Kuinka salata DNS koskematta reitittimeen DoH:lla: Täydellinen opas

Viimeisin päivitys: 06.12.2023
Kirjoittaja: Cristian Garcia

  • DoH salaa DNS-kyselyt HTTPS:n (portti 443) avulla, mikä parantaa yksityisyyttä ja estää peukaloinnin.
  • Se voidaan aktivoida selaimissa ja järjestelmissä (mukaan lukien Windows Server 2022) reitittimestä riippumatta.
  • Suorituskyky on samanlainen kuin perinteisessä DNS:ssä; DNSSEC täydentää vastausten validointia.
  • Suosittuja DoH-palvelimia (Cloudflare, Google, Quad9) ja mahdollisuus lisätä tai määrittää oma resolveri.

Kuinka salata DNS koskematta reitittimeen käyttämällä DNS:ää HTTPS:n kautta

¿Kuinka salata DNS koskematta reitittimeen käyttämällä DNS:ää HTTPS:n kautta? Jos olet huolissasi siitä, kuka voi nähdä, mille verkkosivustoille muodostat yhteyden, Salaa nimipalvelujärjestelmän kyselyt DNS:llä HTTPS:n kautta Se on yksi helpoimmista tavoista parantaa yksityisyyttäsi ilman, että sinun tarvitsee taistella reitittimesi kanssa. DoH:n avulla verkkotunnuksia IP-osoitteiksi muuntava kääntäjä lakkaa kulkemasta salaa ja kulkee HTTPS-tunnelin läpi.

Tästä oppaasta löydät suoraan ja ilman liikaa ammattikieltä seuraavat asiat: Mitä tarkalleen ottaen on DoH ja miten se eroaa muista vaihtoehdoista, kuten DoT:sta?, miten se otetaan käyttöön selaimissa ja käyttöjärjestelmissä (mukaan lukien Windows Server 2022), miten sen toiminnan varmistaminen, tuetut palvelimet ja, jos tunnet olosi rohkeaksi, jopa miten määrität oman DoH-resolverisi. Kaikki, koskematta reitittimeen...paitsi valinnainen osio niille, jotka haluavat määrittää sen MikroTikillä.

Mikä on DNS HTTPS:n kautta (DoH) ja miksi se saattaa kiinnostaa sinua

Googlen DNS

Kun kirjoitat verkkotunnuksen (esimerkiksi Xataka.com), tietokone kysyy DNS-selvittäjältä sen IP-osoitteen; Tämä prosessi on yleensä selkokielinen Ja kuka tahansa verkossasi, internet-palveluntarjoajasi tai välilaitteet voivat urkkia tai manipuloida sitä. Tämä on klassisen DNS:n ydin: nopea, kaikkialla läsnä... ja läpinäkyvä kolmansille osapuolille.

Tässä kohtaa DoH astuu kuvaan: Se siirtää DNS-kysymykset ja -vastaukset samaan salattuun kanavaan, jota suojattu verkko käyttää (HTTPS, portti 443).Tuloksena on, että ne eivät enää liiku "avoimesti", mikä vähentää vakoilun, kyselykaappausten ja tiettyjen välikäsihyökkäysten mahdollisuutta. Lisäksi monissa testeissä latenssi ei pahene merkittävästi ja sitä voidaan jopa parantaa kuljetusten optimoinnin ansiosta.

Keskeinen etu on, että DoH voidaan ottaa käyttöön sovellus- tai järjestelmätasolla, joten sinun ei tarvitse luottaa operaattoriisi tai reitittimeesi minkään käyttöönotossa. Eli voit suojata itseäsi "selaimesta ulospäin" koskematta mihinkään verkkolaitteisiin.

On tärkeää erottaa DoH DoT:sta (DNS TLS:n kautta): DoT salaa DNS:n portissa 853 suoraan TLS:n yli, kun taas DoH integroi sen HTTP(S):ään. DoT on teoriassa yksinkertaisempi, mutta Palomuurit estävät sen todennäköisemmin jotka leikkaavat epätavallisia portteja; DoH kiertää 443-protokollan avulla nämä rajoitukset paremmin ja estää pakotetut "takaisinseurantahyökkäykset" salaamattomaan DNS:ään.

