Kuidas krüpteerida oma DNS-i ilma ruuterit puudutamata DoH abil: täielik juhend

¿Kuidas krüpteerida oma DNS-i ilma ruuterit puudutamata, kasutades DNS-i HTTPS-i kaudu? Kui olete mures selle pärast, kes näeb, millistele veebisaitidele te ühendute, Krüpteeri domeeninimesüsteemi päringud DNS-iga HTTPS-i kaudu See on üks lihtsamaid viise privaatsuse suurendamiseks ilma ruuteriga võitlemata. DoH puhul lõpetab domeenid IP-aadressideks teisendav tõlkija avaliku liikumise ja läbib HTTPS-tunneli.

Sellest juhendist leiate otseses keeles ja ilma liigse žargoonita järgmist: Mis täpselt on DoH ja kuidas see erineb teistest valikutest, näiteks DoT-st?, kuidas seda brauserites ja operatsioonisüsteemides (sh Windows Server 2022) lubada, kuidas kontrollida, kas see tegelikult töötab, toetatud serverid ja kui tunned end julgena, siis isegi kuidas seadistada oma DoH lahendaja. Kõik. ruuterit puudutamata...välja arvatud valikuline osa neile, kes soovivad seda MikroTikil seadistada.

Mis on DNS HTTPS-i kaudu (DoH) ja miks see teile huvi pakkuda võib?

Domeeni sisestamisel (näiteks Xataka.com) küsib arvuti DNS-i lahendajalt selle IP-aadressi; See protsess toimub tavaliselt lihttekstina Ja igaüks teie võrgus, teie internetiteenuse pakkuja või vaheseadmed saavad seda nuhkida või manipuleerida. See on klassikalise DNS-i olemus: kiire, kõikjalolev... ja kolmandatele osapooltele läbipaistev.

Siin tulebki mängu DoH: See liigutab need DNS-küsimused ja vastused samale krüpteeritud kanalile, mida kasutab turvaline veeb (HTTPS, port 443).Tulemuseks on see, et nad ei liigu enam "avatud alal", mis vähendab spionaaži, päringute kaaperdamise ja teatud vahemeesrünnakute võimalust. Lisaks on paljudes testides latentsusaeg ei halvene märkimisväärselt ja seda saab transpordi optimeerimise abil isegi parandada.

Peamine eelis on see, et DoH-d saab lubada rakenduse või süsteemi tasandil, seega ei pea te millegi lubamiseks lootma oma operaatorile ega ruuterile. See tähendab, et saate end kaitsta "brauserist väljapoole", ilma et peaksite võrguseadmeid puudutama.

Oluline on eristada DoH-d DoT-st (DNS TLS-i kaudu): DoT krüpteerib DNS-i pordil 853 otse TLS-i kaudu, samas kui DoH integreerib selle HTTP(S)-i. DoT on teoreetiliselt lihtsam, aga Tulemüürid blokeerivad selle tõenäolisemalt mis lõikavad ebatavalisi porte; DoH, kasutades 443, aitab neist piirangutest paremini mööda hiilida ja hoiab ära sunnitud „tagasitõukamisrünnakud” krüpteerimata DNS-ile.

Privaatsuse kohta: HTTPS-i kasutamine ei tähenda küpsiste ega jälgimise kasutamist DoH-s; standardid soovitavad selle kasutamist otseselt mitte Selles kontekstis vähendab TLS 1.3 ka seansside taaskäivitamise vajadust, minimeerides korrelatsioone. Ja kui olete jõudluse pärast mures, võib HTTP/3 QUIC-i kaudu pakkuda täiendavaid täiustusi päringute blokeerimiseta multipleksimise abil.

Kuidas DNS töötab, levinumad riskid ja kus DoH rolli mängib

Tavaliselt õpib operatsioonisüsteem DHCP kaudu, millist resolverit kasutada; Kodus kasutate tavaliselt internetiteenuse pakkujaid, kontoris, ettevõtte võrgus. Kui see side on krüpteerimata (UDP/TCP 53), saab igaüks teie WiFi-võrgus või marsruudil näha päringuga hõlmatud domeene, sisestada võltsvastuseid või suunata teid otsingutele, mille domeeni pole olemas, nagu mõned operaatorid teevad.

