Kako šifrirati DNS bez dodirivanja rutera pomoću DoH-a: Kompletan vodič

¿Kako šifrirati DNS bez dodirivanja rutera koristeći DNS preko HTTPS-a? Ako vas brine ko može vidjeti na koje se web stranice povezujete, Šifriranje upita sistema domenskih imena pomoću DNS-a preko HTTPS-a To je jedan od najlakših načina da povećate svoju privatnost bez potrebe za borbom s ruterom. Sa DoH-om, prevodilac koji pretvara domene u IP adrese prestaje da putuje u čistom obliku i prolazi kroz HTTPS tunel.

U ovom vodiču ćete pronaći, direktno rečeno i bez previše žargona, Šta je tačno DoH, kako se razlikuje od drugih opcija poput DoT-a, kako ga omogućiti u preglednicima i operativnim sistemima (uključujući Windows Server 2022), kako provjeriti da li zaista radi, podržani serveri i, ako se osjećate hrabri, čak i kako postaviti vlastiti DoH resolver. Sve, bez dodirivanja rutera...osim opcionalnog dijela za one koji žele da ga konfigurišu na MikroTiku.

Šta je DNS preko HTTPS-a (DoH) i zašto bi vas to moglo zanimati

Kada ukucate domenu (na primjer, Xataka.com), računar pita DNS resolver koja je njena IP adresa; Ovaj proces se obično odvija u običnom tekstu I bilo ko na vašoj mreži, vaš internet provajder ili posrednički uređaji mogu ga špijunirati ili manipulisati. To je suština klasičnog DNS-a: brz, sveprisutan... i transparentan za treće strane.

Tu nastupa DoH: Premješta ta DNS pitanja i odgovore na isti šifrirani kanal koji koristi sigurni web (HTTPS, port 443)Rezultat je da više ne putuju "na otvorenom", što smanjuje mogućnost špijunaže, otmice upita i određenih napada tipa "čovjek u sredini". Nadalje, u mnogim testovima latencija se ne pogoršava značajno i čak se može poboljšati zahvaljujući optimizacijama transporta.

Ključna prednost je to što DoH se može omogućiti na nivou aplikacije ili sistema, tako da se ne morate oslanjati na svog operatera ili ruter da biste išta omogućili. To jest, možete se zaštititi "iz preglednika", bez dodirivanja bilo kakve mrežne opreme.

Važno je razlikovati DoH od DoT (DNS preko TLS-a): DoT šifrira DNS na portu 853 direktno preko TLS-a, dok ga DoH integriše u HTTP(S). DoT je jednostavniji u teoriji, ali Vjerovatnije je da će ga blokirati zaštitni zidovi (firewall). koji smanjuju neuobičajene portove; DoH, korištenjem 443, bolje zaobilazi ova ograničenja i sprječava prisilne napade "povratnog praćenja" na nešifrirani DNS.

O privatnosti: Korištenje HTTPS-a ne podrazumijeva kolačiće ili praćenje u DoH-u; standardi izričito ne savjetuju njegovu upotrebu U ovom kontekstu, TLS 1.3 također smanjuje potrebu za ponovnim pokretanjem sesija, minimizirajući korelacije. A ako ste zabrinuti zbog performansi, HTTP/3 preko QUIC-a može pružiti dodatna poboljšanja multipleksiranjem upita bez blokiranja.

Kako DNS funkcioniše, uobičajeni rizici i gdje se DoH uklapa

Operativni sistem obično uči koji resolver da koristi putem DHCP-a; Kod kuće obično koristite usluge internet provajdera., u kancelariji, korporativnoj mreži. Kada je ova komunikacija nešifrirana (UDP/TCP 53), bilo ko na vašoj Wi-Fi mreži ili na ruti može vidjeti upitane domene, ubaciti lažne odgovore ili vas preusmjeriti na pretrage kada domena ne postoji, kao što to rade neki operateri.

Tipična analiza prometa otkriva portove, izvorne/odredišne ​​IP adrese i samu domenu; Ovo ne samo da otkriva navike pregledavanja, također olakšava povezivanje naknadnih konekcija, na primjer, s Twitter adresama ili slično, i zaključivanje koje ste tačno stranice posjetili.

Kod DoT-a, DNS poruka ide unutar TLS-a na portu 853; kod DoH-a, DNS upit je enkapsuliran u standardni HTTPS zahtjev, što također omogućava njegovu upotrebu od strane web aplikacija putem API-ja preglednika. Oba mehanizma dijele istu osnovu: autentifikaciju servera pomoću certifikata i kanal šifriran od kraja do kraja.

