DNSСrypt в ubuntu

[moby DICK]

На сайте webupd8 наткнулся на статью о том, что теперь DNSCrypt стал доступен и для linux. http://www.webupd8.org/2012/02/encrypt-dns-traffic-in-linux-with.html

Итак, что же это за зверь такой?
Компания OpenDNS анонсировала проект DNSCrypt, в рамках которого продвигается новый способ защиты от атак, связанных с модификацией и манипулированием транзитным трафиком DNS. Основная задача DNSCrypt - полное шифрование всего канала связи между клиентом и сервером DNS, примерно как SSL используется для шифрования HTTP-трафика. Шифрование DNS-трафика позволит защитить клиента от атак "человек посередине", при которых злоумышленник вклинивается в канал связи и притворяется DNS-сервером. Кроме того, шифрование предотвращает наблюдение за трафиком и блокирует активность злоумышленников, связанную с подбором идентификаторов пакетов или отправкой фиктивных DNS-ответов.

В общем, с тем зачем это нужно мы разобрались, тогда переходим непосредственно к установке.

Приведу перевод и подробное описание того как это сделать.


Для начала, скачиваем и устанавливаем пакет отсюда https://github.com/opendns/dnscrypt-proxy/downloads

Прописываем в терминале

Код: [Выделить]

sudo /usr/sbin/dnscrypt-proxy --daemonize
выставляем в менеджере сетевых соединений DNS 127.0.0.2

Затем качаем и распаковываем в домашнюю папку этот скрипт http://webupd8.googlecode.com/files/dnscrypt-0.2.tar.gz

В терминале прописывам

Код: [Выделить]

sudo cp dnscrypt.conf /etc/init/
sudo ln -s /lib/init/upstart-job /etc/init.d/dnscrypt
и запускаем непосредственно утилитку

Код: [Выделить]

sudo start dnscrypt
Перезагружаем соединение и проверяем работоспособность пройдя по ссылке http://www.opendns.com/welcome/

Радуемся более безопасному интернету

[Torrino]

Здравствуйте. Подскажите, пожалуйста, как проверить. что установленная утилита действительно шифрует трафик?

[dikiyZ]

Эта утилита не шифрует трафик.

[Torrino]

А как же вот это?

DNSCrypt, as its name suggests, encrypts DNS traffic between your computer and OpenDNS, in the same way SSL turns HTTP traffic into HTTPS encrypted traffic.

- encrypts DNS traffic between your computer and OpenDNS = шифрует DNS трафик между вашим компьютером и OpenDNS

Взято отсюда: http://www.webupd8.org/2012/02/encrypt-dns-traffic-in-linux-with.html
Пользователь решил продолжить мысль 10 Апреля 2012, 12:42:29:
В поисках, как проверить работу DNSCrypt, нашел описание настройки совместной работы dnscrypt-proxy и dnsmasq - пост №334

Касательно контроля пишут, в частности, что в syslog, после контроля ключей, должна быть строка:

(info|daemon|dnscrypt-proxy) dnscrypt-proxy[883]: dnscrypt-proxy is ready: proxying from [127.0.0.1] to [208.67.220.220]

Но у меня:

- нет сообщений о работе демона info|daemon|dnscrypt-proxy
- нет строки о готовности к проксингу от 127.0.0.1 на OpenDNS

Где и как искать ошибку? 
Пользователь решил продолжить мысль 10 Апреля 2012, 13:36:17:------------------------------------------------------------------------------
Вопрос готовности к проксингу решен: не был запущен демон (причину буду искать). Теперь хотелось бы разобраться с контролем, шифрует ли DNSCrypt трафик. Чтобы убедиться, что его установка была правильна.

[dikiyZ]

у вас что, tcpdump инопланетяне похитили? . Проверьте есть ли шифрование. А пишут... Ну, про виндокапец тут регулярно писали лет 5...

[Torrino]

  Нет, но это все ново для меня. Как получить информацию о том, что определенное соединение шифровано, если использовать tcpdump или wireshark?

[Torrino]

Вопрос готовности к проксингу решен: не был запущен демон (причину буду искать).

Будьте добры, помогите разобраться. Не смотря на любые попытки не удается сделать так, чтобы dnscrypt-proxy запускался сам во время старта системы. Что ни делаю - результат один: приходится руками в терминале задавать sudo dnscrypt-proxy --daemonize. Ubuntu 10.04 LTS.
Пользователь решил продолжить мысль 14 Июня 2012, 10:18:40:Кроме указанной проблемы, над которой долблюсь уже довольно долго, есть еще одна. Решил установить DNS кеширующий сервер. Пробовал по двум инструкциям - dnsmasq и pdnsd. Без успеха. Если эти сервера ставлю на систему без dnscrypt-proxy, то они работают без проблем. А как только поставлю dnscrypt-proxy, то dns сервера не работают. Причем они нормально загружаются, но не кешируют.

Помогите, пожалуйста, разобраться.

[Torrino]

... это все ново для меня. Как получить информацию о том, что определенное соединение шифровано, если использовать tcpdump или wireshark?

Разобрался с Wireshark. Он показывает, что после бута компа трафика на 53-м порте нет (при этом, например, модзилла не работает). ОК. Запускаем sudo dnscrypt-proxy --daemonize и видим, что на этом порту моя карта посылает запрос на IP OpenDNS открытым трафиком и получает ответ. Весь последующий DNS-traffic шифрован.

Помогите, пожалуйста, разобраться во второй проблемой, о которой писал выше.

Не смотря на любые попытки не удается сделать так, чтобы dnscrypt-proxy запускался сам во время старта системы. Что ни делаю - результат один: приходится руками в терминале задавать sudo dnscrypt-proxy --daemonize. Ubuntu 10.04 LTS.

Я пытался изучить способ, каким задается автоматический старт, но информации очень много для меня, т.к. я начинающий пользователь. Чтобы запускать dnscrypt автоматически, воспользовался инструкцией DNSCrypt in Ubuntu по этой ссылке. По командам мне понятно, что:

- sudo cp dnscrypt.conf /etc/init/ копирует конфиг в init
- sudo ln -s /lib/init/upstart-job /etc/init.d/dnscrypt создает символьную ссылку в upstart-job
- sudo start dnscrypt запускает прокси

Все хорошо, но послу рибута dnscrypt не работает, пока не запущу его руками. Копался в Сети и в манах по cron, crontab, upstart, но самостоятельно разобраться не получается.

Прошу помощи.

[Torrino]

Разобрался наконец с тем, почему dnscrypt-proxy не стартовал во время бута.

В файле README.markdown указано, что dnscrypt-proxy по умолчанию устанавливается, как /usr/local/sbin/dnscrypt-proxy. А в файле /etc/init/dnscrypt.conf стояла команда exec /usr/sbin/dnscrypt-proxy.

Становится понятно, что заданная ранее команда sudo cp dnscrypt.conf /etc/init/ не выполнилась (причина не важна). После скопирования файла /usr/local/sbin/dnscrypt-proxy в /usr/sbin/ программа стала запускаться при буте.

Теперь подготовил ее к использованию совместно с DNS-кешером. Поскольку dnsmasq слушает на 127.0.0.1 (так стоит в инструкции), надо, чтобы dnscrypt слушал на другом IP. Настроил так:

- в менеджере соединенний выбрал "только автоматическиое... DHCP" и вписал в IP сервера 127.0.0.2
- в dnscrypt.conf отредакторовал строку запуска к виду exec /usr/sbin/dnscrypt-proxy -a 127.0.0.2 -d, чтобы dnscrypt-proxy слушал другой адрес и запускался, как демон

Осталось разобраться с dnsmasq или pdnsd.

[Torrino]

10.04 LTS. Сегодня ни с того, ни с сего перестал работать dnscrypt-proxy. Просто Модзилла перестала подключаться к сайтам. Тогда я запустил армейское лив-СиДи LPS-1.3.5. Модзилла в нем работает нормально. А когда в этой армейской системе включаю dnscrypt, то Модзилла перестает подключаться. Т.е. причина проблем с и-нетом явно в dnscrypt. И утилиты говорят, что DNS-запросы не получают ответов. С системой совершенно ничего не делал.

В чем может быть причина, вот так с потолка?