DNSSec ja DNS over TLS käyttöön

Quad9 -palvelun etuna on se, että se tukee DNSSec:ä,. Quad9 myös mahdollistaa DNS -liikenteen salaamisen TLS-salauksella, eliQuad9 tukee DNS over TLS:ää. Kolmantena etuna on se, että Quad9 suodattaa pois tunnettuja vaarallisia nettiosoitteita, eli Quad9 DNS -nimipalvelu suodattaa pois esimerkiksi tunnettuja haittaohjelmia levittäviä nettiosoitteita sekä tunnettuja huijaussivuja jne. Quad9 -palvelu saa tietoa tunnetuista haitallisista nettiosoitteista mm. Quad9:n kumppaneina olevilta tietoturvayrityksiltä. Esimerkiksi Suomalainen F-Secure tekee yhteistyötä Quad9:n kanssa. Quad9 ei tietenkään ole mikään pomminvarma turvaratkasu, mutta se auttaa parantamaan netin turvallisuutta.

Yksinkertasimmillaan Quad9:n käyttöönotto ei vaadi mitään ohjelmien asentamista tietokoneelle, riittää, että tietokone asetaan käyttämään Quad9 DNS-nimipalvelinta. Eli Linuxissa riittää, että työpöytäympäristön, esim Gnomen, verkkoasetuksissa määritellään, että käytetäänQuad9 DNS-nimipalvelinta, jonka IP-osoite on 9.9.9.9
Yksinkertasimmillaan riittää siis, että DHCP:ltä automaattisesti saatava DNS-nimipalvelimen osoitteen sijasta asetetaan DNS-nimipalvelimen IP-osoitteeksi Quad9 DNS-nimipalvelun IP-osoite.

Jos kuitenkin halutaan ottaa käyttöön TLS -salaus, eli DNS over TLS, jne niin se vaatii hiukan enemmän säätämistä. Debianissa sen voi tehdä helposti asentamalla tietokoneelle paikallinen nimipalvelin, joka välittää DNS -nimipalvelut Quad9 DNS -nimipalvelimelle. Työpöytäympäristön, kuten Gnomen, verkkoyhteysasetuksissa pitää lisäksi määritellä, että tietokoneella käytetään paikallista DNS-nimipalvelinta. Tuolla tavalla käyttöjärjestelmä käyttää DNS-nimipalvelimena paikallista nimipalvelinta, joka itseasiassa toimii vain DNS-nimipalvelupyyntöjen välittäjänä Quad9 -nimipalvelimelle sekä mahdollisesti myös paikallisena DNS cachena.

Tarkoitukseen voi käyttää ainakin unbound -nimipalvelinta tai vaihtoehtoisesti stubby resolveria, jotka molemmat löytyy suoraan Debianin repositorystä. Molempien avulla on mahdollista saada DNS over TLS -salaus toimimaan ja DNSSec toimii myös. Normaalisti mikään käyttis, ei Linux eikä Windows, salaaDNS-likennettä, mutta Debianissa toisin kuin esimerkiksi Windowsissa tuon toimimaan saaminen ei siis ole mitenkään vaikeaa.

Jatkuu seuraavassa viestissä Suomi24:n viestin pituusrajoituksen vuoksi.
T. miksuh

Ensimmäinen tapa ottaa Quad9 DNS-nimipalvelu ja DNS over TLS jne käyttöön on se, että asennetaan tietokoneelle paikallinen unbound DNS-nimipalvelin. unbound löytyy suoraan Debianin repositorystä. Tämä tapa toimii sekä uusimmassa heinäkuussa julkaistussa Debian 10 "Buster" -versiossa, että vanhemmassa Debian 9 "Stretch" -versiossa.

Ensin pitää asentaa unbound, se voidaan tehdä Debianissa näin:

apt install unbound

Seuraavaksi pitää tehdä unboundille asetustiedosto, joka määrittelee yksinkertaisen cachettavan paikallisen DNS-palvelimen, joka käyttää TLS-salausta. Tätä asetustiedostoa käytettäessä unbound DNS-nimipalvelin on käytettävissä ainoastaan paikallisesti, ei siis lähiverkosta muilta koneilta käsin, joten myöskään palomuuriin ei tarvitse puhkoa reikiä unboundia varten. Tämä on yksinkertanen asetustiedosto, jota voi ehkä parannella, parannusehdotuksia saa santaa.

1) Luodaan root -käyttäjänä tekstieditorilla asetustiedosto:

/etc/unbound/unbound.conf.d/quad9.conf


2) Tiedoston sisällöksi laitetaan tämäntapaista:


# Simple ENCRYPTED recursive caching DNS, DNS Over TLS, TCP port 853

server:

access-control: 127.0.0.0/8 allow
interface: 127.0.0.1

cache-max-ttl: 14400
cache-min-ttl: 900

do-tcp: yes
hide-identity: yes
hide-version: yes
minimal-responses: yes
prefetch: yes
rrset-roundrobin: yes
ssl-upstream: yes
use-caps-for-id: yes
verbosity: 1

forward-zone:
name: "."
forward-addr: 9.9.9.9@853 # quad9.net primary
forward-addr: 149.112.112.112@853 # quad9.net secondary


3) Tallennetaan muutokset ja suljetaan tekstieditori

4) Avataan tekstieditorilla tiedosto:

/etc/unbound/unbound.conf.d/qname-minimisation.conf


5) Tarkistetaan tiedoston sisältö. Tiedostossa tulisi olla oletuksena rivi:

qname-minimisation: yes


6) Avataan tekstieditorilla tiedosto:

/etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf


7) Tarkistetaan tiedoston sisältö. Tiedostossa tulisi olla oletuksena rivi:

auto-trust-anchor-file: "/var/lib/unbound/root.key"



Kohdat 4 - 7 ei pitäisi olla tarpeen, koska asetusten pitäisi olla kunnossa oletuksena, mutta on hyvä tarkistaa asia.

8) Käynnistetään unbound uudelleen

service unbound restart


Unbound DNS -palvelimen osalta homman pitäisi nyt toimia. Seuraavaksi käytössä olevan työpöytäympäristön verkkoasetuksissa pitää ottaa automaatinen DNS -palvelinten haku DHCP:ltä pois päältä. Sen jälkeen työpöydän verkkoasetuksissa pitää määritellä käytettäväksi DNS-palvelimeksi paikallinen DNS -palvelin. Eli laitetaanDNS-palvelimen osoitteeksi:

127.0.0.1

Seuraavaksi voidaan kokeilla tehdyn toimivuutta katkaisemalla yhteys nettiin ja muodostamalla yhteys uudelleen. Jos kaikki meni kuten piti niin nettiyhteyden pitäisi toimia ja nyt käytössä on Quad9 DNS-nimipalvelin DNS over TLS -salauksella.

Unboundia koneella ajettaessa on hyvä idea, muttei mitenkään välttämätöntä, jos koneella on ajossa Apparmor, jolla unbound voidaan ristää omaan sandboxiinsa eli hiekkalaatikkoon. Debian Busterista alkaen Apparmor on oletuksena käytössä. En tässä puutu Apparmorin käyttöön tarkemmin.


Jos unohdin mainita tässä jotain, niin siitä saa toki mainita.


Jatkuu seuraavassa viestissä.


T. miksuh

Lisään vielä unboundiin liittyen sen, että unboundin käynnistymisen aina tietokoneen käynnistyessä voi varmistaa antamalla root-käyttäjänä komennon:

service unbound enable


Jatkuu seuraavassa viestissä


T. miksuh

Mistähän nuo kiljailijoiden uudet kirjat tuossa ylempänä kertoo. Kumpi on paska Ubuntu vai Ubuntu.

Toinen tapa ottaa Quad9 DNS-nimipalvelu ja DNS over TLS jne käyttöön on se, että asennetaan tietokoneelle paikallinen stubby DNS-nimipalvelin. Stubby löytyy suoraan Debianin repositorystä. Tämä tapa toimii ainoastaan uusimmasta heinäkuussa julkaistusta Debian 10 "Buster" -versiosta alkaen. Stubby ei ole saatavilla vanhemmissa Debian -versioissa.

Ensin pitää asentaa stubby, se voidaan tehdä Debianissa näin:

apt install stubby

Seuraavaksi pitää muuttaa stubbyn asetustiedostoa niin, ettäDNS-kyselyt välitetään Quad9 DNS -nimipalvlimelle. Asetustiedosto määrittelee yksinkertaisen paikallisen DNS-palvelimen, joka käyttää TLS-salausta. Tätä asetustiedostoa käytettäessä unbound DNS-nimipalvelin on käytettävissä ainoastaan paikallisesti, ei siis lähiverkosta muilta koneilta käsin, joten myöskään palomuuriin ei tarvitse puhkoa reikiä stubbyä varten.

