DNS seguro através do DNSCrypt

O sistema de resolução de nomes mais conhecido pela sigla DNS (Domain Name System) é um dos principais motores na utilização da Internet, o seu objectivo é converter um nome (domínio) para um endereço IP.

Assim sempre que se visita um website, envia um e-mail ou se utiliza qualquer outro serviço online estamos a utilizar o DNS.

O problema é que a informação é trocada em plain text sem segurança, e em especial no último troço da ligação à Internet, isto é, a ligação entre o ISP e o utilizador, se alguém mal intencionado tiver acesso a algum equipamento neste troço pode aceder a informação privada ou “desviar” o utilizador.

Para resolver esta falta de segurança o OpenDNS criou o DNSCrypt, que cifra o tráfego DNS entre o utilizador e o próprio OpenDNS, em analogia o mesmo que o SSL faz com o HTTP tornando o tráfego seguro (https://) e longe de olhares alheios.

Para conhecer melhor este serviço é só passar pela respectiva página – DNSCrypt, embora se encontre em Preview Release está perfeitamente funcional e disponível para Mac OS e Linux e brevemente para Windows também.

A configuração é simples e as vantagens que traz na segurança são grandes, neste tutorial vou mostar a configuração do DNSCrypt no Ubuntu 12.04.

  1. Para começar fazer o download do pacote respectivo no GitHub do OpenDNS em https://github.com/opendns/dnscrypt-proxy/downloads e instalar.
  2. No terminal executar: sudo dnscrypt-proxy -d , a opção “-d” põe o servidor a correr em background.
  3. No “Network Connections” escolhendo a ligação a utilizar fazer “Edit…” e na tab ”IPv4 Settings” escolher “Automatic (DHCP) addresses only” e no campo “DNS servers” colocar 127.0.0.2 (ou outro IP da máquina excepto 127.0.0.1 que está ocupado pelo dnsmasq, uma cache DNS local).
  4. Este passo e o próximo são opcionais mas altamente recomendados, para não ter de iniciar o serviço sempre que se desliga ou reinicia o computador ir a “Startup Applications” e fazer “Add”, preencher os campos nome e comentário (opcionais) e no comando colocar dnscrypt-proxy -d -a 127.0.0.2 .
  5. Finalmente e porque para correr são necessários privilégios de root, é preciso editar o ficheiro /etc/rc.local e adicionar dnscrypt-proxy -d -a 127.0.0.2 antes de “exit 0″.

E está feito, com isto a segurança no tráfego DNS é assegurada na ligação à Internet, para confirmar se está tudo bem configurado basta aceder aqui.


Ligação à Internet via SSH em Android

A segurança é um ponto crítico em qualquer sistema e nunca deve ser descurada, assim e regresando aos tutorias aqui no blog o tema é a segurança no acesso à Internet a partir do Android em redes Wi-Fi.

Com a actual proliferação de smartphones e tablets o acesso à Internet torna-se fundamental para tirar total partido destes equipamentos, além das redes móveis (com tarifários “curtos” em tráfego web) a alternativa são as redes Wi-Fi que se encontram um pouco por todo o lado como em cafés/restaurantes, universidades ou centros comerciais.

O problema destas redes Wi-Fi está em desconhecermos como são geridas e que outros utilizadores a ela têm acesso, daí que utilizá-las sem a mínima segurança pode representar um risco para o utilizador.

No Android algumas aplicações como o Gmail por exemplo, usam SSL nas ligações o que garante segurança na comunicação, mas nem todas as apps seguem esse exemplo e como tal este tutorial irá abordar a configuração de um servidor SSH e a sua utilização através de um equipamento Android.

Como uma imagem (neste caso um esquema) vale mais do que 1000 palavras o objectivo  é ter algo deste tipo:

Android «— SSH —» SSH Server/Proxy «— Clear Text —» Internet

Para começar, a configuração do servidor SSH/Proxy que será o elo de ligação entre o Android e a Internet, em Ubuntu é necessário instalar estes pacotes: openssh-server e openssh-client, em Fedora à partida já vêm instalados e prontos a usar.

Por omissão o servidor SSH estará em funcionamento no porto 22, convém dar alguma atenção aos privilégios da conta do utilizador e às configurações do servidor SSH, uma leitura aconselhada aqui.

Como requisitos, o servidor terá de estar ligado à Internet ou a uma rede privada conforme o objectivo e devidamente acessível a partir do exterior podendo ser necessário configurar o router e/ou a firewall da máquina, se o IP for dinâmico convém ter um serviço  de nomes (Dynamic DNS) para aceder, exemplos o Dyn ou o No-IP.

Do lado do servidor o trabalho está feito, no Android é necessário acesso ao root e a aplicação gratuita SSH Tunnel muito fácil de configurar e utilizar.

Available in Android Market

Com esta aplicação é possível criar uma ligação segura e cifrada entre o Android e o servidor SSH configurado anteriormente, garantindo assim que todos os dados (ou apenas algumas aplicações) se liguem à Internet de forma segura, isto é, um “túnel privado” entre os equipamentos que garante segurança mesmo em redes desconhecidas.

No SSH Tunnel basta configurar o host (IP ou domínio) e o porto onde o servidor SSH está à escuta, as credenciais (user/password) e o port forwarding utilizando SOCKS Proxy ou escolhendo outro proxy, tem disponível um widget 1×1 para maior facilidade.

E se tudo estiver nos eixos está pronto a funcionar, dando assim garantias que mesmo em redes inseguras a ligação à Internet é segura e privada longe de olhares indiscretos, qualquer dúvida, opinião ou sugestão é bem vinda… :)

P.S. Um extra à segurança passa também por utilizar servidores de DNS fidedignos, aconselho os do Google ou OpenDNS, a opção VPN é uma alternativa.


Liberalização dos domínios .pt em Maio

A FCCN através do Serviço de Registo de Nomes de Domínios, entidade responsável pela gestão, registo e manutenção de domínios .pt vai liberalizar o seu registo.

A partir de 2012/03/01 entram em vigor as novas regras referentes ao registo de domínios .pt e durante dois meses as empresas que ainda não tenham o seu domínio podem adquiri-lo.

Após esse tempo, a partir de 2012/05/01 qualquer pessoa ou empresa pode registar um endereço .pt sem necessidade de prova de que é proprietário da marca a registar.

Esta media que já à alguns anos estava em discussão vê agora finalmente um desfecho onde é previsível o aumento significativo do número de sites com o domínio de topo .pt.