Πώς να κρυπτογραφήσετε το DNS σας χωρίς να αγγίξετε το δρομολογητή σας χρησιμοποιώντας DNS μέσω HTTPS

Το DoH κρυπτογραφεί τα ερωτήματα DNS χρησιμοποιώντας HTTPS (θύρα 443), βελτιώνοντας το απόρρητο και αποτρέποντας την παραβίαση.
Μπορεί να ενεργοποιηθεί σε προγράμματα περιήγησης και συστήματα (συμπεριλαμβανομένου του Windows Server 2022) χωρίς να εξαρτάται από τον δρομολογητή.
Απόδοση παρόμοια με το κλασικό DNS· συμπληρώνεται από το DNSSEC για την επικύρωση των απαντήσεων.
Δημοφιλείς διακομιστές DoH (Cloudflare, Google, Quad9) και η δυνατότητα προσθήκης ή ρύθμισης του δικού σας αναλυτή.

¿Πώς να κρυπτογραφήσετε το DNS σας χωρίς να αγγίξετε το δρομολογητή σας χρησιμοποιώντας DNS μέσω HTTPS; Αν ανησυχείτε για το ποιος μπορεί να δει σε ποιους ιστότοπους συνδέεστε, Κρυπτογράφηση ερωτημάτων συστήματος ονομάτων τομέα με DNS μέσω HTTPS Είναι ένας από τους ευκολότερους τρόπους για να αυξήσετε το απόρρητό σας χωρίς να χρειάζεται να παλέψετε με τον δρομολογητή σας. Με το DoH, ο μεταφραστής που μετατρέπει τα domains σε διευθύνσεις IP σταματά να ταξιδεύει χωρίς να χρειάζεται να επικοινωνεί με κανέναν και περνάει από μια σήραγγα HTTPS.

Σε αυτόν τον οδηγό θα βρείτε, με απλή γλώσσα και χωρίς υπερβολική ορολογία, Τι ακριβώς είναι το DoH, πώς διαφέρει από άλλες επιλογές όπως το DoT, πώς να το ενεργοποιήσετε σε προγράμματα περιήγησης και λειτουργικά συστήματα (συμπεριλαμβανομένων των Windows Server 2022), πώς να επαληθεύσετε ότι λειτουργεί πραγματικά, υποστηριζόμενους διακομιστές και, αν έχετε το θάρρος, ακόμη και πώς να ρυθμίσετε τον δικό σας αναλυτή DoH. Τα πάντα, χωρίς να αγγίξετε το ρούτερ...εκτός από μια προαιρετική ενότητα για όσους θέλουν να το ρυθμίσουν σε MikroTik.

Τι είναι το DNS μέσω HTTPS (DoH) και γιατί μπορεί να σας ενδιαφέρει

DNS Google

Όταν πληκτρολογείτε έναν τομέα (για παράδειγμα, Xataka.com), ο υπολογιστής ρωτά έναν αναλυτή DNS ποια είναι η IP του. Αυτή η διαδικασία συνήθως γίνεται σε απλό κείμενο Και οποιοσδήποτε στο δίκτυό σας, στον πάροχο Διαδικτύου σας ή σε ενδιάμεσες συσκευές μπορεί να το παρακολουθήσει ή να το χειραγωγήσει. Αυτή είναι η ουσία του κλασικού DNS: γρήγορο, πανταχού παρόν... και διαφανές σε τρίτους.

Εδώ ακριβώς έρχεται να παίξει ρόλο το DoH: Μετακινεί αυτές τις ερωτήσεις και απαντήσεις DNS στο ίδιο κρυπτογραφημένο κανάλι που χρησιμοποιείται από τον ασφαλή ιστό (HTTPS, θύρα 443)Το αποτέλεσμα είναι ότι δεν ταξιδεύουν πλέον «στο ύπαιθρο», μειώνοντας την πιθανότητα κατασκοπείας, πειρατείας ερωτημάτων και ορισμένων επιθέσεων man-in-the-middle. Επιπλέον, σε πολλές δοκιμές η καθυστέρηση δεν επιδεινώνεται αισθητά και μπορεί ακόμη και να βελτιωθεί χάρη στις βελτιστοποιήσεις μεταφορών.