Tietosuojasta: HTTPS:n käyttö ei tarkoita evästeiden tai seurannan käyttöä Yhdysvaltain terveysministeriössä; standardit nimenomaisesti kieltävät sen käytön Tässä yhteydessä TLS 1.3 vähentää myös istuntojen uudelleenkäynnistyksen tarvetta, mikä minimoi korrelaatiot. Ja jos olet huolissasi suorituskyvystä, HTTP/3 QUIC:n yli voi tarjota lisäparannuksia multipleksoimalla kyselyitä estämättä niitä.

DNS:n toimintaperiaate, yleiset riskit ja DoH:n rooli

Käyttöjärjestelmä oppii normaalisti DHCP:n kautta, mitä resolveria käytetään; Kotona käytät yleensä internet-palveluntarjoajaa, toimistossa, yritysverkossa. Kun tämä tiedonsiirto on salaamatonta (UDP/TCP 53), kuka tahansa Wi-Fi-verkossasi tai reitilläsi voi nähdä haetut verkkotunnukset, syöttää väärennettyjä vastauksia tai ohjata sinut hakuihin, joissa verkkotunnusta ei ole olemassa, kuten jotkut operaattorit tekevät.

Tyypillinen liikenneanalyysi paljastaa portit, lähde-/kohde-IP-osoitteet ja itse verkkotunnuksen; Tämä ei ainoastaan ​​paljasta selaustottumuksia, se myös helpottaa myöhempien yhteyksien, esimerkiksi Twitter-osoitteiden tai vastaavien, korrelointia ja sen päättelemistä, millä tarkalleen sivuilla olet käynyt.

DoT:n kanssa DNS-viesti menee TLS:n sisälle porttiin 853; DoH:n kanssa DNS-kysely on kapseloitu standardiin HTTPS-pyyntöön, mikä mahdollistaa sen käytön myös verkkosovelluksissa selain-APIen kautta. Molemmilla mekanismeilla on sama perusta: palvelimen todennus varmenteella ja päästä päähän salattu kanava.

Ainutlaatuinen sisältö - Napsauta tästä  Kuinka estää botteja Instagramissa

Uusien porttien ongelmana on se, että on yleistä, että jotkut verkot estävät 853:n, mikä kannustaa ohjelmistoja "palaamaan" salaamattomaan DNS:ään. DoH lieventää tätä käyttämällä 443-algoritmia, joka on yleinen verkossa. DNS/QUIC on myös toinen lupaava vaihtoehto, vaikka se vaatii avoimen UDP:n eikä ole aina saatavilla.

Vaikka salaisitkin siirtoa, ole varovainen yhden vivahteen kanssa: Jos ratkaisija valehtelee, salaus ei korjaa sitä.Tätä tarkoitusta varten on olemassa DNSSEC, joka mahdollistaa vastausten eheyden validoinnin, vaikka sen käyttöönotto ei olekaan laajalle levinnyttä ja jotkut välittäjät rikkovat sen toiminnallisuuden. Silti DoH estää kolmansia osapuolia matkan varrella nuuskimasta tai peukaloimasta kyselyitäsi.

Aktivoi se koskematta reitittimeen: selaimet ja järjestelmät

Helpoin tapa aloittaa on ottaa DoH käyttöön selaimessasi tai käyttöjärjestelmässäsi. Näin suojaat kyselyt tiimiltäsi riippumatta reitittimen laiteohjelmistosta.

Google Chrome

Nykyisissä versioissa voit siirtyä osoitteeseen chrome://settings/security ja kohdassa ”Käytä suojattua DNS:ää” aktivoi vaihtoehto ja valitse palveluntarjoaja (nykyinen palveluntarjoajasi, jos se tukee DoH:ta, tai jotakin Googlen listalta, kuten Cloudflare tai Google DNS).

