OpenDNS i DNSCrypt instalacija i podesavanja

I ranije je bilo pomena na forumu oko OpenDNS i DNSCrypt, ali ovde cu napisati kako ih pravilno podesiti. Za pocetak, zasto uopste koristiti neki drugi DNS (Domain Name System) server, a ne onaj od vaseg ISP (Internet Service Provider - Telekom, Telenor, VIP, Ikom…)? Pre svega zbog sigurnosti i azurnosti. OpenDNS speecava usmeravanje na phishing sajtove i sajtove poznate po malware i spyware i sama sigurnost njihovih servera je veca, jer su poznati slucajevi da se napadom na DNS servere moze izmeniti kes DNS servera i neku IP adresu zameniti drugom IP adresom i preusmeriti na sajt identican login strani npr. googla, facebooka i sl. gde cete ostaviti svoj username i password misleci da se logujete na neki poznati servis/sajt. Sa druge strane dosta su azurniji u dodavanju novih domena, sto je svakako prednost. Naravno, postoje i druga DNS resenja (google public DNS i sl.), ali ja cu se bazirati na ovom zbog DNSCrypt-a koji radi sa OpenDNS. Jos jedna od prednosti je ta da je OpenDNS uglavnom i dosta brzi od ISP DNS servera. Opsinije o ovome na:

OpenDNS
DNSCrypt

Link za download (deb, rpm, exe, source code):

Download DNSCrypt

PODESAVANJE OpenDNS

OpenDNS se moze podesiti na 3 nacina. Prvi je na samom routeru u koji ulazite iz web pregledaca sa adresom 192.168.1.1 ili 192.168.0.1 u zavisnosti od proizvodjaca. username/password za ulazak u ruter su (ako su ostali fabricki ili operaterovi defaultni) najverovatnije jedni od sledecih:

admin/admin, telekom/telekom (verovali ili ne!), admin/ztonpk

Login window za ruter:
router-login.jpg

ali mogu biti i izmenjeni od strane operatera (nadamo se), pa pogledajte u ugovoru, gde bi obicno trebalo da pise, ili zovnite korisnicki servis operatera [size=2](nek’ vam je sa srecom)[/size].

Isto tako od proizvodjaca zavisi i gde se nalaze DNS server podesavanja, ali malo pogledajte po opcijama, uglavnom ce biti opcija Use this DNS server ili nesto slicno i tu ukucajte adrese OpenDNS servera:

208.67.222.222 208.67.220.220

Drugi nacin je podesavanje na nivou racunara i sve konekcije ce ga koristi dok god je tako podeseno, dok ce prvim nacinom (ruter podesavanje) ostati tako i posle reinstalacije OS, dokle god se u samom ruteru ne stavi neki drugi DNS server. Otvorite dhcclient.conf

gksudo gedit /etc/dhcp/dhclient.conf

i dodajte sledeci red iza #prepend domain-name-servers 127.0.0.1;

... #prepend domain-name-servers 127.0.0.1; supersede domain-name-servers 208.67.222.222,208.67.220.220; ...

Restartujte konekciju, mada je u nekim slucajevima potrebno restartovati racunar.

Treca varijanta je na nivou pojedinacne konekcije. Otvorite Network Connections i izaberite tip konekcije koji koristite (wireless u mom slucaju). Sa edit otvorite konekciju i u tabu IPv4 Settings izaberite iz padajuceg menija Automatic (DHCP) addresses only i u polje DNS servers: ukucajte 208.67.222.222,208.67.220.220 Takodje moze biti potrebno restartovati racunar, a ne samo konekciju da bi proradilo. Ovaj treci nacin nema nekog narocitog smisla, mnogo je pametnije odraditi podesavanja na nivou sistema ili jos bolje rutera, ali postoji i ovaj nacin pa sam i njega opisao.