1) Avataan root-käyttäjänä tekstieditorilla asetustiedosto:

/etc/stubby/stubby.yml

2) Etsitään asetustiedostosta alla olevat rivit ja varmistetaan, että ne on tiedostossa nimenomaan tässä muodossa:

dns_transport_list:
- GETDNS_TRANSPORT_TLS

tls_authentication: GETDNS_AUTHENTICATION_REQUIRED

listen_addresses:
- 127.0.0.1
- 0::1

dnssec_return_status: GETDNS_EXTENSION_TRUE


3) Kommentoidaan muut DNS -nimipalvelimet pois käytöstä

Asetustiedostossa on useita valmiiksi määriteltyjä DNS -nimipalvelimia. Varmistetaan, että niitä ei käytetä kommentoimalla ne kaikki pois käytöstä laittamalla ne määrittelevien rivien alkuun risuaitamerkki #, jos rivien alussa ei sitä merkkiä jo ole.


4( Lisätään asetustiedoston loppuun Quad9 DNS-nimipalvelimen käyttöön ottavat rivit:


- address_data: 9.9.9.9
tls_auth_name: "dns.quad9.net"
tls_pubkey_pinset:
- digest: "sha256"
value: MujBQ U0p2eZLTnQ2KGEqs fPLYV/1DnpZDjBDPwUqQ=

- address_data: 149.112.112.112
tls_auth_name: "dns.quad9.net"
tls_pubkey_pinset:
- digest: "sha256"
value: MujBQ U0p2eZLTnQ2KGEqs fPLYV/1DnpZDjBDPwUqQ=

- address_data: 2620:fe::fe
tls_auth_name: "dns.quad9.net"
tls_pubkey_pinset:
- digest: "sha256"
value: MujBQ U0p2eZLTnQ2KGEqs fPLYV/1DnpZDjBDPwUqQ=


5) Tallennetaan asetustiedosto ja suljetaan tekstieditori

6) Käynnistetään Subby uudelleen antamallaroot-käyttäjänä komennot:

service stubby enable

service stubby restart


Stubby DNS -palvelimen osalta homman pitäisi nyt toimia. Seuraavaksi käytössä olevan työpöytäympäristön verkkoasetuksissa pitää ottaa automaatinen DNS -palvelinten haku DHCP:ltä pois päältä. Sen jälkeen työpöydän verkkoasetuksissa pitää määritellä käytettäväksi DNS-palvelimeksi paikallinen DNS -palvelin. Eli laitetaanDNS-palvelimen osoitteeksi:

127.0.0.1

Seuraavaksi voidaan kokeilla tehdyn toimivuutta katkaisemalla yhteys nettiin ja muodostamalla yhteys uudelleen. Jos kaikki meni kuten piti niin nettiyhteyden pitäisi toimia ja nyt käytössä on Quad9 DNS-nimipalvelin DNS over TLS -salauksella.

Jos unohdin mainita tässä jotain, niin siitä saa toki mainita.

Jatkuu seuraavassa viestissä.

T. miksuh

Erittäin mielenkiintoista juttua. Kyllä huomaa kun kirjottaja tuntee asian, josta puhuu, sillon sen myös osaa selittää kunnolla. Tälläistä osaamista tarvittaisiin tälle palstalle enemmänkin. Ihan liian moni ei tunnu ymmärtävän linuxista yhtään mitään ja keskittyvät vain lapselliseen nahisteluun siitä mikä distro tai käyttis on paras. Itse ainakin aion kokeilla tuota kunhan ehdin. Mielenkiintosta tosiaan, että DNS-kyselyt kulkee edelleen salaamattomina vaikka muuten suunta on kohti yhä salatumpia yhteyksiä. DNS on kuitenkin erittäin keskeisessä asemassa, jotn yllättävää ettei sitä normaalisti salata edelleenkään.