Aiemmissa Chromen versioissa oli kokeellinen kytkin: type chrome://flags/#dns-over-https, hae ”Secure DNS lookups” ja vaihda se oletusarvosta käytössä olevaanKäynnistä selain uudelleen, jotta muutokset tulevat voimaan.

Microsoft Edge (Chromium)

Chromium-pohjaisessa Edgessä on samanlainen vaihtoehto. Jos tarvitset sitä, siirry osoitteeseen edge://flags/#dns-over-https, etsi ”Secure DNS lookups” ja ota se käyttöön kohdassa KäytössäNykyaikaisissa versioissa aktivointi on saatavilla myös tietosuoja-asetuksissasi.

Mozilla Firefox

Avaa valikko (oikeassa yläkulmassa) > Asetukset > Yleiset > vieritä alas kohtaan ”Verkkoasetukset” ja napauta Kokoonpano ja merkitse "Activar DNS sopre HTTPSVoit valita palveluntarjoajista, kuten Cloudflare tai NextDNS.

Jos haluat hienosäätöä, about:config säätää network.trr.mode: 2 (opportunisti) käyttää DoH:ta ja tekee varamenetelmän jos ei ole saatavilla; 3 (tiukkaa) DoH-mandaattia ja epäonnistuu, jos tukea ei ole. Määrittele bootstrap-resolveri tiukalla tilassa seuraavasti: network.trr.bootstrapAddress=1.1.1.1.

Ooppera

Versiosta 65 lähtien Opera sisältää asetuksen, joka Ota käyttöön DoH versiolla 1.1.1.1Se on oletusarvoisesti pois käytöstä ja toimii opportunistisessa tilassa: jos 1.1.1.1:443 vastaa, se käyttää DoH:ta; muuten se palaa salaamattomaan resolveriin.

Windows 10/11: Automaattinen tunnistus (AutoDoH) ja rekisteri

Windows voi ottaa DoH:n automaattisesti käyttöön tiettyjen tunnettujen resolvereiden kanssa. Vanhemmissa versioissa voit pakottaa käytöksen rekisteristä: suorita regedit ja mene HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Luo DWORD-arvo (32-bittinen) nimeltä EnableAutoDoh arvoa 2 y Käynnistä tietokone uudelleenTämä toimii, jos käytät DNS-palvelimia, jotka tukevat DoH:ta.

Windows Server 2022: DNS-asiakasohjelma, jossa on natiivi DoH

Windows Server 2022:n sisäänrakennettu DNS-asiakasohjelma tukee DoH:ta. Voit käyttää DoH:ta vain palvelimien kanssa, jotka ovat heidän "Tunnettujen DoH"-listallaan. tai jonka lisäät itse. Voit määrittää sen graafisesta käyttöliittymästä seuraavasti:

  1. Avaa Windowsin asetukset > Verkko ja internet.
  2. Syötä Ethernet ja valitse käyttöliittymäsi.
  3. Vieritä verkkonäytössä alas kohtaan DNS-asetukset ja paina Muokata.
  4. Valitse ”Manuaalinen” määrittääksesi ensisijaiset ja vaihtoehtoiset palvelimet.
  5. Jos kyseiset osoitteet ovat tunnetulla DoH-listalla, se otetaan käyttöön. "Suositeltu DNS-salaus" kolmella vaihtoehdolla:
    • Vain salaus (DNS HTTPS:n kautta): Pakota DoH; jos palvelin ei tue DoH:ta, ratkaisua ei ole.
    • Suosi salausta, salli salaamatonYrittää DoH:ta ja jos se epäonnistuu, palaa salaamattomaan klassiseen DNS:ään.
    • Vain salaamatonKäyttää perinteistä selkotekstistä DNS:ää.
  6. Tallenna ottaaksesi muutokset käyttöön.

Voit myös kysellä ja laajentaa tunnettujen DoH-resolvereiden luetteloa PowerShellin avulla. Nykyisen luettelon näkemiseksi:

Get-DNSClientDohServerAddress

Rekisteröi uusi tunnettu DoH-palvelin mallipohjaasi seuraavasti:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Huomaa, että cmdlet Set-DNSClientServerAddress ei hallitse itseään DoH:n käyttö; salaus riippuu siitä, ovatko kyseiset osoitteet tunnettujen DoH-palvelimien taulukossa. Et voi tällä hetkellä määrittää DoH:ta Windows Server 2022 DNS-asiakasohjelmalle Windowsin hallintakeskuksesta tai sconfig.cmd.

Ryhmäkäytäntö Windows Server 2022:ssa

On olemassa direktiivi nimeltä "DNS:n määrittäminen HTTPS:n kautta (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSKun tämä on käytössä, voit valita:

  • Salli DoHKäytä DoH:ta, jos palvelin tukee sitä; muussa tapauksessa kysely salaamattomana.
  • Kieltää DoH:nei koskaan käytä DoH:ta.
  • Vaaditaan DoH: pakottaa DoH:n; jos tukea ei ole, resoluutio epäonnistuu.
Ainutlaatuinen sisältö - Napsauta tästä  Kuinka purkaa matkapuhelimen salasanat

Tärkeää: Älä ota käyttöön ”Vaadi DoH” -toimintoa toimialueeseen liitetyissä tietokoneissaActive Directory on riippuvainen DNS:stä, eikä Windows Serverin DNS-palvelinrooli tue DoH-kyselyitä. Jos sinun on suojattava DNS-liikenne AD-ympäristössä, harkitse IPsec-säännöt asiakkaiden ja sisäisten ratkaisijoiden välillä.

Jos olet kiinnostunut ohjaamaan tiettyjä verkkotunnuksia tiettyihin resolvereihin, voit käyttää NRPT (nimenselvityskäytäntötaulukko)Jos kohdepalvelin on tunnetulla DoH-listalla, nuo neuvottelut kulkee DoH:n kautta.

Android, iOS ja Linux

Android 9:ssä ja uudemmissa käyttöjärjestelmissä tämä vaihtoehto Yksityinen DNS sallii DoT:n (ei DoH:n) kahdessa tilassa: ”Automatic” (opportunistinen, käyttää verkon resolveria) ja ”Strict” (sinun on määritettävä isäntänimi, joka on varmenteen vahvistama; suoria IP-osoitteita ei tueta).

iOS- ja Android-laitteissa sovellus 1.1.1.1 Cloudflare mahdollistaa DoH:n tai DoT:n tiukassa tilassa VPN-rajapinnan avulla salaamattomien pyyntöjen sieppaamiseen ja välitä ne suojatun kanavan kautta.

Linuxissa systemd-ratkaistu tukee DoT:tä systemd-versiosta 239 lähtien. Se on oletusarvoisesti poistettu käytöstä; se tarjoaa opportunistisen tilan ilman varmenteiden validointia ja tiukan tilan (versiosta 243 lähtien) varmentajan validoinnilla, mutta ilman SNI:n tai nimen varmennusta, jotka heikentää luottamusmallia hyökkääjiä vastaan ​​tien päällä.

Linuxissa, macOS:ssä tai Windowsissa voit valita tiukan tilan DoH-asiakasohjelman, kuten cloudflared proxy-dns (oletuksena se käyttää versiota 1.1.1.1, vaikkakin voit määritellä ylävirran vaihtoehtoja).

Tunnetut DoH-palvelimet (Windows) ja kuinka lisätä niitä lisää

Windows Server sisältää luettelon resolvereista, joiden tiedetään tukevan DoH:ta. Voit tarkistaa sen PowerShellillä ja lisää tarvittaessa uusia merkintöjä.

Nämä ovat tunnetut DoH-palvelimet valmiina käyttöön:

Palvelimen omistaja DNS-palvelimen IP-osoitteet
Pilvimyrsky 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Sillä Näytä lista, juosta:

Get-DNSClientDohServerAddress

Sillä lisää uusi DoH-resolveri mallineen, käyttää:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Jos hallinnoit useita nimiavaruuksia, NRPT sallii sinun hallita tiettyjä verkkotunnuksia tiettyyn resolveriin, joka tukee DoH:ta.

