Як зашыфраваць DNS, не дакранаючыся маршрутызатара з дапамогай DoH: поўнае кіраўніцтва

¿Як зашыфраваць DNS, не дакранаючыся маршрутызатара, выкарыстоўваючы DNS праз HTTPS? Калі вас хвалюе, хто можа бачыць, да якіх вэб-сайтаў вы падключаецеся, Шыфраванне запытаў да сістэмы даменных імёнаў з дапамогай DNS праз HTTPS Гэта адзін з самых простых спосабаў павысіць вашу прыватнасць без неабходнасці змагацца з маршрутызатарам. З дапамогай DoH пераўтваральнік, які пераўтварае дамены ў IP-адрасы, перастае перадавацца ў адкрытым выглядзе і праходзіць праз тунэль HTTPS.

У гэтым кіраўніцтве вы знойдзеце, напісанае простай мовай і без лішняга жаргону, Што такое DoH, чым ён адрозніваецца ад іншых варыянтаў, такіх як DoT, як уключыць яго ў браўзерах і аперацыйных сістэмах (у тым ліку Windows Server 2022), як праверыць, ці ён сапраўды працуе, падтрымоўваныя серверы і, калі вы адчуваеце сябе смелымі, нават як наладзіць свой уласны рэзалютар DoH. Усё, не дакранаючыся да маршрутызатара...акрамя дадатковага раздзела для тых, хто хоча наладзіць яго на MikroTik.

Што такое DNS праз HTTPS (DoH) і чаму гэта можа вас зацікавіць

Калі вы ўводзіце імя дамена (напрыклад, Xataka.com), камп'ютар запытвае ў DNS-расшыральніка яго IP-адрас; Звычайна гэты працэс адбываецца ў выглядзе звычайнага тэксту І любы чалавек у вашай сетцы, ваш інтэрнэт-правайдэр або прамежкавыя прылады могуць сачыць за ім або маніпуляваць ім. У гэтым і заключаецца сутнасць класічнага DNS: хуткі, усюдыісны… і празрысты для трэціх асоб.

Вось тут і прыходзіць на дапамогу DoH: Ён перамяшчае гэтыя пытанні і адказы DNS на той жа зашыфраваны канал, які выкарыстоўваецца бяспечным Інтэрнэтам (HTTPS, порт 443).У выніку яны больш не перамяшчаюцца «ў адкрытай прасторы», што змяншае магчымасць шпіянажу, захопу запытаў і некаторых нападаў тыпу «чалавек пасярэднік». Акрамя таго, у многіх тэстах затрымка прыкметна не пагаршаецца і нават можа быць палепшана дзякуючы аптымізацыі транспарту.

Una ventaja clave es que DoH можна ўключыць на ўзроўні прыкладання або сістэмы, таму вам не трэба будзе спадзявацца на свайго аператара або маршрутызатар, каб што-небудзь уключыць. Гэта значыць, вы можаце абараніць сябе «з браўзера», не дакранаючыся ніякага сеткавага абсталявання.

Важна адрозніваць DoH ад DoT (DNS праз TLS): DoT шыфруе DNS на порце 853 непасрэдна праз TLS, у той час як DoH інтэгруе яго ў HTTP(S). DoT прасцейшы ў тэорыі, але Хутчэй за ўсё, яго будуць блакіраваць брандмаўэры якія абразаюць незвычайныя парты; DoH, выкарыстоўваючы 443, лепш абыходзіць гэтыя абмежаванні і прадухіляе прымусовыя атакі «зваротнага адсочвання» на незашыфраваны DNS.

Адносна прыватнасці: выкарыстанне HTTPS не азначае выкарыстання файлаў cookie або адсочвання ў DoH; стандарты катэгарычна не рэкамендуюць яго выкарыстанне У гэтым кантэксце TLS 1.3 таксама памяншае неабходнасць перазапуску сесій, мінімізуючы карэляцыі. А калі вас турбуе прадукцыйнасць, HTTP/3 праз QUIC можа забяспечыць дадатковыя паляпшэнні за кошт мультыплексавання запытаў без блакіроўкі.

Як працуе DNS, распаўсюджаныя рызыкі і месца DoH

Аперацыйная сістэма звычайна даведваецца, які рэзалютар выкарыстоўваць, праз DHCP; Дома вы звычайна карыстаецеся паслугамі інтэрнэт-правайдэра, у офісе, карпаратыўнай сетцы. Калі гэтая сувязь не зашыфраваная (UDP/TCP 53), любы чалавек у вашай сетцы Wi-Fi або на маршруце можа бачыць запытаныя дамены, уводзіць фальшывыя адказы або перанакіроўваць вас на пошукавыя запыты, калі дамен не існуе, як гэта робяць некаторыя аператары.

