DNS; att kryptera DNS.

Gokväll på er alla!



Funderar på det här med DNS, servarna och var de ligger samt vad för nytta man kan ha om man krypterar det.

Jag använder mig i testet av OVPN’s VPN och programmet DNS Cryptor (på Mac) I programmet gick det att välja DNS servrar, och OVPN fanns med i listan. Så jag valde deras DNS server -ovanpå- min VPN-anslutning till dom.

Sedan gick jag in på ipleak.net och såg att min DNS kom från Sverige.

 Det gjorde den innan jag använde DNSCryptor också, även då ansluten genom OVPN.

Är det nödvändigt att använda den öht?

Vad är det DNS kryptor egentligen gör?

Bonusfråga:


1. Om jag använder Företag 1 VPN, och sedan Företag 2’s VPN anslutning ovanpå.
2. Vad ser företag 1 i loggarna, och vad ser företag 2?
3. Är detta att rekommendera eller är det helt fel?

4. Vem ser mest?

5. Om företag 1 lämlar ut vissa detaljer, kan man genom att använda 2 VPN anslutningar minska mängden detaljer de kan ”ge ut” eller ökar man den?

Vem ser mest?


DNS servrarna, var de ligger beror på vilka du använder.

Men normalt sett så ligger dina ISPs DNSer i sverige, samt även OVPNs så det är inget konstigt. Det du ska kolla på är IP-adressen, om den kan knytas till din nuvarande ISP efter att du anslutit till OVPN.se

Nej det är inte nödvändligt. Själv skulle jag rekommendera att du lägger in en rekursiv resolver istället, vilket innebär att du själv blir "DNS-server" för din egen dator, och pratar i sin tur med auktoritära DNS-servrar ute på nätet.
DNS kryptor krypterar dina DNS-förfrågningar. Rätt onödigt IMHO, eftersom du kan få bättre skydd med DNSSEC end2end.

2: Företag 1 ser din normala IP-adress och IP-adressen av företag 2.
Företag 2 ser vad du gör ute på nätet, och företag 1's IP-adress.

3: Ja, men tänk då på att lägga sakerna i rätt ordning. Det företaget som loggar minst bör ligga sist i kedjan.

4: Det sista företaget, företag 2, ser mest.

5: Du minskar detaljerna som kan lämnas ut.

Älskar när man får svar av dig. Du svarar alltid så detaljerat och informativt.

Företag 1 är OVPN, detta eftersom jag har läst en del negativa saker på forumet om att de loggar IP'n (t.ex att det står i deras policy att de förbehåller sig rätten att avsluta medlemskap om en medlem gör något "olagligt" (vad det nu innebär?). Det betyder ju att de loggar vilka medlemmar som har vilka IPnr. Jag är tyvärr tvungen att använda OVPN i första hand, alltså som första VPN anslutning.

Företag 2 är AzireVPN som jag läst en del positivt om, också här på Flashback. Där skall det inte loggas någonting. Ett zero-knowledge system alltså, inga logguppgifter att överlämna överhuvudtaget.

Ser du några problem med den konfigurationen?
Samt, för att uppnå högsta säkerhet - vilken DNS server hade du valt? Hade du krypterat den?
Vilka andra säkerhetsförbättringar kan man göra om man kör OSX?
Känner du att en mjukvarubrandvägg är en nödvändighet eller bara 'bra att ha?'

Jag skulle snarare välja att lägga OVPN sist, eftersom de faktiskt har bättre loggningspolicy. Vad de menar med policyn om brott är att om OVPN får en anmälan där det framgår att en kund begått brott, så kommer de stänga av kunden.

Det betyder INTE att de loggar vem som är ansluten och vilken IP. Faktum är att inget av det loggas, utan vad de menar med policyn är att, säg att du åker fast.

Därefter så hittar polisen ditt OVPN-användarnamn, och sedan framkommer det att detta användarnamn använts i brott.

Då kan ovpn stänga av dig.
Men det är lika lätt att skapa ett nytt konto, och faktum är att de inte ens kan se vem det är.

Och självklart menar de inte att de kommer gå runt och stänga av fildelande kunder, utan det är vid mer grövre brottslighet som de har möjlighet att stänga av.

Samma om du har Publik IP, då kan IPt spåras till användarkonto. (det är ju ett krav för att tjänsten rent tekniskt ska fungera).

Har du den ordinarie tjänsten, där flera användare delar på en och samma IP kan OVPN inte ens se vilket användarkonto som nyttjat ett visst IP, för det skulle kräva att de loggar trafik. Och var skall den trafiken loggas? Det är flera terabyte, och deras servrar har inte ens hårddiskar och deras TP-link-bootserver innehåller bara det som krävs för att boota servrarna.

Men de loggar absolut inte uppkopplande IP eller någon som helst form av trafik. Den tekniska uppbyggnad de har, gör det inte ens möjligt att logga, inte ens om de ville.

Observera att som jag säger, har du publik IP kan tjänsten spåras till användarkontot - INTE din riktiga identitet. Har du då betalat anonymt så är det omöjligt för dem att spåra. Har du den vanliga tjänsten kan inte IPt ens spåras till användarkontot.

Det framgår i deras privacy policy, att inte ens polisen kan få fram detaljer om de inte kan ange ett användarnamn, och anges ett användarnamn eller E-post, så kan man få fram hur du betalade.
https://www.ovpn.se/sv/privacypolicy
https://www.ovpn.se/sv/blog/oppet-brev-till-polisen/

------

AzireVPN kör på en del VPSer och skit. Där kan ju hosten logga hur mycket som helst, oavsett vad AzireVPN säger och bestämmer.

Dessutom får du en dedicerad, dynamisk IP, vilket är en IP som inte delas med andra kunder. Det är en nackdel i anonymitetshänseende, då du lätt kan spåras.

------


När det gäller DNS så skulle jag ordnat så att jag resolvar allt själv. Dvs kör en full blown resolver istället för en stub-resolver. Då har man inget beroende för externa DNS-servrar, och då "pratar" ens dator direkt med auktoritära DNS-servrar (Dvs de DNS-servrar som står hos domäner och sådant). Fördelem med det är då att man också får ökad säkerhet då man kan validera DNSSEC end2end. Kör du en stubresolver så måste du "lita" på den DNS-server du valt.

När det gäller brandvägg skulle jag kört en hårdvarubrandvägg, tänk pfSense med VPN och Unbound-resolvern aktiverad.