Problem s novim portovima je taj što je uobičajeno za neke mreže blokiraju 853, što potiče softver da se "vrati" na nešifrirani DNS. DoH ublažava ovo korištenjem 443, što je uobičajeno za web. DNS/QUIC također postoji kao još jedna obećavajuća opcija, iako zahtijeva otvoreni UDP i nije uvijek dostupan.

Čak i prilikom šifriranja transporta, budite oprezni s jednom nijansom: Ako razrješivač laže, šifra to ne ispravlja.U tu svrhu postoji DNSSEC, koji omogućava validaciju integriteta odgovora, iako njegovo usvajanje nije široko rasprostranjeno i neki posrednici narušavaju njegovu funkcionalnost. Uprkos tome, DoH sprečava treće strane da usput špijuniraju ili manipulišu vašim upitima.

Aktivirajte ga bez dodirivanja rutera: preglednici i sistemi

Najjednostavniji način za početak je omogućavanje DoH-a u vašem pregledniku ili operativnom sistemu. Ovako štitite upite od svog tima bez zavisnosti od firmvera rutera.

Google Chrome

U trenutnim verzijama možete otići na chrome://settings/security i, pod "Koristi sigurni DNS", aktivirajte opciju i odaberite provajdera (vaš trenutni provajder ako podržava DoH ili neki sa Googleove liste kao što su Cloudflare ili Google DNS).

U prethodnim verzijama, Chrome je nudio eksperimentalni prekidač: tip chrome://flags/#dns-over-https, pretražite "Sigurne DNS pretrage" i promijenite ga sa zadanog na omogućenoPonovo pokrenite preglednik da biste primijenili promjene.

Microsoft Edge (Chromium)

Edge baziran na Chromiumu uključuje sličnu opciju. Ako vam je potrebna, idite na edge://flags/#dns-over-https, pronađite "Sigurne DNS pretrage" i omogućite to u OmogućenoU modernim verzijama, aktivacija je dostupna i u postavkama privatnosti.

Mozilla Firefox

Otvorite meni (gore desno) > Postavke > Općenito > pomaknite se prema dolje do "Postavke mreže", dodirnite Konfiguracija i označite "Omogući DNS preko HTTPS-aMožete birati između pružatelja usluga poput Cloudflarea ili NextDNS-a.

Ako preferirate finu kontrolu, u about:config prilagoditi network.trr.mode: 2 (oportunista) koristi DoH i pravi rezervnu opciju ako nije dostupno; 3 (stroga) mandata DoH-a i ne uspijeva ako nema podrške. U strogom načinu rada, definirajte bootstrap resolver kao network.trr.bootstrapAddress=1.1.1.1.

Opera

Od verzije 65, Opera uključuje opciju za Omogući DoH sa verzijom 1.1.1.1Podrazumevano je onemogućen i radi u oportunističkom režimu: ako 1.1.1.1:443 odgovori, koristiće DoH; u suprotnom, vraća se na nešifrovani resolver.

Windows 10/11: Automatsko otkrivanje (AutoDoH) i registar

Windows može automatski omogućiti DoH s određenim poznatim resolverima. U starijim verzijama, možete prisiliti ponašanje iz Registra: pokrenite regedit i idi na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Kreirajte DWORD (32-bitni) pod nazivom EnableAutoDoh s vrijednošću 2 y Ponovo pokrenite računarOvo funkcioniše ako koristite DNS servere koji podržavaju DoH.

Windows Server 2022: DNS klijent sa izvornim DoH-om

Ugrađeni DNS klijent u Windows Serveru 2022 podržava DoH. Moći ćete koristiti DoH samo sa serverima koji se nalaze na njihovoj listi "Poznatih DoH". ili koje sami dodate. Da biste ga konfigurirali iz grafičkog interfejsa:

1. Otvorite postavke Windowsa > Mreža i internet.
2. Unesi Ethernet i odaberite svoj interfejs.
3. Na mrežnom ekranu, pomaknite se prema dolje do DNS postavke i pritisnite Uredi.
4. Odaberite "Ručno" da biste definirali preferirane i alternativne servere.
5. Ako se te adrese nalaze na poznatoj DoH listi, bit će omogućeno. "Preferirana DNS enkripcija" sa tri opcije:
   • Samo šifriranje (DNS preko HTTPS-a)Prisilno aktiviranje DoH-a; ako server ne podržava DoH, neće biti rezolucije.
   • Preferiraj šifriranje, dozvoli nešifriranoPokušava DoH i ako ne uspije, vraća se na nešifrirani klasični DNS.
   • Samo nešifriranoKoristi tradicionalni DNS u običnom tekstu.
6. Sačuvaj da primijeniš promjene.