Тыповы аналіз трафіку паказвае парты, IP-адрасы крыніцы/прызначэння і сам дамен, які быў вырашаны; Гэта не толькі раскрывае звычкі прагляду, гэта таксама спрашчае суаднясенне наступных падключэнняў, напрыклад, да адрасоў Twitter або падобных рэсурсаў, і вызначэнне таго, якія менавіта старонкі вы наведалі.

З DoT паведамленне DNS адпраўляецца ўнутры TLS праз порт 853; з DoH, DNS-запыт інкапсуляваны ў стандартны HTTPS-запыт, што таксама дазваляе выкарыстоўваць яго вэб-праграмамі праз API браўзера. Абодва механізмы маюць адну і тую ж аснову: аўтэнтыфікацыю сервера з дапамогай сертыфіката і канал са скразным шыфраваннем.

Праблема з новымі партамі ў тым, што яны звычайна некаторыя сеткі блакуюць 853, што заахвочвае праграмнае забеспячэнне «вяртацца» да незашыфраванага DNS. Міністэрства аховы здароўя ЗША змяншае гэта, выкарыстоўваючы 443, які з'яўляецца распаўсюджаным для Інтэрнэту. DNS/QUIC таксама існуе як яшчэ адзін перспектыўны варыянт, хоць ён патрабуе адкрытага UDP і не заўсёды даступны.

Нават пры шыфраванні транспарту будзьце ўважлівыя з адным нюансам: Калі рэшальвер хлусіць, шыфр гэтага не выпраўляе.Для гэтай мэты існуе DNSSEC, які дазваляе правяраць цэласнасць адказаў, хоць яго ўкараненне не шырока распаўсюджана, і некаторыя пасярэднікі парушаюць яго функцыянальнасць. Тым не менш, DoH не дазваляе трэцім асобам сачыць за вашымі запытамі або ўмешвацца ў іх.

Актывуйце яго, не дакранаючыся да маршрутызатара: браўзеры і сістэмы

Найпрасцейшы спосаб пачаць — гэта ўключыць DoH у вашым браўзеры або аперацыйнай сістэме. Вось як вы абараняеце пытанні ад сваёй каманды незалежна ад прашыўкі маршрутызатара.

Google Chrome

У бягучых версіях вы можаце перайсці да chrome://settings/security і ў раздзеле «Выкарыстоўваць бяспечны DNS» актывуйце опцыю і абярыце пастаўшчыка (ваш бягучы пастаўшчык, калі ён падтрымлівае DoH, або адзін са спісу Google, напрыклад, Cloudflare або Google DNS).

У папярэдніх версіях Chrome прапаноўваў эксперыментальны перамыкач: тып chrome://flags/#dns-over-https, знайдзіце «Бяспечны пошук DNS» і змяніць яго з «Па змаўчанні» на «Уключана»Перазапусціце браўзер, каб змены ўступілі ў сілу.

Microsoft Edge (Chromium)

У Edge на базе Chromium ёсць падобная опцыя. Калі яна вам патрэбна, перайдзіце па спасылцы edge://flags/#dns-over-https, знайдзіце «Бяспечны пошук DNS» і уключыце яго ў раздзеле "Уключана"У сучасных версіях актывацыя таксама даступная ў наладах прыватнасці.

Mozilla Firefox

Адкрыйце меню (уверсе справа) > Налады > Агульныя > пракруціце ўніз да «Налады сеткі», націсніце на Канфігурацыя і пазначце «Уключыць DNS праз HTTPSВы можаце выбраць аднаго з пастаўшчыкоў, такіх як Cloudflare або NextDNS.

Калі вы аддаеце перавагу дакладнаму кантролю, у about:config рэгуляваць network.trr.mode: 2 (апартуніст) выкарыстоўвае DoH і робіць рэзервовы варыянт калі няма ў наяўнасці; 3 (строгія) патрабаванні Міністэрства аховы здароўя і не працуе, калі няма падтрымкі. У строгім рэжыме вызначце bootstrap-рэзолвер як network.trr.bootstrapAddress=1.1.1.1.

Опера

Пачынаючы з версіі 65, Opera мае опцыю уключыць DoH з версіяй 1.1.1.1Па змаўчанні ён адключаны і працуе ў апартуністычным рэжыме: калі 1.1.1.1:443 адказвае, ён выкарыстоўвае DoH; у адваротным выпадку ён вяртаецца да незашыфраванага рэзолвера.

