OpenNIC+DNScrypt

Anonimitzar consultes DNS: OpenNIC + DNSCrypt

Introducció

Necessitat

Sistema base

OpenNIC

Introducció

OpenNIC és un projecte de " DNS arrel" i de registre de noms de domini (NIC) de caràcter públic i gratuït que és una alternativa a les DNS de la ICANN . Proporciona una llista completa de DNS que permeten nous TLDs més de suportar els DNS que subministra la ICANN. Mentre que altres projectes anteriors com AlterNIC aparèixer com a alternativa enfront del monopoli de InterNIC (que controlava els DNS abans que es creés la ICANN, en 1998 ), OpenNIC es planteja com l'alternativa de la ICANN.

OpenNIC és mantinguda i administrada pels usuaris sent independent dels estats, i reemplaçant els registres tradicionals de dominis de nivell superior o TLDs (de l'anglès Top-Level Domain).

Història

OpenNIC neix de la discussió d'un article a la web kuro5hin.org el gener de juny de 2000 per la necessitat d'un Sistema de Nom de Dominis o Domain Name System (DNS) governat democràticament. A finals de juny d'aquest mateix any els servidors DNS arrel de OpenNIC root estaven ja operant i alguns TLDs havien estat afegits, a més d'afegir interconnexió amb el espai de noms de AlterNIC. Al març de 2001 es va agregar interconnexió amb Pacific Root (un altre DNS arrel) i al setembre es va anunciar un cercador per a l'espai de noms de OpenNIC. Al maig de 2005 es va produir una caiguda que va produir que no es pogués accedir a cap dels servidors de OpenNIC ni a la seva pàgina web. A conseqüència d'això es va produir un debat dins OpenNIC sobre la millor solució per afegir redundància en tots els aspectes de OpenNIC i així prevenir futurs problemes. En l'actualitat OpenNIC, ha millorat la escalabilitat gràcies a voluntaris que munten servidors de DNS funcionant a 24/7 amb el seu respectiu ample de banda, fent d'aquesta forma una rèplica del servei i donant major disponibilitat amb una resposta més ràpida a les peticions de DNS. Això evita, en la mesura del possible, que es produeixin noves caigudes.

Característiques i ús

Els usuaris dels servidors DNS de OpenNIC, poden resoldre noms de dominis al DNS de la ICANN i al espai operat per OpenNIC, com també DNS arrel amb els quals OpenNIC tingui acords (com amb AlterNIC antigament, ja va deixar d'existir). Com molts DNS arrel alternatius, els dominis registrats a través OpenNIC no poden accedir des de la gran majoria de màquines connectades a Internet. Només afegint la llista de DNS de OpenNIC a la llista de DNS que ha de fer servir la màquina es podrà accedir als llocs web que utilitzen els serveis de OpenNIC (encara que alguns ISP ho suporten ja de manera nativa, sent aquest pas innecessari). Afegint els DNS de OpenNIC, s'afegeix suport per a les pàgines allotjades en els seus TLD sense perdre en cap moment compatibilitat amb les adreces que proporciona la ICANN, el que fa que configurar les DNS de OpenNIC no tingui cap repercussió en la normal navegació a Internet de qualsevol usuari. Tot i que el registre de nous dominis sigui gratuït i fins i tot es puguin utilitzar TLDs personalitzats (subjectes a les polítiques de OpenNIC) la incapacitat per accedir a aquests dominis sense una reconfiguració prèvia fa que l'extensió del seu ús sigui reduïda. Perquè els usuaris que no poden modificar la configuració del seu ordinador puguin accedir, OpenNIC també proporciona un servidor intermediari web .

No obstant això, a causa de l'alarma creada pels tancaments dels EUA a webs de tot el món s'ha posat de manifest la necessitat d'un sistema de DNS descentralitzat (encara que aquesta necessitat ja s'havia percebut des de fa força temps tal i com testifica l'existència de nombrosos DNS arrel alternatius.

Actualment el Projecte OpenNIC és usat per ISP franceses i algunes altres al voltant del món. Hi ha la possibilitat que OpenNIC es pugui unificar amb UnifiedRoot, Dot-Bit i Dot42. S'espera que aviat ingressi DotP2P (en desenvolupament), per així ser part dels actuals TLD de OpenNIC.

