Qu’est-ce que Dnscrypt

Contents

Qu’est-ce que Dnscrypt

Router ouvert moderne, les firmwares tels que la tomate Shibby et d’autres variantes de tomate incluent un client dnscrypt hors de la boîte. Le client Dnscrypt-Proxy est également disponible sur OpenWRT qui a une page wiki sur l’utilisation de Dnscrypt sur OpenWRT. Dnscrypt-Proxy peut également être trouvé dans ENTWare. Il peut également être compilé pour n’importe quelle cible basée sur Linux, exécutant un processeur Intel, MIPS ou ARM.

Dnscrypt

DNS est l’un des éléments de construction fondamentaux d’Internet. Il est utilisé chaque fois que vous visitez un site Web, envoyez un e-mail, ayez une conversation de messagerie instantanée ou faites autre chose en ligne. Alors qu’OpenDNS a assuré la sécurité de classe mondiale à l’aide du DNS depuis des années et OpenDNS est le service DNS le plus sécurisé disponible, le protocole DNS sous-jacent n’a pas été suffisamment sécurisé pour notre confort. Beaucoup se souviendront de la vulnérabilité de Kaminsky, qui a eu un impact sur presque toutes les implémentations DNS dans le monde (mais pas OpenDNS).

Cela dit, la classe de problèmes à laquelle la vulnérabilité de Kaminsky liée était le résultat de certaines des fondements sous-jacents du protocole DNS qui sont intrinsèquement faibles – en particulier dans le «dernier kilomètre.«Le« dernier mile »est la partie de votre connexion Internet entre votre ordinateur et votre FAI. DNSCrypt est notre façon de sécuriser le «dernier mile» du trafic DNS et de résolution (sans jeu de mots) une classe entière de problèmes de sécurité graves avec le protocole DNS. Alors que la connectivité Internet mondiale devient de plus en plus mobile et que de plus en plus de gens se connectent à plusieurs réseaux WiFi différents en une seule journée, le besoin d’une solution monte.

Il y a eu de nombreux exemples d’attaques de falsification, ou d’homme dans le milieu, et d’appéturation du trafic DNS au dernier kilomètre et représente un risque de sécurité sérieux que nous avons toujours voulu corriger. Aujourd’hui, nous pouvons.

Pourquoi le dnscrypt est si significatif

De la même manière, le SSL transforme le trafic Web HTTP dans le trafic Web crypté HTTPS, DNSCrypt transforme le trafic DNS régulier dans le trafic DNS crypté qui est sécurisé de l’écoute et des attaques man-au milieu du milieu. Il ne nécessite aucune modification des noms de domaine ni de leur fonctionnement, il fournit simplement une méthode pour crypter en toute sécurité la communication entre nos clients et nos serveurs DNS dans nos centres de données. Nous savons que les affirmations seules ne fonctionnent pas dans le monde de la sécurité, cependant, nous avons donc ouvert la source à notre base de code Dnscrypt et elle est disponible sur GitHub.

DNSCrypt a le potentiel d’être les progrès les plus percutants de la sécurité Internet depuis SSL, améliorant considérablement la sécurité et la confidentialité en ligne de chaque utilisateur d’Internet.

Remarque: Recherche de protection contre les logiciels malveillants, le botnet et le phishing pour les ordinateurs portables ou les appareils iOS? Découvrez la mobilité des parapluies par OpenDNS.

Télécharger maintenant:

Questions fréquemment posées (FAQ):

1. En anglais simple, qu’est-ce que Dnscrypt?

Dnscrypt est un logiciel léger que tout le monde devrait utiliser pour stimuler la confidentialité et la sécurité en ligne. Il fonctionne en cryptant tout le trafic DNS entre l’utilisateur et OpenDNS, empêchant tout espionnage, usurpation ou homme dans le milieu.

2. Comment puis-je utiliser Dnscrypt aujourd’hui?

Nous avons ouvert la source de notre base de code Dnscrypt et elle est disponible sur GitHub. Les interfaces graphiques ne sont plus en développement; Cependant, la communauté open source fournit toujours des mises à jour non officielles de l’aperçu technique.

