Bagaimana untuk menjaga hidung ISP anda daripada sejarah penyemak imbas anda dengan DNS terenkripsi

Kematian neutral rangkaian dan melonggarkan peraturan bagaimana penyedia Internet mengendalikan trafik rangkaian pelanggan telah menimbulkan kebimbangan terhadap privasi. Penyedia Internet (dan yang lain menonton trafik ketika melewati Internet) telah lama mempunyai alat yang membolehkan mereka memantau kebiasaan Internet individu dengan mudah: pelayan Domain Sistem (DNS) mereka. Dan jika mereka belum melanggan data tersebut (atau menggunakannya untuk mengubah cara anda melihat Internet), mereka mungkin tidak lama lagi.

Perkhidmatan DNS adalah buku telefon Internet, yang menyediakan alamat rangkaian Internet Protokol (IP) sebenar yang berkaitan dengan nama domain dan nama domain laman web 'dan lain-lain perkhidmatan Internet. Mereka menghidupkan arstechnica.com menjadi 50.31.169.131, contohnya. Pembekal Internet anda menawarkan DNS sebagai sebahagian daripada perkhidmatan anda, tetapi pembekal anda juga boleh log trafik DNS anda-intinya, merakam sejarah keseluruhan penyemakan imbas anda.

"Terbuka" perkhidmatan DNS menyediakan cara untuk memintas perkhidmatan ISP untuk sebab privasi dan keselamatan-dan di beberapa tempat, mengelak penapisan kandungan, pengawasan, dan penapisan. Dan pada 1 April (bukan lelucon), Cloudflare melancarkan perkhidmatan DNS berwibawa tinggi yang baru yang direka untuk meningkatkan privasi pengguna di Internet. Tawaran baru ini juga menjanjikan satu cara untuk menyembunyikan trafik DNS sepenuhnya dari enkripsi pandangan.

Dinamakan untuk alamat Protokol Internet, 1.1.1.1 adalah hasil kerjasama dengan kumpulan penyelidikan APNIC, pendaftaran Internet Asia-Pasifik. Walaupun ia juga tersedia sebagai resolver DNS konvensional "terbuka" (dan sangat cepat pada itu), Cloudflare menyokong dua protokol DNS yang disulitkan.

Semasa disempurnakan dengan suar Cloudflare yang unik, 1.1.1.1 bukanlah perkhidmatan DNS pertama yang disulitkan dengan apa-apa cara-Quad9, OpenDNS Cisco, perkhidmatan Google 8.8.8.8, dan sejumlah penyedia yang lebih kecil menyokong pelbagai skema untuk menyulitkan permintaan DNS sepenuhnya. Tetapi penyulitan tidak semestinya bermakna bahawa lalu lintas anda tidak dapat dilihat; beberapa perkhidmatan DNS yang disulitkan log permintaan anda untuk pelbagai tujuan.

Cloudflare telah berjanji untuk tidak melog masuk lalu lintas DNS individu dan telah mengupah firma luar untuk mengaudit janji itu. APNIC mahu menggunakan data lalu lintas untuk menunjuk ke alamat IP, yang mempunyai legasi yang malang sebagai tapak lambakan untuk trafik Internet "sampah", untuk tujuan penyelidikan, menurut Geoff Huston APNIC. Tetapi APNIC tidak akan mempunyai akses ke trafik DNS yang disulitkan dalam kes ini, sama ada.

Bagi pengguna, mengambil kesempatan daripada perkhidmatan DNS yang disulitkan dari Cloudflare atau perkhidmatan DNS yang lain yang berfokus pada privasi tidak semudah menukar nombor dalam tetapan rangkaian. Tiada sistem operasi pada masa ini secara langsung menyokong mana-mana perkhidmatan DNS yang disulitkan tanpa penambahan perisian yang kurang daripada-pengguna. Dan tidak semua perkhidmatan dicipta sama dari segi sokongan dan prestasi perisian.

Tetapi dengan data pengguna sebagai produk di seluruh berita lewat, saya berangkat untuk melihat bagaimana cara mendapatkan perkhidmatan DNS yang disulitkan Cloudflare. Dan diatasi oleh tikus dalaman saya, saya akhirnya menguji dan membahagikan klien untuk beberapa pembekal DNS menggunakan tiga protokol yang ditetapkan untuk penyulitan DNS: DNSCrypt, DNS lebih dari TLS, dan DNS melalui HTTPS. Mereka semua boleh bekerja, tetapi saya akan memberi amaran kepada anda: ketika semakin mudah, memilih laluan DNS yang disulik bukanlah sesuatu yang semestinya Anda dapat berjalan melalui Ibu atau Ayah melalui telefon hari ini. (Kecuali, tentu saja, ibu bapa anda menjadi pengguna baris arahan Linux yang berpengalaman.)

Mengapa kita melakukan ini, sekali lagi?

Terdapat banyak sebab untuk membuat trafik DNS lebih selamat. Walaupun lalu lintas Web dan komunikasi lain mungkin dilindungi oleh protokol kriptografi seperti Transport Layer Security (TLS), hampir semua trafik DNS dihantar tanpa diskriptif. Ini bermakna ISP anda (atau sesiapa di antara anda dan seluruh Internet) boleh log tapak yang anda lawati walaupun anda menggunakan perkhidmatan DNS yang lain dan menggunakan data tersebut untuk beberapa tujuan, termasuk menapis akses kepada kandungan dan mengumpul data untuk tujuan pengiklanan.

"Kami mempunyai masalah 'terakhir' di DNS," kata Cricket Liu, Ketua Arkitek DNS di Infoblox syarikat keselamatan rangkaian. "Kebanyakan mekanisme keselamatan yang kita hadapi dengan masalah server-to-server. Tetapi kita mempunyai masalah ini di mana kita mempunyai resolver stub pada pelbagai sistem operasi dan tidak mempunyai cara untuk mengamankannya." Itulah masalahnya, kata Liu, di negara-negara yang mempunyai hubungan yang lebih bermusuhan dengan Internet.

Hanya menggunakan perkhidmatan DNS tanpa log masuk membantu beberapa tahap. Tetapi ia tidak menghalang seseorang daripada menapis permintaan tersebut berdasarkan kandungan atau menangkap alamat di dalamnya dengan tangkapan paket atau alat pemeriksaan paket yang mendalam. Dan sebagai tambahan kepada serangan penyaduran pasif yang sederhana, ada juga ancaman serangan yang lebih aktif terhadap usaha lalulintas DNS anda oleh ISP atau kerajaan pada wayar untuk "menipu" identiti pelayan DNS, mengarahkan lalu lintas ke pelayan mereka sendiri untuk log atau menyekat lalu lintas. Sesuatu yang serupa (walaupun nampaknya tidak berniat jahat) nampaknya berlaku dengan AT & T (tidak sengaja) misrouting lalu lintas ke alamat 1.1.1.1 Cloudflare, berdasarkan pemerhatian poster forum mengenai DSLReports.

Cara yang paling jelas untuk mengelakkan pemantauan adalah dengan menggunakan rangkaian peribadi maya. Tetapi sementara VPN menyembunyikan kandungan trafik Internet anda, menyambung ke VPN mungkin memerlukan permintaan DNS terlebih dahulu. Dan setelah anda melancarkan sesi VPN, permintaan DNS kadang-kadang dapat dihalakan di luar sambungan VPN anda oleh penyemak imbas Web atau perisian lain, mencipta "kebocoran DNS" yang mendedahkan laman web mana yang anda lawati.

Di sinilah protokol DNS yang disulitkan datang dalam protokol DNSCrypt (disokong oleh Cisco OpenDNS, antara lain), resolusi DNS berbanding TLS (disokong oleh Cloudflare, Google, Quad9, dan OpenDNS) dan resolusi DNS melalui HTTPS (yang kini disokong oleh Cloudflare, Google , dan perkhidmatan BersihBerguna penyekatan kandungan dewasa). Lalu lintas yang disulitkan memastikan bahawa trafik tidak dapat dikendali atau diubahsuai dan permintaan itu tidak dapat dibaca oleh seseorang yang menyamar sebagai layanan DNS-menghapuskan serangan orang tengah dan mengintip orang tengah. Menggunakan proksi DNS untuk salah satu perkhidmatan ini (sama ada secara terus pada peranti anda atau pada "pelayan" di dalam rangkaian tempatan anda) akan membantu mencegah kebocoran DNS VPN, kerana proksi akan sentiasa menjadi pelayan DNS yang paling cepat bertindak balas.

Bahawa privasi tidak dibungkus untuk kegunaan jisim, bagaimanapun. Tiada satu pun dari protokol ini pada masa ini disokong secara asli oleh mana-mana DNS resolver pra-pakej dengan sistem operasi. Kesemua mereka memerlukan pemasangan (dan mungkin penyusunan) aplikasi klien yang bertindak sebagai pelayan "DNS" tempatan, "menyampaikan permintaan yang dibuat oleh penyemak imbas dan aplikasi lain hulu ke penyedia DNS yang selamat pilihan anda. Dan sementara dua dari tiga teknologi yang dicadangkan adalah standard, tiada pilihan yang kami uji semestinya dalam bentuk terakhirnya.

Oleh itu, jika anda memilih untuk menyelam ke dalam DNS yang disulitkan, anda mungkin mahu menggunakan Raspberry Pi atau beberapa perkakasan khusus untuk menjalankannya sebagai pelayan DNS untuk rangkaian rumah anda. Itu kerana anda akan mendapati bahawa mengkonfigurasi salah satu daripada pelanggan ini adalah lebih banyak daripada hackery yang mencukupi. Mengapa mengulangi proses berbilang kali apabila anda hanya boleh menaip tetapan protokol konfigurasi hos dinamik rangkaian (DHCP) tempatan anda untuk menunjuk semuanya pada satu pemasangan yang berjaya sebagai pelayan DNS? Saya bertanya kepada diri saya soalan ini berulang kali kerana saya melihat kemalangan pelanggan pada Windows dan tertidur di MacOS semasa ujian.

Tonton video itu: Kesehatan HIDUNG: cara menjaganya (Januari 2020).