No obstant això, ja no compta amb els acords d'interconnexió entre els DNS arrel de AlterNIC (desaparegut el 1997) ni de Pacific Root (que es creu que va desaparèixer a finals del 2004).

TLDs propis de OpenNIC

OpenNIC ve a suplir els noms de dominis com una alternativa a la ICANN, oferint registre gratuït per als següents dominis de nivell superior:

.bbs
Dirigit cap a sistemes de tauler d'anuncis i llocs web relacionats (a l'estil Telnet ), vegeu BBS .
.ing
Dirigit cap a webs de diversió.
.indy
Notícies, entreteniment i multimèdia de caràcter independent
.fur
Llocs amb continguts Furry .
.free
Administrat per FreeNIC el domini de nivell superior .free proveeix un espai de nom d'usuari, autoritat certificada i altres serveis que promouen l'ús no comercial d'Internet.
.geek
Per a ús de llocs amb contingut geek o dirigides a un públic geek.
.gopher
Per llocs que utilitzen el protocol gopher .
.micro
Per microdonacions i les seves entitats. És recent i per tant no s'usa àmpliament
.null
Llocs amb continguts miscel·lanis de caràcter no comercial.
.oss
Pàgines web dedicades a projectes de Programari Lliure / Open Source (OSS)
.dyn
És utilitzat per IP dinàmiques.
.parody
El seu ús es va promoure per a treballs no comercials (paròdia). Tenint un TLD designat perquè es registrin llocs de paròdia elimina la possibilitat que ser produeixin reclamacions contra una pàgina web per infringemiento d'alguna marca registrada . En l'actualitat no s'utilitza causa de la seva falta d'ús.
.glue
És usat internament pel projecte OpenNIC per als seus serveis. Les definicions donades són històriques. En alguns casos, estan sota revisió. Estan planejats més TLDs diferents. A més, es pot sol·licitar, a través de la política de creació noves dominis de nivell superior.
.neo
Subcultura emo amb influències de tecnologies, música i altres formes de multimèdia.
.pirate
Creat com a reacció en contra de la Censura a Internet .
.oz
Relacionat amb contingut australià, sense la necessitat dels requeriments de residència de .au.

Llistat de servidors OpenNIC

Des de la pàgina oficial es pot accedir al llistat de servidors públics actual. D'aquí ens interessa fixar-nos en:

  • El país per reduir la latència en la resposta.
  • En les característiques, especialment: Logs anonims, Sense logs, DNScrypt.
  • En l'estat (si està actiu o no).

De tota la llista triaré els servidors que anonimitzen els logs i utilitzen DNScrypt, ja que no hi han que no guardin logs i alhora utilitzin el DNScrypt.

  • 89.35.39.64
  • 93.170.96.235
  • 109.69.8.34
  • 87.98.175.85

Configur varis servidors per si cau algun tenir-ne de backup.

DNSCrypt

Introducció

DNSCrypt és un protocol de xarxa dissenyat per Frank Denis i Yecheng Fu, que autentica el trànsit del sistema de noms de domini (DNS) entre l' ordinador de l'usuari i els servidors de noms recursius.

Encara que existeixen múltiples implementacions de clients i servidors, el protocol mai es va proposar a Internet Engineering Task Force (IETF) per una Sol·licitud de Comentaris (RFC).

DNSCrypt envuelta consultes DNS no modificades entre un client i un resoledor de DNS en un contenidor SSL [1] i les respostes en una construcció criptogràfica ( criptografia de la corba el·líptica ) per detectar falsificació. Encara que no proporciona seguretat d'extrem a extrem, protegeix la xarxa local contra els atacs man-in-the-middle. [2]

També mitiga els atacs d'amplificació basats en UDP i requereix que la pregunta sigui almenys tan gran com la resposta corresponent. Bàsicament, l'ús de DNSCrypt ajuda a prevenir la spoofing de DNS .

DNSCrypt també es pot utilitzar per al control d'accés o per a l'anonimat i la privadesa en línia, fins i tot per part del proveïdor de serveis d'Internet (ISP).

A més de les implementacions privades, el protocol DNSCrypt ha estat adoptat per diversos resolucions DNS públiques, la gran majoria són membres de la xarxa OpenNIC , així com serveis de xarxa privada virtual (VPN).

