web-dev-qa-db-ja.com

VPNを使用するときにDnscryptを使用するポイントはありますか?

コンピューターが既にVPN経由でインターネットに接続されている場合、DNSクエリの暗号化に意味はありますか? DNScrypt から:

DNSCryptは、DNSクライアントとDNSリゾルバー間の通信を認証するプロトコルです。 DNSスプーフィングを防ぎます。暗号化署名を使用して、選択したDNSリゾルバーからの応答であり、改ざんされていないことを確認します。

Linux、OSX、Android、iOS、BSD、Windowsなど、ほとんどのオペレーティングシステムで実装を利用できます。

DNSCryptはどの企業や組織とも提携しておらず、非常に安全な非NIST暗号化を使用する文書化されたプロトコルであり、そのリファレンス実装はオープンソースであり、非常に自由なライセンスの下でリリースされています。

DNSCryptはVPNに代わるものではないことに注意してください。DNSCryptはDNSトラフィックを認証するだけであり、「DNSリーク」やサードパーティのDNSリゾルバーによるアクティビティのログ記録を防止しません。

VPNがDNSをリークする場合、VPNはそもそも役に立たないに違いないと思います。

3
ArnoldS

それはあなたが達成しようとしていることに依存します。

DNSリークを防止しようとしているのであれば、DNSCryptは必要なものではありません。 DNSCryptは、まったく異なるDNSスプーフィングを防止することを目的としています。あなたはそれをPrivacyvsMan-in-the-Middleと考えることができます。

DNSCryptは、DNSクライアントとDNSリゾルバー間の通信を認証するプロトコルです。 DNSスプーフィングを防ぎます。 [...]とは、「DNSリーク」、またはサードパーティのDNSリゾルバーによるアクティビティのログ記録を防止しません。

VPNがDNSをリークしないことを確認したい場合は、その構成を調べる必要があります。通常、デフォルトではチェックされないオプションがあります。たとえば、ここでテストできます https://www.dnsleaktest.com/

DNSCryptの場合、それがあなたに適しているかどうかを決めるのはあなた次第です。やり過ぎだと思わない場合は、どうぞ。

結局のところ、それはすべてVPNサーバー/プロバイダーとその構成での信頼のレベルに依存します。

4
Hiruma

別のポイントがあります。 Windows-10の登場により、windowsが最速のdns-resolverを選択するため、dns-leakが問題になっています。

VPN(Cyber​​Ghost)を使用しているとき、私のトラフィックはそれらのDNSを通過するはずであることに気づきました-しかし DNS Leak を使用すると、それは私のispのDNSを示していました。

私は自分のVPNに連絡したところ、すべてが良好で環境に優しいと述べ、彼らはあまり注意を払っていませんでした。

Windows 10は非常にスマートなので、ネットワークアダプターに静的DNSリゾルバーが提供されていても、それを無視してローカルDNSとそれより高速なDNSを選択します。

DNSCryptプロキシを使用してこの問題を解決しました。それは同じマシン(127.0.0.1)にdns要求を送り返すので、Windowsはそれが最速のルートであると考え、そこからdns-cryptが要求を処理します。

DNSリーク にローカルのDNSアドレスが表示されなくなりました。

これを使用する2つの方法:

1)WANネットワークアダプターのみ[実行する必要があります])でDNSCryptを使用します。

2)VPNはとにかくトラフィックを暗号化しているので、TAPアダプターとWANネットワークアダプター[無意味です]でDNSCryptを使用します。

場合によります。安全に構成されたDNScryptサーバーとクライアントは、ゼロのDNSリークを保証します。DnscryptはDNSトラフィックを暗号化します。つまり、downstreamDNScryptサーバーとの間の途中で、それを表示したり、改ざんしたりすることはできません。 DNSCRYPTサーバーは、上流に送信される可能性のある識別データもすべて削除し、多くの場合「外部/上流のDNSサーバーへの転送なし(再帰的)」を提供します

私が集めたものから、DNSCrypt自体は100%安全ではないかもしれません。サーバー自体が危険にさらされていない場合、セキュリティは、優先DNSCRYPTサーバーによって取得される結果の品質に依存します。この欠点に対処するため、DNSSECは上流から下流へのコマンドチェーン全体を検証し、ドメインレベルで実装されているため、偽造することはできません。これはドメインごとに有効にする必要がある機能であり、DNSSECを実装しているドメインが非常に少ないため、採用が増加するまでDNSSECは大幅に冗長になります。数か月使用した後、DNSSECによって本当に「検証」されたあいまいなドメインを1つだけ見つけました。 DNSSECオーバーヘッドにより、レイテンシが著しく増加します。それは私がそれをやめたこれら二つの理由のためです。

DNSCRYPTによりDNSリークがゼロになり、すべてのクエリが暗号化および署名されます。技術的には、DNSクエリ専用のDNSCRYPT/DNSSECサーバーと、データトラフィック専用のVPNを使用して、DNSとデータを2つの別々のストリームに分割できます。ストリームを分割すると、セキュリティが強化される可能性があります。 VPNプロバイダーとDNSCRYPTプロバイダーに完全に依存しています。 DNSリークテストで確認できるように、一部のDNSCRYPTサーバーは、アップストリームサーバーまたはコンパニオン(セーフブラウジング/ adblock)サーバーとしてGoogleを使用します。ですから、何かを前提とする前に、必ず test and look を確認してください。 DNSCRYPTおよびDNSMASQなどの他のスタブリゾルバーのログ記録が有効になっている場合、システムでアクセスできるDNSログが増えることに注意してください。ログは、VPNユーザーがプロバイダーが実行していないことを確認する主要な要素の1つです。セキュリティ上の利点については、VPNと一緒にDNSCRYPTを使用すると、独自のブロックリストを実装してマルウェアドメインやトラッカーをVPN経由で回避できるようにするオプションが提供され、セキュリティを強化できます。

まとめると、VPN DNSを使用すると、攻撃面が真っ直ぐに横になり、デバイスの整合性が保たれ、DNSリークの可能性があります。 (openvpn設定にディレクティブblock-outside-dnsを追加すると、これを修正できます)DNScryptを使用すると、攻撃面が拡大しますが、DNSリークから保護されます。また、ホストブロックリストは、マルウェアへの露出を指数関数的に減らすことができます。どちらの方法でも、選択したプロバイダーとデバイスの整合性と同じくらい非公開ですが、これは常にそうです。

私は専門家ではありません。この分野の専門家によるさらなる洞察をいただければ幸いです。

0
Tyler