Također možete upitati i proširiti listu poznatih DoH resolvera pomoću PowerShella. Da biste vidjeli trenutnu listu:

Get-DNSClientDohServerAddress

Da biste registrovali novi poznati DoH server sa svojim predloškom, koristite:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Imajte na umu da cmdlet Set-DNSClientServerAddress ne kontroliše sebe korištenje DoH-a; šifriranje ovisi o tome da li se te adrese nalaze u tabeli poznatih DoH servera. Trenutno ne možete konfigurirati DoH za DNS klijent Windows Server 2022 iz Windows Admin Centra ili pomoću sconfig.cmd.

Grupne politike u Windows Serveru 2022

Postoji direktiva koja se zove "Konfigurišite DNS preko HTTPS-a (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSKada je omogućeno, možete odabrati:

• Dozvoli DoHKoristite DoH ako server to podržava; u suprotnom, upitajte nešifrirano.
• Zabrani DoHNikad ne koristi DoH.
• Zahtijeva DoH: prisiljava DoH; ako nema podrške, rješavanje ne uspijeva.

Važno: Ne omogućavajte "Zahtijevaj DoH" na računarima pridruženim domeniActive Directory se oslanja na DNS, a uloga DNS servera za Windows Server ne podržava DoH upite. Ako trebate osigurati DNS promet unutar AD okruženja, razmislite o korištenju IPsec pravila između klijenata i internih rješavača.

Ako ste zainteresirani za preusmjeravanje određenih domena na određene resolvere, možete koristiti NRPT (Tabela politika za razrješavanje imena)Ako se odredišni server nalazi na poznatoj DoH listi, te konsultacije putovat će kroz DoH.

Android, iOS i Linux

Na Androidu 9 i novijim verzijama, opcija Privatni DNS Omogućava DoT (ne DoH) s dva načina rada: "Automatski" (oportunistički, koristi mrežni resolver) i "Strogi" (morate navesti naziv hosta koji je potvrđen certifikatom; direktne IP adrese nisu podržane).

Na iOS-u i Androidu, aplikacija 1.1.1.1 Cloudflare omogućava DoH ili DoT u striktnom režimu koristeći VPN API za presretanje nešifrovanih zahtjeva i proslijedite ih putem sigurnog kanala.

U Linuxu, systemd-riješeno Podržava DoT od systemd verzije 239. Onemogućen je prema zadanim postavkama; nudi oportunistički način rada bez validacije certifikata i striktni način rada (od verzije 243) s CA validacijom, ali bez SNI-a ili verifikacije imena, što slabi model povjerenja protiv napadača na putu.

Na Linuxu, macOS-u ili Windowsu možete odabrati DoH klijent sa strogim načinom rada, kao što je cloudflared proxy-dns (podrazumevano koristi 1.1.1.1, iako možete definirati uzvodne tokove alternative).

Poznati DoH serveri (Windows) i kako dodati još

Windows Server uključuje listu resolvera za koje se zna da podržavaju DoH. Možete to provjeriti pomoću PowerShella i dodajte nove unose ako je potrebno.

Ovo su poznati DoH serveri odmah po vađenju iz kutije:

Vlasnik servera	IP adrese DNS servera
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Kvadrat9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Za Pogledajte listu, pokrenite:

Get-DNSClientDohServerAddress

Za dodajte novi DoH resolver sa njegovim predloškom, koristi:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Ako upravljate više imenskih prostora, NRPT će vam omogućiti da upravljajte određenim domenama na određeni resolver koji podržava DoH.

Kako provjeriti je li DoH aktivan

U preglednicima posjetite https://1.1.1.1/help; tamo ćeš vidjeti da li Vaš promet koristi DoH sa verzijom 1.1.1.1 ili ne. To je brzi test da vidite u kojem se statusu nalazite.

U sistemu Windows 10 (verzija 2004), možete pratiti klasični DNS promet (port 53) pomoću pktmon iz privilegovane konzole:

pktmon filter add -p 53
pktmon start --etw -m real-time

Ako se na 53-oj liniji pojavljuje stalan tok paketa, vrlo je vjerovatno da Još uvijek koristite nešifrirani DNSZapamtite: parametar --etw -m real-time zahtijeva 2004; u ranijim verzijama vidjet ćete grešku "nepoznati parametar".

Opcionalno: konfigurirajte ga na ruteru (MikroTik)

Ako više volite centralizirati enkripciju na ruteru, možete jednostavno omogućiti DoH na MikroTik uređajima. Prvo, uvezite korijenski CA koji će biti potpisan od strane servera na koji ćete se povezati. Za Cloudflare možete preuzeti DigiCertGlobalRootCA.crt.pem.

Prenesite datoteku na ruter (prevlačenjem u "Datoteke") i idite na Sistem > Certifikati > Uvoz da ga ugradite. Zatim konfigurirajte DNS rutera sa URL-ovi DoH za CloudflareNakon što je aktivan, ruter će dati prioritet šifriranoj vezi u odnosu na zadani nešifrirani DNS.