Una ventaja clave es que Το DoH μπορεί να ενεργοποιηθεί σε επίπεδο εφαρμογής ή συστήματος, ώστε να μην χρειάζεται να βασίζεστε στον πάροχο κινητής τηλεφωνίας ή τον δρομολογητή σας για να ενεργοποιήσετε οτιδήποτε. Δηλαδή, μπορείτε να προστατευτείτε "από το πρόγραμμα περιήγησης", χωρίς να αγγίξετε κανέναν εξοπλισμό δικτύου.

Είναι σημαντικό να γίνει διάκριση μεταξύ DoH και DoT (DNS μέσω TLS): Το DoT κρυπτογραφεί το DNS στη θύρα 853 απευθείας μέσω TLS, ενώ το DoH το ενσωματώνει στο HTTP(S). Το DoT είναι απλούστερο θεωρητικά, αλλά Είναι πιο πιθανό να μπλοκαριστεί από τείχη προστασίας που διακόπτουν ασυνήθιστες θύρες. Το DoH, χρησιμοποιώντας το 443, παρακάμπτει καλύτερα αυτούς τους περιορισμούς και αποτρέπει τις αναγκαστικές επιθέσεις "οπισθοδρόμησης" σε μη κρυπτογραφημένα DNS.

Σχετικά με την προστασία της ιδιωτικής ζωής: Η χρήση HTTPS δεν συνεπάγεται cookies ή παρακολούθηση στο DoH. τα πρότυπα συνιστούν ρητά κατά της χρήσης του Σε αυτό το πλαίσιο, το TLS 1.3 μειώνει επίσης την ανάγκη επανεκκίνησης των περιόδων λειτουργίας, ελαχιστοποιώντας τις συσχετίσεις. Και αν ανησυχείτε για την απόδοση, το HTTP/3 μέσω QUIC μπορεί να προσφέρει πρόσθετες βελτιώσεις πολυπλεξοποιώντας ερωτήματα χωρίς αποκλεισμό.

Πώς λειτουργεί το DNS, οι συνήθεις κίνδυνοι και πού εντάσσεται το DoH

Το λειτουργικό σύστημα συνήθως μαθαίνει ποιον αναλυτή θα χρησιμοποιήσει μέσω DHCP. Στο σπίτι συνήθως χρησιμοποιείτε τους ISP, στο γραφείο, το εταιρικό δίκτυο. Όταν αυτή η επικοινωνία δεν είναι κρυπτογραφημένη (UDP/TCP 53), οποιοσδήποτε βρίσκεται στο Wi-Fi σας ή στη διαδρομή μπορεί να δει τους τομείς στους οποίους υποβλήθηκαν ερωτήματα, να εισάγει ψεύτικες απαντήσεις ή να σας ανακατευθύνει σε αναζητήσεις όταν ο τομέας δεν υπάρχει, όπως κάνουν ορισμένοι πάροχοι.

Μια τυπική ανάλυση επισκεψιμότητας αποκαλύπτει θύρες, διευθύνσεις IP προέλευσης/προορισμού και τον ίδιο τον τομέα που έχει επιλυθεί. Αυτό όχι μόνο αποκαλύπτει τις συνήθειες περιήγησης, διευκολύνει επίσης τη συσχέτιση επόμενων συνδέσεων, για παράδειγμα, με διευθύνσεις Twitter ή παρόμοιες, και τη συμπερίληψη των ακριβών σελίδων που έχετε επισκεφτεί.

Με το DoT, το μήνυμα DNS μεταβαίνει μέσα στο TLS στη θύρα 853. με το DoH, Το ερώτημα DNS ενθυλακώνεται σε ένα τυπικό αίτημα HTTPS, το οποίο επιτρέπει επίσης τη χρήση του από εφαρμογές ιστού μέσω API προγραμμάτων περιήγησης. Και οι δύο μηχανισμοί μοιράζονται την ίδια βάση: έλεγχο ταυτότητας διακομιστή με πιστοποιητικό και ένα κρυπτογραφημένο κανάλι από άκρο σε άκρο.

