Was ist DNS über TLS?
Sie wissen bereits, dass in den letzten Jahren eine Menge Aufregung um die Verschlüsselung des Webverkehrs herrschte. Auch wenn Sie nicht viel aufgepasst haben, müssen Sie den Zustrom von grünen Sperren in der Nähe von URLs und HTTPS bemerkt haben, die überall auftauchen. Das liegt daran, dass mehr Websites als je zuvor den Datenverkehr verschlüsseln.
Durch die Verschlüsselung des Webverkehrs werden sowohl die Website als auch die Besucher geschützt. Angreifer können den verschlüsselten Datenverkehr, der zwischen Ihrem Computer und einer Website übertragen wird, nicht einfach ausspionieren. So bleiben Ihre Anmeldeinformationen und alles, was Sie übermitteln, sicher.
Es gibt ein Teil, das nicht mit HTTPS, der DNS-Abfrage, verschlüsselt wird. Wenn Sie nicht vertraut sind, existieren Websites tatsächlich unter einer IP-Adresse. Wenn Sie die URL einer Site eingeben, stellen Sie eine weitere Anfrage an einen DNS-Server und fragen, zu welcher IP-Adresse diese URL gehört. In den meisten Fällen gehört dieser DNS-Server Ihrem Internetdienstanbieter. So können sie und jeder andere, der mithört, sehen, zu welchen Sites Sie gehen, und sie protokollieren. Da DNS standardmäßig nicht verschlüsselt ist, ist es für jede Art von Drittanbieter relativ einfach, DNS-Abfragen zu überwachen.
DNS über TLS bietet bei DNS-Abfragen dieselbe Art der Verschlüsselung, die Sie bei HTTPS erwarten. Die einzige Person, die Ihre Anfrage und die Daten zu der von Ihnen besuchten Site erhält, ist der von Ihnen ausgewählte DNS-Server, und Sie können wählen. Sie müssen nicht den DNS Ihres Internetdienstanbieters verwenden und sollten dies auch nicht tun.
Was kannst du tun?
Die Unterstützung für DNS über TLS ist noch nicht so ausgereift wie HTTPS, aber es ist immer noch einfach genug, um es einzurichten und zu verwenden. Es gibt eine Reihe von Optionen, mit denen Sie Ihren DNS-Verkehr schützen können. Zunächst ist zu beachten, dass Sie bereits durch die Verwendung eines ordnungsgemäß konfigurierten VPN geschützt sind. Ihr DNS-Verkehr wird über das VPN zu den DNS-Servern des Anbieters getunnelt. Machen Sie sich keine Sorgen, wenn Sie bereits ein VPN verwenden. Sie können jedoch auch einen zusätzlichen Schutz einrichten, wenn Sie möchten.
Wenn Sie kein VPN verwenden, können Sie Ihren DNS-Verkehr dennoch mit DNS über TLS verschlüsseln. Es gibt ein hervorragendes Open-Source-Projekt namens Stubby, das Ihre DNS-Abfragen automatisch verschlüsselt und an einen DNS-Server weiterleitet, der DNS über TLS verarbeiten kann. Da das Projekt Open Source ist, ist es für Windows, Mac und Linux frei verfügbar.
Stubby einrichten
Windows
Stubby verfügt über ein praktisches MSI-Installationsprogramm für Windows, mit dem Stubby zusammen mit einer Standardkonfigurationsdatei installiert wird. Gehen Sie zur Installationsseite und laden Sie das Windows MSI-Installationsprogramm herunter.
Sobald Sie es haben, führen Sie das Installationsprogramm aus. Es gibt keinen grafischen Einrichtungsassistenten oder ähnliches. Sie müssen nur bestätigen, dass Sie dem Installationsprogramm Zugriff gewähren. Es wird sich um den Rest kümmern.
Alles für Stubby unter Windows befindet sich unter:
C: Program FilesStubby
Das schließt die YAML-Konfigurationsdatei ein.
Öffnen Sie eine Eingabeaufforderung. Sie können Run verwenden und cmd eingeben. Wechseln Sie in das Stubby-Verzeichnis. Führen Sie dann die EXE-Datei aus, und übergeben Sie die Konfiguration, um Stubby zu starten.
C: UsersUserNamecd C: Program FilesStubby
C: Program FilesStubbystubby.exe -C stubby.yml
Stubby wird jetzt auf Ihrem System ausgeführt. Wenn Sie es testen möchten, führen Sie den folgenden Befehl aus, um zu überprüfen, ob es ordnungsgemäß ausgeführt wird.
C: Programm FilesStubbygetdns_query -s @ 127.0.0.1 www.google.com
Wenn das funktioniert, ist Stubby richtig eingerichtet. Wenn Sie nun die von Stubby verwendeten DNS-Server ändern möchten, öffnen Sie stubby.yml und ändern Sie die DNS-Servereinträge entsprechend den Servern Ihrer Wahl. Stellen Sie sicher, dass die ausgewählten Server DNS über TLS unterstützen.
Bevor Sie Stubby systemweit verwenden können, müssen Sie die Upstream-Resolver (DNS-Server) von Windows ändern. Dazu müssen Sie einen Befehl mit Administratorrechten ausführen. Schließen Sie das vorhandene Eingabeaufforderungsfenster. Kehren Sie dann zu Ihrem Startmenü zurück und suchen Sie nach "cmd". Klicken Sie mit der rechten Maustaste darauf und wählen Sie "Als Administrator ausführen". Führen Sie im daraufhin angezeigten Fenster Folgendes aus:
PowerShell -ExecutionPolicy-Umgehungsdatei "C: Program FilesStubbystubby_setdns_windows.ps1"
Nichts davon ist sehr gut, wenn Sie die Änderungen nicht dauerhaft vornehmen können. Dazu müssen Sie eine geplante Aufgabe erstellen, die beim Start ausgeführt wird. Zum Glück haben die Stubby-Entwickler eine Vorlage dafür bereitgestellt. Nehmen Sie in dem Fenster mit der laufenden Eingabeaufforderung Ihre Änderungen dauerhaft vor.
schtasks / create / tn Stubby / XML "C: ProgrammeStubbystubby.xml" / RU Das ist alles! Ihr Windows-PC ist jetzt so konfiguriert, dass Stubby zum Senden Ihres DNS über TLS verwendet wird. Unter Linux ist dieser Vorgang sehr einfach. Sowohl Ubuntu- als auch Debian-basierte Distributionen haben Stubby bereits in ihren Repositories. Sie müssen es nur installieren und Ihren DNS ändern, um Stubby zu verwenden. Beginnen Sie mit der Installation von Stubby $ sudo apt install stubby
Bearbeiten Sie als Nächstes die Stubby-Konfigurationsdatei, wenn Sie dies wünschen. Es ist unter /etc/stubby/stubby.yml verfügbar. Öffnen Sie es in Ihrem bevorzugten Texteditor mit sudo. Wenn Sie Änderungen an den DNS-Servern vorgenommen haben, starten Sie Stubby neu. $ sudo systemctl stubby neu starten
Sie müssen auch die Nameserver-Einträge in /etc/resolv.conf ändern. Öffnen Sie das auch mit Ihrem Texteditor und sudo. Erstellen Sie einen einzelnen Eintrag wie den folgenden. Nameserver 127.0.0.1
Testen Sie jetzt, ob Stubby funktioniert. Gehen Sie zu dnsleaktest.com und führen Sie den Test aus. Wenn die Server, für deren Verwendung Sie Stubby konfiguriert haben, angezeigt werden, führt Ihr Computer Stubby erfolgreich aus. Das Einrichten von Stubby unter OSX ist ebenfalls recht einfach. Wenn Sie Homebrew haben, ist der Vorgang denkbar einfach, ansonsten ist er aber auch ziemlich einfach. Mit Hombrew können Sie das Stubby-Paket installieren. $ brew install stubby
Bevor Sie Stubby als Dienst starten, können Sie die YAML-Konfiguration unter /usr/local/etc/stubby/stubby.yml ändern. Sobald Sie mit den Dingen zufrieden sind, können Sie Stubby als Dienst starten. $ sudo-Sudo-Dienste fangen stumpf an
Wenn Sie nicht über Homebrew verfügen, können Sie die Stubby-GUI installieren. Es ist hier erhältlich. DNS über TLS gewinnt zunehmend an Bedeutung. Bald wird es alltäglich sein. Bis dahin sind Setup und Programme wie Stubby erforderlich. Es ist jedoch nicht allzu schwierig, sich einzurichten. In naher Zukunft wird die Unterstützung von DNS über TLS einen enormen Schub erfahren, wenn Google standardmäßig die Unterstützung für Android einschließt. Daher sollte es nur eine Frage der Zeit sein, bis Apple den iOS-Support übernimmt. Die Desktop-Plattformen werden wahrscheinlich nicht zu weit zurückbleiben. Andererseits haben sie bereits Unterstützung, und Sie haben sie gerade aktiviert.Linux
OSX
Schlussgedanken