Lopukksi vielä pari asiaa. Valitsee sitten käyttöön unboundin tai stubbyn niin ennen työpöydän verkkoasetusten muuttamista kannattaa kokeilla, että juuri asennettu ja konfiguroitu paikallinen DNS -nimipalvelin toimii ongelmitta. Kokeilu kannattaa tehdä ennen itse työpöydän verkkoasetusten muuttamista, jotta nettiyhteys toimii vaikka DNS -palvelimen konfiguroinnissa olisikin tapahtunut jokin virhe. Nimipalvelimen toimivuuden voi testata esimerkiksi komennolla dig. Eli kun nimipalvelin on käynnistetty sen toimivuutta voidaan kokeilla antamalla komento

dig @127.0.0.1 example.com



Quad9 -nimipalvelimen tekemää tunnettujen haitallisten nettiosoitteiden suodatusta voi kokeilla esimerkiksi komennolla:

dig @127.0.0.1 isitblocked.org


Saman voi tehdä menemällä webbiselaimella osoitteeseen www.isitblocked.org sen jälkeen kun työpöydän verkkoasetukset on muutettu käyttämään paikallista nimipalvelinta. Jos kaikki on kunnosssa webbisivua ei näytä olevan olemassa ollenkaan ja tulokseksi tulee että sivua ei löydy. jos tuolle testisivulle meno onnistuu ja sivu latautuu, niin sitten kaikki ei ole kunnossa ja paikallisen nimipalvelvelimen kanssa kaikki ei ole niin kuin piti. Jos kaikki on kunnossa Quad9 estää pääsyn tuohon osoitteeseen.

Quad9 DNS-nimipalvelimen käyttämisellä voi joskus olla myös ei-toivottu vaikutus. Se, että koska Quad9 nimipalvelin ei ole yhtä lähellä kuin internetoperaattorin nimipalvelin, niin Quad9 nimipalvelimen käyttämisessä voi olla hiukan suurempi viive. Saamaten TLS -salauksen käyttäminen aiheuttaa pienen viiveen. Mutta toisaalta cachettava paikallinen nimipalvelin auttaa tuossa ongelmassa. Jos osoitetta vastaava IP-osoite löytyy jo paikallisen nimipalvelimen cachesta niin kyselyä ei turhaan lähetetä eteenpäin Quad9 nimipalvelimelle ja siten viive jää pois. Jokainen voi itse päättää aiheutuuko Quad9:n tai TLS-salauksen käyttämisestä liikaa viivettä oman käytön kannalta. Itse olen käyttänyt Quad9 -nimipalvelinta siitä lähtien kuin se julkaistiin ja TLS -salausta melkein yhtä kauan. Itselläni homma on toiminut hyvin.

Stubby nimipalvelinta käytettäessä on periaatteessa mahdollista, että edellä olevassa ohjeessa Quad9 -nimipalvelimen tiedoissa olevan digest asetuksen sha256 hash -arvo on muuttunut. Eli jos stubby ei jostain syystä toimi Quad9:n kanssa, niin alla olevalla pitkähköllä komennolla voi tarkistaa mikä oikea digest asetuksen esha256 hash -arvo on. Eli arvon voi tarkistaa komennolla:

echo | openssl s_client -connect '9.9.9.9:853' 2>/dev/null | openssl x509 -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

Tulokseksi pitäsi stulla sama SHA256 hash -arvo kuin edellä antamassi ohjeessa on Quad9 nimipalvelimen kohdalla digest -arvona. Jos saatu hash ei täsmää tuon antamani kanssa, niin setuon komennon palauttama hash -arvo pitää laittaa Stubbyn asetustiedostoon digest -arvoksi samalla tavalla kuin näytin edellä. Unboundia käytettäessä tuosta ei tarvitse huolehtia eikä sen hsh -arvon kyllä pitäs muuttua eli Stubbyn kohdallakin tuo sanomani on vain kaiken varalta.

Noniin, tästä tuli aika pitkä kirjotus. Mutta nyt olen tehnyt oman osani DNS:n käyttämisen turvallisemmaksi tekemisen eteen. Se kokeileeko joku tuota tai ottaako joku sen käyttöön on sitten jokaisesta itsestään kiinni. Kaikki ei vävarmaankaan halua Quad9 nimipalvilinta tai TLS-salausta käyttää syystä tai toisesta, mutta tuossa on nyt kuitenkin ohje niille, joita asia kiinnostaa.


Toivottavasti suomessakin DNSSec:n j DNS over TLS:n käyttö yleistyy, se on kaikkien edun mukasta. Toivottavasti suomalaiset nettioperaattorit ja muut yritykset ja yhteisöt lähtee DNSSec launch dayhin mukaan.
T. miksuh