Αποκλειστικό περιεχόμενο - Κάντε κλικ εδώ Πώς να μπλοκάρετε τα bots στο Instagram

Το πρόβλημα με τις νέες θύρες είναι ότι είναι σύνηθες για ορισμένα δίκτυα μπλοκάρουν 853, ενθαρρύνοντας το λογισμικό να «επιστρέψει» σε μη κρυπτογραφημένο DNS. Το Υπουργείο Υγείας μετριάζει αυτό χρησιμοποιώντας το 443, το οποίο είναι συνηθισμένο για τον ιστό. Το DNS/QUIC υπάρχει επίσης ως μια άλλη πολλά υποσχόμενη επιλογή, αν και απαιτεί ανοιχτό UDP και δεν είναι πάντα διαθέσιμο.

Ακόμα και κατά την κρυπτογράφηση της μεταφοράς, να είστε προσεκτικοί με μια λεπτομέρεια: Αν ο αναλυτής λέει ψέματα, ο κρυπτογράφος δεν τον διορθώνει.Για τον σκοπό αυτό, υπάρχει το DNSSEC, το οποίο επιτρέπει την επικύρωση της ακεραιότητας των απαντήσεων, αν και η υιοθέτησή του δεν είναι ευρέως διαδεδομένη και ορισμένοι ενδιάμεσοι διακόπτουν τη λειτουργικότητά του. Παρόλα αυτά, το DoH εμποδίζει τρίτους να παρακολουθούν ή να αλλοιώνουν τα ερωτήματά σας.

Ενεργοποιήστε το χωρίς να αγγίξετε το δρομολογητή: προγράμματα περιήγησης και συστήματα

Ο πιο απλός τρόπος για να ξεκινήσετε είναι να ενεργοποιήσετε το DoH στο πρόγραμμα περιήγησης ή στο λειτουργικό σας σύστημα. Έτσι προστατεύετε τα ερωτήματα από την ομάδα σας χωρίς να εξαρτάται από το υλικολογισμικό του δρομολογητή.

Google Chrome

Στις τρέχουσες εκδόσεις μπορείτε να μεταβείτε στο chrome://settings/security και, στην ενότητα «Χρήση ασφαλούς DNS», ενεργοποιήστε την επιλογή και επιλέξτε τον πάροχο (ο τρέχων πάροχός σας, εάν υποστηρίζει το DoH ή κάποιος από τη λίστα της Google, όπως το Cloudflare ή το Google DNS).

Σε προηγούμενες εκδόσεις, το Chrome προσέφερε μια πειραματική επιλογή: πληκτρολογήστε chrome://flags/#dns-over-https, αναζητήστε "Ασφαλείς αναζητήσεις DNS" και αλλάξτε το από Προεπιλογή σε ΕνεργοποιημένοΕπανεκκινήστε το πρόγραμμα περιήγησής σας για να εφαρμόσετε τις αλλαγές.

Microsoft Edge (Chromium)

Το Edge που βασίζεται στο Chromium περιλαμβάνει μια παρόμοια επιλογή. Αν τη χρειάζεστε, μεταβείτε στη διεύθυνση edge://flags/#dns-over-https, εντοπίστε τις "Ασφαλείς αναζητήσεις DNS" και ενεργοποιήστε το στην επιλογή ΕνεργοποιημένοΣτις σύγχρονες εκδόσεις, η ενεργοποίηση είναι επίσης διαθέσιμη στις ρυθμίσεις απορρήτου σας.

Mozilla Firefox

Ανοίξτε το μενού (επάνω δεξιά) > Ρυθμίσεις > Γενικά > μετακινηθείτε προς τα κάτω στις «Ρυθμίσεις δικτύου», πατήστε Διαμόρφωση και σημειώστε «Ενεργοποίηση DNS μέσω HTTPSΜπορείτε να επιλέξετε από παρόχους όπως το Cloudflare ή το NextDNS.