opendns-settings.jpg

Proverite da li koristite OpenDNS na adresi:

http://www.opendns.com/welcome/

Trebalo bi da imate ovakav prikaz:

opendns-check.jpg

INSTALACIJA I PODESAVANJE DNSCrypt

DNSCrypt je alatka za kriptovanje konekcije izmedju vas i OpenDNS servera. Izmedju ostalog sprecava middle-man attack i last-mile sniffing napade. Za pocetak skinite iz gornjeg linka odgovarajuci deb ili rpm paket za vasu arhitekturu 32/64bit, raspakujte ga i instalirajte sa dpkg ili GDebi package instalerom. DNSCrypt ce se dizati sa sitemom, nema potrebe dodavati ga u Startup Applications. Za rad DNSCrypt potrebno je u /etc/resolv.conf podesiti namserver na 127.0.0.1

sudo gedit /etc/resolv.conf

i dodajte liniju

nameserver 127.0.0.1

Ukoliko nemate resolv.conf u /etc (ja ga nisam imao, dok je na Mint12 postojao), napravite ga

sudo touch /etc/resolv.conf

i na isti nacin kao sto je objasnjeno u delu za OpenDNS podesite DNS servers za konkretnu konekciju da bude 127.0.0.1 umesto 208.67.222.222,208.67.220.220. Ovo je potrebno uraditi za sve konekcije, ne postoji nacin da to bude system-wide, bar ja nisam nasao kako.

dnscrypt-settings.jpg

sudo cp dnscrypt.conf /etc/init/ sudo ln -s /lib/init/upstart-job /etc/init.d/dnscrypt

i startujte DNSCrypt

start dnscrypt

i zatim restartujte konekciju, ili po potrebi racunar. Konekcija koja je podesena na 127.0.0.1 bi trebalo da se konektuje na 127.0.0.2 server (kao na slici), u suprotnom rucno podesite u Network Connections da DNS bude 127.0.0.2 i restartujte konekciju.

dnscrypt-connected.jpg

Proverite da li je sve uspesno odradjeno:

http://www.opendns.com/welcome/

To bi trebalo da je to (kod mene radi). Ako bude nekih problema probacemo ovde da ih resimo, mada kao sto rekoh kod mene je sve proradilo bez nekih problema.

Sa dsi me totalno sludio. To po meni ne ide zajedno.
Kad nasetujem :

i dodajte sledeci red iza #prepend domain-name-servers 127.0.0.1;


#prepend domain-name-servers 127.0.0.1;
supersede domain-name-servers 208.67.222.222,208.67.220.220;

oko to radi i sad su DNS 208.67.222.222,208.67.220.220

Sad DNS crypt, kazes

sudo gedit /etc/resolv.conf
i dodajte liniju

nameserver 127.0.0.1

Ok ali tu sad u fajlu stoje

nameserver 208.67.222.222 nameserver 208.67.220.220

Kako sad to, ako stavim 127.0.0.1 prio sledecem restartu procedura iz sa pocetka ce ce sigurno vratiti openDNS servere

[font=lucida sans unicode]Evo ovo sto sam menjao u resolv.conf 127.0.0.1 sad je 127.0.0.2 ali tek kad sam ja upisao u network manageru[/font] inace posle restarta toje bilo prazno
[font=lucida sans unicode]Radio sam kopiranje i link i kad sam startovao [/font]

start dnscrypt

[font=lucida sans unicode]Prijavio mi je gresku
Sad sam podigao masinu i uopste mi nije jasno sta radi gde je to sto radi i da li uopste radi. Da li radi skripta ili radi program? Kako sad da znam da li to uopste radi[/font]
[font=lucida sans unicode]Gde je taj dnscrypt[/font], nekako mora da se vidi kao aktivni proces.

[CODE]description “dnscrypt startup script”

start on (local-filesystems and started dbus and stopped udevtrigger)
stop on runlevel [016]

script
exec /usr/sbin/dnscrypt-proxy -a 127.0.0.2
end script[/CODE]

Ovo je skripta, kako to radi nije mi jasno, ne lici mi na skripte koje sam vidjao.

U uputsvima bilo je da se dnscryp startuje preko Startup Aplications

/usr/sbin/dnscrypt-proxy --daemonize

a mislim da bi radilo ovako
/usr/sbin/dnscrypt-proxy --daemonize -a 127.0.0.2

To sad radi, tj. imam internet ali da li kriptuje ili ne i da li uopste radi ne znam, voleo bi da nekao vidim taj proces, kroz uobicajne postupke htop i top ne vidim nista.

Evo sljaka vexc dva dana :slight_smile: super, hvala :slight_smile:

I kako radi? Jel koci postojecu konekciju?

