Philip Wiki

Персональный wiki-сайт

Инструменты пользователя

Инструменты сайта


docs:blog:2019:12:dns-crypt-adblock

DNS, Crypt, ADBlock

В данной статье будет рассмотрен простой и эффективный способ использования безопасного DNS на Windows, бонусом станет опциональная блокировка рекламы. Зачем это всё нам нужно? Разумеется ни для того, чтобы от кого-то прятать свою незаконную деятельность, а чтобы не позволять злоумышленникам перехватывать свои DNS-запросы и, как вариант, видоизменять/перенаправлять/блокировать их (атака «человек посередине»).

Варианты шифрования DNS-запросов:

  • DNSCrypt – это клиент-серверное решение (протокол), которое позволяет шифровать DNS-запросы (скорее уже устаревший вариант, видимо скоро канет в лету)
  • DoHDNS over HTTPS (самый популярный)
  • DoTDNS over TLS

Simple DNSCrypt

На сегодняшний день стало достаточно просто добавить поддержку DNSCrypt в свою систему 1), в этом нам поможет графическая утилита Simple DNSCrypt. Устанавливаем необходимый дистрибутив и запускаем:

В блоке конфигурации специально отключим фильтрацию журналирующих («Only servers without logging») и фильтрующих («Only servers without filter»), это для того, чтобы позже активировать DNS-сервера с блокировкой рекламных ресурсов.

На вкладке «Resolvers» находим «adguard-dns» и выбираем его. Теперь, помимо того, что наш DNS-трафик зашифрован, он ещё и «режет» рекламу и проверяет на фишинг.

Firefox

Firefox вообще имеет самостоятельную поддержку (т.е. всё выше описанное можно не делать, если вас устраивает безопасность только внутри браузера) DoH и eSNI. Настраивается она в about:config:

network.security.esni.enabled=true
# работа eSNI пока невозможна без активации следующей опции
network.trr.mode=2
# 0 -  полностью отключает DoH;
# 1 - используется DNS или DoH, в зависимости от того, что быстрее; 
# 2 - используется DoH по умолчанию, а DNS как запасной вариант; 
# 3 - используется только DoH; 
# 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.
# По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri

Результаты проверки после внесенных изменений:

DoH-сервера

Проверка

Проверить работу режима DoH можно следующим способом:

1)
Так как тема шифрования и безопасности всё больше набирает обороты, Microsoft уже анонсировал добавление поддержки DoH в Windows 10
Только авторизованные участники могут оставлять комментарии.
docs/blog/2019/12/dns-crypt-adblock.txt · Последнее изменение: 03.06.2023 20:31 — philip

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki