Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2020-11-01 00:48:54

  jawojx - Użytkownik

jawojx
Użytkownik
Zarejestrowany: 2012-10-11

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

mark napisał(-a):

Aby bezproblemowo cieszyć się szyfrowaniem zapytań swojej przeglądarki internetowej korzystając z repozytoriów Debiana instalujemy dnscrypt-proxy.
...

Aby test był 100%-wy, jak na razie umożliwia to przeglądarka Firefox. Włączamy ESNI w Firefox: wpisujemy w pasku adresu przeglądarki about:config i wyszukujemy klucz:

Kod:

network.security.esni.enabled         true
network.trr.mode         2
network.trr.uri       ustaw na https://mozilla.cloudflare-dns.com/dns-query

A ja mam takie pytanie do Ciebie, jak pozwolisz, dla zaspokojenia mojej ciekawości. Ponieważ nie do końca zrealizowałeś to co opisał Morfik, oparcie się przy konfiguracji szyfrowanego DNS na dnscrypt-proxy i dnsmasq z wyłączonym resolved.service. A przecież zainstalowałeś, skonfigurowałeś, uruchomiłeś i na koniec ominąłeś dnsmasq. To mam wątpliwości co chciałeś osiągnąć, czy chciałeś mieć tak jak w opisie dla całego systemu, czy tylko w Firefoksie.

Pytam, bo jak chciałeś tylko dla Firefoksa to wystarczy zrobić to co napisałeś na końcu (a i tak to włącza całe DoH-a nie tylko ESNI, no i działa poza twoimi ustawieniami z dnscrypt-proxy, chociaż Ty ustawiłeś tu i tu te same serwery DNS, to po co ta praca z dnscrypt-proxy). A dla całego ruchu z komputera też są prostsze konfiguracje niż z dnscrypt-proxy, a DoH-a w Firefoksie można ustawić też w about:preferences#general (Wiadomo dla lubiących prostotę w Preferencje -> Ogólne -> Sieć -> Ustawienia -> DNS poprzez HTTPS).

Ostatnio edytowany przez jawojx (2020-11-01 00:54:13)

Offline

 

#27  2020-11-01 11:13:35

  mark - Użytkownik

mark
Użytkownik
Zarejestrowany: 2020-09-09

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

jawojx napisał(-a):

A ja mam takie pytanie do Ciebie, jak pozwolisz, dla zaspokojenia mojej ciekawości. Ponieważ nie do końca zrealizowałeś to co opisał Morfik, oparcie się przy konfiguracji szyfrowanego DNS na dnscrypt-proxy i dnsmasq z wyłączonym resolved.service. A przecież zainstalowałeś, skonfigurowałeś, uruchomiłeś i na koniec ominąłeś dnsmasq. To mam wątpliwości co chciałeś osiągnąć, czy chciałeś mieć tak jak w opisie dla całego systemu, czy tylko w Firefoksie.

Tak masz rację nie do końca zrealizowałem projekt Morfika. Zrezygnowałem z dnsmasq i oparłem się na jego wersji dnscrypt-proxy z włączonymi gniazdami systemd. Uznałem, że nie potrzebuję zaawansowanej konfiguracji, którą realizuje dnsmasq. Po co w ogóle bawimy się w szyfrowanie zapytań w sieci? Główne zagrożenie czai się w przechwyceniu mojego zapytania, kierowanego z przeglądarki internetowej, do serwera DNS dostawcy internetu. Jeśli ono jest nie zaszyfrowane ktoś zainteresowany może je przechwycić i podmienić adres np. banku lub cokolwiek innego na identyczną z wyglądu i formy stronę hakera ze złośliwym exploitem. Jak na razie to tylko przeglądarka linuksowa Firefox, w porównaniu z innymi, udostępnia pełne szyfrowanie dodając SNI i chyba nieprędko ta sytuacja się zmieni.

Wiem i zdaję sobie sprawę że nic nie jest to doskonałe aczkolwiek daje pewną dozę prywatności i warto poczynić kroki w tym kierunku. Popadając w paranoję można pójść na całość- zainstalować TOR lub korzystać z Tails`a. Czy zaspokoiłem Twoją ciekawość? Nie stałem się ekspertem klasy Mofik lecz staram się jedynie wdrażać jego pomysły. W swoim poradniku przedstawił on dwie wersje a ja skorzystałem z jednej i to tyle.

Offline

 

#28  2020-11-01 12:17:16

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

To nie tak działa.

