Saltar para: Posts [1], Pesquisa [2]

João Bernardo

/home/bernardolx

/home/bernardolx

NextDNS - Mais segurança na ligação à Internet

NextDNS.jpeg

 

O DNS (Domain Name System) é uma das ferramentas mais importantes em redes informáticas e naturalmente no acesso à Internet pois permite a conversão de um domínio de um site para um endereço IP, algo semelhante às antigas listas telefónicas que associavam um nome a um telefone, regra geral os utilizadores não "vêem" estes bastidores sendo o DNS gerido pelo ISP (Internet Service Provider) ou pelos administradores de redes responsáveis numa empresa ou universidade por exemplo.

 

A importância no bom funcionamento do DNS é crítica pois cada site acedido ou aplicação utilizada recorre ao DNS para múltiplos pedidos à rede, tudo isto é feito nos bastidores e a maior parte dos utilizadores desconhece que pedidos estão a ser feitos, torna-se assim fundamental que o utilizador tenha mais controlo e conhecimento dessa informação esteja a aceder a partir de um computador ou de um smartphone à Internet.

 

Existem várias opções disponíveis gratuitamente e fáceis de configurar mas é naturalmente importante ler as políticas de privacidade de cada serviço para saber como é gerida a informação e que dados são guardados e por quanto tempo, hoje venho falar numa dessas opções - o NextDNS, serviço criado em 2019 por dois engenheiros - Romain Cointepas e Olivier Poitre, focado na privacidade e segurança (Privacy Policy) sendo a sua configuração muito fácil e dando ao utilizador mais controlo nos pedidos DNS.

 

O NextDNS permite criar uma conta temporária durante 7 dias para testar o serviço sem registo e se corresponder às expectativas o registo é gratuito para guardar as configurações, ver as estatísticas e os logs se guardados, a opção gratuita permite 300k pedidos de DNS por mês, valor suficiente para utilizadores individuais mesmo com vários equipamentos configurados, após esse valor o DNS continua a funcionar mas sem filtros, existem também opções pagas para pedidos ilimitados.

 

A gestão das configurações está bem organizada em tabs e as opções são facilmente perceptíveis e simples de configurar:

Setup - My First Configuration - NextDNS.png

  • Setup - apresenta a informação para configurar o DNS nos equipamentos, incluindo guias para os principais sistemas operativos (Android, iOS, Windows, macOS e Linux);
  • Security - permite activar medidas de segurança incluindo bloquear domínios (Top-Level Domains);
  • Privacy - uma extensão ao anterior para bloquear trackers e publicidade, podendo adicionar listas de bloqueio, por omissão apenas está a lista "NextDNS Ads & Trackers Blocklist" activada mas muitas outras estão disponíveis, algumas das listas são muito restritivas e podem bloquear o normal funcionamento de certas aplicações;
  • Parental Control - permite aplicar restrições a sites, aplicações, jogos ou categorias de sites;
  • Denylist - para a introdução manual de domínios a bloquear;
  • Allowlist - o oposto da anterior, por exemplo se uma determinada lista de bloqueio for demasiado restritiva podemos desbloquear alguns domínios nesta opção mantendo a segurança elevada;
  • Analytics - página com um resumo detalhado das estatísticas de utilização incluindo as queries DNS feitas e as bloqueadas;
  • Logs - lista com cada um dos pedidos DNS efectuados com opção de procura para facilitar a análise dos dados;
  • Settings - a última tab permite ajustar as configurações nomeadamente quanto à recolha de logs, guardando ou não os domínios e o endereço IP dos equipamentos, quanto tempo são armazenados os dados e onde (nos EUA, na UE, no UK ou na Suíça);

 

O NextDNS é assim uma excelente opção para um maior controlo e segurança por parte do utilizador no acesso à Internet e nas aplicações utilizadas, cada vez mais dados são gerados especialmente nos smartphones e também na forma como os utilizamos e que de outra forma deixam o utilizador muito vulnerável à recolha de informação que será vendida ou utilizada sem controlo.

 

NextDNS - The new firewall for the modern Internet ]

 

Cloudflare reforça segurança nas ligações à Internet com o WARP

Cloudflare Warp.png

Depois de no final do ano passado a Cloudflare ter lançado o serviço público de DNS 1.1.1.1 (link do post) com suporte a DoH (DNS over HTTPS) e DoT (DNS over TLS) para uma maior segurança nos pedidos DNS chega agora o WARP que vem complementar o primeiro, permitindo assim garantir a segurança na navegação não só dos pedidos DNS como também do todo o tráfego para a Internet.