Tüüpiline liikluse analüüs näitab porte, lähte-/sihtkoha IP-aadresse ja domeeni ennast; See ei paljasta mitte ainult sirvimisharjumusi, see lihtsustab ka järgnevate ühenduste (näiteks Twitteri aadresside või muu sarnasega) seostamist ja täpsete külastatud lehtede järeldamist.

DoT-i puhul läheb DNS-sõnum TLS-i sisse pordi 853 kaudu; DoH puhul DNS-päring on kapseldatud standardsesse HTTPS-päringusse, mis võimaldab seda kasutada ka veebirakendustel brauseri API-de kaudu. Mõlemal mehhanismil on sama alus: serveri autentimine sertifikaadiga ja otsast lõpuni krüptitud kanal.

Uute sadamate probleem on see, et on tavaline, et mõned võrgud blokeerivad 853, julgustades tarkvara "tagasi pöörduma" krüpteerimata DNS-i poole. DoH leevendab seda, kasutades 443, mis on veebis tavaline. DNS/QUIC on samuti paljulubav võimalus, kuigi see nõuab avatud UDP-d ja pole alati saadaval.

Isegi transpordi krüpteerimisel olge ühe nüansiga ettevaatlik: Kui lahendaja valetab, siis šiffer seda ei paranda.Selleks otstarbeks on olemas DNSSEC, mis võimaldab vastuste terviklikkuse valideerimist, kuigi selle kasutuselevõtt pole laialt levinud ja mõned vahendajad rikuvad selle funktsionaalsust. Sellegipoolest takistab DoH kolmandatel osapooltel teie päringuid nuhkimast või nendega manipuleerimist.

Aktiveerige see ruuterit puudutamata: brauserid ja süsteemid

Kõige lihtsam viis alustamiseks on DoH lubamine oma brauseris või operatsioonisüsteemis. Nii varjate päringuid oma meeskonna eest sõltumata ruuteri püsivarast.

Google Chrome

Praegustes versioonides saate minna aadressile chrome://settings/security ja jaotises „Kasuta turvalist DNS-i” aktiveeri valik ja vali teenusepakkuja (teie praegune teenusepakkuja, kui see toetab DoH-d või mõnda Google'i nimekirjast, näiteks Cloudflare või Google DNS).

Eelmistes versioonides pakkus Chrome eksperimentaalset lülitit: type chrome://flags/#dns-over-https, otsi „Turvalised DNS-i otsingud” ja muutke see vaikesätetelt lubatuksMuudatuste rakendamiseks taaskäivitage brauser.

Microsoft Edge (Chromium)

Chromiumi-põhine Edge sisaldab sarnast valikut. Vajadusel minge aadressile edge://flags/#dns-over-https, leidke „Turvalised DNS-otsingud” ja luba see jaotises LubatudTänapäevastes versioonides on aktiveerimine saadaval ka teie privaatsusseadetes.

Mozilla Firefox

Ava menüü (üleval paremal) > Seaded > Üldine > keri alla jaotiseni „Võrgusätted“ ja puuduta Konfiguratsioon ja märkige „Luba DNS HTTPS-i kaudu„. Saate valida selliste pakkujate hulgast nagu Cloudflare või NextDNS.“

Kui eelistate täpset juhtimist, siis about:config kohandama network.trr.mode: 2 (oportunistlik) kasutab DoH-d ja teeb varuvarianti kui see pole saadaval; 3 (ranget) mandaati DoH-s ja ebaõnnestub, kui tuge pole. Range režiimi korral defineerige alglaadimisresolver järgmiselt: network.trr.bootstrapAddress=1.1.1.1.

Ooper

Alates versioonist 65 sisaldab Opera valikut Luba DoH versiooniga 1.1.1.1See on vaikimisi keelatud ja töötab oportunistlikus režiimis: kui 1.1.1.1:443 vastab, kasutab see DoH-d; vastasel juhul pöördub tagasi krüpteerimata lahendaja juurde.

Windows 10/11: Automaatne tuvastamine (AutoDoH) ja register

Windows saab teatud teadaolevate lahendajatega DoH automaatselt lubada. Vanemates versioonides sa saad käitumist sundida registrist: käivita regedit ja mine HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Loo DWORD (32-bitine) nimega EnableAutoDoh väärtusega 2 y Taaskäivitage arvutiSee toimib, kui kasutate DNS-servereid, mis toetavad DoH-d.

Windows Server 2022: DNS-klient natiivse DoH-ga

Windows Server 2022 sisseehitatud DNS-klient toetab DoH-d. DoH-d saab kasutada ainult serveritega, mis on nende „Teadaolevate DoH” nimekirjas. või mille lisate ise. Selle konfigureerimiseks graafilise liidese kaudu:

1. Ava Windowsi sätted > Võrk ja internet.
2. Sisesta Ethernet ja vali oma liides.
3. Võrgu ekraanil kerige allapoole, kuni jõuate DNS-seaded ja vajutage Redigeeri.
4. Eelistatud ja alternatiivsete serverite määramiseks valige „Manuaalne”.
5. Kui need aadressid on teadaolevas DoH nimekirjas, siis see lubatakse. „Eelistatud DNS-krüptimine” kolme valikuga:
   • Ainult krüptimine (DNS HTTPS-i kaudu): Sunni DoH; kui server DoH-d ei toeta, siis lahendust ei toimu.
   • Eelista krüpteerimist, luba krüpteerimata: Proovib DoH-i ja kui see ebaõnnestub, naaseb krüpteerimata klassikalise DNS-i juurde.
   • Ainult krüpteerimataKasutab traditsioonilist lihttekstiga DNS-i.
6. Muudatuste rakendamiseks salvesta.

Samuti saate PowerShelli abil päringuid teha ja teadaolevate DoH lahendajate loendit laiendada. Praeguse loendi nägemiseks:

Get-DNSClientDohServerAddress

Uue teadaoleva DoH serveri registreerimiseks oma malliga kasutage järgmist käsku:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Pange tähele, et cmdlet Set-DNSClientServerAddress ei kontrolli ennast DoH kasutamine; krüptimine sõltub sellest, kas need aadressid on teadaolevate DoH serverite tabelis. Praegu ei saa te Windows Server 2022 DNS-kliendi jaoks DoH-d konfigureerida Windowsi administraatorikeskusest ega sconfig.cmd.

Rühmapoliitika Windows Server 2022-s

On olemas direktiiv nimega „DNS-i seadistamine HTTPS-i kaudu (DoH)” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSKui see on lubatud, saate valida järgmise:

• Luba DoHKasutage DoH-i, kui server seda toetab; vastasel juhul esitage päring krüpteerimata kujul.
• Keelusta DoH: ei kasuta kunagi DoH-d.
• Nõua DoH-d: sunnib DoH-i; kui tuge pole, siis lahendus ebaõnnestub.

Tähtis: Domeeniga ühendatud arvutites ärge lubage valikut „Nõua DoH-d”Active Directory tugineb DNS-ile ja Windows Serveri DNS-serveri roll ei toeta DoH-päringuid. Kui teil on vaja AD-keskkonnas DNS-liiklust turvata, kaaluge järgmist. IPsec-reeglid klientide ja sisemiste lahendajate vahel.

Kui olete huvitatud konkreetsete domeenide ümbersuunamisest kindlatele lahendajatele, saate kasutada NRPT (nime lahendamise poliitika tabel)Kui sihtserver on teadaolevate DoH-de nimekirjas, need konsultatsioonid reisib läbi DoH.

