¿Qué es DNScrypt?

Contents

¿Qué es DNScrypt?

Los firmas modernas de enrutadores abiertos, como el tomate shibby y otras variantes de tomate, incluyen un cliente DNScrypt fuera de la caja. El cliente DNSCrypt-Proxy también está disponible en OpenWrt que tiene una página wiki sobre el uso de DNSCRYPT en OpenWrt. DNSCrypt-Proxy también se puede encontrar en entware. También se puede compilar para cualquier objetivo basado en Linux, que ejecuta una CPU Intel, MIPS o ARM.

Dnscrypt

DNS es uno de los componentes básicos fundamentales de Internet. Se usa cada vez que visite un sitio web, envíe un correo electrónico, tenga una conversación de IM o haga cualquier otra cosa en línea. Si bien OpenDNS ha proporcionado seguridad de clase mundial utilizando DNS durante años, y OpenDNS es el servicio DNS más seguro disponible, el protocolo DNS subyacente no ha sido lo suficientemente seguro para nuestra comodidad. Muchos recordarán la vulnerabilidad de Kaminsky, que impactó a casi todas las implementación del DNS en el mundo (aunque no opendns).

Dicho esto, la clase de problemas con los que se relacionó la vulnerabilidad de Kaminsky fue el resultado de algunos de los cimientos subyacentes del protocolo DNS que son inherentemente débiles, particularmente en la “última milla.”La” Última milla “es la parte de su conexión a Internet entre su computadora y su ISP. DNSCRYPT es nuestra forma de asegurar la “última milla” del tráfico de DNS y la resolución (sin juego de palabras) una clase completa de preocupaciones de seguridad serias con el protocolo DNS. A medida que la conectividad a Internet del mundo se vuelve cada vez más móvil y cada vez más personas se conectan con varias redes WiFi diferentes en un solo día, la necesidad de una solución está aumentando.

Ha habido numerosos ejemplos de manipulación o ataques de hombre en el medio, y husmeo del tráfico de DNS en la última milla y representa un grave riesgo de seguridad que siempre hemos querido arreglar. Hoy podemos.

Por qué DNSCrypt es tan significativo

De la misma manera que el SSL convierte el tráfico web HTTP en tráfico web cifrado HTTPS, DNSCrypt convierte el tráfico regular de DNS en tráfico DNS cifrado que es seguro de la espía y los ataques de hombre en el medio. No requiere ningún cambio en los nombres de dominio o cómo funcionan, simplemente proporciona un método para encriptar de forma segura la comunicación entre nuestros clientes y nuestros servidores DNS en nuestros centros de datos. Sin embargo, sabemos que las afirmaciones por sí solas no funcionan en el mundo de la seguridad, por lo que hemos abierto la fuente a nuestra base de código DNSCrypt y está disponible en GitHub.

DNSCRYPT tiene el potencial de ser el avance más impactante en la seguridad de Internet desde SSL, mejorando significativamente la seguridad y la privacidad en línea de cada usuario de Internet.

Nota: Buscando protección de malware, botnet y phishing para computadoras portátiles o dispositivos iOS? Echa un vistazo a la movilidad paraguas de Opendns.

Descargar ahora:

Preguntas frecuentes (preguntas frecuentes):

1. En inglés simple, que es dnscrypt?

DNSCRYPT es una pieza de software liviano que todos deberían usar para aumentar la privacidad y la seguridad en línea. Funciona encriptando todo el tráfico de DNS entre el usuario y las opendns, evitando cualquier ataques de espionaje, falsificación o hombre en el medio.

2. ¿Cómo puedo usar DNScrypt hoy??

Hemos abierto la fuente a nuestra base de código DNSCrypt y está disponible en GitHub. Las interfaces gráficas ya no están en desarrollo; Sin embargo, la comunidad de código abierto todavía está proporcionando actualizaciones no oficiales a la vista previa técnica.

Consejos:
Si tiene un firewall u otro middleware que destrozan sus paquetes, debe intentar habilitar DNSCrypt con TCP sobre el puerto 443. Esto hará que la mayoría de los firewalls piensen que es el tráfico HTTPS y lo dejará solo.

