Безопасный dns: Page not found | Студия развития бизнеса "Digital Life"

Содержание

Яндекс.DNS

Технические подробности

Яндекс.DNS — это бесплатный рекурсивный DNS-сервис. Сервера Яндекс.DNS находятся в России, странах СНГ и Западной Европе. Запросы пользователя обрабатывает ближайший дата-центр, что обеспечивает высокую скорость соединения.

		Базовый	Безопасный	Семейный
IPv4	Preferred DNS	77.88.8.8	77.88.8.88	77.88.8.7
IPv4	Alternate DNS	77.88.8.1	77.88.8.2	77.88.8.3
IPv6	Preferred DNS	2a02:6b8::feed:0ff	2a02:6b8::feed:bad	2a02:6b8::feed:a11
IPv6	Alternate DNS	2a02:6b8:0:1::feed:0ff	2a02:6b8:0:1::feed:bad	2a02:6b8:0:1::feed:a11

Скорость работы Яндекс. DNS во всех трёх режимах одинакова. В «Базовом» режиме не предусмотрена какая-либо фильтрация трафика. В «Безопасном» режиме обеспечивается защита от заражённых и мошеннических сайтов. «Семейный» режим включает защиту от опасных сайтов и блокировку сайтов для взрослых.

Защита от заражённых сайтов

Яндекс ежедневно проверяет десятки миллионов страниц на наличие вредоносного кода, выявляя тысячи зараженных сайтов. Для этого применяются сигнатурная технология Sophos и собственный антивирус Яндекса, построенный на анализе поведения исследуемых сайтов. При обнаружении подозрительной активности страница отмечается как опасная, а вредоносный код добавляется в базу вирусных сигнатур. Данные о заражённых сайтах обновляются несколько раз в сутки.

Защита от мошеннических сайтов

Яндекс также выявляет сайты, обладающие признаками мошеннических. К ним относятся, например, страницы, созданные с целью выманить номер телефона пользователя или вынуждающие его отправить сообщение на короткий номер, потеряв деньги. В «Безопасном» и «Семейном» режимах, Яндекс.DNS блокирует такие сайты — при попытке зайти на них, пользователь увидит предупреждение.

Защита от ботнетов

Попавший в ботнет заражённый компьютер обычно управляется централизованно, через специальный C&C-сервер (от англ. command-and-control — «командование и контроль»). Адрес управляющего сервера меняется динамически, чтобы затруднить его обнаружение и блокировку. Поэтому боту на заражённом компьютере известно только доменное имя сервера — IP-адрес он запрашивает с помощью системного DNS. Яндекс.DNS в «Безопасном» и «Семейном» режимах блокирует запросы IP-адресов всех известных C&C-серверов. Из-за этого программа-бот вынуждена бездействовать, а злоумышленник теряет удалённый доступ к компьютеру пользователя. Постоянно обновляемый список ботнетов и управляющих серверов Яндекс получает от системы Virus Tracker.

Блокировка сайтов для взрослых

Алгоритмы Яндекса умеют определять эротический и порнографический контент в проиндексированных страницах. Анализируется как текст и картинки в документе, так и другие факторы — например, ссылочное окружение. Данные о сайтах с такими страницами обновляются 2-3 раза в неделю.

Блокировка рекламы для взрослых

В «Семейном» режиме Яндекс.DNS блокируется реклама эротического и порнографического характера на всех сайтах. Для хоста такой рекламной сети запрещается получение правильного IP-адреса, поэтому сами объявления и баннеры не могут быть загружены.

Яндекс.DNS в роутере

Яндекс.DNS доступен в роутерах Asus, D-Link, TP-Link и ZyXEL. Для популярных моделей этих производителей выпущены специальные версии прошивки с интегрированным Яндекс.DNS.

Особенности Яндекс.DNS в роутере:

Возможность в один клик выставить режим по умолчанию, в том числе для вновь подключаемых устройств.
Для каждого устройства можно выбрать свой режим Яндекс.DNS. Устройства идентифицируются по MAC-адресу.
В «Безопасном» и «Семейном» режимах все запросы к другим DNS-сервисам обрабатывает Яндекс. DNS.

Что такое Яндекс.DNS — Яндекс.DNS. Справка

Быстрый и надежный DNS Дата-центры Яндекс.DNS находятся в России, странах СНГ и Западной Европе. Запросы пользователя обрабатывает ближайший дата-центр, что обеспечивает высокую скорость соединения.
Защита от зараженных сайтов Яндекс ежедневно проверяет десятки миллионов страниц на наличие вредоносного кода. Для этого применяются сигнатурная технология Sophos и собственный антивирус Яндекса. При обнаружении подозрительной активности страница отмечается как опасная, а вредоносный код добавляется в базу вирусных сигнатур. Данные о зараженных сайтах обновляются несколько раз в сутки.
Защита от мошеннических сайтов Яндекс выявляет сайты, обладающие признаками мошеннических. К ним относятся, например, страницы, созданные с целью узнать у пользователя номер его телефона или предлагающие отправлять SMS-сообщения, из-за которых со счета списываются крупные суммы денег. Яндекс.DNS блокирует такие сайты — при попытке зайти на них, пользователь увидит предупреждение.
Защита от ботов Бот — это автономная вредоносная программа, которая ставится на компьютер и позволяет удаленно управлять им по сети без ведома хозяина. Зараженный ботом компьютер обычно управляется через специальный C&C-сервер (от англ. command-and-control — «командование и контроль»). Адрес управляющего сервера меняется динамически, чтобы затруднить его обнаружение и блокировку. Поэтому боту на зараженном компьютере известно только доменное имя сервера — IP-адрес он запрашивает с помощью системного DNS. Яндекс.DNS блокирует запросы IP-адресов всех известных C&C-серверов. Из-за этого бот вынужден бездействовать, а злоумышленник теряет удаленный доступ к компьютеру пользователя. Постоянно обновляемый список управляющих серверов Яндекс получает от системы Virus Tracker.
Блокировка сайтов и рекламы для взрослых Алгоритмы Яндекса позволяют определять эротический и порнографический контент Интернет-страниц. Анализируется как текст и картинки в документе, так и другие, косвенные, факторы — например, ссылочное окружение. Если сайт был признан «ресурсом для взрослых», Яндекс.DNS блокирует его. Сайт нельзя будет не только открыть в браузере, но и увидеть его в рекламных блоках на других сайтах. Для хоста такой рекламной сети запрещается получение правильного IP-адреса, поэтому объявления и баннеры не могут быть загружены. Данные о «ресурсах для взрослых» обновляются 2-3 раза в неделю.
Семейный поиск Яндекса Данный режим поиска позволяет полностью исключать из поисковой выдачи контент для взрослых, а также сайты, содержащие нецензурную лексику.

Яндекс.DNS

Настройка в маршрутизаторах D-Link

Разработчики российского R&D-подразделения компании D-Link сделали использование сервиса контентной фильтрации Яндекс.DNS максимально простым и доступным пользователю любого уровня. Адреса DNS-серверов Яндекса уже заданы в программном обеспечении маршрутизаторов, и пользователю не нужно выполнять сложные манипуляции по настройке DNS. Вы сможете задать единый режим фильтрации сразу для всех клиентов домашней сети или назначить персональный режим каждому устройству, например, выбрать детский режим для ноутбука, с которым работает ребенок. Изменить настройки Яндекс.DNS может только пользователь, у которого есть пароль для доступа к маршрутизатору.

В настоящее время поддержка Яндекс.DNS реализована в следующих моделях маршрутизаторов D-Link:

DIR-320/A/D1A: начиная с версии ПО 2.5.15,
DIR-620/A/E1A: начиная с версии ПО 2.5.11,
DIR-620/D/F1A: начиная с версии ПО 2.5.15,
DIR-815/A/C1A: начиная с версии ПО 2.5.16,
DIR-825/A/D1A: начиная с версии ПО 2.5.31,
DIR-825/AC/E1A: начиная с версии ПО 2.5.23,
DSL-2640U/RA/U1A: начиная с версии ПО 2.5.2,
DSL-2650U/RA/U1A: начиная с версии ПО 2.5.1,
DSL-2740U/RA/U1A: начиная с версии ПО 2.5.1,
DSL-2750U/RA/U2A: начиная с версии ПО 2.5.1.

Полный список устройств с поддержкой Яндекс.DNS доступен на официальном сайте компании D-Link.

Как настроить Яндекс.DNS?

Обратитесь к Web-интерфейсу маршрутизатора:
— если у вас маршрутизатор линейки DIR, в адресной строке введите 192.168.0.1 ( IP-адрес, заданный по умолчанию) или http://dlink-router и нажмите клавишу Enter.
— если у вас маршрутизатор линейки DSL, в адресной строке введите адрес 192.168.1.1 и нажмите клавишу Enter.
Введите имя пользователя и пароль.
Убедитесь, что у вас установлена последняя версия программного обеспечения (ПО). При необходимости обновите прошивку. Узнать подробнее про обновление ПО можно на официальном сайте D-Link здесь и здесь (в зависимости от интерфейса) или посмотреть видеоинструкцию на канале D-Link на YouTube.
Чтобы настроить сервис Яндекс.DNS, перейдите к разделу Яндекс.DNS, используя меню в левой части страницы.
На странице Яндекс.DNS / Настройка безопасности / Настройки установите флажок Включено. В разделе Выбор режима по умолчанию вы можете настроить режим фильтрации сразу для всех пользователей Вашей сети.
Выберите Безопасный режим, чтобы заблокировать доступ к вредоносным и мошенническим сайтам.
Детский режим позволит заблокировать доступ не только к вредоносным сайтам, но и к ресурсам, нежелательным для просмотра детьми.
Режим без защиты обеспечит работу DNS-сервера, но не ограничит доступ к опасным сайтам.
Выбранный режим фильтрации также будет действовать для всех вновь подключённых к сети маршрутизатора устройств.
При необходимости Вы можете задать персональный режим фильтрации для любого устройства домашней сети, например, выбрать детский режим для ноутбука ребенка. Для этого перейдите на страницу Яндекс.DNS / Настройки безопасности / Устройства.
На открывшейся странице в разделе Клиенты вне правил отображаются устройства, режим фильтрации для которых определен на странице Яндекс. DNS / Настройка безопасности / Настройки. Название режима отображается в разделе Режим по умолчанию.
Чтобы создать новое правило фильтрации, нажмите кнопку Добавить в разделе Правила и введите MAC- /IP-адрес устройства, которому необходимо назначить персональный режим. Чтобы заполнить поля MAC-адрес и IP-адрес автоматически, выберите необходимое устройство в раскрывающемся списке Известные IP/MAC-адреса.
Для удобной идентификации устройства задайте название правила в поле Назначенное имя.
Выберите режим работы сервиса Яндекс.DNS для данного правила.
После задания необходимых параметров нажмите кнопку Применить.
Сохраните настройки, нажав на уведомление Конфигурация устройства была изменена в правом верхнем углу страницы.

Более подробные инструкции по настройке Яндекс.DNS Вы сможете найти на канале D-Link на YouTube.

5 лучших DNS-серверов для повышения безопасности в Интернете

Смена провайдера DNS может значительно улучшить защиту вашего компьютера от сетевых угроз.

Если вы готовы сменить провайдера, вам может быть интересно, в какую компанию вам следует обратиться. Есть много вариантов, но какая из них лучше, какие функции доступны и есть ли недостатки?

Давайте посмотрим на лучших сторонних поставщиков DNS для вашей безопасности.

IP-адреса: 8.8.8.8 и 8.8.4.4

Мы собираемся начать список с двух самых известных сторонних серверов. Во-первых, Google Public DNS.