Jak nie masz szyfrowanego DNS, to wtedy ci mogą po drodze przechwycić zapytanie (to które słałeś o adres IP do serwera DNS) i odesłać odpowiedź, która niekoniecznie może wskazywać na adres IP, np. banku. Jak zaszyfrujesz zapytania, to tego zabiegu nikt nie przeprowadzi podobnie jak ze stronami www, gdzie również masz ruch szyfrowany na linii klient i serwer banku. To w zupełności wystarczy i nie trzeba do tego ESNI. Ten ESNI ma za zadanie poprawić jedynie prywatność, by ludzie nie wiedzieli w jakim banku trzymasz hajs ale on nie wpływa na poprawę bezpieczeństwa procesu rozwiązywania nazw domenowych. Czyli bez ESNI wiadomo gdzie wchodzisz ale nic z tym faktem nie można zrobić, no może za wyjątkiem wycięcia domeny na firewall'u i zablokowaniu całego ruchu do tej domeny.

Generalnie to zwykły user nie potrzebuje ani dnsmasq ani dnscrypt-proxy -- wystarczy, że włączy DoH w systemd-resolved. Jak pisałem artykuł o tym dnscrypt-proxy + dnsmasq, to nawet nie wiedziałem, że systemd-resolved dorobił się już wsparcia dla DoH i to bardzo upraszcza proces zabezpieczenia DNS. Oczywiście dla takich osób jak ja, systemd-resolved jest dość prymitywnym mechanizmem i my dalej musimy korzystać z dnsmasq + dnscrypt-proxy ale przeciętny kowalski wystarczy, że przestawi tam jedną opcję w konfiguracji i jest w miarę sensownie zabezpieczony. xD

Offline

 

#29  2020-11-01 13:57:11

  jawojx - Użytkownik

jawojx
Użytkownik
Zarejestrowany: 2012-10-11

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

morfik napisał(-a):

...Generalnie to zwykły user nie potrzebuje ani dnsmasq ani dnscrypt-proxy — wystarczy, że włączy DoH w systemd-resolved... ... ale przeciętny kowalski wystarczy, że przestawi tam jedną opcję w konfiguracji i jest w miarę sensownie zabezpieczony...

Właśnie o to mi chodziło. Dobrze Mark, że Morfik już wytłumaczył Ci w skrócie, a ja tylko celem wyjaśnienia swoich wpisów dopisze parę słów.

Chciałbym być dobrze zrozumiany, moim celem nie było szukanie twoich błędów Mark, a zwrócenie uwagi, że może wybrałeś zły (może inni, czytając to, kiedyś wybiorą nieświadomie źle) sposób na konfiguracje szyfrowanego DNS. Bo z twoich opisów wynika, że nie w pełni świadomie wybrałeś sposób Morfika, sposób z dnsmasq i dnscrypt-proxy. A można mieć to samo w bardzo prosty sposób ustawiając DoH w Firefoksie i serwer DNS ze wsparciem dla DNSSEC w NM, jak i już wspomniany systemd-resolved można użyć, dla całego systemu, a i jest DNS Privacy Daemon - Stubby. I parę innych rozwiązań na szyfrowane DNS, a ty wybrałeś dnsmasq i dnscrypt-proxy, oczywiście można, ale trzeba wiedzieć dlaczego. :)

Offline

 

#30  2020-11-01 14:34:30

  mark - Użytkownik

mark
Użytkownik
Zarejestrowany: 2020-09-09

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

OK przyjmuję Wasze uwagi człowiek uczy się całe życie więc warto słuchać i wyciągać wnioski. Jawojx dobrze zrobiłeś wskazując prostszą metodę. Wiele aspektów przybliżyliście nie tylko mi, inni także czytają i dobrze. Napisałeś: "wybrałeś zły (może inni, czytając to, kiedyś wybiorą nieświadomie źle) sposób na konfiguracje szyfrowanego DNS". Zapytam, a dlaczego złym jest wybór samego dnscrypt-proxy? Szyfrowanie jest realizowane więc w czym problem nie rozumiem. Sugerując że to zły sposób na konfigurację miałeś na myśli można prościej? Morfik napisał wersję z dnsmasq i bez niego. Wybrałem tą bez. Jak zwykły Kowalski włączyłem DoH w systemd-resolved więc powinno wystarczyć.

Offline

 

#31  2020-11-01 15:23:14

  jawojx - Użytkownik

jawojx
Użytkownik
Zarejestrowany: 2012-10-11

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

mark napisał(-a):

... Sugerując że to zły sposób na konfigurację miałeś na myśli można prościej? ...

Tak, właśnie o to chodzi. Nie zły sposób sam w sobie, ale wybór metody może zły, bo może nieadekwatny do potrzeb użytkownika.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)