Hoe om jou DNS te enkripteer sonder om jou router met DoH aan te raak: 'n volledige gids

¿Hoe om jou DNS te enkripteer sonder om jou router aan te raak deur DNS oor HTTPS te gebruik? As jy bekommerd is oor wie kan sien met watter webwerwe jy skakel, Enkripteer Domeinnaamstelsel-navrae met DNS oor HTTPS Dit is een van die maklikste maniere om jou privaatheid te verhoog sonder om met jou router te sukkel. Met DoH hou die vertaler wat domeine na IP-adresse omskakel op om sonder probleme te reis en gaan deur 'n HTTPS-tonnel.

In hierdie gids sal jy, in direkte taal en sonder te veel jargon, vind, Wat presies is DoH, en hoe dit verskil van ander opsies soos DoT, hoe om dit in blaaiers en bedryfstelsels (insluitend Windows Server 2022) te aktiveer, hoe om te verifieer dat dit werklik werk, ondersteunde bedieners, en, as jy dapper voel, selfs hoe om jou eie DoH-resolver op te stel. Alles, sonder om die router aan te raak...behalwe vir 'n opsionele afdeling vir diegene wat dit wel op 'n MikroTik wil konfigureer.

Wat is DNS oor HTTPS (DoH) en hoekom jy dalk omgee?

Wanneer jy 'n domein intik (byvoorbeeld Xataka.com), vra die rekenaar 'n DNS-resolver wat die IP-adres daarvan is; Hierdie proses is gewoonlik in gewone teks En enigiemand op jou netwerk, jou internetverskaffer of tussenliggende toestelle kan dit afspeel of manipuleer. Dit is die kern van klassieke DNS: vinnig, alomteenwoordig ... en deursigtig vir derde partye.

Dit is waar DoH inkom: Dit skuif daardie DNS-vrae en -antwoorde na dieselfde geïnkripteerde kanaal wat deur die veilige web gebruik word (HTTPS, poort 443)Die gevolg is dat hulle nie meer "in die oopte" reis nie, wat die moontlikheid van spioenasie, navraagkaping en sekere man-in-die-middel-aanvalle verminder. Verder, in baie toetse latensie vererger nie noemenswaardig nie en kan selfs verbeter word danksy vervoeroptimalisering.

'n Belangrike voordeel is dat DoH kan op toepassings- of stelselvlak geaktiveer word, sodat jy nie op jou diensverskaffer of router hoef staat te maak om enigiets te aktiveer nie. Dit wil sê, jy kan jouself "van die blaaier af" beskerm, sonder om aan enige netwerktoerusting te raak.

Dit is belangrik om DoH van DoT (DNS oor TLS) te onderskei: DoT enkripteer DNS op poort 853 direk oor TLS, terwyl DoH dit in HTTP(S) integreer. DoT is eenvoudiger in teorie, maar Dit is meer waarskynlik dat dit deur brandmure geblokkeer sal word wat ongewone poorte sny; DoH, deur 443 te gebruik, omseil hierdie beperkings beter en verhoed geforseerde "terugspoor"-aanvalle op ongeënkripteerde DNS.

Oor privaatheid: Die gebruik van HTTPS impliseer nie koekies of dophou in DoH nie; die standaarde adviseer uitdruklik teen die gebruik daarvan In hierdie konteks verminder TLS 1.3 ook die behoefte om sessies te herbegin, wat korrelasies tot die minimum beperk. En as jy bekommerd is oor werkverrigting, kan HTTP/3 oor QUIC addisionele verbeterings bied deur navrae te multiplekseer sonder om te blokkeer.

Hoe DNS werk, algemene risiko's, en waar DoH inpas

Die bedryfstelsel leer gewoonlik watter resolver om te gebruik via DHCP; Tuis gebruik jy gewoonlik die internetdiensverskaffer se, in die kantoor, die korporatiewe netwerk. Wanneer hierdie kommunikasie ongeënkripteer is (UDP/TCP 53), kan enigiemand op jou Wi-Fi of op die roete navraagde domeine sien, vals antwoorde inspuit, of jou na soektogte herlei wanneer die domein nie bestaan ​​nie, soos sommige operateurs doen.

'n Tipiese verkeersanalise onthul poorte, bron-/bestemmings-IP's en die domein self wat opgelos is; Dit ontbloot nie net blaaigewoontes nie, dit maak dit ook makliker om daaropvolgende verbindings te korreleer, byvoorbeeld met Twitter-adresse of soortgelyke, en af ​​te lei presies watter bladsye jy besoek het.

Met DoT gaan die DNS-boodskap binne TLS op poort 853; met DoH, Die DNS-navraag word in 'n standaard HTTPS-versoek ingekapsuleer, wat ook die gebruik daarvan deur webtoepassings via blaaier-API's moontlik maak. Beide meganismes deel dieselfde fondament: bedienerverifikasie met 'n sertifikaat en 'n end-tot-end geïnkripteerde kanaal.

Die probleem met nuwe hawens is dat dit algemeen is vir sommige netwerke blokkeer 853, wat sagteware aanmoedig om "terug te val" op ongeënkripteerde DNS. Die Departement van Verantwoordelikheid verminder dit deur 443 te gebruik, wat algemeen vir die web is. DNS/QUIC bestaan ​​ook as 'n ander belowende opsie, hoewel dit oop UDP vereis en nie altyd beskikbaar is nie.

Selfs wanneer jy vervoer enkripteer, wees versigtig met een nuanse: As die resolver lieg, korrigeer die syfer dit nie.Vir hierdie doel bestaan ​​DNSSEC, wat die validering van reaksie-integriteit moontlik maak, hoewel die aanvaarding daarvan nie wydverspreid is nie en sommige tussengangers die funksionaliteit daarvan onderbreek. Tog verhoed die Departement van Verantwoordelikheid dat derde partye langs die pad jou navrae kan inspekteer of daarmee peuter.

Aktiveer dit sonder om die router aan te raak: blaaiers en stelsels

Die eenvoudigste manier om te begin is om DoH in jou blaaier of bedryfstelsel te aktiveer. Só beskerm jy navrae van jou span sonder om van die router se firmware afhanklik te wees.

Google Chrome

In huidige weergawes kan jy gaan na chrome://settings/security en, onder “Gebruik veilige DNS”, aktiveer die opsie en kies die verskaffer (jou huidige verskaffer as hulle DoH ondersteun of een van Google se lys soos Cloudflare of Google DNS).

In vorige weergawes het Chrome 'n eksperimentele skakelaar aangebied: tik chrome://flags/#dns-over-https, soek vir “Veilige DNS-opsoeke” en verander dit van Standaard na GeaktiveerHerbegin jou blaaier om die veranderinge toe te pas.

Microsoft Edge (Chromium)

Chromium-gebaseerde Edge sluit 'n soortgelyke opsie in. Indien jy dit nodig het, gaan na edge://flags/#dns-over-https, vind "Veilige DNS-opsoeke" en aktiveer dit in GeaktiveerIn moderne weergawes is aktivering ook beskikbaar in jou privaatheidinstellings.

Mozilla Firefox

Maak die kieslys oop (regs bo) > Instellings > Algemeen > blaai af na “Netwerkinstellings”, tik op opset en merk "Aktiveer DNS oor HTTPS”. Jy kan kies uit verskaffers soos Cloudflare of NextDNS.

As jy fyn beheer verkies, in about:config verstel network.trr.mode: 2 (opportunis) gebruik DoH en maak terugval indien nie beskikbaar nie; 3 (streng) mandate van die Departement van Gesondheid en misluk indien daar geen ondersteuning is nie. Met streng modus, definieer 'n opstartresolver as network.trr.bootstrapAddress=1.1.1.1.

Opera

Sedert weergawe 65 bevat Opera 'n opsie om aktiveer DoH met 1.1.1.1Dit is standaard gedeaktiveer en werk in opportunistiese modus: as 1.1.1.1:443 reageer, sal dit DoH gebruik; andersins val dit terug na die ongeënkripteerde resolver.

