C'è un punto in Dnscrypt quando si usa VPN?

2

Se un computer è già connesso a Internet tramite VPN, è necessario crittografare le query DNS? Da DNScrypt :

DNSCrypt is a protocol that authenticates communications between a DNS client and a DNS resolver. It prevents DNS spoofing. It uses cryptographic signatures to verify that responses originate from the chosen DNS resolver and haven't been tampered with.

Implementations are available for most operating systems, including Linux, OSX, Android, iOS, BSD and Windows.

DNSCrypt is not affiliated with any company or organization, is a documented protocol using highly secure, non-NIST cryptography, and its reference implementations are open source and released under a very liberal license.

Please note that DNSCrypt is not a replacement for a VPN, as it only authenticates DNS traffic, and doesn't prevent "DNS leaks", or third-party DNS resolvers from logging your activity.

Penso che una VPN debba essere piuttosto inutile in primo luogo se perde DNS ... il che è molto.

    
posta ArnoldS 07.05.2016 - 10:44
fonte

3 risposte

2

Dipende da cosa stai cercando di ottenere.

Se stai cercando di prevenire perdite DNS, DNSCrypt non è quello che ti serve. DNSCrypt ha lo scopo di prevenire lo spoofing del DNS, che è abbastanza diverso. Potresti pensare a Privacy vs Man-in-the-Middle .

DNSCrypt is a protocol that authenticates communications between a DNS client and a DNS resolver. It prevents DNS spoofing. [...] and doesn't prevent "DNS leaks", or third-party DNS resolvers from logging your activity.

Se vuoi verificare che la tua VPN non perda DNS, dovresti controllare la sua configurazione. di solito c'è un'opzione che potrebbe non essere controllata di default. Puoi testarlo qui per esempio link

Per DNSCrypt, sta a te decidere se è adatto a te. Se non pensi che sia eccessivo, provaci.

Alla fine, tutto dipende dal tuo VPN Server / Provider e dal livello di fiducia che hai nella sua configurazione.

    
risposta data 07.05.2016 - 12:50
fonte
1

C'è un altro punto. Con l'avvento di Windows-10, dns-leak è diventato un problema in quanto Windows sceglie il risolutore DNS più veloce.

Ho notato che quando utilizzo VPN (CyberGhost), il mio traffico dovrebbe passare attraverso il DNS - MA - usando DNS Leak , mi stava mostrando il DNS del mio isp.

Ho contattato la mia VPN e non hanno prestato molta attenzione affermando che tutto è buono e verde.

Windows 10 è così intelligente, che anche se i risolutori DNS statici sono forniti per la scheda di rete, lo ignora e seleziona il DNS locale e il suo più veloce.

Ho risolto questo problema utilizzando il proxy DNSCrypt. Poiché invia la richiesta dns alla stessa macchina (127.0.0.1), Windows pensa che sia la rotta più veloce e da lì la richiesta di maniglie dns-crypt.

Ora DNS Leak non mostra il mio indirizzo DNS locale.

Due modi per utilizzare questo:

1) Usa DNSCrypt solo sulla scheda di rete WAN [dovrebbe essere fatto].

2) Usa DNSCrypt sull'adattatore TAP-Adapter e sulla scheda di rete WAN [Senza punto], poiché VPN sta comunque crittografando il traffico.

    
risposta data 09.12.2016 - 11:06
fonte
0

Dipende. Server e client DNScrypt configurati in sicurezza assicurano zero perdite DNS. Dnscrypt crittografa il traffico DNS. Ciò significa che non può essere visualizzato o modificato con successo sulla strada da e verso il server DNScrypt downstream . I server DNSCRYPT rimuovono inoltre eventuali dati identificativi che potrebbero essere inviati a monte e spesso offrono "Nessun inoltro ai server DNS esterni / upstream (ricorsivo)"

Da quanto ho raccolto, DNSCrypt da solo potrebbe non essere sicuro al 100%. La sicurezza dipende dalla qualità dei risultati ottenuti dal tuo server DNSCRYPT preferito, dato che il server stesso non è stato compromesso. Contrastando questo inconveniente, DNSSEC convalida l'intera catena di comando da upstream a downstream e viene implementato a livello di dominio, rendendo impossibile la sua creazione. Poiché si tratta di una funzionalità che deve essere abilitata su base per dominio e poiché pochissimi domini hanno implementato DNSSEC, ciò rende DNSSEC largamente ridondante, fino a quando l'adozione non aumenta. Dopo mesi di utilizzo, ho trovato solo un dominio oscuro che è stato veramente "validato" da DNSSEC. L'overhead di DNSSEC aumenta notevolmente la latenza. È per questi due motivi che ho smesso di usarlo.

Dato che DNSCRYPT garantisce zero perdite DNS, ogni query è crittografata e firmata, tecnicamente è possibile utilizzare un server DNSCRYPT / DNSSEC dedicato per le query DNS e una VPN dedicata per il traffico dati, interrompendo DNS e dati in due flussi separati. La suddivisione dello stream potrebbe migliorare la sicurezza; o forse meno, dipende totalmente dal provider VPN e dal provider DNSCRYPT. Alcuni server DNSCRYPT utilizzano Google come server upstream e o companion (safebrowsing / adblock), come si vedrà nei test di perdita DNS. Quindi assicurati di testare e guardare prima di assumere qualsiasi cosa. Tieni presente che ci saranno più registri DNS accessibili sui tuoi sistemi se la registrazione è abilitata per DNSCRYPT e amp; qualsiasi altro resolver Stub, come DNSMASQ. La registrazione è uno dei fattori principali che gli utenti VPN assicurano che i loro provider NON stiano facendo. Per quanto riguarda i vantaggi di sicurezza, l'utilizzo di DNSCRYPT insieme a una VPN può migliorare la sicurezza offrendoti la possibilità di implementare le tue blocklist per garantire che domini e tracker malware vengano evitati tramite VPN.

Riassumendo, l'uso di VPN DNS mette la superficie di attacco direttamente al loro fianco e sull'integrità del dispositivo, con potenziali perdite DNS; (Aggiungendo la direttiva, block-outside-dns, alla configurazione di openvpn è possibile risolvere questo problema) L'uso di DNScrypt porta più superficie di attacco dalla propria parte ma protegge da perdite DNS e gli elenchi di host possono ridurre l'esposizione al malware in modo esponenziale. In entrambi i casi i tuoi registri sono privati quanto l'integrità dei fornitori scelti e del tuo dispositivo, che comunque è sempre il caso.

Non sono esperto; ulteriori approfondimenti da parte di esperti in questo campo sarebbero molto apprezzati.

    
risposta data 31.03.2018 - 14:26
fonte

Leggi altre domande sui tag