Αν προτιμάτε τον ακριβή έλεγχο, about:config προσαρμόζω network.trr.mode: 2 (οπορτουνιστής) χρησιμοποιεί DoH και κάνει εφεδρική επιλογή εάν δεν είναι διαθέσιμο· 3 (αυστηρές) εντολές DoH και αποτυγχάνει εάν δεν υπάρχει υποστήριξη. Με την αυστηρή λειτουργία, ορίστε έναν αναλυτή εκκίνησης ως network.trr.bootstrapAddress=1.1.1.1.

Οπερα

Από την έκδοση 65, η Opera περιλαμβάνει μια επιλογή για ενεργοποίηση DoH με 1.1.1.1Είναι απενεργοποιημένο από προεπιλογή και λειτουργεί σε ευκαιριακή λειτουργία: εάν το 1.1.1.1:443 ανταποκριθεί, θα χρησιμοποιήσει το DoH. Διαφορετικά, επιστρέφει στον μη κρυπτογραφημένο αναλυτή.

Windows 10/11: Αυτόματος εντοπισμός (AutoDoH) και μητρώο

Τα Windows μπορούν να ενεργοποιήσουν αυτόματα το DoH με ορισμένους γνωστούς αναλυτές. Σε παλαιότερες εκδόσεις, μπορείτε να επιβάλετε τη συμπεριφορά από το Μητρώο: εκτέλεση regedit και πήγαινε στο HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Δημιουργήστε ένα αρχείο DWORD (32-bit) με το όνομα EnableAutoDoh με αξία 2 y Επανεκκινήστε τον υπολογιστήΑυτό λειτουργεί εάν χρησιμοποιείτε διακομιστές DNS που υποστηρίζουν DoH.

Windows Server 2022: Πρόγραμμα-πελάτης DNS με εγγενές DoH

Το ενσωματωμένο πρόγραμμα-πελάτης DNS στον Windows Server 2022 υποστηρίζει το DoH. Θα μπορείτε να χρησιμοποιήσετε το DoH μόνο με διακομιστές που βρίσκονται στη λίστα "Γνωστό DoH" τους. ή που προσθέτετε εσείς οι ίδιοι. Για να το διαμορφώσετε από τη γραφική διεπαφή:

Άνοιγμα Ρυθμίσεων των Windows > Δίκτυο και Διαδίκτυο.
Εισάγω Ethernet και επιλέξτε τη διεπαφή σας.
Στην οθόνη δικτύου, κάντε κύλιση προς τα κάτω στο Configuración de DNS και πατήστε Εκδίδω.
Επιλέξτε «Χειροκίνητα» για να ορίσετε προτιμώμενους και εναλλακτικούς διακομιστές.
Εάν αυτές οι διευθύνσεις βρίσκονται στη γνωστή λίστα DoH, θα ενεργοποιηθεί. «Προτιμώμενη κρυπτογράφηση DNS» με τρεις επιλογές:
- Μόνο κρυπτογράφηση (DNS μέσω HTTPS): Επιβολή DoH. Εάν ο διακομιστής δεν υποστηρίζει DoH, δεν θα υπάρξει επίλυση.
- Προτίμηση κρυπτογράφησης, αποδοχή μη κρυπτογραφημένων: Επιχειρεί DoH και εάν αποτύχει, επιστρέφει στο μη κρυπτογραφημένο κλασικό DNS.
- Μόνο μη κρυπτογραφημέναΧρησιμοποιεί παραδοσιακό DNS απλού κειμένου.
Αποθήκευση για εφαρμογή των αλλαγών.