Windows 10/11: Outomatiese opsporing (AutoDoH) en register

Windows kan DoH outomaties aktiveer met sekere bekende resolvers. In ouer weergawes, jy kan die gedrag forseer vanaf die register: hardloop regedit en gaan na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Skep 'n DWORD (32-bis) genaamd EnableAutoDoh met moed 2 y herbegin die rekenaarDit werk as jy DNS-bedieners gebruik wat DoH ondersteun.

Windows Server 2022: DNS-kliënt met inheemse DoH

Die ingeboude DNS-kliënt in Windows Server 2022 ondersteun DoH. Jy sal slegs DoH kan gebruik met bedieners wat op hul "Bekende DoH"-lys is. of wat jy self byvoeg. Om dit vanaf die grafiese koppelvlak te konfigureer:

1. Maak Windows-instellings oop > Netwerk en internet.
2. Tik in Ethernet en kies jou koppelvlak.
3. Op die netwerkskerm, blaai af na DNS-konfigurasie en druk Verander.
4. Kies "Handmatig" om voorkeur- en alternatiewe bedieners te definieer.
5. As daardie adresse op die bekende DoH-lys is, sal dit geaktiveer word "Voorkeur DNS-enkripsie" met drie opsies:
   • Slegs enkripsie (DNS oor HTTPS)Forseer DoH; as die bediener nie DoH ondersteun nie, sal daar geen resolusie wees nie.
   • Verkies enkripsie, laat ongeënkripteerde toePogings tot DoH word uitgevoer en indien dit misluk, word teruggeval op ongeënkripteerde klassieke DNS.
   • Slegs ongeënkripteerdGebruik tradisionele gewone teks DNS.
6. Stoor om veranderinge toe te pas.

Jy kan ook die lys van bekende DoH-resolvers navraag doen en uitbrei met behulp van PowerShell. Om die huidige lys te sien:

Get-DNSClientDohServerAddress

Om 'n nuwe bekende DoH-bediener met jou sjabloon te registreer, gebruik:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Let daarop dat die cmdlet Set-DNSClientServerAddress beheer homself nie die gebruik van DoH; enkripsie hang af of daardie adresse in die tabel van bekende DoH-bedieners is. Jy kan tans nie DoH vir die Windows Server 2022 DNS-kliënt vanaf Windows Admin Center of met konfigureer nie. sconfig.cmd.

Groepbeleid in Windows Server 2022

Daar is 'n riglyn genaamd "Konfigureer DNS oor HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSWanneer dit geaktiveer is, kan jy kies:

• Laat DoH toeGebruik DoH as die bediener dit ondersteun; andersins, navraag ongeënkripteerd.
• Verbod DoHgebruik nooit DoH nie.
• Vereis DoH: forseer DoH; indien geen ondersteuning nie, misluk die oplossing.

Belangrik: Moenie "Vereis DoH" op domein-gekoppelde rekenaars aktiveer nieActive Directory maak staat op DNS, en die Windows Server DNS Server-rol ondersteun nie DoH-navrae nie. As jy DNS-verkeer binne 'n AD-omgewing moet beveilig, oorweeg dit om dit te gebruik. IPsec-reëls tussen kliënte en interne resolvers.

As jy belangstel om spesifieke domeine na spesifieke resolvers te herlei, kan jy die NRPT (Naam-resolusiebeleidstabel)Indien die bestemmingsbediener op die bekende DoH-lys is, daardie konsultasies sal deur DoH reis.

Android, iOS en Linux

Op Android 9 en hoër, die opsie Privaat DNS laat DoT (nie DoH) met twee modusse toe: "Outomaties" (opportunisties, neem die netwerkresolver) en "Streng" (jy moet 'n gasheernaam spesifiseer wat deur 'n sertifikaat gevalideer word; direkte IP's word nie ondersteun nie).