Da biste potvrdili da je sve u redu, posjetite 1.1.1.1/pomoć sa računara iza rutera. Također sve možete uraditi putem terminala u RouterOS-u ako želite.

Performanse, dodatna privatnost i ograničenja pristupa

Kada je u pitanju brzina, dva pokazatelja su bitna: vrijeme rješavanja problema i stvarno učitavanje stranice. Nezavisni testovi (kao što je SamKnows) Zaključuju da je razlika između DoH-a i klasičnog DNS-a (Do53) marginalna na oba fronta; u praksi ne biste trebali primijetiti nikakvu sporost.

DoH šifrira "DNS upit", ali na mreži postoji više signala. Čak i ako sakrijete DNS, provajder internetskih usluga može zaključiti stvari putem TLS veza (npr. SNI u nekim starijim scenarijima) ili drugih tragova. Da biste poboljšali privatnost, možete istražiti DoT, DNSCrypt, DNSCurve ili klijente koji minimiziraju metapodatke.

Još uvijek ne podržavaju svi ekosistemi DoH. Mnogi stariji resolveri ovo ne nude., što prisiljava oslanjanje na javne izvore (Cloudflare, Google, Quad9, itd.). Ovo otvara debatu o centralizaciji: koncentriranje upita na nekoliko aktera podrazumijeva troškove privatnosti i povjerenja.

U korporativnim okruženjima, DoH se može sukobiti sa sigurnosnim politikama koje se zasnivaju na Praćenje ili filtriranje DNS-a (zlonamjerni softver, roditeljski nadzor, usklađenost sa zakonima). Rješenja uključuju MDM/grupne politike za postavljanje DoH/DoT razrješavača na strogi način rada ili u kombinaciji s kontrolama na nivou aplikacije, koje su preciznije od blokiranja na osnovu domene.

DNSSEC dopunjuje DoH: DoH štiti transport; DNSSEC validira odgovorUsvajanje je neravnomjerno, a neki posrednički uređaji ga prekidaju, ali trend je pozitivan. Na putu između resolvera i autoritativnih servera, DNS tradicionalno ostaje nešifriran; već postoje eksperimenti korištenja DoT-a među velikim operaterima (npr. 1.1.1.1 s autoritativnim serverima Facebooka) za poboljšanje zaštite.

Međualternativa je šifriranje samo između ruter i resolver, ostavljajući vezu između uređaja i rutera nešifriranom. Korisno na sigurnim žičnim mrežama, ali se ne preporučuje na otvorenim Wi-Fi mrežama: drugi korisnici bi mogli špijunirati ili manipulirati ovim upitima unutar LAN mreže.

Napravite vlastiti DoH resolver

Ako želite potpunu nezavisnost, možete implementirati vlastiti resolver. Nevezano + Redis (L2 keš) + Nginx je popularna kombinacija za posluživanje DoH URL-ova i filtriranje domena s automatski ažuriranim listama.

Ovaj stek radi savršeno na skromnom VPS-u (na primjer, jedna jezgra/2 žice za porodicu). Postoje vodiči sa spremnim uputama, kao što je ovaj repozitorij: github.com/ousatov-ua/dns-filtering. Neki VPS provajderi nude kredite dobrodošlice za nove korisnike, tako da možete postaviti probni period po niskoj cijeni.

Pomoću vašeg privatnog resolvera možete odabrati izvore filtriranja, odrediti politike zadržavanja i izbjegavajte centralizaciju vaših upita trećim stranama. Zauzvrat, vi upravljate sigurnošću, održavanjem i visokom dostupnošću.

Prije završetka, napomena o validnosti: na internetu se opcije, meniji i nazivi često mijenjaju; neki stari vodiči su zastarjeli (Na primjer, pregledavanje "zastavica" u Chromeu više nije potrebno u novijim verzijama.) Uvijek provjerite dokumentaciju vašeg preglednika ili sistema.

Ako ste stigli dovde, već znate šta DoH radi, kako se uklapa u slagalicu sa DoT-om i DNSSEC-om, i što je najvažnije, kako ga odmah aktivirati na vašem uređaju kako bi se spriječilo da DNS putuje u čistom obliku. Sa nekoliko klikova u vašem pretraživaču ili prilagođavanjima u Windowsu (čak i na nivou pravila u Serveru 2022) imat ćete šifrirane upite; ako želite stvari podići na viši nivo, možete premjestiti šifriranje na MikroTik ruter ili izgraditi vlastiti resolver. Ključno je u tome, Bez dodirivanja rutera, možete zaštititi jedan od najtraženijih dijelova vašeg prometa danas..