 

O desenvolvimento sofreu alguns atrasos dada a complexidade mas está já disponível uma actualização da aplicação 1.1.1.1 para sistemas Android e iOS que permite utilizar ambos os serviços consoante a necessidade de cada utilizador, o WARP funciona de forma idêntica a uma VPN e está disponível em duas versões: uma gratuita e outra paga, o WARP+ com uma mensalidade que varia consoante a região do Mundo (EU/PT €3.99).

 

Para garantir velocidades e utilizações mais rápidas a Cloudflare optou por utilizar o protocolo WireGuard em vez de outros protocolos mais antigos e desadequados para equipamentos como smartphones e tablets, para uma visão mais detalhada da implementação o post The Technical Challenges of Building Cloudflare WARP no blog da Cloudflare explica os detalhes do WARP.

 

A aplicação 1.1.1.1 é altamente recomendada para todos os utilizadores com equipamentos Android e iOS pois garante um aumento muito significativo na utilização da Internet, quer para os pedidos DNS quer agora com o WARP em redes wireless abertas e/ou públicas para uma maior privacidade, a sua utilização não podia ser mais simples bastando activar num botão o serviço, sendo também possível alterar algumas configurações na ligação para utilizadores mais avançados.

 

WARP is here (sorry it took so long) ]

 

Cloudflare disponibiliza aplicação DNS 1.1.1.1 para Android e iOS

Cloudflare DNS 1.1.1.1.png

Cloudflare apresentou em Abril deste ano um novo serviço público de DNS com o endereço 1.1.1.1 (e 1.0.0.1) utilizando a sua rede de mais de 150 datacenters por todo o Mundo (incluindo um em Lisboa) de forma a fornecer um serviço que permita aos utilizadores uma maior segurança e rapidez nos pedidos de DNS, fundamentais para a utilização da Internet.

 

O serviço foi muito bem recebido e a sua utilização tem crescido imenso pelo que agora a Cloudflare e depois de alguns meses de testes apresenta uma aplicação para que equipamentos com sistemas operativos Android e iOS possam utilizar este DNS sem que os utilizadores tenham que recorrer a configurações mais complexas e permitindo a utilização de qualquer pessoa.

 

A utilização desta aplicação ou outras similares (como o Intra da Google) é fulcral para uma utilização mais segura da Internet uma vez que protege o utilizador ao enviar os pedidos DNS cifrados e sem alterações maliciosas por parte de terceiros, particularmente em redes wireless Wi-Fi onde qualquer pessoa pode ligar-se e tentar interferir com a utilização de outros utilizadores.

 

A aplicação da Cloudflare não podia ser mais simples tendo apenas um botão para ligar/desligar o serviço e está pronto a funcionar, para utilizadores mais avançados é possível nas opções escolher a forma de encriptação entre HTTPS (DNS over HTTPS) ou TLS (DNS over TLS), ver o estado da ligação e os logs da aplicação.

 

1 Thing You Can Do To Make Your Internet Safer And Faster ]

 

Cloudflare apresenta DNS 1.1.1.1

1.1.1.1.gif

 

O DNS (Domain Name System) é um dos sistemas fundamentais de uma rede informática e da Internet pois permite converter os domínos facilmente conhecidos pelos utilizadores (por exemplo wikipedia.org) em endereços IP (neste exemplo IPv4 91.198.174.192 e IPv6 2620:0:862:ed1a::1) onde a informação se encontra alojada, tornando assim a navegação mais natural e simples uma vez que os endereços podem mudar mas o domínio manter-se-á o mesmo.

 

Normalmente e se o utilizador não fizer nenhuma alteração este serviço é fornecido pelo ISP (Internet Service Provider) que fornece a ligação à Internet, mas nem sempre lhe dá a devida atenção nomeadamente no que à segurança e privacidade dizem respeito, sendo o DNS um ponto crítico na rede é aconselhável utilizar um que seja de confiança e tenha boa performance existindo várias alternativas disponíveis.

 

Assim a Cloudflare em parceria com a APNIC lançaram um serviço de DNS com o IPv4 1.1.1.1, fácil de memorizar e com garantia de segurança e privacidade auditadas pela KPMG, características fundamentais na Internet actual, a Cloudflare gere uma das maiores redes de comunicações mundiais com data centers por todo o Mundo incluindo Lisboa e a APNIC é a entidade responsável pelo endereçamento IP na região da Ásia e Pacífico que detém e endereço 1.1.1.1.