Si prefiere la fiabilidad sobre la seguridad, habilite el retroceso a DNS inseguro. Si no puede comunicarse con nosotros, intentaremos usar sus servidores DNS asignados por DHCP o previamente configurados previamente. Sin embargo, este es un riesgo de seguridad.

3. ¿Qué pasa con DNSSEC?? ¿Esto elimina la necesidad de DNScrypt??

No. DNSCRYPT y DNSSEC son complementarios. DNSSEC hace varias cosas. Primero, proporciona autenticación. (¿Es el registro de DNS que estoy recibiendo una respuesta para provenir del propietario del nombre de dominio que estoy preguntando o ha sido manipulado con?) Segundo, DNSSEC proporciona una cadena de confianza para ayudar a establecer la confianza de que las respuestas que obtienen son verificables. Pero desafortunadamente, DNSSEC en realidad no proporciona cifrado para los registros de DNS, incluso los firmados por DNSSEC. Incluso si todos en el mundo usaran DNSSEC, la necesidad de cifrar todo el tráfico de DNS no desaparecería. Además, DNSSEC hoy representa un porcentaje casi cero de los nombres de dominio generales y un porcentaje cada vez más pequeño de registros de DNS cada día a medida que Internet crece.

Dicho esto, DNSSEC y DNScrypt pueden funcionar perfectamente juntos. No son conflictivos de ninguna manera. Piense en DNSCrypt como un envoltorio en torno a todo el tráfico de DNS y DNSSEC como una forma de firmar y proporcionar validación para un subconjunto de esos registros. Hay beneficios para DNSSEC que DNScrypt no está tratando de abordar. De hecho, esperamos que la adopción de DNSSEC crezca para que las personas puedan tener más confianza en toda la infraestructura del DNS, no solo en el vínculo entre nuestros clientes y Opendns.

  Anime torrent ιχνηλάτες

4. ¿Está usando SSL?? ¿Cuál es la criptografía y cuál es el diseño??

No estamos usando SSL. Si bien hacemos la analogía de que DNScrypt es como SSL en que envuelve todo el tráfico DNS con cifrado de la misma manera que SSL envuelve todo el tráfico HTTP, no es la biblioteca de cripto. Estamos utilizando la criptografía de curva elíptica, en particular la curva elíptica de la curva25519. Los objetivos de diseño son similares a los descritos en el diseño de DNScurve Reenseer.

Dnscrypt

DNSCRYPT es un protocolo que autentica las comunicaciones entre un cliente DNS y un resolución de DNS. Previene la falsificación del DNS. Utiliza firmas criptográficas para verificar que las respuestas se originan en el resolución DNS elegido y no se han manejado con.

Es una especificación abierta, con implementaciones de referencia de código libre y de código abierto, y no está afiliado a ninguna empresa ni organización.

Resolvos gratuitos y habilitados para DNSCRYPT están disponibles en todo el mundo

Un par de empresas, organizaciones e individuos operan servidores DNS recursivos públicos que respaldan el protocolo DNSCrypt, de modo que todo lo que necesita ejecutar es un cliente.

Se puede descargar una lista constantemente actualizada de resolvers de DNSCrypt Open para reemplazar el archivo CSV predeterminado enviado con el cliente DNSCRYPT-Proxy.

Si está ejecutando su propio resolución de DNS Public para ayudar a que Internet sea un lugar más seguro, envíe una solicitud de extracción para que su resolución se agregue a la lista de resolvers público de DNS.

Instalación de un cliente DNSCrypt

DNScrypt en sí no es un producto, sino un protocolo que cualquiera puede implementar. Las implementaciones portátiles también están disponibles, en la parte superior en la que se han construido interfaces gráficas de usuario y herramientas convenientes.

Elija su plataforma para descubrir algunas de las opciones disponibles: Windows – MacOS – Linux / BSD – Android – iOS o ejecutar el software en un enrutador.