Важнейшим преимуществом DNS от Google является его скорость. Поиск DNS часто вызывает узкое место, которое может замедлить просмотр. Согласно исследованию Google, самой большой причиной возникновения узких мест являются «промахи кеша». Они возникают, когда преобразователь DNS должен связаться с несколькими внешними серверами имен для загрузки страницы. Это лишь одно из многих преимуществ смены DNS-сервера .

Google пытается смягчить проблему, предлагая три ключевые функции повышения производительности:

Глобальное покрытие: серверы есть поблизости, независимо от того, в какой точке мира вы находитесь.
Предотвращение атак типа «отказ в обслуживании» (DoS): Google обеспечивает безопасность DNSSEC в стандартной комплектации.
Балансировка нагрузки: общее кэширование увеличивает частоту попаданий в кеш.

Хотя Google предлагает DNSSEC и DNS-over-HTTPS в стандартной комплектации, у использования этой службы есть один существенный недостаток безопасности: сбор данных. Помните, что Google – это рекламная компания, и данные пользователей – ее самый большой актив. Хотя данные DNS, которые он собирает, теоретически безличны, они могут отпугнуть некоторых пользователей, заботящихся о конфиденциальности.

IP-адреса: 208.67.220.220 и 208.67.222.222

Другой наиболее часто упоминаемый сторонний поставщик DNS – это OpenDNS. С ноября 2016 года сервис принадлежит Cisco.

Пользователи могут выбирать из четырех уровней обслуживания: OpenDNS Family Shield, OpenDNS Home, OpenDNS VIP Home и OpenDNS Umbrella Prosumer.

Первые две службы – OpenDNS Family Shield и OpenDNS Home – бесплатны. Функции в основном такие же; они оба имеют встроенную защиту от кражи личных данных и родительский контроль для каждого устройства в вашем доме. Единственное существенное отличие – настраиваемая фильтрация: Family Shield предварительно настроен, пакет Home требует вашего ввода.

Пакет VIP Home стоит 19,95 долларов в год. В нем представлена подробная статистика использования Интернета за предыдущие 12 месяцев (с разбивкой по восьми типам угроз безопасности и 60 типам веб-контента) и возможность ограничить доступ в Интернет для белого списка доменов, тем самым давая пользователям в вашей сети «блокировку» опыт. Компания также предлагает бизнес-пакеты.

Последний пакет Prosumer стоит 20 долларов за пользователя и защищает три устройства за одну плату.

К сожалению, за некоторые из этих услуг приходится платить. Компания хранит информацию о вашем DNS и IP-адресе и размещает веб-маяки на страницах, которые вы посещаете с помощью серверов, чтобы узнать, «какой контент эффективен».

Вы можете сделать собственные выводы по поводу этой цитаты.

IP-адреса: 84.200.69.80 и 84.200.70.40

DNSWatch – это провайдер DNS, заботящийся о безопасности. Это совершенно бесплатно для всех пользователей и не предлагает многоуровневых пакетов, таких как OpenDNS.

Его предложения по обеспечению безопасности можно разделить на четыре ключевые области:

Нейтралитет DNS: серверы не цензурируют запросы DNS. Это отличается от некоторых интернет-провайдеров по всему миру, которые активно цензурируют то, к чему вы можете и не можете получить доступ.

Защита конфиденциальности: Компания не регистрирует DNS-запросы. Он не записывает никаких ваших действий. Чтобы еще раз провести сравнение с типичным DNS-сервером интернет-провайдера, многие регистрируют вашу историю, а некоторые даже не анонимизируют собранные данные.

Данные для продажи . Компания не имеет деловых отношений с рекламными сетями или другими организациями, которые заинтересованы в изучении ваших онлайн-привычек.

Отсутствие перехвата DNS провайдера: если вы используете DNS-серверы вашего интернет-провайдера, вы, несомненно, время от времени наталкивались на спонсируемую страницу поиска, если сайт, который вы пытаетесь посетить, не возвращает ответ. Это кошмар для уединения; все, что вы вводите на этих страницах, собирается и сопоставляется вашим интернет-провайдером.

DNS Watch этого не делает. Если ваш запрос будет неудачным, вы просто увидите стандартную страницу браузера.

IP-адреса: 206.125.173.29 и 45.32.230.225

Проект OpenNIC наиболее известен благодаря своему сетевому информационному центру верхнего уровня, который принадлежит и контролируется пользователями. Он предлагает альтернативу типичным реестрам доменов верхнего уровня (TLD), таким как ICANN .

Однако компания также предоставляет одни из самых безопасных бесплатных DNS-серверов. Есть десятки серверов на выбор. Мы предоставили вам два с лучшим временем безотказной работы, указанными выше.

Еще раз, есть некоторые ключевые столпы его функций безопасности, о которых вам нужно знать. Как и DNSWatch, он предлагает нейтралитет DNS и предотвращает перехват DNS-провайдера, но также предоставляет несколько дополнительных функций.

Во-первых, вы можете выбрать, сколько данных будет вести OpenNIC. Это дает вам беспрецедентный уровень детального контроля.

Во-вторых, что, возможно, более впечатляюще, вы также можете проголосовать за то, как работает OpenNIC. Вы можете сказать свое слово во всем, от принятия решения о новых TLD до изменений политики в рамках всего проекта. Если что-то случится, что вам не понравится, вы можете сообщить об этом OpenNIC!

IP-адреса: 91.239.100.100 и 89.233.43.71

UncensoredDNS – это, пожалуй, наименее узнаваемое имя в этом списке.

Сервисом управлял датчанин по имени Томас Стин Расмуссен. Вот как он своими словами описывает свое прошлое и службу:

«Я системный администратор датского интернет-провайдера, я родился в 1979 году. Я запускаю эту службу как частное лицо на свои деньги. Служба DNS, которая состоит из двух серверов DNS без цензуры. Серверы доступны для использования кто угодно, бесплатно «.

Лучшая часть UncensoredDNS – это то, что два сервера полностью свободны от журналирования. Серверы не хранят информацию о вас как о пользователе и не хранят информацию о том, как вы используете службу.

Оба сервера физически расположены в Дании.

Какие самые безопасные DNS-серверы?

В этой статье мы познакомили вас с некоторыми из самых безопасных DNS-серверов для защиты вашей безопасности и конфиденциальности.

Google Public DNS
OpenDNS
DNS Watch
OpenNIC
DNS без цензуры

Который лучший? Сложно сказать. Многое зависит от ваших личных приоритетов. Если родительский контроль является вашей главной заботой, обратитесь к OpenDNS. Если вы хотите повысить скорость за счет регистрации некоторых неличных данных, используйте Google.

Хотите быть максимально осторожными, но потенциально пожертвовать скоростью и временем безотказной работы? Рассмотрим один из последних трех вариантов.

Помните, что использование безопасного DNS-сервера важно для защиты от заражения DNS-кеша.

Связанный

Как спрятать DNS-запросы от любопытных глаз провайдера / Хабр

Настройка 1.1.1.1 от Cloudflare и других DNS-сервисов по-прежнему требует навыков работы в командной строке

Шифрование трафика между вашим устройством и DNS-сервисом помешает посторонним лицам отслеживать трафик или подменить адрес

Смерть сетевого нейтралитета и ослабление правил для интернет-провайдеров по обработке сетевого трафика вызвали немало опасений по поводу конфиденциальности. У провайдеров (и других посторонних лиц, которые наблюдают за проходящим трафиком) уже давно есть инструмент, позволяющий легко отслеживать поведение людей в интернете: это их серверы доменных имен (DNS). Даже если они до сих пор не монетизировали эти данные (или не подменяли трафик), то наверняка скоро начнут.

DNS — это телефонный справочник Сети, выдающий фактический сетевой адрес IP, связанный с хостингом и доменными именами сайтов и других интернет-служб. Например, он превращает arstechnica.com в 50.31.169.131. Ваш интернет-провайдер предлагает DNS в пакете услуг, но он также может журналировать DNS-трафик — по сути, записывать историю ваших действий в интернете.

«Открытые» DNS-сервисы позволяют обходить сервисы провайдеров ради конфиденциальности и безопасности, а кое в каких странах — уклоняться от фильтрации контента, слежки и цензуры. 1 апреля (не шутка) компания Cloudflare запустила свой новый, бесплатный и высокопроизводительный DNS-сервис, предназначенный для повышения конфиденциальности пользователей в интернете. Он также обещает полностью скрыть DNS-трафик от посторонних глаз, используя шифрование.

Названный по своему IP-адресу, сервис 1.1.1.1 — это результат партнёрства с исследовательской группой APNIC, Азиатско-Тихоокеанским сетевым информационным центром, одним из пяти региональных интернет-регистраторов. Хотя он также доступен как «открытый» обычный DNS-резолвер (и очень быстрый), но Cloudflare ещё поддерживает два протокола шифрования DNS.

Хотя и разработанный с некоторыми уникальными «плюшками» от Cloudflare, но 1.1.1.1 — никак не первый DNS-сервис с шифрованием. Успешно работают Quad9, OpenDNS от Cisco, сервис 8.8.8.8 от Google и множество более мелких сервисов с поддержкой различных схем полного шифрования DNS-запросов. Но шифрование не обязательно означает, что ваш трафик невидим: некоторые службы DNS с шифрованием всё равно записывают ваши запросы в лог для различных целей.

Cloudflare пообещал не журналировать DNS-трафик и нанял стороннюю фирму для аудита. Джефф Хастон из APNIC сообщил, что APNIC собирается использовать данные в исследовательских целях: диапазоны 1.0.0.0/24 и 1.1.1.0/24 изначально были сконфигурированы как адреса для «чёрного» трафика. Но APNIC не получит доступ к зашифрованному трафику DNS.

Для пользователей подключить DNS-шифрование не так просто, как изменить адрес в настройках сети. В настоящее время ни одна ОС напрямую не поддерживает шифрование DNS без дополнительного программного обеспечения. И не все сервисы одинаковы с точки зрения софта и производительности.

Но учитывая важность вопроса — в последнее время во всех новостях говорят о превращении пользовательских данных в продукт — я решил посмотреть, как работает DNS-шифрование у Cloudflare. В итоге моя внутренняя лабораторная крыса победила — и я обнаружил, что тестирую и разбираю клиенты для нескольких провайдеров DNS через три протокола DNS-шифрования: DNSCrypt, DNS по TLS и DNS по HTTPS. Все они работоспособны, но предупреждаю: хотя процедура становится проще, но вряд ли вы сможете объяснить шифрование DNS родителям по телефону (если только они не опытные пользователи командной строки Linux).

Как работает DNS

Есть много причин для лучшей защиты DNS-трафика. Хотя веб-трафик и другие коммуникации могут быть защищены криптографическими протоколами, такими как Transport Layer Security (TLS), но почти весь трафик DNS передаётся незашифрованным. Это означает, что ваш провайдер (или кто-то другой между вами и интернетом) может регистрировать посещаемые сайты даже при работе через сторонний DNS — и использовать эти данных в своих интересах, включая фильтрацию контента и сбор данных в рекламных целях.

Как выглядит типичный обмен данными между устройством и DNS-резолвером

«У нас есть проблема “последней мили” в DNS, — говорил Крикет Лю, главный архитектор DNS в компании Infoblox, которая занимается информационной безопасностью. — Большинство наших механизмов безопасности решают вопросы коммуникаций между серверами. Но есть проблема с суррогатами резолверов на различных операционных системах. В реальности мы не можем их защитить». Проблема особенно заметна в странах, где власти более враждебно относятся к интернету.

В некоторой степени помогает использование DNS, который не ведёт логи. Но это всё равно не мешает злоумышленнику фильтровать запросы по контенту или перехватывать адреса методом пакетного перехвата или глубокой инспекции пакетов. Кроме пассивной прослушки есть угроза более активных атак на ваш DNS-трафик — спуфинг DNS-сервера со стороны провайдера или спецслужб с перенаправлением на собственный сервер для отслеживания или блокировки трафика. Что-то подобное (хотя, по-видимому, не злонамеренно), похоже, происходит со случайным перенаправлением трафика на адрес 1.1.1.1 из сети AT&T, судя по сообщениям на форумах DSLReports.

Наиболее очевидный способ уклонения от слежки — использование VPN. Но хотя VPN скрывают содержимое вашего трафика, для подключения к VPN может потребоваться запрос DNS. И в ходе VPN-сеанса запросы DNS тоже могут иногда направляться веб-браузерами или другим софтом за пределы VPN-тоннеля, создавая «утечки DNS», которые раскрывают посещённые сайты.

Вот где вступают в игру протоколы шифрования DNS: это DNSCrypt (среди прочих, его поддерживает OpenDNS от Cisco), DNS по TLS (поддерживается Сloudflare, Google, Quad9, OpenDNS) и DNS по HTTPS (поддерживается Сloudflare, Google и сервисом блокировки «взрослого» контента CleanBrowsing). Шифрование гарантирует, что трафик не просканируют и не изменят, и что запросы не получит и не обработает поддельный DNS-сервер. Это защищает от атак MiTM и шпионажа. DNS-прокси с одной из этих служб (непосредственно на устройстве или на «сервере» в локальной сети) поможет предотвратить DNS-утечки через VPN, поскольку прокси-сервер всегда будет самым быстрым DNS-сервером среди всех доступных.

Однако эта опция защиты недоступна массовому пользователю. Ни один из этих протоколов нативно не поддерживается ни одним DNS-резолвером, который идёт в комплекте с ОС. Все они требуют установки (и, вероятно, компиляции) клиентского приложения, которое действует как локальный «сервер» DNS, ретранслируя запросы, сделанные браузерами и другими приложениями вверх по течению к безопасному провайдеру DNS по вашему выбору. И хотя две из трёх данных технологий предлагаются на роль стандартов, ни один из проверенных нами вариантов пока не представлен в окончательном виде.

Поэтому если хотите погрузиться в шифрование DNS, то лучше взять для DNS-сервера в домашней сети Raspberry Pi или другое отдельное устройство. Потому что вы наверняка обнаружите, что настройка одного из перечисленных клиентов — это уже достаточно хакерства, чтобы не захотеть повторять процесс заново. Проще запросить настройки DHCP по локальной сети — и указать всем компьютерам на одну успешную установку DNS-сервера. Я много раз повторял себе это во время тестирования, наблюдая падение одного за другим клиентов под Windows и погружение в спячку клиентов под MacOS.

Сообщество DNSCrypt пыталось сделать доступный инструмент для тех, кто не обладает навыками работы в командной строке, выпустив программы DNSCloak (слева) под iOS и Simple DNSCrypt (справа) под Windows

Для полноты картины в исторической перспективе начнём обзор с самой первой технологии шифрования DNS — DNSCrypt. Впервые представленный в 2008 году на BSD Unix, инструмент DNSCrypt изначально предназначался для защиты не от прослушки, а от DNS-спуфинга. Тем не менее, его можно использовать как часть системы обеспечения конфиденциальности — особенно в сочетании с DNS-сервером без логов. Как отметил разработчик DNSCrypt Фрэнк Денис, гораздо больше серверов поддерживают DNSCrypt, чем любой другой вид шифрования DNS.

«DNSCrypt — это немного больше, чем просто протокол, — говорит Фрэнк Денис. — Сейчас сообщество и активные проекты характеризуют его гораздо лучше, чем мой изначальный протокол, разработанный в выходные». Сообщество DNSCrypt создало простые в использовании клиенты, такие как Simple DNSCrypt для Windows и клиент для Apple iOS под названием DNS Cloak, что делает шифрование DNS доступнее для нетехнических людей. Другие активисты подняли независимую сеть приватных DNS-серверов на основе протокола, помогающего пользователям уклониться от использования корпоративных DNS-систем.

«DNSCrypt — это не подключение к серверам конкретной компании, — сказал Денис. — Мы призываем всех поднимать собственные сервера. Сделать это очень дёшево и легко. Теперь, когда у нас есть безопасные резолверы, я пытаюсь решить задачу фильтрации контента с учётом конфиденциальности».

Для тех, кто хочет запустить DNS-сервер с поддержкой DNSCrypt для всей своей сети, лучшим клиентом будет DNSCrypt Proxy 2. Старая версия DNSCrypt Proxy по-прежнему доступна как пакет для большинства основных дистрибутивов Linux, но лучше загрузить бинарник новой версии непосредственно с официального репозитория на GitHub. Есть версии для Windows, MacOS, BSD и Android.

Опыт сообщества DNSCrypt по защите конфиденциальности воплощён в DNSCrypt Proxy. Программа легко настраивается, поддерживает ограничения по времени доступа, шаблоны для доменов и чёрный список IP-адресов, журнал запросов и другие функции довольно мощного локального DNS-сервера. Но для начала работы достаточно самой базовой конфигурации. Есть пример файла конфигурации в формате TOML (Tom’s Obvious Minimal Language, созданный соучредителем GitHub Томом Престоном-Вернером). Можете просто переименовать его перед запуском DNSCrypt Proxy — и он станет рабочим файлом конфигурации.

По умолчанию прокси-сервер использует открытый DNS-резолвер Quad9 для поиска и получения с GitHub курируемого списка открытых DNS-сервисов. Затем подключается к серверу с самым быстрым откликом. При необходимости можно изменить конфигурацию и выбрать конкретный сервис. Информация о серверах в списке кодируется как «штамп сервера». Он содержит IP-адрес поставщика, открытый ключ, информацию, поддерживает ли сервер DNSSEC, хранит ли провайдер логи и блокирует ли какие-нибудь домены. (Если не хотите зависеть от удалённого файла при установке, то можно запустить «калькулятор штампов» на JavaScript — и сгенерировать собственный локальный статичный список серверов в этом формате).

Для своего тестирования DNSCrypt я использовал OpenDNS от Cisco в качестве удалённого DNS-сервиса. При первых запросах производительность DNSCrypt оказалась немного хуже, чем у обычного DNS, но затем DNSCrypt Proxy кэширует результаты. Самые медленные запросы обрабатывались в районе 200 мс, в то время как средние — примерно за 30 мс. (У вас результаты могут отличаться в зависимости от провайдера, рекурсии при поиске домена и других факторов). В целом, я не заметил замедления скорости при просмотре веб-страниц.

Основное преимущество DNSCrypt в том, что он похож на «обычный» DNS. Хорошо это или плохо, но он передаёт UDP-трафик по порту 443 — тот же порт используется для безопасных веб-соединений. Это даёт относительно быстрый резолвинг адресов и снижает вероятность блокировки на файрволе провайдера. Чтобы ещё больше снизить вероятность блокировки, можно изменить конфигурацию клиента и передавать запросы по TCP/IP (как показало тестирование, это минимально влияет на время отклика). Так шифрованный DNS-трафик для большинства сетевых фильтров похож на трафик HTTPS — по крайней мере, с виду.

Показан трафик DNSCrypt и локальный трафик DNSCrypt Proxy. Снифер Wireshark говорит, что это трафик HTTPS, потому что я форсировал использование TCP. Если пустить его по UDP, то Wireshark увидит трафик Chrome QUIC

С другой стороны, DNSCrypt для шифрования не полагается на доверенные центры сертификации — клиент должен доверять открытому ключу подписи, выданному провайдером. Этот ключ подписи используется для проверки сертификатов, которые извлекаются с помощью обычных (нешифрованных) DNS-запросов и используются для обмена ключами с использованием алгоритма обмена ключами X25519. В некоторых (более старых) реализациях DNSCrypt есть условие для сертификата на стороне клиента, который может использоваться в качестве схемы управления доступом. Это позволяет им журналировать ваш трафик независимо от того, с какой IP-адреса вы пришли, и связывать его с вашим аккаунтом. Такая схема не используется в DNSCrypt 2.

С точки зрения разработчика немного сложно работать с DNSCrypt. «DNSCrypt не особенно хорошо документирован, и не так много его реализаций», — говорит Крикет Лю из Infoblox. На самом деле мы смогли найти только единственный клиент в активной разработке — это DNSCrypt Proxy, а OpenDNS прекратил поддерживать его разработку.

Интересный выбор криптографии в DNSCrypt может напугать некоторых разработчиков. Протокол использует Curve25519 (RFC 8032), X25519 (RFC 8031) и Chacha20Poly1305 (RFC 7539). Одна реализация алгоритма X24419 в криптографических библиотеках Pyca Python помечена как «криптографически опасная», потому что с ней очень легко ошибиться в настройках. Но основной используемый криптографический алгоритм Curve25519, является «одной из самых простых эллиптических кривых для безопасного использования», — сказал Денис.

Разработчик говорит, что DNSCrypt никогда не считался стандартом IETF, потому что был создан добровольцами без корпоративной «крыши». Представление его в качестве стандарта «потребовало бы времени, а также защиты на заседаниях IETF», — сказал он. «Я не могу себе этого позволить, как и другие разработчики, которые работают над ним в свободное время. Практически все ратифицированные спецификации, связанные с DNS, фактически написаны людьми из одних и тех же нескольких компаний, из года в год. Если ваш бизнес не связан с DNS, то действительно тяжело получить право голоса».

Хотя несколько DNS-сервисов используют DNSCrypt (например, CleanBrowsing для блокировки «взрослого» контента и Cisco OpenDNS для блокировки вредоносных доменов), новые ориентированные на приватность DNS-провайдеры (в том числе Google, Cloudflare и Quad9) отказались от DNSCrypt и выбрали одну из других, одобренных группой IETF технологий: DNS по TLS и DNS по HTTPS. Сейчас DNSCrypt Proxy поддерживает DNS по HTTPS и указывает Cloudflare, Google и Quad9 в настройках по умолчанию.

TLS стал приоритетом для CloudFlare, когда понадобилось усилить шифрование веб-трафика для защиты от слежки

У DNS по TLS (Transport Layer Security) несколько преимуществ перед DNSCrypt. Во-первых, это предлагаемый стандарт IETF. Также он довольно просто работает по своей сути — принимает запросы стандартного формата DNS и инкапсулирует их в зашифрованный TCP-трафик. Кроме шифрования на основе TLS, это по существу то же самое, что и отправка DNS по TCP/IP вместо UDP.

Существует несколько рабочих клиентов для DNS по TLS. Самый лучший вариант, который я нашел, называется Stubby, он разработан в рамках проекта DNS Privacy Project. Stubby распространяется в составе пакета Linux, но есть также версия для MacOS (устанавливается с помощью Homebrew) и версия для Windows, хотя работа над последней ещё не завершена.

Хотя мне удалось стабильно запускать Stubby на Debian после сражения с некоторыми зависимостями, этот клиент регулярно падал в Windows 10 и имеет тенденцию зависать на MacOS. Если вы ищете хорошее руководство по установке Stubby на Linux, то лучшая найденная мной документация — это пост Фрэнка Сантосо на Reddit. Он также написал shell скрипт для установки на Raspberry Pi.

Положительный момент в том, что Stubby допускает конфигурации с использованием нескольких служб на основе DNS по TLS. Файл конфигурации на YAML позволяет настроить несколько служб IPv4 и IPv6 и включает в себя настройки для SURFNet, Quad9 и других сервисов. Однако реализация YAML, используемая Stubby, чувствительна к пробелам, поэтому будьте осторожны при добавлении новой службы (например, Cloudflare). Сначала я использовал табы — и всё поломал.