Android, iOS ja Linux

Android 9 ja uuemates versioonides on see valik Privaatne DNS lubab DoT-d (mitte DoH-d) kahel režiimil: „Automaatne” (oportunistlik, võtab võrgu lahendaja) ja „Ranged” (peate määrama sertifikaadiga valideeritud hostinime; otseseid IP-sid ei toetata).

iOS-is ja Androidis on rakendus 1.1.1.1 Cloudflare lubab DoH-d või DoT-d ranges režiimis, kasutades VPN API-t krüpteerimata päringute pealtkuulamiseks ja edastada need turvalise kanali kaudu.

Linuxis süsteemi poolt lahendatud toetab DoT-d alates systemd versioonist 239. See on vaikimisi keelatud; see pakub oportunistlikku režiimi ilma sertifikaatide valideerimiseta ja ranget režiimi (alates versioonist 243) CA valideerimisega, kuid ilma SNI või nime kontrollimiseta, mis nõrgestab usaldusmudelit ründajate vastu teel.

Linuxis, macOS-is või Windowsis saate valida range režiimi DoH-kliendi, näiteks cloudflared proxy-dns (vaikimisi kasutab see versiooni 1.1.1.1, kuigi saate määratleda ülesvoolud alternatiivid).

Tuntud DoH serverid (Windows) ja kuidas neid juurde lisada

Windows Server sisaldab nimekirja lahendajatest, mis teadaolevalt toetavad DoH-i. Saate seda PowerShelli abil kontrollida ja vajadusel lisage uusi kirjeid.

Need on teadaolevad DoH serverid kohe karbist välja võttes:

Serveri omanik	DNS-serveri IP-aadressid
Pilvepõletus	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Sest Vaata nimekirja, jookse:

Get-DNSClientDohServerAddress

Sest lisa uus DoH lahendaja koos selle malliga, kasutab:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Kui haldate mitut nimeruumi, võimaldab NRPT teil hallata konkreetseid domeene konkreetsele lahendajale, mis toetab DoH-d.

Kuidas kontrollida, kas DoH on aktiivne?

Brauserites külastage https://1.1.1.1/help; seal sa näed, kas teie liiklus kasutab DoH-d Kas sul on 1.1.1.1 või mitte? See on kiire test, et näha, millises staatuses sa oled.

Windows 10-s (versioon 2004) saate jälgida klassikalist DNS-liiklust (port 53) järgmiselt: pktmon privilegeeritud konsoolist:

pktmon filter add -p 53
pktmon start --etw -m real-time

Kui 53-l kuvatakse pidev pakettide voog, on väga tõenäoline, et Sa kasutad ikka veel krüpteerimata DNS-iPea meeles: parameeter --etw -m real-time nõuab versiooni 2004; varasemates versioonides näete viga „tundmatu parameeter”.

Valikuline: seadistage see ruuteril (MikroTik)

Kui eelistate krüpteerimist ruuteris tsentraliseerida, saate MikroTiku seadmetes DoH-i hõlpsalt lubada. Esmalt importige juur-CA mille allkirjastab server, millega ühendute. Cloudflare'i jaoks saate alla laadida DigiCertGlobalRootCA.crt.pem.

Laadige fail ruuterisse üles (lohistage see kausta „Failid“) ja minge aadressile Süsteem > Sertifikaadid > Import selle integreerimiseks. Seejärel konfigureerige ruuteri DNS-i Cloudflare'i DoH URL-idKui see on aktiivne, eelistab ruuter krüptitud ühendust vaikimisi krüptimata DNS-ile.

Et veenduda, et kõik on korras, külastage 1.1.1.1/abi ruuteri taga asuvast arvutist. Kõike saab teha ka terminali kaudu RouterOS-is, kui soovite.

Lähenemisviisi toimivus, täiendav privaatsus ja piirangud

Kiiruse puhul on olulised kaks mõõdikut: lahendusaeg ja tegelik lehe laadimine. Sõltumatud testid (näiteks SamKnows) Nad järeldavad, et DoH ja klassikalise DNS-i (Do53) erinevus on mõlemal rindel marginaalne; praktikas ei tohiks mingit aeglust märgata.