Configuración del firewall: aunque algunos resolutores pueden preferir un puerto diferente, el puerto predeterminado utilizado por el protocolo DNSCrypt es 443. Las consultas salientes a este puerto en TCP y UDP deben ser permitidas por su firewall.

Testimonios

“DnsCrypt es un protocolo muy seguro que está ayudando a construir una red más segura” (James Awland – BestCasino.co.Reino Unido)

“En las pruebas, hemos encontrado que DNScrypt es increíblemente estable y fomentamos su uso” (Cisco)

“Recomendamos encarecidamente a DnsCrypt a aquellos que buscan acceder a los mejores nuevos sitios de casino” (Aidan Howe – BestCasinosites.neto)

DNScrypt para Windows

  • DNSCRYPT simple es un cliente todo en uno, fácil de usar y independiente.
  • DNSCRYPT WINCLIENT es la interfaz de usuario DNSCRYPT original para Windows.
  • DNSCRYPT-Proxy es la implementación del cliente de referencia y funciona de forma nativa en Windows, desde Windows XP hasta Windows 10. Se ejecuta como un servicio y no proporciona una interfaz gráfica de usuario; Su instalación y su configuración requieren comandos de escritura. Esta sigue siendo una excelente opción para usuarios avanzados.

Importante: Somos conscientes de los paquetes falsos que pretenden ser clientes DNScrypt Windows, que en realidad contienen malware/programa potencialmente no deseado (PUP). No descargue nada que pretenda ser un cliente DNScrypt de torrents, enlaces en videos de YouTube o ubicaciones de descarga no oficial.

DNScrypt para macOS

  • DNSCRYPT-OSXCLIENT es una interfaz gráfica de usuario gráfica fácil de usar, con todas las funciones y autónoma para macOS.
  • DNSCrypt-Proxy es la implementación del cliente de referencia y funciona de forma nativa en versiones recientes de MacOS. Los usuarios familiarizados con la línea de comandos pueden usar HomeBrew para instalar el software.

DNSCRYPT en el navegador web Yandex

El navegador web Yandex es un navegador web gratuito, rápido y seguro.

Escanea archivos y sitios web para virus, bloquea páginas web fraudulentas, protege sus contraseñas y detalles de la tarjeta bancaria, y mantiene sus pagos en línea a salvo del robo.

DNScrypt para Android

Ejecutar DNSCrypt en Android actualmente requiere un dispositivo rooteado. Si no sabe cómo rootear un dispositivo Android, el foro XDA-Developers es un buen lugar para comenzar.

  • Si desea cambiar el resolución DNSCrypt, descomprima el archivo descargado, edite la variable resolver_name en el sistema/etc/init.D/99DNSCRYPT . Mantenga el contenido como un archivo zip, con la estructura original.
  • Sube el archivo zip en el dispositivo, en /sdcard o cualquier ubicación a la que puedas escribir.
  • Asegúrese de tener una recuperación personalizada como TWRP o CWM. La forma más fácil es descargar e instalar Gerente de TWRP del twrp oficial.Sitio web de Me. Reiniciar ahora en ‘modo de recuperación’ e instalar el archivo zip.
  • Reiniciar.
  • Descargar e instalar Init universal.d Desde Google Play Store, si se encuentra en un firmware personalizado de núcleo o posventa, esto no es necesario ya que E.gramo. Lineageos viene con soporte integrado para TI. En caso de que no sepas si tienes init.D Soporte, abra la aplicación y siga las instrucciones hasta que vea que su núcleo tiene init.D Soporte .
  • El proxy DNSCRYPT debería ejecutarse en este punto, pero su dispositivo aún usa la configuración DNS anterior. Actualmente hay cuatro aplicaciones (pagadas) que pueden cambiar este comportamiento, ADGUARD (Túnel VPN) NetGuard (Túnel VPN), DNS Manager Pro (Túnel VPN) y anular DNS (un cambiador DNS). Elija uno de ellos y descargándolo en Google Play Store. Para usar DNScrypt, ingrese 127.0.0.1 como resolución de DNS primario. AdGuard y Netguard requieren que cambie algunas configuraciones adicionales (ver capturas de pantalla). Para detener DNSCRYPT, simplemente deshabilite las aplicaciones o deje el campo de resolución DNS vacío.
  • Los cambios de DNS pueden no ser visibles de inmediato. Android tiene su caché DNS integrado y los navegadores web como Chrome tiene otra capa de almacenamiento en caché de DNS. Para borrar el caché DNS de Chrome, ingrese a Chrome: // net-alternales/#DNS en la barra de URL y presione Borrar el caché del host.
  • Comenzando el demonio en Android
  • Cómo instalar DNSCrypt en Android
  Express VPN μόλις μια στιγμή