OpenDNS (ara part de Cisco ) va anunciar el primer servei públic de DNS que recolza DNSCrypt al desembre de 2011. El 29 de març de 2016, Yandex va anunciar el suport al protocol DNSCrypt en els seus servidors DNS públics, així com en el seu navegador web . Poc després, Infoblox va anunciar ActiveTrust Cloud, aprofitant DNSCrypt per assegurar comunicacions DNS. A l'octubre de 2016, AdGuard va afegir DNSCrypt al seu mòdul de filtratge DNS perquè els usuaris poguessin traslladar-se dels seus ISP als servidors de DNS personalitzats o AdGuard per a la privadesa en línia i el bloqueig d'anuncis . [4] [5] Tots els altres servidors que admeten un protocol segur s'esmenten a la llista de creadors de DNSCrypt. [6]

Instal·lació

Per instal·lar DNScrypt simplement cal llançar apt install dnscrypt-proxy.

Aquest aplicatiu crea un servei que escolta en el port 53 local i que xifra les consultes DNS cap al servidor que especifiquem.

Configuració

  1. Arxiu de configuració

    Per configurar DNScrypt simplement haurem de modificar l'arxiu /etc/dnscrypt-proxy/dnscrypt-proxy.conf per a que quedi d'aquest amanera:

    # A more comprehensive example config can be found in
    # /usr/share/doc/dnscrypt-proxy/examples/dnscrypt-proxy.conf
    
    ResolverName fvz-anyone
    Daemonize no
    
    # LocalAddress only applies to users of the init script. systemd users must
    # change the dnscrypt-proxy.socket file.
    LocalAddress 127.0.2.1:53
    
  2. Llançament del servei

    Per gestionar el dimoni tenim les comandes típiques:

    • service dnscrypt-proxy status
    • service dnscrypt-proxy start
    • service dnscrypt-proxy stop
    • service dnscrypt-proxy restart

    Finalment per llançar el aplicatiu hem d'utilitzar una comanda semblant a aquesta:

    dnscrypt-proxy -r 185.121.177.177:5353 -N 2.dnscrypt-cert.dnsrec.meo.ws -k 1A6A:D0A3:2B4C:5A61:A695:D153:670D:69AB:1690:3F9E:C3F7:F64F:13E5:35A3:18B2:28A5
    

    on:

    -r 185.121.177.177:5353
    És la IP del servidor DNS remot i el port d'escolta.
    -N 2.dnscrypt-cert.dnsrec.meo.ws
    És el nom del servidor remot.
    -k 1A6A:D0A3:2B4C:5A61:A695:D153:670D:69AB:1690:3F9E:C3F7:F64F:13E5:35A3:18B2:28A5
    És la clau pública del servidor remot amb la qual es xifraràn les comunicacions.

    Totes aquestes dades es poden consultar des de la web de OpenNIC.

  3. Automatització del llançament del servei

    Finalment per a que aquest servei auto-inici amb el sistema, per fer-ho caldrà fer una sèrie de passos:

    1. Crear un script per a llançar el servei.
    echo "dnscrypt-proxy -r 185.121.177.177:5353 -N 2.dnscrypt-cert.dnsrec.meo.ws -k 1A6A:D0A3:2B4C:5A61:A695:D153:670D:69AB:1690:3F9E:C3F7:F64F:13E5:35A3:18B2:28A5 &" > /usr/sbin/anonimatDNS.sh
    
    1. Tot seguit caldrà donar permisos d'execució sobre el script.
    chmod 755 /usr/sbin/anonimatDNS.sh
    
    1. Crearem l'arxiu que defineix el servei, en aquest cas serà /lib/systemd/system/anonimatDNS.service i afegirem el contingut següent:
    Unit]
    Description= Dimoni per anonimat
    After=networking.service
    
    [Service]
    Type=simple
    ExecStart=/usr/sbin/anonimat.sh
    User=root
    WorkingDirectory=/usr/sbin/
    Restart=on-faliure
    StandardOutput=syslog
    StandardError=syslog
    
    [Install]
    WantedBy=multi-user.target
    
    1. Finalment activarem el servei dins de sysemctl amb la següent comanda:
    systemctl enable anonimatDNS.service
    

Verificacions

WebGrafía