Cách sử dụng DNS qua TLS trên Ubuntu Linux

Hình ảnh thô, hình ảnh Getty / iStockphoto

Nếu bạn quá hoang tưởng về bảo mật máy tính, có lẽ bạn biết rằng DNS tiêu chuẩn không an toàn khủng khiếp. Tại sao? Bởi vì, theo mặc định, các truy vấn DNS không được mã hóa. Điều đó có nghĩa là DNS có thể (và thường là) được khai thác. Để khắc phục điểm yếu đó, có thể sử dụng DNS trong đó tất cả các truy vấn DNS được xử lý thông qua giao thức TLS (Transport Layer Secure) được mã hóa. Ra khỏi hộp, hầu hết các hệ điều hành không hoạt động với DNS qua TLS.

Nếu bạn tình cờ sử dụng Linux, biến điều này thành hiện thực không chỉ có thể, nó thực sự khá đơn giản.

Tìm hiểu thêm về Mạng

  • 7 dự đoán mạng cho năm 2020: Tự động hóa, tính toán cạnh, Wi-Fi 6, v.v.
  • 8 dự đoán trung tâm dữ liệu cho năm 2020
  • 11 xu hướng lưu trữ hàng đầu trong 20 năm qua
  • Mạng di động 5G: Bảng cheat

Tôi sẽ cho bạn thấy việc thêm DNS qua TLS trên Ubuntu 18.04 dễ dàng như thế nào. Để thực hiện điều này, chúng tôi sẽ sử dụng Stubby, một trình giải quyết sơ khai DNS, mã hóa mã nguồn mở, mã hóa các truy vấn DNS được gửi từ máy khách đến trình phân giải Bảo mật DNS làm tăng quyền riêng tư của người dùng cuối. Tôi sẽ trình diễn cài đặt trên Ubuntu Desktop 18.04. Tất cả những gì bạn cần là một phiên bản chạy của nền tảng Ubuntu mới nhất và người dùng có quyền sudo.

Hãy cài đặt.

Cài đặt

Cài đặt Stubby rất dễ dàng. Mở một cửa sổ đầu cuối và đưa ra các lệnh sau:

 sudo apt-get update sudo apt-get install stubby 

Khi quá trình cài đặt hoàn tất, hãy khởi động và kích hoạt Stubby bằng các lệnh:

 sudo systemctl start stubby sudo systemctl enable stubby 

Kiểm tra cài đặt

Chúng tôi sẽ muốn sử dụng công cụ netstat để đảm bảo Stubby đang lắng nghe. Bạn có thể không tìm thấy netstat được cài đặt. Để cài đặt nó, hãy ra lệnh:

 sudo apt-get cài đặt các công cụ mạng 

Khi quá trình cài đặt này hoàn tất, hãy ra lệnh:

 sudo netstat -lnptu | grep stubby 

Bạn sẽ thấy rằng stubby đang lắng nghe localhost (127.0.0.1) trên cổng 53 ( Hình A ).

Hình A

Stubby đang chạy và lắng nghe.


Cấu hình Stubby

Ra khỏi hộp, Stubby chạy hoàn toàn tốt. Nếu bạn muốn thực hiện bất kỳ thay đổi cấu hình nào, tệp cấu hình được tìm thấy trong /etc/stubby/stubby.yml. Bạn sẽ nhận thấy, trong tệp đó, Stubby sử dụng (theo mặc định) các dịch vụ DNS sau hỗ trợ TLS:

  • dnsovertls.sinodun.com
  • dnsovertls1.sinodun.com
  • getdnsapi.net

Bên dưới đó, bạn sẽ tìm thấy phần Máy chủ bổ sung được nhận xét. Có một số DNS khác trên các máy chủ TLS có sẵn ở đây, chẳng hạn như:

  • dns.quad9.net
  • unicast.censurfridns.dk
  • dnsovertls3.sinodun.com
  • dnsovertls2.sinodun.com
  • dns.cmrg.net
  • dns.larsdebruin.net
  • bảo mật.eu

Một số máy chủ bổ sung được liệt kê với các điều kiện mô tả điểm yếu hoặc tính năng không hoạt động. Bạn cũng có thể thêm DNS bổ sung qua các máy chủ TLS trong phần này. Ví dụ: DNS Cloudflare trên các máy chủ TLS có thể được thêm vào như vậy:

 #CloudFlare DNS trên các máy chủ TLS - address_data: 1.1.1.1 tls_auth_name: "cloudflare-dns.com" - address_data: 1.0.0.1 tls_auth_name: "cloudflare-dns.com" 

Sử dụng cứng đầu

Tại thời điểm này, chúng tôi cần thông báo cho Systemd để thực sự sử dụng Stubby cho các truy vấn DNS. Để làm điều đó, hãy mở ứng dụng Cài đặt mạng và nhấp vào biểu tượng bánh răng được liên kết với kết nối mạng của bạn. Trong cửa sổ kết quả, nhấp vào tab IPv4 và đặt DNS Automatic thành TẮT. Tiếp theo, trong văn bản DNS, nhập 127.0.0.1 ( Hình B ). Nhấp vào Lưu để áp dụng các thay đổi.

Hình B

Làm cho Systemd nhận ra Stubby.


Để làm cho hệ thống nhận biết các thay đổi, hãy ra lệnh:

 sudo systemctl khởi động lại Trình quản lý mạng 

Mã hóa DNS

Và đó là tất cả. Stubby hiện chịu trách nhiệm xử lý DNS qua TLS. Các truy vấn DNS của bạn hiện đã được mã hóa, vì vậy bạn nên tận hưởng bảo mật hơn một chút trên Máy tính để bàn Ubuntu.

Bản tin nội bộ không gian mạng

Tăng cường phòng thủ bảo mật CNTT của tổ chức của bạn bằng cách theo kịp các tin tức, giải pháp và thực tiễn tốt nhất về an ninh mạng mới nhất. Giao hàng thứ ba và thứ năm

Đăng ký hôm nay

© Copyright 2020 | mobilegn.com