Dnscrypt para iOS

Para el dispositivo iOS Jailbreak, GuizModns es una aplicación para cambiar la configuración de DNS (para 3G/4G y WiFi), con soporte para DNSCRYPT. Está disponible en cydia. El cliente DNScrypt-Proxy de línea de comandos también está disponible en Cydia. Sin embargo, la versión en Cydia podría no ser la última. Los binarios oficiales precompilados de la última versión están disponibles en la página. El código fuente DNSCRYPT también se puede compilar fuera de la caja para dispositivos iOS, utilizando el Dist-Build/iOS proporcionado.SHIR SCRIPTO. Con la introducción del marco de extensión de red en iOS 9, puede ser posible escribir una aplicación de cliente DNSCRYPT que se ejecutaría en todas partes, sin requerir un dispositivo con jailbroken.

DNScrypt para enrutadores

Los firmas modernas de enrutadores abiertos, como el tomate shibby y otras variantes de tomate, incluyen un cliente DNScrypt fuera de la caja. El cliente DNSCrypt-Proxy también está disponible en OpenWrt que tiene una página wiki sobre el uso de DNSCRYPT en OpenWrt. DNSCrypt-Proxy también se puede encontrar en entware. También se puede compilar para cualquier objetivo basado en Linux, que ejecuta una CPU Intel, MIPS o ARM.

dnsncrypt-proxy

La implementación del cliente DNSCrypt más popular es DNSCrypt-Proxy. Se puede usar por sí solo, o a través de una de las interfaces de usuario gráficas enumeradas anteriormente. DNSCrypt-Proxy implementa la última revisión del protocolo y funciona en muchas plataformas, incluidas Windows, MacOS, Linux, OpenBSD, FreeBSD, NetBSD, Android e iOS. Se puede extender con complementos. Para obtener más información sobre DNSCrypt-Proxy, consulte el wiki dedicado.

Clientes alternativos, scripts de instalación y GUI para UNIX

  • DNSCRYPT-Loader es una herramienta basada en consolas para administrar el cliente proxy DNSCRYPT en Linux. Requiere una cantidad mínima de dependencias, tiene una lista siempre actualizada de resolvers y puede cambiar automáticamente la configuración de DNS para usar DNSCRYPT.
  • PCAP_DNSPROXY es un proxy DNS muy rápido. Incluye una implementación del cliente DNSCRYPT.

Tomar el control de su tráfico DNS

Además de implementar el protocolo, los clientes DNScrypt comunes dan mucho control sobre el tráfico DNS.

  • Revise el tráfico DNS que se origina en su red en tiempo real y detecte hosts y aplicaciones comprometidas que llamen a casa
  • Bloquear localmente anuncios, rastreadores, malware, spam y cualquier sitio web cuyos nombres de dominio o direcciones IP coincidan con un conjunto de reglas que define.
  • Evitar que se filtren consultas para zonas locales.
  • Reduzca la latencia al almacenar en caché las respuestas y evitar solicitar direcciones IPv6 en redes solo para IPv4.
  • Obligar al tráfico a usar TCP, para enrutarlo a través de túneles solo TCP o TOR.