@neupuceni ovo nema veze sa samom konekcijom, ona ostaje da radi kao i pre, ali bi brzina rutiranja ka stranicama trebala biti brza jer brze dobijas IP adrsu www stranice koju otvaras. Probaj onaj 3. nacin (za konkretnu konekciju) treba ti pola minuta da je podesis i lako se vraca na staro, pa vidi da li je sta brze, sam proceni, ne znaci da ce uvek biti brze, zavisi od kvaliteta DNS servera koji je podesen defaultno kod tebe.

@dragan drago mi je da je konacno proradilo i kod tebe! Pokusao sam da nadjem neki nacin kako se proverava radi li DNScrypt uopste, ali nisam nasao neki koji obecava. Jedini koji mi se cini ok je taj da se provere dns logovi, trebalo bi da su “kuke i motike” umesto neceg razumljivog, sto bi znacilo da je kriptovano. Nisam jos probao to, burazer mi uzurpirao racunar ceo dan ('bo ga PES :slight_smile: )

@Shankly,

Radi ali ne znam kako se zovu dns logovi, trazio sam na /var/log ako znas kako se tacno zovu da ih nadjem
Sad sam to namestio i u Fedori 17, malo je suludo nema prvi dhclient.conf file, prepisao sam ga iz Ubuntua i sve radi.
Ajde ako se setis gde je taj log samo da zavirimo u njega :slight_smile:

To bi trebalo da je u /var/log/bindlog ali nazalos to to cu sutra tek moci da proverim… ovi igraju igricu vec 8 sati! Aaaaa… cu da izbrisem windows sa desktop masine, zivota mi. :slight_smile:

Mislim da mu je to log kad dignes svoj licni DNS. Probao sam sa wireshark da snimam saobracaj, sve je citljivo, lepo ide od moje IP do FreeDNS sve pise nista nije kriptovano. Mislim da bi to moglo nekako da s euhvati i proveri ali kad bi bio nekako nakacen izmedju rutera i provajdera. :slight_smile:

Ma mora da postoji nacin. Inace bih i ja mogao da napravim crypt koji radi nesto sto niko ne moze da verifikuje (loop echo do prekosutra) :slight_smile: i da se posipam pepelom&perjem kako je to super stvar. Za sad jedino mogu da se nadam da je to sto kazu na zvanicmom sajtu OpenDNS tacno, jbg da nije neko bi do sad provalio da foliraju enkripciju. Mada je ceo sistem poprilicno sturo objasnjen

Aha, okej…

Ja sam pokušao ovaj (useopennic.org) i “oseti” se brze ucitavanje, tako da…

[b]

No Software To Install [/b]

Ovo pise na tvojem linku, nick neupuceni bas ti pristaje :slight_smile: Kako nesto moze da radi samo od sebe, samo sto ces otici na njihov sajt, pa nece moci, ili moras preko njihovog DNS servera ili radi neki preload iscita tvoje kolacice i ostale fazone za pracenje i unapred to kesira.

46	67.871642	192.168.1.222	208.67.220.220	DNS	Unknown operation (12)[Malformed Packet]

Mislim da je ovo kriptovanje, wireshark iz Ubuntu, u Fedori nece, nesto je tu skarabudjeno ima jos i onaj Selinux modul koji stalno nesto proverava,
onda odem trazim gresku ono kaze nije greska ali nismo uspeli da ispravimo zanemarite to, ono dosaduje svaki puta kad dignem OS. :slight_smile:

Nisi me dobro razumeo. Postavio sam DNS sa tog linka, pa sam nakon toga osetio da koliko toliko brze ucitava stranice… :slight_smile:

@Neupuceni,

Ok :slight_smile: Fazon je sto pisu da se nista ne instalira. Prevucu misa iznad ove recenice na prvo dugme, procitaj sta pise. Parafrziram pise daj da tio malo prodzaramo po masini. Ne znam sto je toliko spekrakularan njihov DNS server i to jos zadjabe. Odavno sam naucio da na internetu a i u zivotu nema nista zadjabe, google i njegov mail, imas a posle profdaju tvoje podatke ili google DNS free servere.
Nisam se udubljivao ali kako si postavio njihov DNS, sam ili su ti oni postavili i koji su to DNSovi, obicno idu dva ili vise. :slight_smile: