Geekly articles weekly

DNS sobre TLS e sobre HTTPS agora no iOS / Android e em todas as redes ao mesmo tempo [Thanks Cloudflare]



DNS sobre TLS e sobre HTTPS (daqui em diante DOT & DOH) - talvez essas sejam as tecnologias que aumentam drasticamente a privacidade e a segurança na Internet. Também há SNI criptografado, mas é necessário DOH e DOT para usá-lo.

Chamo a atenção, o aplicativo em si é muito amigável, mesmo sem um profundo conhecimento de tecnologia, é altamente recomendável que você se familiarize com ele.


Referência rápida: o DNS é um sistema para obter endereços IP, uma parte fundamental da Internet, que é usada sempre que você navega na web. Ao abrir esse ou aquele recurso, você informa ao provedor de serviços onde foi e, mesmo que mude o DNS para outro (8.8.8.8 do Google, por exemplo), isso não ajudará, devido à falta de criptografia no protocolo, o que permite a substituição e o redirecionamento de tráfego não é o servidor de destino (na verdade, um ataque MITM).

Mais recentemente, o principal problema de segurança na rede era o HTTP, mas graças ao Google e LetsEncrypt - ele está praticamente resolvido - agora o que exatamente você está vendo no site - agora é desconhecido para o provedor, existem apenas dois problemas:

  1. Vazamento de DNS: Esse é o mesmo problema que pode ser resolvido usando DOH & DOT
  2. Vazamento do SNI do domínio - o problema da divulgação do SNI surge quando você estabelece uma conexão HTTPS com o site, no entanto, antes de iniciar a transferência criptografada - o navegador transmite o nome do domínio do site para conexão com o servidor de maneira clara, o padrão eSNI resolverá esse problema, mas esta é a próxima etapa



Há algum tempo, artigos foram publicados no Habr: (eu recomendo que você leia) :

  1. O DNS público do Google ativou silenciosamente o suporte ao DNS por TLS
  2. Nós encontramos um serviço do Cloudflare em 1.1.1.1 e 1.0.0.1, ou "a prateleira pública do DNS chegou!"

E parece que a felicidade já está próxima, duas grandes empresas decidiram implementar novos protocolos e o suporte está prestes a atingir os usuários finais. (Especialmente com o Chrome)

Mas, por alguma razão, o suporte a DOT & DOH agora está disponível apenas nas versões "noturnas" do Firefox, sem mencionar o nível do sistema Android e iOS.

No entanto, graças a CloudFlare, que decidiu tirar proveito da lentidão do Google, e lançou um aplicativo para iOS e Android

A aplicação é muito simples, no caso do iOS, o trabalho é feito através da configuração de um perfil de VPN
Não deve ser confundido com uma VPN real! Após definir o perfil, a VPN será realmente instalada (em 127.0.0.1) e as consultas DNS serão enviadas ao CloudFlare via DOT & DOH, e o tráfego seguirá a rota usual.



O que é interessante, o aplicativo tem a capacidade de configurar o modo DNS sobre TLS ou DNS sobre HTTPS. o padrão é a última opção.


Observo novamente, a aparência do ícone da VPN não significa o uso de "VPN" no sentido usual da palavra, você pode ter certeza de que acessa qualquer identificador de IP, por exemplo, 2ip.ru

E, no entanto, se você alterar o DNS nas configurações de rede - ao alternar de WiFi para WiFi, será necessário alterá-las todas as vezes, sem mencionar o DNS da rede do provedor de serviços, às vezes é impossível editar esse parâmetro.

No caso do aplicativo - para todas as conexões, será usado automaticamente DOH / DOT do CloudFlare.

Source: https://habr.com/ru/post/pt429648/

More articles:


All Articles