Μπορείτε επίσης να υποβάλετε ερώτημα και να επεκτείνετε τη λίστα γνωστών αναλυτών DoH χρησιμοποιώντας το PowerShell. Για να δείτε την τρέχουσα λίστα:

Get-DNSClientDohServerAddress

Για να καταχωρήσετε έναν νέο γνωστό διακομιστή DoH με το πρότυπό σας, χρησιμοποιήστε:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Σημειώστε ότι το cmdlet Set-DNSClientServerAddress δεν ελέγχει τον εαυτό του τη χρήση του DoH. Η κρυπτογράφηση εξαρτάται από το αν αυτές οι διευθύνσεις βρίσκονται στον πίνακα γνωστών διακομιστών DoH. Προς το παρόν, δεν μπορείτε να ρυθμίσετε το DoH για τον υπολογιστή-πελάτη DNS του Windows Server 2022 από το Κέντρο διαχείρισης των Windows ή με sconfig.cmd.

Πολιτική ομάδας στον Windows Server 2022

Υπάρχει μια οδηγία που ονομάζεται "Ρύθμιση παραμέτρων DNS μέσω HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSΌταν είναι ενεργοποιημένη, μπορείτε να επιλέξετε:

Επιτρέψτε την DoHΧρησιμοποιήστε το DoH εάν το υποστηρίζει ο διακομιστής. Διαφορετικά, το ερώτημα δεν είναι κρυπτογραφημένο.
Μπαν ΝτοΧ: δεν χρησιμοποιεί ποτέ DoH.
Απαιτείται DoH: επιβάλλει DoH. Εάν δεν υπάρχει υποστήριξη, η επίλυση αποτυγχάνει.

Αποκλειστικό περιεχόμενο - Κάντε κλικ εδώ Πώς να αποκρυπτογραφήσετε τους κωδικούς πρόσβασης κινητών τηλεφώνων

Σπουδαίος: Μην ενεργοποιείτε την επιλογή "Απαιτείται DoH" σε υπολογιστές που είναι συνδεδεμένοι σε τομέαΤο Active Directory βασίζεται στο DNS και ο ρόλος διακομιστή DNS του Windows Server δεν υποστηρίζει ερωτήματα DoH. Εάν χρειάζεται να ασφαλίσετε την κίνηση DNS σε ένα περιβάλλον AD, σκεφτείτε να χρησιμοποιήσετε Κανόνες IPsec μεταξύ πελατών και εσωτερικών επιλυτών.

Αν ενδιαφέρεστε να ανακατευθύνετε συγκεκριμένους τομείς σε συγκεκριμένους αναλυτές, μπορείτε να χρησιμοποιήσετε το NRPT (Πίνακας Πολιτικής Επίλυσης Ονομάτων)Εάν ο διακομιστής προορισμού βρίσκεται στη γνωστή λίστα DoH, αυτές οι διαβουλεύσεις θα ταξιδέψει μέσω του DoH.

Android, iOS και Linux

Σε Android 9 και νεότερες εκδόσεις, η επιλογή DNS privado επιτρέπει το DoT (όχι το DoH) με δύο λειτουργίες: "Αυτόματη" (ευκαιριακή, λαμβάνει τον αναλυτή δικτύου) και "Αυστηρή" (πρέπει να καθορίσετε ένα όνομα κεντρικού υπολογιστή που επικυρώνεται από πιστοποιητικό· οι άμεσες διευθύνσεις IP δεν υποστηρίζονται).

Σε iOS και Android, η εφαρμογή 1.1.1.1 Το Cloudflare επιτρέπει στο DoH ή το DoT σε αυστηρή λειτουργία χρησιμοποιώντας το VPN API για την παρακολούθηση μη κρυπτογραφημένων αιτημάτων και προωθήστε τα μέσω ασφαλούς καναλιού.

En Linux, systemd-resolved Υποστηρίζει το DoT από το systemd 239. Είναι απενεργοποιημένο από προεπιλογή. Προσφέρει ευκαιριακή λειτουργία χωρίς επικύρωση πιστοποιητικών και αυστηρή λειτουργία (από το 243) με επικύρωση CA αλλά χωρίς επαλήθευση SNI ή ονόματος, η οποία αποδυναμώνει το μοντέλο εμπιστοσύνης ενάντια στους επιτιθέμενους στο δρόμο.