Клиенты DNS по TLS при подключении к серверу DNS осуществляют аутентификацию с помощью простой инфраструктуры открытых ключей (Simple Public Key Infrastructure, SPKI). SPKI использует локальный криптографический хэш сертификата провайдера, обычно на алгоритме SHA256. В Stubby этот хэш хранится как часть описания сервера в файле конфигурации YAML, как показано ниже:

upstream_recursive_servers:
#IPv4
#Cloudflare DNS over TLS server

- address_data: 1.1.1.1
  tls_auth_name: "cloudflare-dns.com"
  tls_pubkey_pinset:
  - digest: "sha256"
    value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
- address_data: 1.0.0.1
  tls_auth_name: "cloudflare-dns.com"
  tls_pubkey_pinset:
  - digest: "sha256"
    value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=

После установления TCP-соединения клиента с сервером через порт 853 сервер представляет свой сертификат, а клиент сверяет его с хэшем. Если всё в порядке, то клиент и сервер производят рукопожатие TLS, обмениваются ключами и запускают зашифрованный сеанс связи. С этого момента данные в зашифрованной сессии следуют тем же правилам, что и в DNS по TCP.

После успешного запуска Stubby я изменил сетевые настройки сети DNS, чтобы направлять запросы на 127.0.0.1 (localhost). Сниффер Wireshark хорошо показывает этот момент переключения, когда трафик DNS становится невидимым.

Переключаемся с обычного трафика DNS на шифрование TLS

Хотя DNS по TLS может работать как DNS по TCP, но шифрование TLS немного сказывается на производительности. Запросы dig к Cloudflare через Stubby у меня выполнялись в среднем около 50 миллисекунд (у вас результат может отличаться), в то время как простые DNS-запросы к Cloudflare получают ответ менее чем за 20 мс.

Частично замедление работы происходит на стороне сервера из-за лишнего использования TCP. Обычно DNS работает по быстрому протоколу UDP: отправил и забыл, в то время как сообщение TCP требует согласования соединения и проверки получения пакета. Основанная на UDP версия DNS по TLS под названием DNS over Datagram Transport Layer Security (DTLS) сейчас в экспериментальной разработке — она может увеличить производительность протокола.

Здесь тоже имеется проблема с управлением сертификатами. Если провайдер удалит сертификат и начнёт использовать новый, то в настоящее время нет чистого способа обновления данных SPKI на клиентах, кроме вырезания старого и вставки нового сертификата в файл конфигурации. Прежде чем с этим разберутся, было бы полезно использовать какую-то схему управления ключами. И поскольку сервис работает на редком порту 853, то с высокой вероятностью DNS по TLS могут заблокировать на файрволе.

Но это не проблема для лидера нашего хит-парада — DNS по HTTPS. Он проходит через большинство файрволов, словно тех не существует.

Google и Cloudflare, похоже, одинаково видят будущее зашифрованного DNS

И Google, и Cloudflare, кажется, видят протокол DNS по HTTPS, также известный как DoH, как самый перспективный вариант для шифрования DNS. Опубликованный в виде черновика стандарта IETF, протокол DoH инкапсулирует DNS-запросы в пакеты HTTPS, превращения их в обычный зашифрованный веб-трафик.

Запросы отправляются как HTTP POST или GET с телом в формате сообщения DNS (датаграммы из обычных DNS-запросов) или как запрос HTTP GET в формате JSON (если вы не против небольшого оверхеда). И здесь нет никаких проблем с управлением сертификатами. Как и при обычном веб-трафике HTTPS, для подключения через DoH не требуется аутентификация, а сертификат проверяется центром сертификации.

Фиксация DNS-транзакции через DoH. Видно только HTTPS, TLS и ничего больше

HTTPS — довольно громоздкий протокол для запросов DNS, особенно в формате JSON, поэтому придётся смириться с некоторым снижением производительности. Необходимые ресурсы на стороне сервера почти наверняка заставят прослезиться администратора обычного DNS-сервера. Но простота работы с хорошо понятными веб-протоколами делает разработку как клиентского, так и серверного кода для DoH намного более доступной для разработчиков, собаку съевших на веб-приложениях (всего несколько недель назад инженеры Facebook выпустили концепт сервера и клиента DoH на Python).

В результате, хотя на спецификациях RFC для DoH ещё не просохли чернила, уже готов к работе целый ряд клиентов DNS по HTTPS. Правда, некоторые из них заточены под конкретных провайдеров DNS. Потеря производительности во многом зависит от сервера и от качества конкретного клиента.

Например, возьмём клиент туннелирования Argo от Cloudflare (aka cloudflared). Это многофункциональный инструмент туннелирования, предназначенный в первую очередь для установления безопасного канала для связи веб-серверов с CDN-сетью Cloudflare. DNS по HTTPS — просто ещё одна служба, которую теперь поддерживает CDN.

По умолчанию, если запустить Argo из командной строки (в Linux и MacOS для этого нужны привилегии суперпользователя, а на Windows нужно запускать клиента из PowerShell от имени администратора), то он направляет DNS-запросы на https://cloudflare-dns.com/dns-query. Если не настроен обычный DNS, то возможна небольшая проблемка, потому что данный адрес должен резолвиться в 1.1.1.1, иначе Argo не запустится.

Это можно исправить одним из трёх способов. Первый вариант: установить устройство с локальным хостом (127.0.0.1 для IPv4 и ::1 для IPv6) как основной DNS-сервер в сетевой конфигурации, а затем добавить 1.1.1.1 в качестве дополнительного резолвера. Это рабочий вариант, но он не идеален с точки зрения приватности и производительности. Лучше добавить URL сервера из командной строки при загрузке:

$ sudo cloudflared proxy-dns --upstream https://1.0.0.1/dns-query

Если вы уверены, что хотите перейти на DNS-сервер от Cloudflare, что даёт преимущество автоматического обновления, — то можете настроить его в качестве службы в Linux, используя YAML-файл конфигурации, содержащий адреса IPv4 и IPv6 службы DNS от Cloudflare:

proxy-dns: true
proxy-dns-upstream:
- https://1.1.1.1/dns-query
- https://1.0.0.1/dns-query

При настройке с правильной восходящей адресацией производительность dig-запросов через Argo широко варьируется: от 12 мс для популярных доменов аж до 131 мс. Страницы с большим количеством межсайтового контента загружаются… немного дольше обычного. Опять же, ваш результат может быть другим — вероятно, он зависит от вашего местоположения и связности. Но это примерно то, чего я ожидал от мрачного протокол DoH.

Как Cloudflare, мы считаем, что туннели иллюстрируют операцию «Арго» лучше, чем Бен Аффлек

Дабы убедиться, что проблема именно в протоколе DoH, а не в программистах Cloudflare, я испытал два других инструмента. Во-первых, прокси-сервер от Google под названием Dingo. Его написал Павел Форемски, интернет-исследователь из Института теоретической и прикладной информатики Академии наук Польши. Dingo работает только с реализацией DoH от Google, но его можно настроить на ближайшую службу Google DNS. Это хорошо, потому что без такой оптимизации Dingo сожрал всю производительность DNS. Запросы dig в среднем выполнялись более 100 миллисекунд.

Во время проверки обработки стандартных запросов службой dns.google.com я наткнулся на альтернативу дефолтному адресу 8.8.8.8 от Google (172.217.8.14, если знаете). Я добавил его в Dingo из командной строки:

$ sudo ./dingo-linux-amd64 -port=53 -gdns:server=172.216.8.14

Это сократило время отклика примерно на 20%, то есть примерно до того показателя, как у Argo.

А оптимальную производительность DoH неожиданно показал DNSCrypt Proxy 2. После недавнего добавления DoH Cloudflare в курируемый список публичных DNS-сервисов DNSCrypt Proxy почти всегда по умолчанию подключается к Cloudflare из-за низкой задержки этого сервера. Чтобы убедиться, я даже вручную сконфигурировал его под резолвер Cloudflare для DoH, прежде чем запустить батарею dig-запросов.

Все запросы обрабатывались менее чем за 45 миллисекунд — это быстрее, чем собственный клиент Cloudflare, причём с большим отрывом. С сервисом DoH от Google производительность оказалась похуже: запросы обрабатывались в среднем около 80 миллисекунд. Это показатель без оптимизации на ближайший DNS-сервер от Google.

В целом производительность DNSCrypt Proxy по DoH практически неотличима от резолвера DNS по TLS, который я проверял ранее. На самом деле он даже быстрее. Я не уверен, то ли это из-за какой-то особой реализации DoH — может быть, из-за использования стандартного формата сообщений DNS, инкапсулированных в HTTPS, вместо формата JSON — то ли связано с тем, как Cloudflare обрабатывает два разных протокола.

Я не Бэтмен, но моя модель угроз всё равно немного сложнее, чем у большинства людей

Я профессиональный параноик. Моя модель угроз отличается от вашей, и я предпочел бы сохранить в безопасности как можно больше своих действий в онлайне. Но учитывая количество нынешних угроз приватности и безопасности из-за манипуляций с трафиком DNS, у многих людей есть веские основания использовать какую-либо форму шифрования DNS. Я с удовольствием обнаружил, что некоторые реализации всех трёх протоколов не оказывают сильно негативного влияния на скорость передачи трафика.

Тем не менее, важно отметить, что одно лишь шифрование DNS не скроет ваши действия в интернете. Если на сервере хостятся несколько сайтов, то расширение TLS под названием Server Name Indicator (SNI), используемое в соединениях HTTPS, всё равно может показать открытым текстом название сайта, на который вы зашли. Для полной конфиденциальности всё равно нужно использовать VPN (или Tor) для такой инкапсуляции трафика, чтобы провайдер или какая-либо другая шпионящая сторона не могла вытянуть метаданные из пакетов. Но ни один из перечисленных сервисов не работает с Tor. И если против вас работает правительственное агентство, то ни в чём нельзя быть уверенным.

Другая проблема в том, что, хотя прекрасные ребята из сообщества DNSCrypt проделали большую работу, но такая приватность по-прежнему слишком сложна для обычных людей. Хотя некоторые из этих DNS-клиентов для шифрования оказалось относительно легко настроить, но ни один из них нельзя назвать гарантированно простым для нормальных пользователей. Чтобы эти услуги стали действительно полезными, их следует плотнее интегрировать в железо и софт, который покупают люди — домашние маршрутизаторы, операционные системы для персональных компьютеров и мобильных устройств.

Интернет-провайдеры наверняка постараются активнее монетизировать обычный DNS-трафик, и никуда не исчезнут государственные агентства и преступники, которые стремятся использовать его во вред пользователю. Но маловероятно, что крупные разработчики ОС стремятся надёжно защитить DNS доступным для большинства людей способом, потому что они часто заинтересованы в монетизации, как и интернет-провайдеры. Кроме того, эти разработчики могут столкнуться с сопротивлением изменениям со стороны некоторых правительств, которые хотят сохранить возможности мониторинга DNS.

Так что в ближайшее время эти протоколы останутся инструментом для тех немногих людей, кто реально заботится о конфиденциальности своих данных и готов для этого немного потрудиться. Надеюсь, сообщество вокруг DNSCrypt продолжит свою активность и продвинет ситуацию вперёд.

Быстрый и безопасный DNS 1.1.1.1 от CloudFlare

13.11.2018

Многие из вас знают и активно используют DNS сервера от Google 8.8.8.8 или от Яндекса 77.88.8.8, предпочитая их DNS серверам вашего провайдера за надежность, скорость и безопасность. 1 апреля 2018 года CloudFlare анонсировали свои публичные DNS сервера 1.1.1.1 и 1.0.0.1, такие же быстрые и безопасные.

Можно ли доверять серверам DNS 1.1.1.1 и 1.0.0.1 от CloudFlare? Да, если вы доверяете Google, Yandex или своему провайдеру. Всем известно, что Google и Yandex используют данные со своих DNS серверов для показа в дальнейшем релевантной рекламы, а как использует ваши запросы провайдер вообще неизвестно.

Сервис интересен еще и тем, что кроме обычного DNS предоставляет возможность использовать технологий DNS-over-TLS и DNS-over-HTTPS, что здорово помешает провайдерам подслушивать ваши запросы — и собирать статистику, следить, управлять рекламой.

На компьютере настройка DNS производится в свойствах вашего сетевого адаптера. Если вы не знаете как попасть в свойства сетевого адаптера, то нажмите Пуск — Выполнить. Далее введите без кавычек «ncpa.cpl» и нажмите ОК.

Лучший тот, который быстрый. Абсолютного лидера нет. В каждой точке на планете свой чемпион. Не будем полагаться на всякого рода предположения и замерим скорость работы описанных в статье бесплатных DNS сервисов с помощью специального ПО Domain Name Speed Benchmark — https://www.grc.com/DNS/benchmark.htm.


ping 8.8.8.8

Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
Ответ от 8.8.8.8: число байт=32 время=29мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=28мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=30мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=28мс TTL=54

Статистика Ping для 8.8.8.8:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 28мсек, Максимальное = 30 мсек, Среднее = 28 мсек


ping 77.88.8.8

Обмен пакетами с 77.88.8.8 по с 32 байтами данных:
Ответ от 77.88.8.8: число байт=32 время=36мс TTL=50
Ответ от 77.88.8.8: число байт=32 время=38мс TTL=50
Ответ от 77.88.8.8: число байт=32 время=37мс TTL=50
Ответ от 77.88.8.8: число байт=32 время=37мс TTL=50

Статистика Ping для 77.88.8.8:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 36мсек, Максимальное = 38 мсек, Среднее = 37 мсек

Раньше Интернет был намного проще. Но все изменилось около десяти лет назад. Веб-сайты стали более сложными, и DNS-сервер вашего интернет-провайдера начал выдыхать, справляясь с многочисленными запросами на поиск с веб-страниц.

DNS-запросы могут существенно повлиять на ваш опыт просмотра веб-страниц, учитывая, что вы запрашиваете их несколько десятков, если не сотни, раз в день. Растущая сложность Интернета открыла пространство для выделенных сторонних DNS-серверов, которые обещали быть быстрее, чем вариант по умолчанию, установленный вашим интернет-провайдером.

Неудивительно, что у Google тоже есть одна такая служба DNS. Сканеры поисковой системы уже бродят по сети, собирая и кэшируя информацию DNS. Поэтому Google решил использовать эту информацию, уже находящуюся в ее центрах обработки данных, чтобы предложить службу DNS, ориентированную на производительность и безопасность.

Одной из самых привлекательных особенностей общедоступного DNS Google является его доступность бесплатно.Как и многие другие общедоступные службы DNS, Google также является рекурсивным преобразователем DNS, который связывается с несколькими другими DNS-серверами, прежде чем вернуться к клиенту.

Другим подобным службам, включая DNS по умолчанию вашего интернет-провайдера, не хватает ресурсов для поддержки большого объема запросов. Напротив, Google использует большие кеши и балансирует нагрузку входящего трафика запросов, чтобы гарантировать, что он может быстро ответить на большинство запросов из кеша.

Кроме того, в отличие от многих своих недобросовестных коллег, Google Public DNS никогда не будет перенаправлять вам рекламу; если введенного вами URL не существует, Google сообщит вам об этом вместо того, чтобы перенаправить вас на страницу, заполненную рекламой, или на страницу с ближайшим соответствием.

DNS Google также ориентирован на будущее и полностью оборудован для обработки запросов из сетей, поддерживающих только IPv6. Служба поддерживает механизм DNS64, который возвращает адреса IPv6, даже если ваш пункт назначения — только IPv4.

Распространенность эксплойтов DNS означает, что провайдеры должны часто применять обновления и исправления серверов. Отравление кеша сервера имен для направления его пользователей на вредоносные сайты — довольно распространенный тип атаки.Кроме того, преобразователи DNS также часто используются для запуска атак типа «отказ в обслуживании» (DoS).

Google утверждает, что предпринимает несколько шагов для защиты от таких атак и гарантирует подлинность ответов, которые он получает от других серверов имен. Стандартным решением для устранения уязвимостей DNS является DNSSEC, который служба Google полностью поддерживает с 2013 года. DNSSEC может похвастаться такими функциями безопасности, как добавление энтропии для запросов сообщений для снижения вероятности сложных атак с отравлением кеша, ограничение скорости клиентского трафика для предотвращения DoS-атак, удаление повторяющихся запросов и многое другое.

Google также утверждает, что не использует никакую личную информацию, собранную через общедоступную службу DNS, для таргетинга рекламы. Он добавляет, что он также не связывает личную информацию из журналов DNS с вашей учетной записью Google, если только это не требуется для решения проблемы безопасности или злоупотребления.

Согласно политике конфиденциальности службы, собранная информация хранится в двух типах журналов.Во временных журналах хранятся как ваш IP-адрес, так и DNS-запрос. Google использует эту информацию для выявления и смягчения угроз безопасности или злонамеренных действий и обычно удаляет журналы в течение 24-48 часов. Постоянные журналы — это обезличенная выборка временных журналов, которые сохраняются после удаления вашего IP-адреса и замены его местоположением на уровне города или региона.

Google Public DNS имеет легко запоминающиеся адреса, а именно 8.8.8.8 и 8.8.4.4. Регистрация отсутствует, и вы можете использовать их, просто заменив DNS по умолчанию на эти значения в вашем маршрутизаторе, а также в сетевых настройках вашего компьютера. Последний обеспечит перенаправление ваших запросов на DNS Google, даже если вы подключены к ненадежной сети в киберкафе или библиотеке.

DNS-серверы Google доступны по всему миру, и адреса сопоставляются с ближайшим работающим сервером с помощью произвольной маршрутизации.Когда ваш компьютер отправляет запросы на DNS-серверы Google, они направляются в ближайшее место, где указан произвольный адрес.

Согласно DNSPerf.com, который сравнивает общедоступные и коммерческие службы DNS, средняя мировая скорость запросов Google в июле 2020 года составила 22,17 мс. В Северной Америке производительность за тот же месяц была лучше — 15,49 мс.

Но вы должны рассматривать эти цифры в контексте. Например, несмотря на то, что в этом месяце он был самым медленным в Азии (28).62 мс, это было быстрее, чем у любой другой общедоступной службы DNS. И хотя его производительность в Европе была намного лучше — 18,49 мс, он все еще оставался только третьим по скорости.

Для получения наиболее точных результатов мы рекомендуем использовать инструмент тестирования производительности Namebench. Кросс-платформенный инструмент проведет стресс-тестирование многих популярных общедоступных DNS-сервисов с вашего компьютера, а также будет включать некоторые из популярных и быстрых локально доступных опций для получения наиболее точных результатов.

Google Public DNS предлагает только разрешение DNS.Если вы ищете сервис, который позволяет вам контролировать трафик и применять блокировку, вам придется поискать в другом месте. Фактически, он даже не блокирует вредоносные сайты. По собственному признанию, Google Public DNS редко выполняет блокировку или фильтрацию.

Кроме того, в отличие от многих своих коммерческих аналогов, Google Public DNS не является DNS-хостингом или службой аварийного переключения. Он также не хранит авторитетные записи для других доменов. Однако его коммерческий сервис Google Cloud DNS делает именно это.

Наконец, несмотря на то, что его нельзя превзойти по цене, это не самый быстрый преобразователь DNS, как мы видели в предыдущем разделе.Тем не менее, его точная производительность будет варьироваться в зависимости от региона и провайдера, и это вполне может быть самый быстрый вариант, доступный вам.

DNS — один из основных строительных блоков Интернета. Его используют каждый раз, когда вы посещаете веб-сайт, отправляете электронное письмо, общаетесь в чате или делаете что-нибудь еще в Интернете.Хотя OpenDNS обеспечивает безопасность мирового класса с использованием DNS в течение многих лет, и
OpenDNS — самый безопасный из доступных DNS-сервисов, основной протокол DNS не был достаточно безопасным для нашего удобства. Многие вспомнят уязвимость Каминского, которая
повлиял почти на все реализации DNS в мире (но не на OpenDNS).

Тем не менее, класс проблем, с которыми связана уязвимость Камински, был результатом некоторых основных основ протокола DNS, которые по своей сути слабые, особенно на «последней миле».«Последняя миля»
это часть вашего интернет-соединения между вашим компьютером и вашим интернет-провайдером. DNSCrypt — это наш способ защитить «последнюю милю» DNS-трафика и решить (без каламбура) целый класс серьезных проблем безопасности, связанных с протоколом DNS.
Поскольку подключение к Интернету в мире становится все более мобильным, и все больше и больше людей подключаются к нескольким различным сетям Wi-Fi за один день, потребность в решении растет.

Было множество примеров взлома, атак типа «злоумышленник в середине» и отслеживания трафика DNS на «последней миле», и это представляет серьезную угрозу безопасности, которую мы всегда хотели исправить.Сегодня мы можем.

Точно так же, как SSL превращает веб-трафик HTTP в зашифрованный веб-трафик HTTPS, DNSCrypt превращает обычный трафик DNS в зашифрованный трафик DNS, который защищен от перехвата и атак типа «злоумышленник в середине». Не требует изменений в домене
имен или того, как они работают, он просто предоставляет метод безопасного шифрования связи между нашими клиентами и нашими DNS-серверами в наших центрах обработки данных.Однако мы знаем, что сами по себе претензии не работают в сфере безопасности, поэтому мы открыли
загрузите исходный код в нашу базу кода DNSCrypt, и он доступен на GitHub.

DNSCrypt — это легкое программное обеспечение, которое каждый должен использовать для повышения конфиденциальности и безопасности в Интернете. Он работает, шифруя весь DNS-трафик между пользователем и OpenDNS, предотвращая любой шпионаж, подделку или атаки типа «злоумышленник в середине».

Мы открыли исходный код нашей базы кода DNSCrypt, и он доступен на GitHub. Графические интерфейсы больше не разрабатываются; однако сообщество с открытым исходным кодом по-прежнему предоставляет неофициальные обновления
к техническому превью.

Советы:
Если у вас есть брандмауэр или другое промежуточное программное обеспечение, обрабатывающее ваши пакеты, вам следует попробовать включить DNSCrypt с TCP через порт 443.Это заставит большинство брандмауэров думать, что это HTTPS-трафик, и оставить его в покое.

Если вы предпочитаете надежность безопасности, включите возврат к небезопасному DNS. Если вы не можете связаться с нами, мы попытаемся использовать ваши назначенные DHCP или ранее настроенные DNS-серверы. Однако это угроза безопасности.

Нет. DNSCrypt и DNSSEC дополняют друг друга. DNSSEC выполняет ряд функций.Во-первых, он обеспечивает аутентификацию. (Это запись DNS, которую я получаю от владельца доменного имени, о котором я спрашиваю, или она была подделана
с?) Во-вторых, DNSSEC обеспечивает цепочку доверия, которая помогает установить уверенность в том, что ответы, которые вы получаете, поддаются проверке. Но, к сожалению, DNSSEC на самом деле не обеспечивает шифрование записей DNS, даже если они подписаны DNSSEC. Четный
если бы все в мире использовали DNSSEC, необходимость в шифровании всего DNS-трафика не исчезла бы.Более того, DNSSEC сегодня представляет собой почти нулевой процент от общего числа доменных имен и все меньший процент записей DNS каждый день по мере того, как Интернет
растет.