 

Com este novo serviço de DNS os utilizadores têm mais uma alternativa segura e fiável aos pedidos que fazem quando navegam na Internet, enviam um e-mail ou utilizam qualquer aplicação num smartphone ou tablet, uma vez que suporta o DNS over HTTPS (DoH), enviando e recebendo os dados por um canal seguro tal como acontece quando o utilizador acede a uma página web via HTTPS, garantindo segurança e privacidade.

 

A configuração é relativamente simples e pode ser feita nos mais variados equipamentos, com sistema operativo Android, iOS, Linux, MacOS e Windows, idealmente e se possível pode ser configurado no router e assim todos os equipamentos lá ligados por cabo ou Wi-Fi podem tirar partido de um DNS mais rápido e seguro, os endereços:

 

  • IPv4: 1.1.1.1 e 1.0.0.1
  • IPv6: 2606:4700:4700::1111 e 2606:4700:4700::1001

 

É um serviço que aconselho e para utilizadores em Portugal tendo a Cloudflare um ponto de presença em Lisboa e interligação no GigaPIX com vários operadores é uma óptima solução garantindo rapidez e segurança nos pedidos de DNS, qualquer dúvida basta utilizar os comentários... :-)

 

1.1.1.1 - the Internet's Fastest, Privacy-First DNS Resolver ]

 

Aumentar a segurança nos pedidos ao DNS com o DNSCrypt 2

DNSCrypt.png

 

Já tinha falado aqui no blog há uns anos no DNSCrypt, neste post de 2012, a especificação foi criada para dar mais segurança e privacidade aos pedidos feitos ao DNS (Domain Name System) que de outra forma poderiam ser interceptados ou pior, ser modificados sem que o utilizador final tivesse garantias da resposta obtida, com o DNSCrypt o tráfego é cifrado entre o servidor de DNS e o equipamento do utilizador.

 

A especificação foi inicialmente desenvolvida pela OpenDNS que a disponibilizou abertamente, contudo a empresa foi comprada pela Cisco em 2015 e desde então a evolução do DNSCrypt estava praticamente parada, felizmente houve programadores que pegaram no código disponibilizado e lançaram a versão 2 deste protocolo, disponível no GitHub em github.com/DNSCrypt.

 

A par desta actualização foi também disponibilizada a versão 2 do DNSCrypt Proxy, disponível em github.com/jedisct1/dnscrypt-proxy que permite utilizar o DNSCrypt v2 e ainda o DNS-over-HTTP/2, sendo que este segundo protocolo envia os pedidos DNS por HTTPS, o proxy está disponível para download e funciona em vários sistemas operativos incluindo BSD, Linux, Mac OS X e Windows.

 

A instalação e configuração são bastante simples e em poucos minutos qualquer utilizador mesmo sem grandes conhecimentos técnicos poderá incrementar significativamente a sua segurança ao utilizar a Internet, o proxy permite guardar logs dos pedidos de DNS, bloquear endereços ou IPs directamente havendo várias blacklists disponíveis, manter uma cache local para um acesso mais rápido aos endereços mais frequentemente utilizados, e fazer load balancing a uma lista de servidores DNS escolhidos pelo utilizador para obter os melhores resultados e não estar dependente apenas de um servidor.

 

No GitHub do DNSCrypt Proxy na tab "Wiki" está disponível toda a informação para instalar e configurar o proxy, mas resumindo o processo, depois de fazer o download e guardar os ficheiros é necessário editar um ficheiro de configuração que deverá ter o nome dnscrypt-proxy.toml, existe um ficheiro de exemplo bem comentado que explica cada opção, as principais são definir os servidores de DNS a serem utilizados, um endereço local, normalmente o 127.0.0.1:53, se e onde são guardados os vários logs, definir os parâmetros de cache e as listas de bloqueio.

 

Guardando as configurações no ficheiro mencionado basta correr a aplicação dnscrypt-proxy e está quase a funcionar, o último passo passa por alterar o servidor de DNS no computador definindo-o para 127.0.0.1 em vez do habitual automático ou do ISP, a partir daí todo o tráfego DNS passará a estar mais protegido entre o servidor e o utilizador, uma última nota, para ter o proxy a arrancar no boot do computador basta registar como um serviço, em Linux basta correr o comando ./dnscrypt-proxy -service install e em Windows executar o ficheiro server-install.bat.

 

Boa navegação agora em segurança pela Internet!

 

DNS seguro através do DNSCrypt

O sistema de resolução de nomes mais conhecido pela sigla DNS (Domain Name System) é um dos principais motores na utilização da Internet, o seu objectivo é converter um nome (domínio) para um endereço IP.Assim sempre que se visita um website, envia um e-mail ou se utiliza qualquer outro serviço online estamos a utilizar o DNS.O problema é que a informação é trocada em plain text sem segurança, e em especial no último troço da ligação à Internet, isto é, a ligação entre o ISP e o utilizador, se alguém mal intencionado tiver acesso a algum equipamento neste troço pode aceder a informação privada ou "desviar" o utilizador.Para resolver esta falta de segurança o OpenDNS criou o DNSCrypt, que cifra o tráfego DNS entre o utilizador e o próprio OpenDNS, em analogia o mesmo que o SSL faz com o HTTP tornando o tráfego seguro (https://) e longe de olhares alheios.Para conhecer melhor este serviço é só passar pela respectiva página - DNSCrypt, embora se encontre em Preview Release está perfeitamente funcional e disponível para Mac OS e Linux e brevemente para Windows também.A configuração é simples e as vantagens que traz na segurança são grandes, neste tutorial vou mostar a configuração do DNSCrypt no Ubuntu 12.04.
  1. Para começar fazer o download do pacote respectivo no GitHub do OpenDNS em https://github.com/opendns/dnscrypt-proxy/downloads e instalar.
  2. No terminal executar: sudo dnscrypt-proxy -d , a opção "-d" põe o servidor a correr em background.
  3. No "Network Connections" escolhendo a ligação a utilizar fazer "Edit..." e na tab "IPv4 Settings" escolher "Automatic (DHCP) addresses only" e no campo "DNS servers" colocar 127.0.0.2 (ou outro IP da máquina excepto 127.0.0.1 que está ocupado pelo dnsmasq, uma cache DNS local).
  4. Este passo e o próximo são opcionais mas altamente recomendados, para não ter de iniciar o serviço sempre que se desliga ou reinicia o computador ir a "Startup Applications" e fazer "Add", preencher os campos nome e comentário (opcionais) e no comando colocar dnscrypt-proxy -d -a 127.0.0.2 .
  5. Finalmente e porque para correr são necessários privilégios de root, é preciso editar o ficheiro /etc/rc.local e adicionar dnscrypt-proxy -d -a 127.0.0.2 antes de "exit 0".
E está feito, com isto a segurança no tráfego DNS é assegurada na ligação à Internet, para confirmar se está tudo bem configurado basta aceder aqui.

Ligação à Internet via SSH em Android

A segurança é um ponto crítico em qualquer sistema e nunca deve ser descurada, assim e regresando aos tutorias aqui no blog o tema é a segurança no acesso à Internet a partir do Android em redes Wi-Fi.Com a actual proliferação de smartphones e tablets o acesso à Internet torna-se fundamental para tirar total partido destes equipamentos, além das redes móveis (com tarifários "curtos" em tráfego web) a alternativa são as redes Wi-Fi que se encontram um pouco por todo o lado como em cafés/restaurantes, universidades ou centros comerciais.O problema destas redes Wi-Fi está em desconhecermos como são geridas e que outros utilizadores a ela têm acesso, daí que utilizá-las sem a mínima segurança pode representar um risco para o utilizador.No Android algumas aplicações como o Gmail por exemplo, usam SSL nas ligações o que garante segurança na comunicação, mas nem todas as apps seguem esse exemplo e como tal este tutorial irá abordar a configuração de um servidor SSH e a sua utilização através de um equipamento Android.Como uma imagem (neste caso um esquema) vale mais do que 1000 palavras o objectivo  é ter algo deste tipo:

Android «--- SSH ---» SSH Server/Proxy «--- Clear Text ---» Internet

Para começar, a configuração do servidor SSH/Proxy que será o elo de ligação entre o Android e a Internet, em Ubuntu é necessário instalar estes pacotes: openssh-server e openssh-client, em Fedora à partida já vêm instalados e prontos a usar.

Por omissão o servidor SSH estará em funcionamento no porto 22, convém dar alguma atenção aos privilégios da conta do utilizador e às configurações do servidor SSH, uma leitura aconselhada aqui.

Como requisitos, o servidor terá de estar ligado à Internet ou a uma rede privada conforme o objectivo e devidamente acessível a partir do exterior podendo ser necessário configurar o router e/ou a firewall da máquina, se o IP for dinâmico convém ter um serviço  de nomes (Dynamic DNS) para aceder, exemplos o Dyn ou o No-IP.