Σε Linux, macOS ή Windows, μπορείτε να επιλέξετε έναν πελάτη DoH αυστηρής λειτουργίας, όπως cloudflared proxy-dns (από προεπιλογή χρησιμοποιεί την έκδοση 1.1.1.1, αν και μπορείτε να ορίσετε ανοδικά ρεύματα εναλλακτικές λύσεις).

Γνωστοί διακομιστές DoH (Windows) και πώς να προσθέσετε περισσότερους

Ο Windows Server περιλαμβάνει μια λίστα με αναλυτές που είναι γνωστό ότι υποστηρίζουν το DoH. Μπορείτε να το ελέγξετε με το PowerShell και προσθέστε νέες καταχωρήσεις εάν χρειάζεται.

Αυτά είναι τα γνωστοί διακομιστές DoH αμέσως μόλις το αγοράσετε:

Κάτοχος διακομιστή	Διευθύνσεις IP διακομιστή DNS
Νεφελώδης έκλαμψη	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Για ver la lista, τρέξιμο:

Get-DNSClientDohServerAddress

Για προσθήκη ενός νέου αναλυτή DoH με το πρότυπό του, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Εάν διαχειρίζεστε πολλαπλούς χώρους ονομάτων, το NRPT θα σας επιτρέψει να διαχείριση συγκεκριμένων τομέων σε έναν συγκεκριμένο αναλυτή που υποστηρίζει DoH.

Πώς να ελέγξετε εάν το DoH είναι ενεργό

Στα προγράμματα περιήγησης, επισκεφθείτε την ιστοσελίδα https://1.1.1.1/helpεκεί θα δείτε αν η επισκεψιμότητά σας χρησιμοποιεί DoH με έκδοση 1.1.1.1 ή όχι. Είναι μια γρήγορη δοκιμή για να δείτε σε ποια κατάσταση βρίσκεστε.

Στα Windows 10 (έκδοση 2004), μπορείτε να παρακολουθείτε την κλασική κίνηση DNS (θύρα 53) με πκτμον από μια προνομιακή κονσόλα:

pktmon filter add -p 53
pktmon start --etw -m real-time

Εάν εμφανιστεί μια σταθερή ροή πακέτων στο 53, είναι πολύ πιθανό ότι εξακολουθείτε να χρησιμοποιείτε μη κρυπτογραφημένο DNSΘυμηθείτε: η παράμετρος --etw -m real-time απαιτεί 2004. Σε παλαιότερες εκδόσεις θα δείτε ένα σφάλμα "άγνωστη παράμετρος".

Προαιρετικά: διαμορφώστε το στο δρομολογητή (MikroTik)

Αν προτιμάτε να κεντράρετε την κρυπτογράφηση στο δρομολογητή, μπορείτε εύκολα να ενεργοποιήσετε το DoH σε συσκευές MikroTik. Αρχικά, εισαγάγετε την root CA το οποίο θα υπογραφεί από τον διακομιστή στον οποίο θα συνδεθείτε. Για το Cloudflare μπορείτε να κατεβάσετε DigiCertGlobalRootCA.crt.pem.

Ανεβάστε το αρχείο στο δρομολογητή (σύροντάς το στα "Αρχεία") και μεταβείτε στο Σύστημα > Πιστοποιητικά > Εισαγωγή για να το ενσωματώσετε. Στη συνέχεια, διαμορφώστε το DNS του δρομολογητή με το URL DoH του CloudflareΜόλις ενεργοποιηθεί, ο δρομολογητής θα δώσει προτεραιότητα στην κρυπτογραφημένη σύνδεση έναντι του προεπιλεγμένου μη κρυπτογραφημένου DNS.

Αποκλειστικό περιεχόμενο - Κάντε κλικ εδώ ¿Cómo se usa Kaspersky Anti-Virus?