Тем не менее, DNSSEC и DNSCrypt могут отлично работать вместе. Они никак не противоречат друг другу. Думайте о DNSCrypt как о оболочке для всего трафика DNS, а DNSSEC — как о способе подписания и обеспечения проверки для подмножества этих записей. Там
— это преимущества DNSSEC, которые DNSCrypt не пытается решить.Фактически, мы надеемся, что внедрение DNSSEC будет расти, чтобы люди могли больше доверять всей инфраструктуре DNS, а не только связи между нашими клиентами и OpenDNS.

Мы не используем SSL. Хотя мы проводим аналогию с тем, что DNSCrypt похож на SSL в том смысле, что он обертывает весь трафик DNS с помощью шифрования так же, как SSL обертывает весь трафик HTTP, это не используемая криптографическая библиотека. Мы используем криптографию с эллиптическими кривыми,
в частности, эллиптическая кривая Curve25519.Цели проектирования аналогичны целям, описанным в конструкции сервера пересылки DNSCurve.

DNSSEC — это стандартизированное решение для добавления аутентификации к ответам DNS, обеспечивающее аутентификацию отправителя и целостность сообщения.Хотя он не решает всех проблем безопасности, связанных с DNS, он обязательно должен быть частью инструментария безопасности DNS, поскольку он предотвращает некоторые из наиболее разрушительных атак, таких как отравление кеша.

Здесь применяются все основные принципы: обеспечение безопасности операционной системы, поддержание программного обеспечения в актуальном состоянии, наличие резервных систем для обеспечения доступности услуг, обеспечение мер безопасности по обновлению, чтобы гарантировать, что только уполномоченный персонал может изменять записи DNS и т. Д.Этот базовый (а иногда и утомительный) уровень часто упускается из виду при рассмотрении «безопасности DNS», но при неправильном обслуживании могут возникнуть катастрофические последствия.

В начале 2019 года Министерство внутренней безопасности (DHS) выпустило срочное предупреждение о потенциальном «угоне» DNS. В отчете подробно рассказывается о взломе, предпринятом кибершпионажной группой, предположительно действующей из Ирана, которая манипулировала записями DNS для доменов частных компаний и государственных агентств ¹.В предупреждении подчеркивается, что основной уязвимостью в безопасности DNS является отсутствие защиты процесса обновления данных. Благодаря такому надзору злоумышленники смогли получить доступ к достоверным данным DNS-сервера и изменить записи, чтобы пользователи переходили на неправильные IP-адреса.

Это событие также указывало на необходимость учитывать конфигурацию самих DNS-серверов. Такие действия, как отключение открытой рекурсии и реализация ограничения скорости отклика, помогают снизить объемные DDoS-атаки в Интернете в целом.

Очевидным усовершенствованием является DNSSEC, который добавляет аутентификацию и целостность данных к подписанным данным DNS, но это лишь небольшая часть всего ландшафта безопасности DNS. Существуют и другие усовершенствования протокола, такие как DNS через TCP и DNS через HTTPS, которые добавляют конфиденциальность данных поверх связи DNS. Существуют также такие функции, как зона политики ответа, которая изменяет способ ответа рекурсивных DNS-серверов на запросы, чтобы упреждающе не позволять конечным пользователям разрешать известные вредоносные доменные имена.

RPZ позволяет администраторам создавать наборы правил для блокировки определенных доменных имен, но его сила заключается в способности собирать список доменных имен, опубликованных другими, такими как исследовательские фирмы в области безопасности, у которых есть специальные группы для обработки и поддержки списка. Этот ориентированный на список или «поток» подход известен под более общим термином «анализ угроз» и очень важен для безопасности в целом, а не только для DNS. Хороший канал RPZ, поступающий от хорошо изученной компании, будет содержать более точную и актуальную информацию о том, какое доменное имя безопасно разрешать, а какое — нет.См. Дополнительную информацию в разделе «Аналитика угроз». Нам нужно занять более активную позицию при анализе исходящих данных DNS, чем просто блокировать их на основе данных RPZ. Такие угрозы, как DNS-туннелирование, трудно обнаружить даже с помощью RPZ, и могут потребоваться более совершенные технологии для анализа исходящих DNS-запросов в режиме реального времени.

Никто не получает должной безопасности с первого раза, и даже если вы это сделали, ландшафт постоянно меняется, а поддержание эффективной позы требует постоянной корректировки и настройки.Чтобы знать, где настраиваться, нам нужна аналитика и отчетность. Ваши DNS-серверы должны не только создавать журналы, но и иметь механизмы для извлечения смысла из этих системных журналов и предупреждений в элементы, требующие действий. Всегда должна быть функция отчетов, позволяющая создавать отчеты, которые помогут вам быстро выявлять проблемы и проблемы с безопасностью или выявлять возникающие тенденции. Кликните сюда, чтобы узнать больше.

Мы давно прошли те времена, когда каждый человек решал вопросы безопасности индивидуально.Раньше мы, возможно, думали о брандмауэре как о решении всех проблем безопасности. В современной корпоративной среде устройства и продукты должны быстро работать вместе для решения возникающих проблем безопасности.

Из-за того, что поставлено на карту безопасность, ручное разрешение может быть нежелательным или даже невозможным. Представьте, что устройство было идентифицировано как зараженное программой-вымогателем: каждая потерянная секунда может означать, что другой сетевой файл зашифрован. DNS стал одним из первых шагов для устранения многих нарушений безопасности, что сделало его идеальным агентом уведомлений для запуска процесса автоматизации и исправления безопасности.

Безопасность DNS намекает на меры защиты, связанные с протоколом DNS. Как вы, возможно, уже знаете, DNS (система доменных имен) не была создана с использованием проектного подхода к безопасности. И в сегодняшнем цифровом мире, когда пользователи Интернета требуют беспрепятственного и стабильного онлайн-взаимодействия, с DNS стало труднее работать, чем когда-либо.

DNS был создан в начале 1980-х годов с целью решить проблемы, возникшие в раннем Интернете (ARPAnet), который использовался для хранения имен для преобразования адресов в единой таблице на одном хосте (HOSTS.ТЕКСТ). В 1983 году Пол Мокапетрис предложил новую структуру, которая включала динамическую распределенную систему — DNS .

После официального создания Инженерной группы Интернета (IETF) в 1986 году DNS превратилась в один из первых Интернет-стандартов. Вместо простого поиска имен хостов DNS теперь предоставляет легко узнаваемые имена IP-адресов, что делает Интернет более удобным для регулярного использования.

Чтобы предоставить больше контекста в процесс разрешения DNS, каждый раз, когда домен приобретается у одного из регистраторов доменов, ему назначается уникальный IP-адрес, что позволяет локализовать сайт. Когда кто-то хочет посетить веб-сайт, выполняется DNS-запрос. Проще говоря, DNS-сервер ищет IP-адрес, и после того, как он будет найден, ваш браузер подключится к серверу, на котором размещен веб-сайт. Этот процесс включает в себя несколько шагов (выполняемых за доли секунды), которые я описал в этой статье.

По сути, DNS, который поддерживает присутствие вашей компании в Интернете, представляет собой централизованную сеть, управляемую различными организациями по всему миру. Короче говоря, он включает операторов корневых серверов и серверов домена верхнего уровня, рекурсивные службы имен, авторитетные службы имен, предлагаемые операторами управляемых DNS, и регистраторов доменов, которые обрабатывают доменные имена.

В лучшем случае всякий раз, когда вы вводите доменное имя (которое преобразуется в IP-адрес), вы попадаете на желаемый веб-сайт.Это обычно так, однако простой DNS-запрос может не всегда выполняться так, как планировалось, а это означает, что не всегда можно гарантировать безопасность службы DNS. Фактически, уже не новость, что многие — как простые, так и сложные — угрозы DNS часто встречаются в дикой природе. Спуфинг / отравление DNS, атаки Man-in-the-Middle, DDoS-атаки и многие другие — все это скрытые угрозы DNS.

Ответ прост. Во-первых, когда был изобретен DNS, угрозы безопасности не преобладали, как сейчас.В то время мы имели дело с гораздо меньшей и гораздо более безопасной средой, но по мере того, как ее масштабы и доступность увеличивались, все более многообещающим она становилась в глазах злоумышленников.

Во-вторых, с течением времени в инфраструктуру DNS было внесено множество дополнений — и иногда, возможно, без особой осторожности. Эти аспекты способствовали недостаточной безопасности DNS. Таким образом, неудивительно, что несметное количество угроз DNS теперь угрожает как крупным, так и малым компаниям и обычным потребителям.Тем не менее, обеспечение безопасности DNS важно для цифровой идентификации любого бизнеса, а также для поддержания безопасности и целостности его внутренних приложений.

В любом случае последствия всех атак DNS, скорее всего, окажут огромное влияние на вашу организацию. Без мер безопасности DNS ваш бизнес останется незащищенным. Следовательно, в дополнение к другим методам предотвращения и смягчения угроз, которые должна иметь ваша компания (например, управление исправлениями, безопасность электронной почты и защита от мошенничества с электронной почтой, управление привилегированным доступом и антивирус конечных точек), также важно поддерживать безопасность DNS на должном уровне. фундаментальная часть вашего фундамента кибербезопасности.

DNSSEC обеспечивает безопасность и конфиденциальность данных (аспект, который обычно не обрабатывается через DNS), служа краеугольным камнем для цифрового доверия и предотвращая такие угрозы DNS, как отравление кеша.Серверы DNSSEC подписывают все ответы сервера цифровой подписью. Посредством проверки подписи преобразователь DNSSEC может проверить, идентичны ли данные, поступившие с действительного сервера, данным на полномочном DNS-сервере. Если это не так, запрос будет отклонен. Кроме того, DNSSEC может обнаруживать атаки Man-In-The-Middle благодаря аутентификации источника данных — однако имейте в виду, что не предотвращает эти атаки .

DNS-фильтрация — отличное решение для предотвращения доступа к вредоносным доменам и веб-страницам.Как я уже объяснял в этой статье, говоря очень простыми словами, DNS-сервер ищет IP-адрес домена, к которому вы хотите получить доступ, что затем позволяет вашему браузеру загружать веб-сайт. Теперь, говоря о процессе разрешения DNS в отношении того, как работает DNS-фильтрация, вы также должны помнить о дополнительном шаге. Это означает, что до завершения разрешения DNS каждый новый запрос будет проверяться. Если веб-страница или домен будут известны как вредоносные, фильтр DNS заблокирует запрос, и браузер будет перенаправлен на веб-страницу, на которой указано, что к этому сайту нет доступа.Например, технология DNS-фильтрации Heimdal Security сканирует ваш трафик и блокирует доступ к вредоносным веб-сайтам, которые потенциально могут заразить вашу систему вредоносным ПО.

Короче говоря, мы ведем черный список вредоносных IP-адресов / веб-страниц и гарантируем, что доступ к ним ограничен.Более того, используя механизм Darklayer GUARD ™ , высокотехнологичное решение безопасности DNS на основе трафика конечных точек и лучший DNS-фильтр на рынке, наши клиенты могут отслеживать, предотвращать, обнаруживать и блокировать DNS-угрозы. Благодаря уникальной технологии Threat to process correlation (TTPC) , мы также предлагаем возможность выявлять пользователей и процессы, подверженные риску, и упреждающе искать сетевые угрозы. Кроме того, Darklayer GUARD ™ предлагает полную категорию (Социальные сети, реклама и т. Д.).) система блокировки на выбор системного администратора.

DarkLayer GUARD ™ развертывается в тандеме с Vector ^N Detection ™ , и они предоставляют нашим пользователям возможности HIPS / HIDS и IOA / IOC с помощью ИИ с преобразованием нейронной сети для связи между устройствами и инфраструктурой для предотвращения атак, которые традиционные антивирусы и брандмауэры не могут обнаружить. Благодаря фильтру Блума, который мы используем, это решение становится чрезвычайно малозатратным, что гарантирует отсутствие задержек при доступе к безопасным веб-сайтам.Мы развертываем эти технологии безопасности DNS как на уровне конечных точек, так и на уровне периметра (с помощью Heimdal Threat Prevention).

Наблюдая за своей DNS-активностью и журналами, вы можете замечать подозрительные шаблоны трафика, которые могут выявить ключевые индикаторы компрометации. Например, непредвиденные изменения объема трафика могут указывать на вредоносную активность DNS. Например, наш Vector ^N Detection ™ использует машинное обучение для определения шаблонов компрометации и предлагает IOA и IOC, позволяя использовать уникальное дополнение, которое повысит безопасность вашей конечной точки.

Чтобы запретить использование DNS для доставки вредоносных программ, была создана служба защитных доменных имен (PDNS).Это бесплатная служба DNS с доступом в Интернет, созданная Национальным центром кибербезопасности (NCSC) и реализованная Nominet UK. Защитный DNS — это рекурсивный преобразователь (он находит ответы на DNS-запросы). Управление вашими собственными доменами (авторитетный DNS) осуществляется NCSC независимо и не зависит от внедрения службы Защитного DNS.

DNS — это жизненно важная цифровая структура и одна из основ Интернета, которая объединяет все, что связано с ИТ-инфраструктурой — в основном, всю информацию, которая циркулирует между серверами и пользователями.Поэтому неудивительно, что он превратился в привлекательную цель для злоумышленников. В общем, крайне важно предпринять решительные шаги для обеспечения соблюдения и поддержки мер защиты DNS и защиты вашей организации от киберпреступности.

DNS-over-HTTPS (DoH) работает иначе. Он отправляет введенное вами доменное имя на DoH-совместимый DNS-сервер, используя зашифрованное HTTPS-соединение вместо обычного текстового. Это не позволяет третьим лицам видеть, к каким веб-сайтам вы пытаетесь получить доступ.

DoH улучшает конфиденциальность, скрывая поиск доменного имени от кого-то, скрывающегося в общедоступном Wi-Fi, вашего интернет-провайдера или кого-либо еще в вашей локальной сети.
DoH, если он включен, гарантирует, что ваш интернет-провайдер не сможет собирать и продавать личную информацию, связанную с вашим поведением в Интернете.

Некоторые люди и организации используют DNS для блокировки вредоносных программ, включения родительского контроля или фильтрации доступа вашего браузера к веб-сайтам. Если этот параметр включен, DoH обходит ваш локальный преобразователь DNS и отменяет эти специальные политики.При включении DoH по умолчанию для пользователей Firefox позволяет пользователям (через настройки) и организациям (через корпоративные политики и поиск канареечного домена) отключать DoH, когда он мешает предпочтительной политике.
В США Firefox по умолчанию направляет запросы DoH на DNS-серверы, которые обслуживаются CloudFlare, что означает, что CloudFlare имеет возможность видеть запросы пользователей. В Mozilla действует строгая политика Trusted Recursive Resolver (TRR), которая запрещает CloudFlare или любому другому партнеру DoH собирать личную идентифицирующую информацию.Чтобы снизить этот риск, наши партнеры по контракту обязаны придерживаться этой политики.

Mozilla объявила о планах включить DoH для всех пользователей настольных компьютеров Firefox в США в 2019 году. DoH будет включен для пользователей в «резервном» режиме. Например, если поиск доменного имени, использующий DoH, по какой-то причине завершится неудачно, Firefox вернется и будет использовать DNS по умолчанию, настроенный операционной системой (ОС), вместо отображения ошибки.

Для существующих пользователей Firefox, которые находятся в США, нижеприведенное уведомление будет отображаться, если и когда DoH будет впервые включен, позволяя пользователю отказаться от использования DoH и вместо этого продолжить использовать свой DNS-преобразователь ОС по умолчанию.

На начальном этапе развертывания DoH будет включен через исследование Firefox. Если вы приняли уведомление, вы можете позже отказаться, набрав about: studies в адресной строке и поискав активное исследование под названием DNS over HTTPS US Rollout . Если он существует, вы можете удалить исследование. Поскольку исследование, возможно, уже активировало описанные выше проверки, вам также следует сделать следующее:

Чтобы изменить значение предпочтения, дважды щелкните по нему нажмите кнопку Изменить , введите новое значение и щелкните галочку, чтобы сохранить изменение. Установка этого значения на 5 гарантирует, что DoH не будет автоматически включаться в будущем.

В открывшемся диалоговом окне прокрутите вниз до Включить DNS через HTTPS .
Вкл .: Установите флажок Включить DNS через HTTPS .Выберите поставщика или настройте настраиваемого поставщика.
Выкл .: Снимите флажок Включить DNS через HTTPS .

Google Chrome предлагает DoH в качестве экспериментального варианта с версии 78 (февраль 2018 г.). Эту функцию можно легко включить в графическом интерфейсе [9]. Последняя версия браузера Microsoft Edge основана на Chrome, поэтому Edge также поддерживает DoH. Веб-браузер связывается с поставщиком DNS через DoH, который настроен как классический поставщик DNS на стороне операционной системы.

Для этого нужно вызвать chrome: // flags
или edge: // флаги
и включить Безопасный поиск DNS
(Рисунок 6). Как только в операционной системе настроен один из поддерживаемых DNS-серверов (в настоящее время это поставщики CleanBrowsing, Cloudflare, Comcast, DNS.SB, Google, OpenDNS и Quad9 [10]), активируется DoH [11].

Даже если опция DoH активирована, протокол не будет использоваться, если операционная система указывает локальный DNS-сервер (например,г., в университете или исследовательском институте). Однако, если вы настроите один из поддерживаемых DNS-серверов в сетевых настройках (Cloudflare в примере на рисунке 7, т.е. 1.1.1.1), браузер будет использовать DoH.

Если пользователь Chrome может настроить DNS-серверы в операционной системе, они также могут включить DoH таким образом. Единственная контрмера — заблокировать порт 53 (DNS) для всех внутренних компьютеров, кроме локального DNS-сервера.Поэтому в политиках вы захотите установить значение BuiltInDnsClientEnabled на False [12], что, как показали мои тесты, не позволяет Chrome использовать DoH.

Браузер также ищет такие механизмы, как безопасный поиск Google или YouTube и фильтры родительского контроля, которые оценивают трафик DNS и отключают DoH, если обнаруживает такое программное обеспечение. Эта недокументированная функция, вероятно, основана в первую очередь на системах защиты детей, обычно используемых в США. Кроме того, деактивация происходит только в том случае, если DoH включен по умолчанию — в настоящее время только в США. Однако, если пользователь явно включает DoH, пользовательские настройки всегда имеют приоритет [13].

Даже если Firefox использует TLS 1.3 для DoH-соединения вы увидите имя DNS-сервера в заголовке Server Name Indication (SNI) при открытии HTTPS-соединения (по умолчанию mozilla.cloudflare-dns.com
; Рисунок 8). SNI используется, чтобы сообщить серверу, с каким из размещенных серверов вы хотите взаимодействовать, и это единственный способ, с помощью которого веб-сервер может выбрать сертификат, соответствующий веб-сайту.

Стандарт шифрования заголовка SNI (зашифрованный SNI, ESNI) [14] в настоящее время не используется для запросов DoH, потому что ключ для ESNI должен быть заменен DoH — проблема курицы и яйца. Таким образом, поставщик DoH по умолчанию может быть заблокирован в Mozilla Firefox путем фильтрации DNS-запросов на mozilla.cloudflare-dns.com
на DNS-сервере.

Если компания хочет предотвратить использование альтернативных вариантов DNS, она может просто заблокировать DoT на брандмауэре, заблокировав порт 853 для исходящего трафика.DNSCrypt и DoH могут быть заблокированы на брандмауэре только с помощью анализа содержимого, поскольку они используют порт 443 (HTTPS).

В Интернете есть списки доменных имен, принадлежащих поставщикам услуг, которые включили DNSCrypt, DoT или DoH [15]. Однако количество серверов постоянно увеличивается. Блокировка доступа к ресурсам, перечисленным в данный момент, не является окончательным решением. Если сервер предлагает и DoH, и один или несколько веб-сайтов на одном IP-адресе, блокировка IP-адреса на брандмауэре также не является хорошим решением.

Однако, поскольку в будущем будет больше программ или операционных систем, поддерживающих шифрование DNS, необходимо базовое решение. Стандарт безопасности транспорта предприятия (ETS) Европейского института телекоммуникационных стандартов (ETSI) [16] не подходит (CVE-2019-9191), поскольку он стремится читать весь трафик.Групповые политики нельзя использовать для BYOD или в образовательном роуминге, потому что у вас нет доступа к настройкам компьютеров и интеллектуальных устройств.

В конечном итоге должен существовать единый способ маршрутизации зашифрованных DNS-запросов через соответствующую корпоративную инфраструктуру в корпоративных средах. Блокирование внешних провайдеров DoH и DNSCrypt (оба используют порт 443) на брандмауэре навсегда останется гонкой зайцев и черепах, и поэтому на самом деле не предлагает решения. Современные межсетевые экраны с глубокой проверкой пакетов, безусловно, могут обнаруживать и блокировать протоколы и принудительно использовать классический DNS.

Идеальным решением было бы то, что использует DoH в открытых сетях, но предпочитает инфраструктуру DNS соответствующего учреждения в контролируемых средах. Зашифрованный протокол DNS может использоваться для связи между клиентами и DNS-сервером.

Стандартные службы DNS, предлагаемые вашим интернет-провайдером, предлагают достаточно хороший вариант для простого разрешения DNS. Они преуспевают в том, что превращают ваш запрос в IP-адрес, к которому ваш браузер должен подключиться, и кешируют его для более быстрого ответа.Но когда дело доходит до безопасности, иногда «достаточно хорошего» недостаточно.

Хотя мы уже говорили о предотвращении DNS-атак, теперь пора посмотреть, каковы на самом деле все риски использования небезопасного DNS-сервера и какого провайдера вам следует выбрать, чтобы обеспечить максимальную безопасность и конфиденциальность.

обычно предлагают своим пользователям услуги DNS, поэтому, когда вы не настраиваете DNS-серверы на своем компьютере или маршрутизаторе, ваши DNS-запросы будут выполняться на DNS-серверах вашего Интернет-провайдера.Использование DNS-серверов ISP по умолчанию может привести к определенным проблемам при работе в Интернете:

Подмена DNS или отравление кеша DNS, которое является одной из наиболее распространенных атак DNS. Используя уязвимости системы, злоумышленники будут пытаться внедрить вредоносные данные в кэш ваших преобразователей DNS. Затем вы будете перенаправлены на другой удаленный сервер.
Перехват DNS, который включает заражение вредоносными программами, используемыми для перехвата DNS. Вредоносное ПО, размещенное на локальном компьютере, может изменять конфигурации TCP / IP, чтобы они могли указывать на вредоносный DNS-сервер, перенаправляя трафик на фишинговый веб-сайт.