Verificación de firma

Los archivos (código fuente de tarballs, binarios precompilados, lista de solucionadores) se pueden verificar con la herramienta Minisign y el siguiente comando:

$ minisign -vp rwqf6lrcga9i53mlyeco4izt51tgppvwucnsch1cbm0qtaln73y7gfo3 -m

Ejecutando su propio servidor DNSCRYPT

Si está ejecutando su propio servidor DNS recursivo público o privado, agregando soporte para el protocolo DNSCRYPT se puede realizar instalando DNSCRYPT-Wrapper, el servidor de referencia DNSCRYPT proxy.

DNSCRYPT-WRAPPER se puede compilar desde el código fuente. Los usuarios de OSX también pueden usar HomeBrew para instalarlo: Brew instale DNSCrypt-Wrapper .

El proxy es compatible con cualquier software de resolución de DNS, incluidos los recursores y bind no unidos, PowerDNS.

También está disponible una imagen Docker para DNSCrypt Server, y es la forma más fácil y rápida de implementar un servidor DNS de almacenamiento en caché de DNSEC-Validating, habilitado para DNSCRYPT,. Incluye un servidor no unido preconfigurado, DNSCrypt-Wrapper y todos los scripts necesarios para realizar la rotación y la supervisión clave.

Otra opción es DNSDIST, un Bobalancer de carga altamente DNS, Dos y Abusado. Su objetivo en la vida es enrutar el tráfico al mejor servidor, ofreciendo el mejor rendimiento a los usuarios legítimos mientras evita o bloquea el tráfico abusivo.

DNSDIST puede actuar como un servidor DNSCRYPT cuando se compila con –enable-DNSCRYPT .

Unbound, un resolutor DNS de validación, recursivo y almacenado en caché, también puede actuar como un servidor DNSCrypt cuando se compila con –enable-DNSCRYPT .

Referirse a Opciones DNScrypt Sección en Unbound.conf (5) para opciones de configuración.

Despliegue

DNSCRYPT se implementa típicamente utilizando un par de proxies DNS: un proxy de cliente y un proxy del servidor.

El lado del cliente de DNSCrypt es un proxy al que pueden conectarse los clientes DNS regulares. En lugar de usar la configuración DNS de su ISP, puede configurar su configuración de red para usar 127.0.0.1 o cualquier dirección IP y puerto que haya configurado el cliente DNSCRYPT para escuchar. El proxy del cliente traduce consultas DNS regulares en consultas DNS autenticadas, las reenvía a un servidor que ejecuta el servidor proxy DNScrypt, verifica las respuestas y las reenvía al cliente si parecen ser genuinas.

  Examen de l'opéra VPN

El lado del servidor de DNSCRYPT recibe consultas DNS enviadas por el proxy del cliente, las reenvía a un resolución de DNS de confianza y firma las respuestas que recibe antes de reenviarlas al proxy del cliente.

El protocolo DNSCrypt utiliza los puertos UDP y TCP 443, que es menos probable que se filtren por enrutadores e ISP que el puerto DNS estándar.

La red local suele ser el segmento de red más vulnerable contra ataques activos, como la falsificación de DNS. El servidor DNSCrypt puede ejecutarse en el enrutador, junto con un resolución DNS moderno. Luego, los clientes pueden ejecutar el código del cliente de DNSCRYPT, aprovechando el resolución del enrutador DNS.

| ----- más vulnerable a los ataques ------ | |-más vulnerable a la modificación-| DNSCRYPT Client DNSCRYPT Servidor laptop/Workstation/Phone/Tablet --------> Home Router --------> ISP --------> Internet | ------ --- asegurado por dnsncrypt --------- | | ------------- asegurado por DNSSEC -------------- |

Alternativamente, las empresas, las organizaciones e individuos están ejecutando resolución pública de DNS que respalda el protocolo DNSCrypt. Estos se pueden usar como una alternativa para ejecutar un servidor DNSCrypt y un resolución de DNS en el enrutador.