Για να επιβεβαιώσετε ότι όλα είναι εντάξει, επισκεφθείτε 1.1.1.1/βοήθεια από έναν υπολογιστή πίσω από το δρομολογητή. Μπορείτε επίσης να κάνετε τα πάντα μέσω τερματικού στο RouterOS αν προτιμάτε.

Απόδοση, πρόσθετη ιδιωτικότητα και όρια της προσέγγισης

Όσον αφορά την ταχύτητα, δύο μετρήσεις έχουν σημασία: ο χρόνος επίλυσης και η πραγματική φόρτωση σελίδας. Ανεξάρτητες δοκιμές (όπως το SamKnows) Καταλήγουν στο συμπέρασμα ότι η διαφορά μεταξύ του DoH και του κλασικού DNS (Do53) είναι οριακή και στα δύο μέτωπα. Στην πράξη, δεν θα πρέπει να παρατηρήσετε καμία βραδύτητα.

Το DoH κρυπτογραφεί το "ερώτημα DNS", αλλά υπάρχουν περισσότερα σήματα στο δίκτυο. Ακόμα κι αν αποκρύψετε το DNS, ένας πάροχος υπηρεσιών Διαδικτύου θα μπορούσε να συμπεράνει πράγματα μέσω συνδέσεων TLS (π.χ., SNI σε ορισμένα παλαιότερα σενάρια) ή άλλων ιχνών. Για να βελτιώσετε το απόρρητο, μπορείτε να εξερευνήσετε το DoT, το DNSCrypt, το DNSCurve ή υπολογιστές-πελάτες που ελαχιστοποιούν τα μεταδεδομένα.

Δεν υποστηρίζουν όλα τα οικοσυστήματα ακόμη το DoH. Πολλοί παλαιότεροι αναλυτές δεν προσφέρουν αυτό., επιβάλλοντας την εξάρτηση από δημόσιες πηγές (Cloudflare, Google, Quad9, κ.λπ.). Αυτό ανοίγει τη συζήτηση σχετικά με τον συγκεντρωτισμό: η συγκέντρωση ερωτημάτων σε λίγους φορείς συνεπάγεται κόστος απορρήτου και εμπιστοσύνης.

Σε εταιρικά περιβάλλοντα, το DoH ενδέχεται να έρχεται σε σύγκρουση με πολιτικές ασφαλείας που βασίζονται σε Παρακολούθηση ή φιλτράρισμα DNS (κακόβουλο λογισμικό, γονικός έλεγχος, συμμόρφωση με τη νομοθεσία). Οι λύσεις περιλαμβάνουν Πολιτική MDM/Ομάδας για τον ορισμό ενός αναλυτή DoH/DoT σε αυστηρή λειτουργία ή σε συνδυασμό με στοιχεία ελέγχου σε επίπεδο εφαρμογής, τα οποία είναι πιο ακριβή από τον αποκλεισμό βάσει τομέα.

Το DNSSEC συμπληρώνει το DoH: Το DoH προστατεύει τη μεταφορά. Το DNSSEC επικυρώνει την απόκριση.Η υιοθέτηση είναι άνιση και ορισμένες ενδιάμεσες συσκευές την παραβιάζουν, αλλά η τάση είναι θετική. Κατά μήκος της διαδρομής μεταξύ των resolvers και των authoritative servers, το DNS παραδοσιακά παραμένει μη κρυπτογραφημένο. Υπάρχουν ήδη πειράματα χρησιμοποιώντας το DoT μεταξύ μεγάλων φορέων εκμετάλλευσης (π.χ., 1.1.1.1 με τους authoritative servers του Facebook) για την ενίσχυση της προστασίας.

Μια ενδιάμεση εναλλακτική λύση είναι η κρυπτογράφηση μόνο μεταξύ ο δρομολογητής και ο αναλυτής, αφήνοντας τη σύνδεση μεταξύ των συσκευών και του δρομολογητή μη κρυπτογραφημένη. Χρήσιμο σε ασφαλή ενσύρματα δίκτυα, αλλά δεν συνιστάται σε ανοιχτά δίκτυα Wi-Fi: άλλοι χρήστες θα μπορούσαν να κατασκοπεύσουν ή να χειραγωγήσουν αυτά τα ερωτήματα εντός του LAN.