Если вы не используете VPN при работе в Интернете, ваши DNS-запросы можно легко отслеживать. Запросы DNS, как мы уже упоминали, почти полностью не зашифрованы — это означает, что любая третья сторона в середине вашего трафика может видеть ваше поведение в Интернете и веб-сайты, к которым вы подключаетесь. Кроме того, DNS-серверы вашего интернет-провайдера видят каждый поиск, который вы выполняете в браузере. Использование DNS-серверов вашего интернет-провайдера в качестве DNS-серверов по умолчанию на самом деле ничего не дает с точки зрения вашей конфиденциальности в Интернете и DNS.

Одна из наиболее частых проблем, связанных с DNS-серверами интернет-провайдеров, заключается в том, что они просто медленные. Кроме того, они могут быть неправильно настроены для кэширования, что также делает ваше интернет-соединение неприятно медленным.

кэшируют ваши предыдущие запросы, чтобы они могли быстрее их обслуживать в будущем. Поскольку ваше устройство также имеет локальный кеш DNS, нередко можно увидеть проблемы с кешем, которые вызывают проблемы при посещении определенных сайтов.Это неудобство можно легко решить, используя другой DNS-сервер — ваш интернет-провайдер и его DNS-сервис не совпадают, поэтому вам не нужно их использовать. Кроме того, некоторый контент может быть привязан к вашему IP-адресу, что означает, что вам также может быть запрещено посещать веб-сайты, которые недоступны для вашего местоположения.

Безопасный DNS-сервер добавляет дополнительный уровень безопасности к процессу разрешения DNS. Проверяя IP-адреса веб-сайтов, которые он хочет обслуживать, он определит, являются ли они вредоносными или безопасными для доступа.А если вы запросите доступ к незащищенному сайту, DNS-сервер заблокирует его и уведомит вас о происшествии.

Решая сменить поставщика DNS, важно найти лучшего поставщика, отвечающего вашим потребностям.Некоторое время назад мы провели два опроса в Твиттере, чтобы выяснить, какой у всех любимый поставщик DNS-серверов, и на основе результатов составили список лучших DNS-серверов, доступных для повышения вашей безопасности и конфиденциальности:

OpenNIC — это бесплатный DNS-сервер, который направляет ваш трафик от DNS-серверов, предоставленных вашим интернет-провайдером. Одна уникальная особенность OpenNIC заключается в том, что в зависимости от вашего местоположения вам предлагаются разные серверы. Итак, как только вы решили перейти на OpenNIC, они предоставят вам 4 сервера, ближайших к вашему местоположению, как для IPv4, так и для IPv6.

Одна из проблем с конфиденциальностью, которая может возникнуть у некоторых пользователей, заключается в том, что, поскольку все управляется группой добровольцев и не так уж сложно настроить сервер уровня 2 на OpenNIC, данные журнала может просматривать кто угодно.Кроме того, некоторые пользователи сообщают, что скорость серверов OpenNIC не всегда на должном уровне.

Теперь мы говорим об улучшении вашей онлайн-безопасности, поэтому Cloudflare DNS — служба anycast, которая не поддерживает антифишинг, улучшенную безопасность или какие-либо фильтры контента — не была бы в списке, если бы не несколько других аспектов, в которых он выделяется.

Cloudflare не контролирует, что вы можете или не можете посещать в сети, но ваша конфиденциальность здесь номер один. Они не регистрируют ваш DNS-трафик и не сохраняют ваш IP-адрес. Все, что регистрируется Cloudflare, удаляется в течение следующих 24 часов. В интересах прозрачности компания Cloudflare нанимает КПМГ для аудита своей системы и демонстрации в публичных отчетах того, что все обещания о конфиденциальности, данные их пользователям, выполняются.

Помимо отсутствия мер защиты и безопасности, еще один недостаток Cloudflare весьма ироничен — они предназначены для обеспечения конфиденциальности пользователей, но данные DNS-запросов передаются APNIC Labs в обмен на их использование 1.1.1.1, как указано в их политике конфиденциальности. И хотя Cloudflare утверждает, что APNIC не будет иметь доступа к IP-адресам пользователей, которые делают данные DNS-запросов, мы не можем забыть о Cloudbleed.

Основанная в 2005 году и с 2016 года принадлежащая Cisco, OpenDNS — это бесплатная общедоступная облачная служба, предоставляющая DNS-серверы. Это один из самых популярных, но, как ни странно, опрос в Твиттере показал его на третьем месте.

OpenDNS предлагает три решения в своем домашнем пакете, два из которых бесплатны — OpenDNS Family Shield и OpenDNS Home. Оба аналогичны платному решению; они оснащены всеми теми же функциями, за исключением истории активности в Интернете и различий в доступе к определенным веб-сайтам.

Решение OpenDNS VIP Home стоит 19 долларов.95 в год и, наряду со стандартными функциями, включенными в бесплатные решения, предлагает полную подробную статистику использования Интернета за последний год и ограничения на доступ в Интернет для определенных доменов из белого списка.

Информация о вашем DNS и IP-адресе хранится в OpenDNS, а веб-контент, который вы посещаете во время использования их серверов, анализируется и используется для различных целей, таких как персонализация, улучшение и улучшение взаимодействия с пользователем, как указано в их политике конфиденциальности.

DNSWatch также зарекомендовал себя очень популярным в наших опросах, и не зря. Он предлагает нейтралитет DNS, как и OpenNIC, то есть не подвергает цензуре какой-либо контент. Конфиденциальность также является огромным фактором в DNSWatch, и он не регистрирует никаких DNS-запросов и не записывает вашу историю.

Теперь, поскольку это провайдер, ориентированный на конфиденциальность, и небольшая компания, которая не предлагает никаких аналитических данных о безопасности, вы должны будете решить любую защиту от фишинга, вредоносных программ или атак.В конце концов, почему-то приходится выбирать между более открытым Интернетом без ограниченного контента или более безопасным просмотром.

Quad9 использует методы белого списка, в том числе неиспользуемый, который извлекается из Alexa. Поскольку списки Alexa не обновляются регулярно (проиндексированные страницы обновляются ежедневно, а рейтинг — нет), они используют фид Majestic Million и «золотой список» таких доменов, как Microsoft, Google и т. Д., Которые всегда отображаются как безопасный.

Кроме того, основная производительность Quad9 поразительна: скорость чуть ниже Cloudflare (которая является самой быстрой), но все же выше, чем у его конкурентов, хотя некоторые пользователи в определенных местах могут испытывать более низкие скорости.

Службы DNS, предоставляемые вашим интернет-провайдером по умолчанию, не являются самым безопасным способом просмотра веб-страниц, и с ними вы можете столкнуться с определенными ограничениями контента в зависимости от вашего местоположения. Это означает, что переход к любому из перечисленных нами поставщиков будет шагом в правильном направлении к повышению вашей конфиденциальности и безопасности в Интернете на уровне DNS.

Когда дело доходит до выбора нового безопасного DNS-сервера, самое важное — это то, какая услуга вам нужна.После того, как вы определились с тем, что для вас наиболее важно с точки зрения конфиденциальности, безопасности и скорости, вам будет намного проще выбрать правильный.

Являясь движущей силой Интернета, который мы знаем сегодня, DNS также является одним из наиболее часто атакованных протоколов с различными типами DNS-атак, нацеленных на организации. Создание полной инвентаризации всех активов, подключенных к Интернету, включая записи DNS, является важным шагом в любом расследовании. SecurityTrails API ™ может помочь вам обнаружить любые подозрительные изменения в записях DNS, предоставив вам доступ к полной истории записей DNS.Зарегистрируйтесь для получения ключа API сегодня.

Сара считает, что человеческий фактор часто лежит в основе всех проблем кибербезопасности. Именно такая перспектива придает свежий голос команде SecurityTrails. Ее способность объединять когнитивные / социальные мотиваторы и то, как они влияют на индустрию кибербезопасности, всегда поучительна.

About Me

Dashy

Безопасный dns: Page not found | Студия развития бизнеса «Digital Life»

Яндекс.DNS

Технические подробности

Защита от заражённых сайтов

Защита от мошеннических сайтов

Защита от ботнетов

Блокировка сайтов для взрослых

Блокировка рекламы для взрослых

Яндекс.DNS в роутере

Что такое Яндекс.DNS — Яндекс.DNS. Справка

Яндекс.DNS

Настройка в маршрутизаторах D-Link

Как настроить Яндекс.DNS?

5 лучших DNS-серверов для повышения безопасности в Интернете

Какие самые безопасные DNS-серверы?

Как спрятать DNS-запросы от любопытных глаз провайдера / Хабр

Настройка 1.1.1.1 от Cloudflare и других DNS-сервисов по-прежнему требует навыков работы в командной строке

Быстрый и безопасный DNS 1.1.1.1 от CloudFlare

Апрель 2024
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Безопасный dns: Page not found | Студия развития бизнеса «Digital Life»

Яндекс.DNS

Технические подробности

Защита от заражённых сайтов

Защита от мошеннических сайтов

Защита от ботнетов

Блокировка сайтов для взрослых

Блокировка рекламы для взрослых

Яндекс.DNS в роутере

Что такое Яндекс.DNS — Яндекс.DNS. Справка

Яндекс.DNS

Настройка в маршрутизаторах D-Link

Как настроить Яндекс.DNS?

5 лучших DNS-серверов для повышения безопасности в Интернете

Какие самые безопасные DNS-серверы?

Как спрятать DNS-запросы от любопытных глаз провайдера / Хабр

Настройка 1.1.1.1 от Cloudflare и других DNS-сервисов по-прежнему требует навыков работы в командной строке

Быстрый и безопасный DNS 1.1.1.1 от CloudFlare

Насколько быстр и безопасен DNS 1.1.1.1?

Как использовать DNS 1.1.1.1 и 1.0.0.1 на компьютере?

Настройка DNS на роутере

Настройка DNS на компьютере

CloudFlare DNS 1.1.1.1 на мобильном

Список лучших бесплатных публичных DNS с результатами тестирования

Бесплатные DNS от Cloudflare

Бесплатные DNS от Google

Бесплатные DNS от Яндекс

Бесплатные OpenDNS от Cisco

Бесплатные и безопасные DNS от Quad9

Бесплатные и безопасные DNS от Neustar

Бесплатные и безопасные DNS от Norton

Бесплатные DNS от Verisign

Бесплатные DNS от Comodo

Какой DNS сервер самый лучший

Какой DNS сервер выбрать

Как настроить компьютер на использование стороннего DNS

Благодарности

Google Public DNS обзор | TechRadar

Функции

Конфиденциальность и безопасность

Использование и производительность

Окончательный вердикт

DNS Безопасность с DNSCrypt | OpenDNS

Представляем DNSCrypt

Предыстория: необходимость повышения безопасности DNS

Почему DNSCrypt так важен

Загрузить сейчас:

Часто задаваемые вопросы (FAQ):

В чем разница между безопасностью DNSSEC и DNS?

DNSSEC

Компоненты безопасности DNS

Основные сведения, которые необходимо знать для обеспечения безопасности вашей организации

Heimdal ™ Предотвращение угроз — Конечная точка

Heimdal ™ Предотвращение угроз — Сеть

3.Мониторинг активности DNS

4. Служба защиты DNS (только для организаций государственного сектора)

Firefox DNS-over-HTTPS | Справка Firefox

Преимущества

Риски

Отказаться

Безопасный DNS »Журнал ADMIN

Google Chrome / MS Edge

Mozilla Firefox

Возможные решения

5 лучших DNS-серверов для повышения конфиденциальности и безопасности в сети

Риски неиспользования безопасного DNS-сервера

Пониженная безопасность

Пониженная конфиденциальность

Пониженная скорость

Невозможность загрузки веб-сайтов

Лучшие DNS-серверы для безопасности и конфиденциальности

Заключение

Добавить комментарий Отменить ответ