Op iOS en Android, die toepassing 1.1.1.1 Cloudflare stel DoH of DoT in streng modus in staat deur die VPN API te gebruik om ongeënkripteerde versoeke te onderskep en stuur hulle deur 'n veilige kanaal.

Op Linux, stelsel-opgelos ondersteun DoT sedert systemd 239. Dit is standaard gedeaktiveer; dit bied opportunistiese modus sonder om sertifikate te valideer en streng modus (sedert 243) met CA-validering, maar sonder SNI- of naamverifikasie, wat verswak die vertrouensmodel teen aanvallers op die pad.

Op Linux, macOS of Windows kan jy kies vir 'n streng modus DoH-kliënt soos cloudflared proxy-dns (standaard gebruik dit 1.1.1.1, alhoewel jy kan stroomopwaarts definieer alternatiewe).

Bekende DoH-bedieners (Windows) en hoe om meer by te voeg

Windows Server bevat 'n lys van resolvers wat bekend is om DoH te ondersteun. Jy kan dit met PowerShell nagaan en voeg nuwe inskrywings by indien nodig.

Estos seun los bekende DoH-bedieners reguit uit die boks:

Bediener Eienaar	DNS-bediener IP-adresse
Cloudflare	1.1.1.1 1.0.0.1 2606: 4700: 4700 :: 1111 2606: 4700: 4700 :: 1001
Google	8.8.8.8 8.8.4.4 2001: 4860: 4860 :: 8888 2001: 4860: 4860 :: 8844
Quad9	9.9.9.9 149.112.112.112 2620: fe fe :: 2620: fe :: fe: 9

om sien die lys, hardloop:

Get-DNSClientDohServerAddress

om voeg 'n nuwe DoH-resolver met sy sjabloon by, gebruik:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

As jy verskeie naamruimtes bestuur, sal die NRPT jou toelaat om bestuur spesifieke domeine na 'n spesifieke resolver wat DoH ondersteun.

Hoe om te kyk of DoH aktief is

In blaaiers, besoek https://1.1.1.1/help; daar sal jy sien of Jou verkeer gebruik DoH met 1.1.1.1 of nie. Dis 'n vinnige toets om te sien in watter status jy is.

In Windows 10 (weergawe 2004) kan jy klassieke DNS-verkeer (poort 53) monitor met pktmon vanaf 'n bevoorregte konsole:

pktmon filter add -p 53
pktmon start --etw -m real-time

As 'n konstante vloei van pakkies op die 53 verskyn, is dit baie waarskynlik dat jy gebruik steeds ongeënkripteerde DNSOnthou: die parameter --etw -m real-time vereis 2004; in vorige weergawes sal jy 'n "onbekende parameter"-fout sien.

Opsioneel: konfigureer dit op die router (MikroTik)

As jy verkies om enkripsie op die router te sentraliseer, kan jy DoH maklik op MikroTik-toestelle aktiveer. Eerstens, voer die wortel-CA in wat deur die bediener waarmee jy sal koppel, onderteken sal word. Vir Cloudflare kan jy dit aflaai DigiCertGlobalRootCA.crt.pem.

Laai die lêer op na die router (deur dit na "Lêers" te sleep), en gaan na Stelsel > Sertifikate > Invoer om dit in te sluit. Konfigureer dan die router se DNS met die Cloudflare DoH URL'eSodra dit aktief is, sal die router die geïnkripteerde verbinding bo die standaard ongeënkripteerde DNS prioritiseer.

Om te bevestig dat alles in orde is, besoek 1.1.1.1/hulp vanaf 'n rekenaar agter die router. Jy kan ook alles via die terminaal doen in RouterOS as jy verkies.

Prestasie, bykomende privaatheid en beperkings van die benadering

Wat spoed betref, is twee maatstawwe belangrik: resolusietyd en werklike bladsylading. Onafhanklike toetse (soos SamKnows) Hulle kom tot die gevolgtrekking dat die verskil tussen DoH en klassieke DNS (Do53) op beide fronte marginaal is; in die praktyk behoort jy geen traagheid op te merk nie.

