026 - ESNI 적용법

우리나라에선 http 프로토콜 시절부터 불법사이트에(?) 대해 URL 차단 방식을 채택해 왔고

작년 10월 19일부터는 DNS 차단을 통해 https 보안프로토콜을 적용한 불법사이트들을 차단함

 

하지만 DNS 차단을 해봤자 DNS 우회를 하면 바로 뚫리기 때문에 SNI 차단을 예정했었는데

오늘 KT 인터넷 회선부터 SNI 필드 차단이 시작된 듯

 

장점도 있으나 누군가가 악용하면 개인에 대한 사찰도 가능한 부분이어서

인터넷 쓰는 입장에서 괜시리 찜찜한 기분이 든다

 

그래서 ESNI(Encrypted SNI)가 필요한 것

 

우선은 https://www.cloudflare.com/ssl/encrypted-sni/에 접속해서 본인의 현재 인터넷 상태를 확인하세요

 

확인이 끝났으면 아래 적용 방법대로 출발

 

 

 

[적용 방법]

 

우선 DNS를 1.1.1.1로 바꿔야 합니다 (https://1.1.1.1)

 

공유기를 안 쓰는 사람은 아래 순서대로 하면 되고,

공유기 사용자는 더 밑으로 내려가서 [공유기 사용자 DNS 설정법]으로 고고. (클릭하면 이동합니다)

 

공유기 사용자는 반드시 아래 공유기 사용자 DNS 설정법대로 공유기 페이지에서 수정하세요!

인터넷 프로토콜 속성에서 수정하면 인터넷이 먹통이 됩니다.

이미 먹통이 되신 분들은... 건드렸던 DNS 설정값을 모두 기본으로 돌려주면 다시 인터넷이 연결됩니다

 

 

 

 

① [제어판\모든 제어판 항목\네트워크 및 공유 센터]에 들어갑니다

그리고 현재 연결된 인터넷을 클릭 (사진 속 빨간색 네모)

 

안 보일 경우 윈도우키 + R 누르고, ncpa.cpl 실행

 

 

 

 

② 이런 창이 뜨면 [속성]을 클릭.

 

 

 

 

③ 프로토콜 버전4와 6이 있는데 각각 설정해줘야 합니다

우선은 프로토콜 버전4(IPv4)부터 더블클릭 또는 속성을 눌러서...

 

 

 

 

④ 기본 DNS 서버를 1.1.1.1로 설정

보조 DNS 서버를 1.0.0.1로 설정

 

 

 

 

⑤ 다음은 프로토콜 버전6(IPv6) 설정.

기본 DNS 서버를 2606:4700:4700::1111

보조 DNS 서버를 2606:4700:4700::1001

 

 

 

 

⑥ 설정 끝났으면 확인을 눌러주고 바탕화면으로 돌아와서

윈도우키 + R을 눌러준 후, cmd를 입력하고 실행해주세요.

 

 

 

 

 

 

⑦ 그리고 ipconfig /all 을 치고 엔터 눌러주면

DNS 서버가 1.1.1.1로 설정된 것을 확인할 수 있습니다.

 

 

 

 

[공유기 사용자 DNS 설정법]

 

iptime 공유기를 기준으로 설명..

인터넷 주소창에 192.168.0.1을 치고 들어가서 설정해야 합니다.

(각 공유기별 주소는 검색 또는 설명서를 참고!)

 

 

 

고급 설정 - 인터넷 설정 정보에 들어가면 기본 DNS 주소를 수동 입력할 수 있음!

오른쪽의 체크박스 (DNS 주소 수동 입력)에 체크하고,

 

기본 DNS 주소 1.1.1.1

보조 DNS 주소 1.0.0.1

을 각각 입력하시오

 

끝났으면 바탕화면으로 돌아와서 윈도우키 + R 누르고, 

cmd를 켜서 ipconfig /all 쳐서 DNS 주소를 확인.

 

 

 

여기까지 마치셨으면 DNS 주소는 우회가 완료되었숩니다

 

================================

===================

 

 

 

 

다음으로 ESNI를 지원하는 파이어폭스 최신버전(65.0버전)을 사용해야 합니다.

 

파이어폭스 설치 주소 : https://www.mozilla.org/ko/firefox/new/?redirect_source=firefox-com

 

 

설치가 끝났으면 파이어폭스를 실행해주고,

주소창에 about:config 를 입력해서 접속.

 

 

 

 

위험을 감수하겠습니다! 클릭

알고 쓰면 위험하지 않습니다

 

 

 

 

검색에 network.security를 치면 network.security.ensi.enabled가 나오는데 기본값은 false로 되어있습니다

값을 true로 변경 (클릭하면 바뀜)

 

 

 

 

마지막 단계!

network.trr을 검색하고 위 사진처럼 설정.

 

network.trr.bootstrapAddress 값을 1.1.1.1로,

 

network.trr.mode 값을 3으로 설정. (ESNI 지원되는 사이트인데 오류가 나면 값을 2로 바꿔보세요)

 

 

 

 

 

마지막으로 처음에 확인했던 https://www.cloudflare.com/ssl/encrypted-sni/로 접속해서

다시 한번 검사를 해보면 위 사진처럼 깔끔한 초록색으로 출력되는 것을 확인할 수 있습니다.

 

혹시 문제가 생겼으면 이 글 순서대로 다시 한번 꼼꼼하게 체크 고고.

 

** ESNI 미지원 사이트여서 접속이 불가능할 시 아래 GoodbyeDPI를 사용하세요

ISP의 DPI를 우회해서 접속 가능하게 해줍니다

 

 

 

 

[크롬으로 쓰는 법 (DPI 우회 방식이라 모든 브라우저 가능)]

 

https://github.com/ValdikSS/GoodbyeDPI/releases

 

0.1.6 버전(2020.05.11. 기준 최신버전) zip으로 받아서 압축 풀고

x86_64 폴더 들어가서 goodbyedpi 실행하면 준비 끝.

(도스창이 켜지는데, 도스창을 끄면 자동 종료)

 

현재까진 ESNI 미지원 사이트가 많아서 막힌 토렌트 사이트 등에는 이걸로 접속하는 게 좋겠네요

 

GoodbyeDPI가 초기설정으로 작동을 안 할 시 모드를 바꿔봐야 합니다. 자세한 설명은 GitHub 들어가서 README.md 참고(영문)

 

https://namu.wiki/w/GoodbyeDPI (나무위키, 한글)

 

 

 

 

[Tor 브라우저]

 

토르 브라우저라는 게 있는데, 아주 강력한 익명성을 보장해줍니다

일반 브라우저에서는 조회할 수 없는 사이트들도 볼 수 있음

 

https://www.torproject.org/

 

IS 등의 테러조직 사이트에 접근하려 하면 FBI의 수사를 받을 수도 있으니 주의