Conseils:
Si vous avez un pare-feu ou d’autres middleware mangling vos paquets, vous devriez essayer d’activer Dnscrypt avec TCP sur le port 443. Cela fera que la plupart des pare-feu penseront que c’est le trafic HTTPS et le laissera tranquille.

Si vous préférez la fiabilité à la sécurité, permettez à Fallback de présélectionner le DNS. Si vous ne pouvez pas nous joindre, nous essaierons d’utiliser vos serveurs DNS attachés ou précédemment configurés par DHCP ou précédemment. C’est un risque de sécurité.

3. Qu’en est-il de dnssec? Cela élimine-t-il le besoin de dnscrypt?

Non. DNScrypt et Dnssec sont complémentaires. DNSSEC fait un certain nombre de choses. Tout d’abord, il fournit l’authentification. (Est le dossier DNS que je reçois une réponse pour venir du propriétaire du nom de domaine que je demande ou a-t-il été falsifié?) Deuxièmement, DNSSEC fournit une chaîne de confiance pour aider à établir la confiance que les réponses que vous obtenez sont vérifiables. Mais malheureusement, DNSSEC ne fournit pas de chiffrement pour les enregistrements DNS, même ceux signés par DNSSEC. Même si tout le monde dans le monde utilisait le DNSSEC, la nécessité de crypter tout le trafic DNS ne disparaîtrait pas. De plus, le DNSSEC représente aujourd’hui un pourcentage proche de zéro de noms de domaine globaux et un pourcentage de plus en plus petit de DNS Records chaque jour à mesure que Internet grandit.

Cela dit, Dnssec et Dnscrypt peuvent fonctionner parfaitement ensemble. Ils ne sont en conflit en aucune façon. Considérez Dnscrypt comme un emballage autour de tout le trafic DNS et du DNSSEC comme un moyen de signature et de validation pour un sous-ensemble de ces enregistrements. Il y a des avantages à Dnssec que Dnscrypt n’essaie pas de traiter. En fait, nous espérons que l’adoption du DNSSEC se développera afin que les gens puissent avoir plus de confiance dans toute l’infrastructure DNS, pas seulement le lien entre nos clients et OpenDNS.

  Vos films bittorrent

4. Est-ce que c’est en utilisant SSL? Quelle est la crypto et quelle est la conception?

Nous n’utilisons pas SSL. Alors que nous faisons l’analogie selon laquelle Dnscrypt est comme SSL en ce qu’il enveloppe tout le trafic DNS avec le cryptage de la même manière que SSL enroule tout le trafic HTTP, ce n’est pas la bibliothèque de cryptographie utilisée. Nous utilisons la cryptographie à courbe elliptique, en particulier la courbe elliptique Curve25519. Les objectifs de conception sont similaires à ceux décrits dans la conception du transfert DNSCurve.

Dnscrypt

DNSCrypt est un protocole qui authentifie les communications entre un client DNS et un résolveur DNS. Il empêche l’usurpation DNS. Il utilise des signatures cryptographiques pour vérifier que les réponses proviennent du résolveur DNS choisie et n’ont pas été falsifiées.

Il s’agit d’une spécification ouverte, avec des implémentations de référence gratuites et open source, et elle n’est affiliée à aucune entreprise ni organisation.

Des résolveurs gratuits et compatibles Dnscrypt sont disponibles dans le monde entier

Quelques entreprises, organisations et particuliers exploitent des serveurs DNS récursifs publics soutenant le protocole DNSCrypt, afin que tout ce dont vous avez besoin pour exécuter est un client.

Une liste constamment mise à jour des résolveurs Dnscrypt ouverts peut être téléchargée pour remplacer le fichier CSV par défaut expédié avec le client Dnscrypt-Proxy.

Si vous exécutez votre propre résolveur DNS public afin d’aider à faire d’Internet un endroit plus sécurisé, veuillez soumettre une demande de traction pour que votre résolveur ajoute à la liste des résolveurs DNS publics.

Installation d’un client Dnscrypt

Dnscrypt lui-même n’est pas un produit, mais un protocole que n’importe qui peut mettre en œuvre. Des implémentations portables sont également disponibles, en haut sur lesquelles des interfaces graphiques des utilisateurs et des outils pratiques ont été construits.

Choisissez votre plateforme pour découvrir certaines des options disponibles: Windows – MacOS – Linux / BSD – Android – iOS ou exécutez le logiciel sur un routeur.

Configuration du pare-feu: Bien que certains résolveurs puissent préférer un port différent, le port par défaut utilisé par le protocole Dnscrypt est 443. Les requêtes sortantes à ce port sur TCP et UDP devraient être autorisées par votre pare-feu.

Témoignages

“Dnscrypt est un protocole très sécurisé qui aide à construire un Web plus sûr” (James Awland – BestCasino.co.Royaume-Uni)

“Dans les tests, nous avons trouvé que Dnscrypt était incroyablement stable et nous encourageons son utilisation” (Cisco)

“Nous recommandons fortement Dnscrypt à ceux qui cherchent à accéder aux meilleurs sites de casino” (Aidan Howe – Bestcasinosites.filet)

Dnscrypt pour Windows

  • Dnscrypt simple est un client autonome tout-en-un, facile à utiliser.
  • Dnscrypt WinClient est l’interface utilisateur DNSCrypt d’origine pour Windows.
  • Dnscrypt-Proxy est l’implémentation du client de référence et fonctionne nativement sur Windows, de Windows XP à Windows 10. Il s’exécute en tant que service et ne fournit pas d’interface utilisateur graphique; Son installation et sa configuration nécessitent des commandes de saisie. Cela reste une excellente option pour les utilisateurs avancés.

Important: Nous sommes conscients de faux packages prétendant être des clients Dnscrypt Windows, qui contiennent en fait un programme de logiciels malveillants / potentiellement indésirable (PUP). Ne téléchargez rien qui prétend être un client dnscrypt à partir de torrents, de liens dans des vidéos YouTube ou des emplacements de téléchargement non officiel.

Dnscrypt pour macOS

  • DNSCrypt-OSXClient est une interface utilisateur graphique facile à utiliser, complète et autonome pour MACOS.
  • Dnscrypt-Proxy est la mise en œuvre du client de référence et fonctionne nativement sur les versions macOS récentes. Les utilisateurs familiers avec la ligne de commande peuvent utiliser Homebrew pour installer le logiciel.

Dnscrypt dans le navigateur Web Yandex

Le navigateur Web Yandex est un navigateur Web gratuit, rapide et sécurisé.

Il analyse les fichiers et le site Web pour les virus, bloque les pages Web frauduleuses, protège vos mots de passe et vos coordonnées bancaires, et protège vos paiements en ligne à l’abri du vol.

Dnscrypt pour Android

L’exécution de Dnscrypt sur Android nécessite actuellement un appareil enraciné. Si vous ne savez pas comment rooter un appareil Android, le Forum XDA-Developers est un bon point de départ.

  • Si vous souhaitez modifier le résolveur Dnscrypt, décompressez l’archive téléchargée, modifiez la variable Resolver_name dans System / etc / init.D / 99DSCRYPT . Gardez le contenu en tant que fichier zip, avec la structure d’origine.
  • Téléchargez le fichier zip sur l’appareil, dans / sdcard ou n’importe quel emplacement pour lequel vous pouvez écrire.
  • Assurez-vous que vous avez une récupération personnalisée telle que TWRP ou CWM. Le moyen le plus simple est de télécharger et d’installer TWRP Manager du TWRP officiel.ME site Web. Redémarrez maintenant en «mode de récupération» et installez le fichier zip.
  • Redémarrer.
  • Télécharger et installer Unit universel.d Depuis le Google Play Store, si vous êtes sur un noyau personnalisé ou un firmware de marché, ce n’est pas nécessaire puisque E.g. LineageOS est livré avec un support intégré. Au cas où vous ne savez pas si vous avez init.D Soutien, ouvrez l’application et suivez les instructions jusqu’à ce que vous voyiez votre noyau a init.d support .
  • Le proxy DNSCrypt devrait fonctionner à ce stade, mais votre appareil utilise toujours les paramètres DNS précédents. Il y a actuellement quatre applications (payées) qui peuvent modifier ce comportement, Adguard (Tunnel VPN) Netguard (tunnel VPN), DNS Manager Pro (tunnel VPN) et DNS de remplacement (un changeur DNS). Choisissez l’un d’eux et téléchargez-le sur Google Play Store. Afin d’utiliser réellement Dnscrypt, entrez 127.0.0.1 en tant que résolveur DNS principal. Adguard et Netguard vous obligeant à modifier certains paramètres supplémentaires (voir captures d’écran). Afin d’arrêter Dnscrypt, il suffit de désactiver les applications ou de laisser le champ DNS Resolver vide.
  • Les modifications DNS peuvent ne pas être visibles immédiatement. Android a son cache DNS intégré et ses navigateurs Web tels que Chrome ont une autre couche de mise en cache DNS. Afin de nettoyer le cache DNS de Chrome, entrez Chrome: // Net-Internals / # DNS dans la barre d’URL et appuyez sur Cache hôte clair.
  • Démarrer le démon sur Android
  • Comment installer dnscrypt sur Android
  Βτκένιο