Windows 10/11: Аўтавызначэнне (AutoDoH) і рэестр

Windows можа аўтаматычна ўключаць DoH з некаторымі вядомымі рэзалютарамі. У старых версіях, вы можаце прымусіць сябе да паводзін з рэестра: запусціць regedit і перайсці да HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Стварыце DWORD (32-бітны) з назвай EnableAutoDoh з каштоўнасцю 2 y Перазагрузіце камп'ютарГэта працуе, калі вы выкарыстоўваеце DNS-серверы, якія падтрымліваюць DoH.

Windows Server 2022: DNS-кліент з убудаванай падтрымкай DoH

Убудаваны DNS-кліент у Windows Server 2022 падтрымлівае DoH. Вы зможаце выкарыстоўваць DoH толькі з серверамі, якія знаходзяцца ў спісе «Вядомых DoH». або якія вы дадаяце самі. Каб наладзіць яго з графічнага інтэрфейсу:

1. Адкрыйце налады Windows > Сетка і Інтэрнэт.
2. Увядзіце Ethernet і абярыце свой інтэрфейс.
3. На экране сеткі пракруціце ўніз да Configuración de DNS і націсніце Рэдагаваць.
4. Выберыце «Уручную», каб вызначыць пераважныя і альтэрнатыўныя серверы.
5. Калі гэтыя адрасы ёсць у вядомым спісе DoH, ён будзе ўключаны. «Пераважнае шыфраванне DNS» з трыма варыянтамі:
   • Толькі шыфраванне (DNS праз HTTPS)Прымусовае выкарыстанне DoH; калі сервер не падтрымлівае DoH, раздзялення не будзе.
   • Аддаваць перавагу шыфраванню, дазваляць незашыфраваныя: Спрабуе DoH, і калі не атрымліваецца, вяртаецца да незашыфраванага класічнага DNS.
   • Толькі незашыфраваныяВыкарыстоўвае традыцыйны DNS у выглядзе адкрытага тэксту.
6. Захаваць, каб прымяніць змены.

Вы таксама можаце запытаць і пашырыць спіс вядомых рэзалютараў DoH з дапамогай PowerShell. Каб паглядзець бягучы спіс:

Get-DNSClientDohServerAddress

Каб зарэгістраваць новы вядомы сервер DoH з дапамогай шаблону, выкарыстоўвайце:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Звярніце ўвагу, што камандлет Set-DNSClientServerAddress не кантралюе сябе выкарыстанне DoH; шыфраванне залежыць ад таго, ці ёсць гэтыя адрасы ў табліцы вядомых сервераў DoH. У цяперашні час вы не можаце наладзіць DoH для кліента DNS Windows Server 2022 з Цэнтра адміністравання Windows або з дапамогай sconfig.cmd.

Групавая палітыка ў Windows Server 2022

Ёсць дырэктыва пад назвай «Наладзіць DNS праз HTTPS (DoH)» en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSКалі ўключана, вы можаце выбраць:

• Дазволіць DoHВыкарыстоўвайце DoH, калі сервер яго падтрымлівае; у адваротным выпадку запытвайце без шыфравання.
• Забарона DoHніколі не выкарыстоўвае DoH.
• Патрабаваць DoH: прымусовае выключэнне DoH; калі няма падтрымкі, рашэнне не атрымліваецца.

Важна: Не ўключайце «Патрабаваць DoH» на камп'ютарах, падлучаных да даменаActive Directory абапіраецца на DNS, а роля DNS-сервера Windows Server не падтрымлівае запыты DoH. Калі вам трэба абараніць трафік DNS у асяроддзі AD, падумайце аб выкарыстанні Правілы IPsec паміж кліентамі і ўнутранымі рэзалюцыянерамі.

Калі вы зацікаўлены ў перанакіраванні пэўных даменаў на пэўныя рэзолверы, вы можаце выкарыстоўваць NRPT (Табліца палітыкі дазволу імёнаў)Калі сервер прызначэння знаходзіцца ў вядомым спісе DoH, гэтыя кансультацыі будзе праходзіць праз Міністэрства аховы здароўя.

Android, iOS і Linux

На Android 9 і вышэй, опцыя Прыватны DNS дазваляе DoT (не DoH) з двума рэжымамі: «Аўтаматычны» (апартуністычны, выкарыстоўвае сеткавы рэзолвер) і «Строгі» (неабходна ўказаць імя хаста, праверанае сертыфікатам; прамыя IP-адрасы не падтрымліваюцца).

На iOS і Android праграма 1.1.1.1 Cloudflare дазваляе DoH або DoT у строгім рэжыме з выкарыстаннем VPN API для перахопу незашыфраваных запытаў і перасылаць іх праз бяспечны канал.

У Linux, systemd-resolved падтрымлівае DoT, пачынаючы з systemd 239. Па змаўчанні ён адключаны; прапануе апартуністычны рэжым без праверкі сертыфікатаў і строгі рэжым (пачынаючы з 243) з праверкай CA, але без праверкі SNI або імя, што аслабляе мадэль даверу супраць нападнікаў на дарозе.

У Linux, macOS або Windows вы можаце выбраць кліент DoH са строгім рэжымам, напрыклад, cloudflared proxy-dns (па змаўчанні выкарыстоўваецца версія 1.1.1.1, хоць вы можаце вызначыць вышэйшыя патокі альтэрнатывы).

Вядомыя серверы DoH (Windows) і як дадаць яшчэ

Windows Server утрымлівае спіс расшыфроўшчыкаў, якія, як вядома, падтрымліваюць DoH. Вы можаце праверыць гэта з дапамогай PowerShell і дадайце новыя запісы, калі вам трэба.

Гэта тыя, вядомыя серверы DoH адразу пасля ўсталёўкі:

Уладальнік сервера	IP-адрасы DNS-сервераў
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Для ver la lista, выканаць:

Get-DNSClientDohServerAddress

Для дадаць новы рэзалютар DoH з яго шаблонам, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Калі вы кіруеце некалькімі прасторамі імёнаў, NRPT дазволіць вам кіраваць пэўнымі даменамі да пэўнага рэзалютара, які падтрымлівае DoH.

Як праверыць, ці актыўны DoH

У браўзерах наведайце https://1.1.1.1/helpтам вы ўбачыце, ці ваш трафік выкарыстоўвае DoH з версіяй 1.1.1.1 ці не. Гэта хуткі тэст, каб убачыць, у якім вы статусе знаходзіцеся.

У Windows 10 (версія 2004) вы можаце кантраляваць класічны DNS-трафік (порт 53) з дапамогай pktmon з прывілеяванай кансолі:

pktmon filter add -p 53
pktmon start --etw -m real-time

Калі на 53-м з'яўляецца пастаянны паток пакетаў, вельмі верагодна, што вы ўсё яшчэ выкарыстоўваеце незашыфраваны DNSПамятайце: параметр --etw -m real-time патрабуецца версія 2004; у больш ранніх версіях вы ўбачыце памылку «невядомы параметр».

Дадаткова: наладзіць яго на маршрутызатары (MikroTik)

Калі вы аддаеце перавагу цэнтралізаваць шыфраванне на маршрутызатары, вы можаце лёгка ўключыць DoH на прыладах MikroTik. Спачатку імпартуйце каранёвы ЦС які будзе падпісаны серверам, да якога вы будзеце падключацца. Для Cloudflare вы можаце спампаваць DigiCertGlobalRootCA.crt.pem.

Загрузіце файл на маршрутызатар (перацягнуўшы яго ў «Файлы») і перайдзіце па спасылцы Сістэма > Сертыфікаты > Імпарт каб уключыць яго. Затым наладзьце DNS маршрутызатара з дапамогай URL-адрасы DoH у CloudflareПасля актывацыі маршрутызатар будзе аддаваць прыярытэт зашыфраванаму злучэнню перад незашыфраваным DNS па змаўчанні.

Каб пераканацца, што ўсё ў парадку, наведайце 1.1.1.1/дапамога з кампутара, размешчанага за маршрутызатарам. Вы таксама можаце зрабіць усё праз тэрмінал у RouterOS, калі хочаце.

Прадукцыйнасць, дадатковая прыватнасць і абмежаванні падыходу

Калі гаворка ідзе пра хуткасць, важныя два паказчыкі: час вырашэння праблемы і фактычная загрузка старонкі. Незалежныя тэсты (напрыклад, SamKnows) Яны прыйшлі да высновы, што розніца паміж DoH і класічным DNS (Do53) нязначная па абодвух напрамках; на практыцы вы не павінны заўважаць ніякай павольнасці.

DoH шыфруе «DNS-запыт», але ў сетцы ёсць і іншыя сігналы. Нават калі вы схаваеце DNS, правайдэр можа зрабіць высновы праз TLS-злучэнні (напрыклад, SNI ў некаторых старых сцэнарыях) або іншыя трасіроўкі. Для павышэння прыватнасці вы можаце вывучыць DoT, DNSCrypt, DNSCurve або кліенты, якія мінімізуюць метададзеныя.

