS over ...

DNSCrypt-Proxy v2 po kompresji to ok. 1,6 MB.
Sam używam i działa bezbłędnie.

8

Odp: DNS over ...

andrzej.k napisał/a:
morfik napisał/a:

dnscrypt-proxy v2 wspiera protokoły DNSCrypt v1, DNSCrypt v2 i DNS-over-HTTP/2 , także to nie jest już jedynie inny protokół. smile
Tu jest lista serwerów, z którymi on może współpracować: https://dnscrypt.info/public-servers (są tam też i te od Cloudflare)

Zgadza się, ale to jest lista serwerów dns dla v2. Z tego co widzę, to w v1 nie ma Cloudflare, a przynajmniej w wersji, która znajduje się w OpenWrt.


No tak, bo v1 jest już martwe i nierozwijane. Dlatego pozostaje jedynie opcja v2.

9

Odp: DNS over ...

Ten artykuł ma to wszystko ciekawie opisane.
https://arstechnica.com/information-tec … ypted-dns/

Według autora na ten moment DNSCrypt-Proxy v2 ma najlepszą implementację DNS-over-HTTPS. Oferuje ona po prostu na ten moment lepszą wydajność niż konkurencyjne rozwiązanie DNS-over-TLS. Osobiście używam DNSCrypt-Proxy v2, bo oferuje load-balancing między serverami i automatycznie wybiera ten najlepszy a dodatkowo posiada własny Cache DNS.