Come criptare traffico DNS su Ubuntu con DNSCrypt

Criptando le nostre richieste ai server DNS potremo ottenere una navigazione più sicura ed efficace.

Ogni giorno moltissimi PC subiscono una modifica delle richieste DNS: questo tipo di minaccia è subdola e molto pericolosa, perché permette ad un malintenzionato di reindirizzare le pagine corrette (digitate nel browser) verso siti truffa, trappole per phishing e spesso pieni di malware.

La minaccia è concreta anche su sistemi GNU/Linux, perché i DNS vengono utilizzati per risolvere gli indirizzi su qualsiasi PC con qualsiasi sistema operativo.

In questa guida vedremo come criptare il traffico DNS su Ubuntu 14.04 per renderlo immune a questo tipo di minaccia, così da proteggerci in un colpo solo da: spionaggio, spoofing e attacchi “man-in-the-middle”.

Criptare traffico DNS su Ubuntu con DNSCrypt

Sergey “Shnatsel” Davidoff, uno degli sviluppatori elementaryOS, mantiene un PPA per dnscrypt-proxy: possiamo facilmente installare questo pacchetto su Ubuntu.

Installiamo digitando da terminale:

sudo add-apt-repository ppa:shnatsel/dnscrypt
sudo apt-get update
sudo apt-get install dnscrypt-proxy

Il suo pacchetto usa 127.0.0.2 come indirizzo IP locale in modo da non interferire con l’installazione di default di Ubuntu. Inoltre, per una maggiore sicurezza, il pacchetto utilizza un utente di sistema dedicato, senza privilegi – DNSCrypt sarà chroot alla directory home dell’utente e non applica privilegi di root.

NOTA BENE: per Ubuntu 14.04 e derivate il pacchetto potrebbe interferire con la procedura di spegnimento, bloccando il PC. Possiamo risolvere digitando da terminale.

sudo ln -s /etc/apparmor.d/usr.sbin.dnscrypt-proxy /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.dnscrypt-proxy

Installato correttamente DNSCrypt, dobbiamo fare in modo che la nostra connessione attuale (sia Ethernet che WiFi) utilizzi DNSCrypt per risolvere gli indirizzi DNS.

D’ora in avanti il nostro server DNS sarà 127.0.0.2.

Configuriamo questo indirizzo aprendo Modifica connessioni… sull’icona della rete in alto a destra. Selezioniamo la nostra connessione, clicchiamo su Modifica, tab Impostazioni IPv4 e inseriamo 127.0.0.2 nel campo indicato.

Il resolver predefinito di DNSCrypt contenuto nel pacchetto di Sergey è OpenDNS, ma questa, insieme ad altre impostazioni, può essere cambiata con estrema facilità modificando il file /etc/default/dnscrypt-proxy.

sudo gedit /etc/default/dnscrypt-proxy

Un elenco di resolver DNS pubblici di DNSCrypt possono essere trovate nel link successivo.

LINK | DNS Server pubblici

Via


Visita lo Shop ufficiale di Chimera Revo: troverai tantissimi accessori e gadget per telefonia e PC, oltre a smartphone e tablet. Ti aspettiamo!


Rispondi