Forum Debian Users Gang

mark napisał(-a):

Aby bezproblemowo cieszyć się szyfrowaniem zapytań swojej przeglądarki internetowej korzystając z repozytoriów Debiana instalujemy dnscrypt-proxy.
...

Aby test był 100%-wy, jak na razie umożliwia to przeglądarka Firefox. Włączamy ESNI w Firefox: wpisujemy w pasku adresu przeglądarki about:config i wyszukujemy klucz:

Kod:

network.security.esni.enabled         true
network.trr.mode         2
network.trr.uri       ustaw na https://mozilla.cloudflare-dns.com/dns-query

A ja mam takie pytanie do Ciebie, jak pozwolisz, dla zaspokojenia mojej ciekawości. Ponieważ nie do końca zrealizowałeś to co opisał Morfik, oparcie się przy konfiguracji szyfrowanego DNS na dnscrypt-proxy i dnsmasq z wyłączonym resolved.service. A przecież zainstalowałeś, skonfigurowałeś, uruchomiłeś i na koniec ominąłeś dnsmasq. To mam wątpliwości co chciałeś osiągnąć, czy chciałeś mieć tak jak w opisie dla całego systemu, czy tylko w Firefoksie.

Pytam, bo jak chciałeś tylko dla Firefoksa to wystarczy zrobić to co napisałeś na końcu (a i tak to włącza całe DoH-a nie tylko ESNI, no i działa poza twoimi ustawieniami z dnscrypt-proxy, chociaż Ty ustawiłeś tu i tu te same serwery DNS, to po co ta praca z dnscrypt-proxy). A dla całego ruchu z komputera też są prostsze konfiguracje niż z dnscrypt-proxy, a DoH-a w Firefoksie można ustawić też w about:preferences#general (Wiadomo dla lubiących prostotę w Preferencje -> Ogólne -> Sieć -> Ustawienia -> DNS poprzez HTTPS).

Ostatnio edytowany przez jawojx (2020-11-01 00:54:13)

To nie tak działa.

Jak nie masz szyfrowanego DNS, to wtedy ci mogą po drodze przechwycić zapytanie (to które słałeś o adres IP do serwera DNS) i odesłać odpowiedź, która niekoniecznie może wskazywać na adres IP, np. banku. Jak zaszyfrujesz zapytania, to tego zabiegu nikt nie przeprowadzi podobnie jak ze stronami www, gdzie również masz ruch szyfrowany na linii klient i serwer banku. To w zupełności wystarczy i nie trzeba do tego ESNI. Ten ESNI ma za zadanie poprawić jedynie prywatność, by ludzie nie wiedzieli w jakim banku trzymasz hajs ale on nie wpływa na poprawę bezpieczeństwa procesu rozwiązywania nazw domenowych. Czyli bez ESNI wiadomo gdzie wchodzisz ale nic z tym faktem nie można zrobić, no może za wyjątkiem wycięcia domeny na firewall'u i zablokowaniu całego ruchu do tej domeny.

Generalnie to zwykły user nie potrzebuje ani dnsmasq ani dnscrypt-proxy -- wystarczy, że włączy DoH w systemd-resolved. Jak pisałem artykuł o tym dnscrypt-proxy + dnsmasq, to nawet nie wiedziałem, że systemd-resolved dorobił się już wsparcia dla DoH i to bardzo upraszcza proces zabezpieczenia DNS. Oczywiście dla takich osób jak ja, systemd-resolved jest dość prymitywnym mechanizmem i my dalej musimy korzystać z dnsmasq + dnscrypt-proxy ale przeciętny kowalski wystarczy, że przestawi tam jedną opcję w konfiguracji i jest w miarę sensownie zabezpieczony. xD

OK przyjmuję Wasze uwagi człowiek uczy się całe życie więc warto słuchać i wyciągać wnioski. Jawojx dobrze zrobiłeś wskazując prostszą metodę. Wiele aspektów przybliżyliście nie tylko mi, inni także czytają i dobrze. Napisałeś: "wybrałeś zły (może inni, czytając to, kiedyś wybiorą nieświadomie źle) sposób na konfiguracje szyfrowanego DNS". Zapytam, a dlaczego złym jest wybór samego dnscrypt-proxy? Szyfrowanie jest realizowane więc w czym problem nie rozumiem. Sugerując że to zły sposób na konfigurację miałeś na myśli można prościej? Morfik napisał wersję z dnsmasq i bez niego. Wybrałem tą bez. Jak zwykły Kowalski włączyłem DoH w systemd-resolved więc powinno wystarczyć.