Dnscrypt pour iOS

Pour l’appareil iOS jailbreaké, GuizModns est une application pour modifier les paramètres DNS (pour 3G / 4G et WiFi), avec le support pour Dnscrypt. Il est disponible sur Cydia. Le client Dnscrypt-Proxy de ligne de commande est également disponible sur Cydia. Cependant, la version sur Cydia n’est peut-être pas la dernière. Les binaires officiels précompilés de la dernière version sont disponibles sur la page. Le code source DNSCrypt peut également être compilé hors de la boîte pour les appareils iOS, en utilisant le district-build / iOS fourni.script. Avec l’introduction du cadre d’extension du réseau dans iOS 9, il peut être possible d’écrire une application client Dnscrypt qui fonctionnerait partout, sans exiger un appareil jailbreaké.

Dnscrypt pour les routeurs

Router ouvert moderne, les firmwares tels que la tomate Shibby et d’autres variantes de tomate incluent un client dnscrypt hors de la boîte. Le client Dnscrypt-Proxy est également disponible sur OpenWRT qui a une page wiki sur l’utilisation de Dnscrypt sur OpenWRT. Dnscrypt-Proxy peut également être trouvé dans ENTWare. Il peut également être compilé pour n’importe quelle cible basée sur Linux, exécutant un processeur Intel, MIPS ou ARM.

dnscrypt-proxy

La mise en œuvre du client le plus populaire Dnscrypt est dnscrypt-proxy. Il peut être utilisé seul, ou via l’une des interfaces utilisateur graphiques énumérées ci-dessus. Dnscrypt-Proxy met en œuvre la dernière révision du protocole et fonctionne sur de nombreuses plates-formes, notamment Windows, MacOS, Linux, OpenBSD, FreeBSD, NetBSD, Android et iOS. Il peut être étendu avec les plugins. Pour plus d’informations sur Dnscrypt-Proxy, veuillez vous référer au wiki dédié.

Clients alternatifs, scripts d’installation et GUIS pour UNIX

  • Dnscrypt-wocher est un outil basé sur la console pour gérer le client proxy dnscrypt sur Linux. Il nécessite un montant minimal de dépendances, a une liste toujours à jour de résolveurs et peut automatiquement modifier les paramètres DNS pour utiliser DNScrypt.
  • PCAP_DNSPROXY est un proxy DNS très rapide. Il comprend une implémentation du client Dnscrypt.

Prenez le contrôle de votre trafic DNS

En plus de la mise en œuvre du protocole, les clients DNSCrypt communs donnent beaucoup de contrôle sur le trafic DNS.

  • Passez en revue le trafic DNS provenant de votre réseau en temps réel et détectez des hôtes et applications compromises téléphonant à la maison
  • Bloquer localement les annonces, les trackers, les logiciels malveillants, le spam et tout site Web dont les noms de domaine ou les adresses IP correspondent à un ensemble de règles que vous définissez.
  • Empêcher les requêtes pour les zones locales d’être divulguées.
  • Réduisez la latence en mettant en cache les réponses et en évitant de demander des adresses IPv6 sur les réseaux IPv4 uniquement.
  • Force le trafic à utiliser TCP, pour l’acheminer à travers des tunnels TCP uniquement ou TOR.