Φτιάξτε τον δικό σας αναλυτή DoH

Αν θέλετε πλήρη ανεξαρτησία, μπορείτε να αναπτύξετε τον δικό σας αναλυτή. Μη δεσμευμένο + Redis (κρυφή μνήμη L2) + Nginx είναι ένας δημοφιλής συνδυασμός για την προβολή URL DoH και το φιλτράρισμα τομέων με αυτόματα ενημερωμένες λίστες.

Αυτή η στοίβα λειτουργεί τέλεια σε ένα μέτριο VPS (για παράδειγμα, ένας πυρήνας/2 καλώδια για μια οικογένεια). Υπάρχουν οδηγοί με έτοιμες προς χρήση οδηγίες, όπως αυτό το αποθετήριο: github.com/ousatov-ua/dns-filtering. Ορισμένοι πάροχοι VPS προσφέρουν μονάδες καλωσορίσματος για νέους χρήστες, ώστε να μπορείτε να ρυθμίσετε μια δοκιμαστική περίοδο με χαμηλό κόστος.

Με τον ιδιωτικό σας αναλυτή, μπορείτε να επιλέξετε τις πηγές φιλτραρίσματος, να αποφασίσετε πολιτικές διατήρησης και αποφύγετε τη συγκέντρωση των ερωτημάτων σας σε τρίτους. Σε αντάλλαγμα, εσείς διαχειρίζεστε την ασφάλεια, τη συντήρηση και την υψηλή διαθεσιμότητα.

Πριν κλείσουμε, μια σημείωση εγκυρότητας: στο Διαδίκτυο, οι επιλογές, τα μενού και τα ονόματα αλλάζουν συχνά. ορισμένοι παλιοί οδηγοί είναι ξεπερασμένοι (Για παράδειγμα, η επιλογή "σημαιών" στο Chrome δεν είναι πλέον απαραίτητη στις πρόσφατες εκδόσεις.) Να ελέγχετε πάντα την τεκμηρίωση του προγράμματος περιήγησης ή του συστήματός σας.

Αν έχετε φτάσει μέχρι εδώ, γνωρίζετε ήδη τι κάνει το DoH, πώς εντάσσεται στο παζλ με το DoT και το DNSSEC και, το πιο σημαντικό, πώς να το ενεργοποιήσετε τώρα στη συσκευή σας για να αποτρέψετε την κρυπτογράφηση του DNS. Με μερικά κλικ στο πρόγραμμα περιήγησής σας ή προσαρμογές στα Windows (ακόμα και σε επίπεδο πολιτικής στον Server 2022) θα έχετε κρυπτογραφημένα ερωτήματα. Αν θέλετε να πάτε τα πράγματα στο επόμενο επίπεδο, μπορείτε να μετακινήσετε την κρυπτογράφηση στον δρομολογητή MikroTik ή να δημιουργήσετε τον δικό σας αναλυτή. Το κλειδί είναι ότι, Χωρίς να αγγίξετε το δρομολογητή σας, μπορείτε να προστατεύσετε ένα από τα πιο κουτσομπολεύοντα κομμάτια της κυκλοφορίας σας σήμερα..

Κρίστιαν Γκαρσία

Παθιασμένος με την τεχνολογία από μικρός. Μου αρέσει να είμαι ενημερωμένος στον τομέα και, πάνω απ' όλα, να τον επικοινωνώ. Γι' αυτό έχω αφοσιωθεί στην επικοινωνία σε ιστότοπους τεχνολογίας και βιντεοπαιχνιδιών εδώ και πολλά χρόνια. Μπορείτε να με βρείτε να γράφω για Android, Windows, MacOS, iOS, Nintendo ή οποιοδήποτε άλλο σχετικό θέμα σας έρχεται στο μυαλό.