Пакуль што не ўсе экасістэмы падтрымліваюць DoH. Шмат якія старыя рэзалютары гэтага не прапануюць., што прымушае спадзявацца на агульнадаступныя крыніцы (Cloudflare, Google, Quad9 і г.д.). Гэта адкрывае дыскусію аб цэнтралізацыі: канцэнтрацыя запытаў на некалькіх удзельніках цягне за сабой выдаткі на прыватнасць і давер.

У карпаратыўным асяроддзі DoH можа супярэчыць палітыкам бяспекі, якія заснаваныя на Маніторынг або фільтрацыя DNS (шкоднасныя праграмы, бацькоўскі кантроль, адпаведнасць заканадаўству). Рашэнні ўключаюць MDM/групавую палітыку для ўсталёўкі рэзалютара DoH/DoT у строгі рэжым або ў спалучэнні з кантролем на ўзроўні прыкладання, які больш дакладны, чым блакіроўка на аснове дамена.

DNSSEC дапаўняе DoH: DoH абараняе транспарт; DNSSEC правярае адказУкараненне нераўнамернае, і некаторыя прамежкавыя прылады парушаюць яго, але тэндэнцыя станоўчая. На шляху ад расшыфроўшчыкаў да аўтарытэтных сервераў DNS традыцыйна застаецца незашыфраваным; ужо праводзяцца эксперыменты з выкарыстаннем DoT сярод буйных аператараў (напрыклад, 1.1.1.1 з аўтарытэтнымі серверамі Facebook) для павышэння абароны.

Прамежкавая альтэрнатыва — шыфраваць толькі паміж маршрутызатар і рэзалютар, што дазваляе злучэнне паміж прыладамі і маршрутызатарам зашыфраваць. Карысна ў бяспечных правадных сетках, але не рэкамендуецца ў адкрытых сетках Wi-Fi: іншыя карыстальнікі могуць шпіёніць або маніпуляваць гэтымі запытамі ўнутры лакальнай сеткі.

Стварыце свой уласны рэзалютар DoH

Калі вы хочаце поўнай незалежнасці, вы можаце разгарнуць свой уласны рэзалютар. Незвязаны + Redis (кэш L2) + Nginx — папулярная камбінацыя для абслугоўвання URL-адрасоў DoH і фільтрацыі даменаў з аўтаматычна абнаўляльнымі спісамі.

Гэты стэк выдатна працуе на сціплым VPS (напрыклад, адна жыла/2 правады для сям'і). Існуюць кіраўніцтвы з гатовымі інструкцыямі, напрыклад, гэтае сховішча: github.com/ousatov-ua/dns-filtering. Некаторыя пастаўшчыкі VPS прапануюць прывітальныя крэдыты для новых карыстальнікаў, таму вы можаце наладзіць пробную версію па нізкай цане.

З дапамогай прыватнага рэзалютара вы можаце выбраць крыніцы фільтрацыі, вызначыць палітыку захоўвання і пазбягайце цэнтралізацыі вашых запытаў трэцім асобам. У сваю чаргу вы кіруеце бяспекай, абслугоўваннем і высокай даступнасцю.

Перад завяршэннем варта адзначыць актуальнасць: у Інтэрнэце параметры, меню і назвы часта мяняюцца; некаторыя старыя даведнікі састарэлі (Напрыклад, у апошніх версіях Chrome больш не трэба праглядаць «сцягі».) Заўсёды правярайце дакументацыю вашага браўзера або сістэмы.

Калі вы дайшлі да гэтага моманту, вы ўжо ведаеце, чым займаецца DoH, як гэта ўпісваецца ў схему DoT і DNSSEC, і, самае галоўнае, як актываваць яго прама зараз на вашай прыладзе каб прадухіліць перадачу DNS у адкрытым выглядзе. З дапамогай некалькіх клікаў у браўзеры або карэкціровак у Windows (нават на ўзроўні палітыкі ў Server 2022) вы атрымаеце зашыфраваныя запыты; калі вы хочаце падняць усё на новы ўзровень, вы можаце перанесці шыфраванне на маршрутызатар MikroTik або стварыць свой уласны рэзалютар. Галоўнае, што... Не чапаючы свой маршрутызатар, вы можаце абараніць адну з самых абмяркоўваемых частак вашага трафіку сёння..