Vérification de la signature

Les fichiers (code source tarballs, binaires précompilés, liste de résolveurs) peuvent être vérifiés avec l’outil MinIISIN et la commande suivante:

$ minisign -vp rwqf6lrcga9i53mlyeco4izt51tgppvwucnsch1cbm0qtaln73y7gfo3 -m

Exécuter votre propre serveur Dnscrypt

Si vous exécutez votre propre serveur DNS récursif privé ou public, l’ajout de prise en charge du protocole DNScrypt peut être effectué en installant Dnsrypt-Wrapper, le proxy DNScrypt côté serveur de référence.

Dnscrypt-wrapper peut être compilé à partir du code source. Les utilisateurs d’OSX peuvent également utiliser HomeBrew pour l’installer: Brew Installer Dnscrypt-Werme .

Le proxy est compatible avec n’importe quel logiciel DNS Resolver, y compris non lié, PowerDNS Recursor et Bind.

Une image Docker pour le serveur DNSCrypt est également disponible, et est le moyen le plus simple et le plus rapide de déployer un serveur DNS de mise en cache compatible DNSEC-validant, DNSCRYPT DNSSEC. Il comprend un serveur non lié préconfiguré, un Dnscrypt-wrapper et tous les scripts nécessaires pour effectuer une rotation et une supervision clés.

Une autre option est DNSDist, un chargeur de chargement très DNS, dos et abus. Son objectif dans la vie est d’acheminer le trafic vers le meilleur serveur, offrant des performances les plus élevées aux utilisateurs légitimes tout en shunting ou en bloquant le trafic abusif.

DNSDist peut agir comme un serveur Dnscrypt lorsqu’il est compilé avec –enable-dnscrypt .

Unbound, un résolveur DNS valident, récursif et de mise en cache, peut également agir comme un serveur Dnscrypt lorsqu’il est compilé avec – Enable-Dnscrypt .

Faire référence à Options de dnscrypt section non liée.conf (5) pour les options de configuration.

Déploiement

DNSCrypt est généralement déployé à l’aide d’une paire de proxies DNS: un proxy client et un proxy de serveur.

Le côté client de DNScrypt est un proxy auquel les clients DNS réguliers peuvent se connecter. Au lieu d’utiliser les paramètres DNS de votre FAI, vous pouvez simplement configurer les paramètres de votre réseau pour utiliser 127.0.0.1 ou quelle que soit l’adresse IP et le port où vous avez configuré le client Dnscrypt pour écouter. Le proxy client traduit les requêtes DNS régulières en requêtes DNS authentifiées, les transmet à un serveur exécutant le serveur DNScrypt proxy, vérifie les réponses et les transmet au client s’il semble être authentique.

  Προσφρονητικός.org σχόλια

Le côté serveur de DNSCrypt reçoit les requêtes DNS envoyées par le proxy client, les transmet à un résolveur DNS de confiance et signe les réponses qu’il reçoit avant de les transmettre au proxy client.

Le protocole DNSCrypt utilise les ports UDP et TCP 443, qui sont moins susceptibles d’être filtrés par des routeurs et des FAI que le port DNS standard.

Le réseau local est généralement le segment de réseau le plus vulnérable contre les attaques actives telles que l’usurpation DNS. Le serveur DNSCrypt peut fonctionner sur le routeur, ainsi qu’un résolveur DNS moderne. Les clients peuvent ensuite exécuter le code client de Dnscrypt, en tirant parti du Router DNS Resolver.

| ----- le plus vulnérable aux attaques ------ | | - le plus vulnérable à la modification - | Dnscrypt Client Dnscrypt Server ordinateur portable / poste de travail / téléphone / tablette --------> Router domestique --------> ISP --------> Internet | ------ --- Securé par Dnscrypt --------- | | ------------- Secure par DNSSEC -------------- |

Alternativement, les entreprises, les organisations et les particuliers dirigent des résolveurs DNS publics soutenant le protocole DNSCrypt. Ceux-ci peuvent être utilisés comme alternative à l’exécution d’un serveur DNSCrypt et d’un résolveur DNS sur le routeur.

Pour une protection maximale, le client Dnscrypt peut fonctionner sur chaque appareil client:

| ----- le plus vulnérable aux attaques ------ | | - le plus vulnérable à la modification - | Dnscrypt Client Dnscrypt Server ordinateur portable / poste de travail / téléphone / tablette --------> Router domestique --------> ISP ----------> Internet ----- ---> Resolver DNS public | ----------------------------------- Sécurisé par Dnscrypt ---- --------------------------------------- | | --- sécurisé par DNSEC --- | | --- le plus vulnérable à la journalisation --- |

Ou si vous faites totalement confiance au réseau local, le client Dnscrypt peut à la place fonctionner sur le routeur:

| ----- le plus vulnérable aux attaques ------ | | - le plus vulnérable à la modification - | Dnscrypt Client Dnscrypt Server ordinateur portable / poste de travail / téléphone / tablette --------> Router domestique --------> ISP ----------> Internet ----- ---> Résolver DNS public | ------------------ Sécréé par Dnscrypt -------------------- | | --- sécurisé par DNSEC --- | | --- le plus vulnérable à la journalisation --- |

Enfin, vous pouvez exécuter votre propre serveur DNSCrypt sur un réseau de confiance distant, pour obtenir un contrôle total sur ce que le résolveur fait et la journalisation:

| ----- le plus vulnérable aux attaques ------ | | - le plus vulnérable à la modification - | Dnscrypt Client Dnscrypt Server ordinateur portable / poste de travail / téléphone / tablette --------> Router domestique --------> ISP ----------> Internet ----- ---> Resolver DNS privé | ----------------------------------- Sécurisé par Dnscrypt ---- --------------------------------------- | | --- sécurisé par DNSEC --- |

Veuillez noter que DNSCrypt ne remplace pas un VPN, car il n’authentifie que le trafic DNS, et n’empêche pas les résolveurs DNS tiers de la journalisation de votre activité. Par conception, le protocole TLS, tel qu’utilisé dans HTTPS et HTTP / 2, divulgue les noms d’hôtes en texte brut, donc Dnscrypt ne suffit pas pour masquer ces informations.

Utilisation de Dnscrypt en combinaison avec un cache DNS

Pour des performances optimales, la façon recommandée d’exécuter DNSCrypt est de l’exécuter en tant que transmission pour un cache DNS local, comme Unbound ou PowerDNS-Recursor.

Un résolveur de mise en cache peut fournir une haute disponibilité, en transférant les requêtes à plusieurs proxys de clients DNScrypt en amont, configurés avec différents fournisseurs.

Les instances Dnscrypt-Proxy et le résolveur de mise en cache peuvent s’exécuter en toute sécurité sur la même machine tant qu’ils écoutent différentes adresses IP ou différents ports.

Si votre cache DNS est non lié, tout ce dont vous avez besoin est de modifier le non-lié.Fichier Conf et ajouter les lignes suivantes à la fin de la section du serveur:

do-not-query-licalhost: pas de zone avant: nom: "."Attaquant-ADDR: 127.0.0.1 @ 40 Advant-Addr: 127.0.0.1 @ 41

La première ligne n’est pas requise si vous utilisez différentes adresses IP au lieu de différents ports. Les lignes avant-ADDR indiquent les adresses et les ports des clients Dnscrypt à utiliser comme résolveurs en amont.

Ensuite, démarrez les deux proxies clients, en écoutant différents ports locaux (40 et 41 dans cet exemple).

Faites attention au fait que certains résolveurs ne soutiennent pas les extensions de sécurité DNS (DNSSEC).

Si Unbound est configuré pour effectuer la validation DNSSEC en combinaison avec un serveur en amont qui ne prend pas en charge DNSSEC, les requêtes échoueront. Soit utiliser uniquement DNSCrypt Resolvers avec le support pour DNSSEC, soit désactiver la prise en charge DNSSEC dans Unbound en commentant la ligne de file d’ancienne automatique dans sa configuration.

Un résolveur de mise en cache local peut également être extrêmement utile pour transmettre des requêtes pour les CDN ou les domaines internes à un résolveur spécifique.

Dnscrypt pour les développeurs

La spécification du protocole est disponible et peut être mise en œuvre gratuitement dans n’importe quel produit.

Les individus et les organisations exécutant des résolveurs compatibles DNSCrypt peuvent également avoir un lien de don. Veuillez le consulter sur leur propre site Web.

Si vous les utilisez régulièrement, votre contribution les aiderait également à continuer à fournir un excellent service gratuitement.