DoH krüpteerib „DNS-päringu”, kuid võrgus on rohkem signaale. Isegi kui DNS-i peidate, saab internetiteenuse pakkuja asju järeldada TLS-ühenduste (nt SNI mõnes pärandstsenaariumis) või muude jälgede kaudu. Privaatsuse suurendamiseks võite uurida DoT-d, DNSCrypti, DNSCurve'i või kliente, mis minimeerivad metaandmeid.

Mitte kõik ökosüsteemid ei toeta veel DoH-d. Paljud pärandresolverid seda ei paku., sundides tuginema avalikele allikatele (Cloudflare, Google, Quad9 jne). See avab arutelu tsentraliseerimise üle: päringute koondamine mõnele osalejale toob kaasa privaatsuse ja usalduse kulusid.

Ettevõtte keskkonnas võib DoH olla vastuolus turvapoliitikatega, mis põhinevad DNS-i jälgimine või filtreerimine (pahavara, vanemlik kontroll, vastavus seadustele). Lahenduste hulka kuuluvad MDM/rühmapoliitika, mis seab DoH/DoT lahendaja rangele režiimile, või kombineerituna rakendustaseme kontrollidega, mis on täpsemad kui domeenipõhine blokeerimine.

DNSSEC täiendab DoH-i: DoH kaitseb transporti; DNSSEC valideerib vastuseKasutuselevõtt on ebaühtlane ja mõned vahepealsed seadmed katkestavad selle, kuid trend on positiivne. Resolverite ja autoriteetsete serverite vahelisel teel jääb DNS traditsiooniliselt krüpteerimata; suured operaatorid (nt 1.1.1.1 Facebooki autoriteetsete serveritega) kasutavad juba DoT-d kaitse parandamiseks.

Vahepealne alternatiiv on krüpteerida ainult vahel ruuter ja resolver, jättes seadmete ja ruuteri vahelise ühenduse krüpteerimata. Kasulik turvalistes juhtmega võrkudes, kuid mitte soovitatav avatud WiFi-võrkudes: teised kasutajad saavad neid päringuid kohtvõrgus nuhkida või manipuleerida.

Loo oma DoH lahendaja

Kui soovite täielikku iseseisvust, saate juurutada oma lahendaja. Piiranguteta + Redis (2. taseme vahemälu) + Nginx on populaarne kombinatsioon DoH URL-ide serveerimiseks ja domeenide filtreerimiseks automaatselt uuendatavate nimekirjade abil.

See pakk töötab ideaalselt tagasihoidlikul VPS-il (näiteks üks südamik/2 juhet perele). Saadaval on juhendid kasutusvalmis juhistega, näiteks see repositoorium: github.com/ousatov-ua/dns-filtering. Mõned VPS-teenuse pakkujad pakuvad tervituskrediiti uutele kasutajatele, et saaksite väikese hinnaga prooviperioodi seadistada.

Oma privaatse lahendajaga saate valida filtreerimisallikad, määrata säilituspoliitikad ja vältige päringute tsentraliseerimist kolmandatele osapooltele. Vastutasuks haldate teie turvalisust, hooldust ja kõrget käideldavust.

Enne sulgemist väike märkus kehtivuse kohta: internetis muutuvad valikud, menüüd ja nimed sageli; mõned vanad juhendid on aegunud (Näiteks pole Chrome'is uuemates versioonides enam vaja „lippude” abil vaadata.) Kontrollige alati oma brauseri või süsteemi dokumentatsiooni.

Kui oled siiani jõudnud, siis tead juba, mida DoH teeb, kuidas see sobitub DoT ja DNSSEC puslesse ja mis kõige tähtsam, kuidas seda kohe oma seadmes aktiveerida et vältida DNS-i salaja liikumist. Mõne klõpsuga brauseris või muudatustega Windowsis (isegi Server 2022 poliitika tasandil) on teil krüpteeritud päringud; kui soovite asju järgmisele tasemele viia, saate krüptimise viia MikroTiku ruuterisse või luua oma resolveri. Peamine on see, Ilma oma ruuterit puutumata saate kaitsta oma liikluse üht enim kõneainet pakkunud osa tänapäeval..