DoH enkripteer die "DNS-navraag", maar daar is meer seine op die netwerk. Selfs al versteek jy DNS, kan 'n internetdiensverskaffer dinge aflei via TLS-verbindings (bv. SNI in sommige ouer scenario's) of ander spore. Om privaatheid te verbeter, kan jy DoT, DNSCrypt, DNSCurve of kliënte verken wat metadata minimaliseer.

Nie alle ekosisteme ondersteun nog DoH nie. Baie ouer resolvers bied dit nie., wat afhanklikheid van openbare bronne (Cloudflare, Google, Quad9, ens.) afdwing. Dit open die debat oor sentralisasie: die konsentrering van navrae op 'n paar akteurs behels privaatheid- en vertrouenskoste.

In korporatiewe omgewings kan die Departement van Gesondheid bots met sekuriteitsbeleide wat gebaseer is op DNS-monitering of -filtrering (wanware, ouerlike kontroles, wetlike nakoming). Oplossings sluit in MDM/Groepbeleid om 'n DoH/DoT-resolver op streng modus te stel, of gekombineer met toepassingsvlakkontroles, wat meer presies is as domeingebaseerde blokkering.

DNSSEC vul DoH aan: DoH beskerm die vervoer; DNSSEC valideer die reaksieAanvaarding is ongelyk, en sommige intermediêre toestelle breek dit, maar die tendens is positief. Langs die pad tussen resolvers en gesaghebbende bedieners bly DNS tradisioneel ongeënkripteer; daar is reeds eksperimente met DoT onder groot operateurs (bv. 1.1.1.1 met Facebook se gesaghebbende bedieners) om beskerming te verbeter.

'n Tussentydse alternatief is om slegs tussen te enkripteer die router en die resolver, wat die verbinding tussen toestelle en die router ongeënkripteer laat. Nuttig op veilige bedrade netwerke, maar nie aanbeveel op oop Wi-Fi-netwerke nie: ander gebruikers kan hierdie navrae binne die LAN bespied of manipuleer.

Maak jou eie DoH-resolver

As jy volledige onafhanklikheid wil hê, kan jy jou eie resolver ontplooi. Ongebonde + Redis (L2-kasgeheue) + Nginx is 'n gewilde kombinasie vir die bediening van DoH-URL'e en die filter van domeine met outomaties opdateerbare lyste.

Hierdie stapel werk perfek op 'n beskeie VPS (byvoorbeeld, een kern/2 drade vir 'n gesin). Daar is gidse met gereed-vir-gebruik instruksies, soos hierdie bewaarplek: github.com/ousatov-ua/dns-filtering. Sommige VPS-verskaffers bied welkomskrediete vir nuwe gebruikers, sodat jy 'n proeflopie teen lae koste kan opstel.

Met jou private resolver kan jy jou filterbronne kies, behoudbeleide bepaal en vermy die sentralisering van jou navrae aan derde partye. In ruil daarvoor bestuur jy sekuriteit, instandhouding en hoë beskikbaarheid.

Voor afsluiting, 'n geldigheidsnota: op die internet verander opsies, spyskaarte en name gereeld; sommige ou gidse is verouderd (Byvoorbeeld, om deur "vlae" in Chrome te gaan, is nie meer nodig in onlangse weergawes nie.) Gaan altyd jou blaaier- of stelseldokumentasie na.

As jy dit tot hier gemaak het, weet jy reeds wat DoH doen, hoe dit in die legkaart met DoT en DNSSEC pas, en die belangrikste, hoe om dit nou op jou toestel te aktiveer om te verhoed dat DNS sonder probleme versprei. Met 'n paar klikke in jou blaaier of aanpassings in Windows (selfs op beleidsvlak in Server 2022) sal jy geënkripteerde navrae hê; as jy dinge na die volgende vlak wil neem, kan jy die enkripsie na die MikroTik-router skuif of jou eie resolver bou. Die sleutel is dat, Sonder om aan jou router te raak, kan jy een van die mees geskinderde dele van jou verkeer vandag afskerm..