Do lado do servidor o trabalho está feito, no Android é necessário acesso ao root e a aplicação gratuita SSH Tunnel muito fácil de configurar e utilizar.

Available in Android Market

Com esta aplicação é possível criar uma ligação segura e cifrada entre o Android e o servidor SSH configurado anteriormente, garantindo assim que todos os dados (ou apenas algumas aplicações) se liguem à Internet de forma segura, isto é, um "túnel privado" entre os equipamentos que garante segurança mesmo em redes desconhecidas.

No SSH Tunnel basta configurar o host (IP ou domínio) e o porto onde o servidor SSH está à escuta, as credenciais (user/password) e o port forwarding utilizando SOCKS Proxy ou escolhendo outro proxy, tem disponível um widget 1x1 para maior facilidade.

E se tudo estiver nos eixos está pronto a funcionar, dando assim garantias que mesmo em redes inseguras a ligação à Internet é segura e privada longe de olhares indiscretos, qualquer dúvida, opinião ou sugestão é bem vinda... :)

P.S. Um extra à segurança passa também por utilizar servidores de DNS fidedignos, aconselho os do Google ou OpenDNS, a opção VPN é uma alternativa.

Liberalização dos domínios .pt em Maio

A FCCN através do Serviço de Registo de Nomes de Domínios, entidade responsável pela gestão, registo e manutenção de domínios .pt vai liberalizar o seu registo.A partir de 2012/03/01 entram em vigor as novas regras referentes ao registo de domínios .pt e durante dois meses as empresas que ainda não tenham o seu domínio podem adquiri-lo.Após esse tempo, a partir de 2012/05/01 qualquer pessoa ou empresa pode registar um endereço .pt sem necessidade de prova de que é proprietário da marca a registar.Esta media que já à alguns anos estava em discussão vê agora finalmente um desfecho onde é previsível o aumento significativo do número de sites com o domínio de topo .pt.

Mais sobre mim

foto do autor

Sigam-me

PGP

Key ID: 6E0E42C31AB8377D | ECC (ed25519)
Fingerprint: 1EB3 F7FB D037 43A7 2FCB
1199 6E0E 42C3 1AB8 377D

Arquivo

  1. 2022
  2. J
  3. F
  4. M
  5. A
  6. M
  7. J
  8. J
  9. A
  10. S
  11. O
  12. N
  13. D
  14. 2021
  15. J
  16. F
  17. M
  18. A
  19. M
  20. J
  21. J
  22. A
  23. S
  24. O
  25. N
  26. D
  27. 2020
  28. J
  29. F
  30. M
  31. A
  32. M
  33. J
  34. J
  35. A
  36. S
  37. O
  38. N
  39. D
  40. 2019
  41. J
  42. F
  43. M
  44. A
  45. M
  46. J
  47. J
  48. A
  49. S
  50. O
  51. N
  52. D
  53. 2018
  54. J
  55. F
  56. M
  57. A
  58. M
  59. J
  60. J
  61. A
  62. S
  63. O
  64. N
  65. D
  66. 2017
  67. J
  68. F
  69. M
  70. A
  71. M
  72. J
  73. J
  74. A
  75. S
  76. O
  77. N
  78. D
  79. 2016
  80. J
  81. F
  82. M
  83. A
  84. M
  85. J
  86. J
  87. A
  88. S
  89. O
  90. N
  91. D
  92. 2015
  93. J
  94. F
  95. M
  96. A
  97. M
  98. J
  99. J
  100. A
  101. S
  102. O
  103. N
  104. D
  105. 2014
  106. J
  107. F
  108. M
  109. A
  110. M
  111. J
  112. J
  113. A
  114. S
  115. O
  116. N
  117. D
  118. 2013
  119. J
  120. F
  121. M
  122. A
  123. M
  124. J
  125. J
  126. A
  127. S
  128. O
  129. N
  130. D
  131. 2012
  132. J
  133. F
  134. M
  135. A
  136. M
  137. J
  138. J
  139. A
  140. S
  141. O
  142. N
  143. D
  144. 2011
  145. J
  146. F
  147. M
  148. A
  149. M
  150. J
  151. J
  152. A
  153. S
  154. O
  155. N
  156. D
  157. 2010
  158. J
  159. F
  160. M
  161. A
  162. M
  163. J
  164. J
  165. A
  166. S
  167. O
  168. N
  169. D
  170. 2009
  171. J
  172. F
  173. M
  174. A
  175. M
  176. J
  177. J
  178. A
  179. S
  180. O
  181. N
  182. D