DNS, Crypt, ADBlock
В данной статье будет рассмотрен простой и эффективный способ использования безопасного DNS на Windows, бонусом станет опциональная блокировка рекламы. Зачем это всё нам нужно? Разумеется ни для того, чтобы от кого-то прятать свою незаконную деятельность, а чтобы не позволять злоумышленникам перехватывать свои DNS-запросы и, как вариант, видоизменять/перенаправлять/блокировать их (атака «человек посередине»).
Варианты шифрования DNS-запросов:
Simple DNSCrypt
На сегодняшний день стало достаточно просто добавить поддержку DNSCrypt в свою систему 1), в этом нам поможет графическая утилита Simple DNSCrypt. Устанавливаем необходимый дистрибутив и запускаем:
В блоке конфигурации специально отключим фильтрацию журналирующих («Only servers without logging») и фильтрующих («Only servers without filter»), это для того, чтобы позже активировать DNS-сервера с блокировкой рекламных ресурсов.
На вкладке «Resolvers» находим «adguard-dns» и выбираем его. Теперь, помимо того, что наш DNS-трафик зашифрован, он ещё и «режет» рекламу и проверяет на фишинг.
Firefox
Firefox вообще имеет самостоятельную поддержку (т.е. всё выше описанное можно не делать, если вас устраивает безопасность только внутри браузера) DoH и eSNI. Настраивается она в about:config
:
network.security.esni.enabled=true # работа eSNI пока невозможна без активации следующей опции network.trr.mode=2 # 0 - полностью отключает DoH; # 1 - используется DNS или DoH, в зависимости от того, что быстрее; # 2 - используется DoH по умолчанию, а DNS как запасной вариант; # 3 - используется только DoH; # 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. # По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri
Результаты проверки после внесенных изменений:
DoH-сервера
- https://dns.google.com/experimental – google
- https://cloudflare-dns.com/dns-query – cloudflare
- https://dns.quad9.net/dns-query (он же https://9.9.9.9/dns-query) – quad9
- https://dns.adguard.com/dns-query – от AdGuard, бонусом с фильтрацией рекламы
Проверка
Проверить работу режима DoH можно следующим способом:
- https://1.0.0.1/help – при использовании DoH от CloudFlare покажет корректность настроек
- https://www.cloudflare.com/ssl/encrypted-sni – проверка браузера. Проверит работу безопасного DNS, поддержку DNSSEC, TLS 1.3 и eSNI. При использовании DNS не от CloudFlare немного побухтит, ну и Chrome не умеет eSNI
- https://www.dnsleaktest.com – проверка через какие DNS-сервера идут ваши запросы
- https://crypto.cloudflare.com/cdn-cgi/trace/ – проверка наличия шифрования