Para obtener la máxima protección, el cliente DNSCrypt puede ejecutarse en cada dispositivo de cliente:

| ----- más vulnerable a los ataques ------ | |-más vulnerable a la modificación-| DNSCRYPT Client DNSCRYPT Server Laptop/Workstation/Phone/Tablet --------> Home Router --------> ISP ----------> Internet ----- ---> resolución pública de DNS | ----------------------------------- SEGURADO POR DNSCRYPT ----- --------------------------------------- | | --- asegurado por dnssec --- | | --- más vulnerable al registro --- |

O si confía totalmente en la red local, el cliente DNSCrypt puede ejecutarse en el enrutador: en su lugar:

| ----- más vulnerable a los ataques ------ | |-más vulnerable a la modificación-| DNSCRYPT Client DNSCRYPT Server Laptop/Workstation/Phone/Tablet --------> Home Router --------> ISP ----------> Internet ----- ---> resolución pública de DNS | ------------------ Asegurado por DnsCrypt -------------------- | | --- asegurado por dnssec --- | | --- más vulnerable al registro --- |

Finalmente, puede ejecutar su propio servidor DNSCRYPT en una red remota y confiable, para obtener un control total sobre lo que está haciendo el resolución y la sesión:

| ----- más vulnerable a los ataques ------ | |-más vulnerable a la modificación-| DNSCRYPT Client DNSCRYPT Server Laptop/Workstation/Phone/Tablet --------> Home Router --------> ISP ----------> Internet ----- ---> Resolver de DNS privado | ----------------------------------- SEGURADO POR DNSCRYPT ----- --------------------------------------- | | --- asegurado por dnssec --- |

Tenga en cuenta que DNSCRYPT no es un reemplazo para una VPN, ya que solo autentica el tráfico DNS, y no evita que los resueltos de DNS de terceros registren su actividad. Por diseño, el protocolo TLS, como se usa en HTTPS y HTTP/2, filtra los nombres de los sitios web en texto plano, por lo que DnsCrypt no es suficiente para ocultar esta información.

Usar DNSCrypt en combinación con un caché DNS

Para un rendimiento óptimo, la forma recomendada de ejecutar DNSCRYPT es ejecutarlo como reenviador para un caché DNS local, como Unbound o PowerDNS-Recursor.

Un resolución de almacenamiento en caché puede proporcionar alta disponibilidad, reenviando consultas a múltiples proxies de clientes DNSCRYPT ascendentes, configurados con diferentes proveedores.

Las instancias DNSCrypt-Proxy y el resolución de almacenamiento en caché pueden ejecutarse de manera segura en la misma máquina siempre que escuchen diferentes direcciones IP o diferentes puertos.

Si su caché DNS está sin consolidar, todo lo que necesita es editar el Unbound.File conf y agregue las siguientes líneas al final de la sección del servidor:

Do-Not-Query-Localhost: No Forward-Zone: Nombre: "."ADDDR: 127.0.0.1@40 ADDDR: 127.0.0.1@41

No se requiere la primera línea si está utilizando diferentes direcciones IP en lugar de diferentes puertos. Las líneas de avance de ADDR indican direcciones y puertos de los clientes DNSCrypt para usar como resolutores ascendentes.

Luego, inicie los dos proxies de clientes, escuchando diferentes puertos locales (40 y 41 en este ejemplo).

Preste atención al hecho de que algunos resolutores no admiten las extensiones de seguridad del DNS (DNSSEC).

Si Unbound está configurado para realizar la validación de DNSSEC en combinación con un servidor ascendente que no admite DNSSEC, las consultas fallarán. Utilice solo resueltos DNSCRYPT con soporte para DNSSEC o desactive el soporte DNSSEC en Unbound comentando la línea de archivo de ampliación automática de autos en su configuración.

Un resolutor de almacenamiento en caché local también puede ser extremadamente útil para reenviar consultas para CDN o dominios internos a un resolución específico.

DNScrypt para desarrolladores

La especificación del protocolo está disponible y se puede implementar de forma gratuita en cualquier producto.

Individuos y organizaciones que ejecutan resolvers habilitados para DNSCRYPT también pueden tener un enlace de donación. Por favor, échale un vistazo en su propio sitio web.

Si los usa regularmente, su contribución también les ayudaría a seguir brindando un excelente servicio de forma gratuita.