Kuinka tarkistaa, onko DoH aktiivinen

Selaimissa käy osoitteessa https://1.1.1.1/help; siellä näet, jos liikenteesi käyttää DoH:ta 1.1.1.1:n kanssa vai ei. Se on nopea testi nähdäksesi missä tilassa olet.

Windows 10:ssä (versio 2004) voit valvoa klassista DNS-liikennettä (portti 53) seuraavasti: pktmon etuoikeutetusta konsolista:

pktmon filter add -p 53
pktmon start --etw -m real-time

Jos 53:een ilmestyy jatkuva pakettivirta, on hyvin todennäköistä, että käytät edelleen salaamatonta DNS:ääMuista: parametri --etw -m real-time vaatii version 2004; aiemmissa versioissa näet virheen ”tuntematon parametri”.

Valinnainen: määritä se reitittimessä (MikroTik)

Jos haluat keskittää salauksen reitittimeen, voit helposti ottaa DoH:n käyttöön MikroTik-laitteissa. Tuo ensin juuri-CA jonka palvelin, johon muodostat yhteyden, allekirjoittaa. Cloudflaren voit ladata DigiCertGlobalRootCA.crt.pem.

Lataa tiedosto reitittimeen (vetämällä se kohtaan ”Tiedostot”) ja siirry osoitteeseen Järjestelmä > Varmenteet > Tuo sisällyttääksesi sen. Määritä sitten reitittimen DNS-palvelimelle Cloudflaren DoH-URL-osoitteetKun reititin on aktiivinen, se priorisoi salatun yhteyden oletusarvoiseen salaamattomaan DNS-palvelimeen nähden.

Ainutlaatuinen sisältö - Napsauta tästä  ¿Cómo se usa Kaspersky Anti-Virus?

Varmistaaksesi, että kaikki on kunnossa, käy osoitteessa 1.1.1.1/ohje reitittimen takana olevasta tietokoneesta. Voit tehdä kaiken myös terminaalin kautta RouterOS:ssä, jos haluat.

Lähestymistavan suorituskyky, lisäyksityisyys ja rajoitukset

Nopeuden suhteen kaksi mittaria merkitsee: ratkaisuaika ja todellinen sivun latausaika. Riippumattomat testit (kuten SamKnows) He päättelevät, että DoH:n ja klassisen DNS:n (Do53) välinen ero on marginaalinen molemmilla rintamilla; käytännössä hitautta ei pitäisi huomata.

DoH salaa "DNS-kyselyn", mutta verkossa on enemmän signaaleja. Vaikka piilottaisit DNS:n, internet-palveluntarjoaja voi päätellä asioita TLS-yhteyksien (esim. SNI joissakin vanhoissa skenaarioissa) tai muiden jäljitysten kautta. Yksityisyyden parantamiseksi voit tutustua DoT:hen, DNSCryptiin, DNSCurveen tai asiakasohjelmiin, jotka minimoivat metadatan.

Kaikki ekosysteemit eivät vielä tue DoH:ta. Monet vanhat ratkaisijat eivät tarjoa tätä., mikä pakottaa turvautumaan julkisiin lähteisiin (Cloudflare, Google, Quad9 jne.). Tämä avaa keskustelun keskittämisestä: kyselyiden keskittäminen muutamille toimijoille aiheuttaa yksityisyyden ja luottamuksen kustannuksia.

Yritysympäristöissä DoH voi olla ristiriidassa sellaisten tietoturvakäytäntöjen kanssa, jotka perustuvat DNS-valvonta tai -suodatus (haittaohjelmat, lapsilukko, lakien noudattaminen). Ratkaisuihin kuuluvat MDM/ryhmäkäytäntö, jolla DoH/DoT-ratkaisija asetetaan tiukkaan tilaan, tai yhdistettynä sovellustason valvontaan, joka on tarkempi kuin toimialuepohjainen esto.

DNSSEC täydentää DoH:ta: DoH suojaa siirtoa; DNSSEC validoi vastauksenKäyttöönotto on epätasaista, ja jotkin välilaitteet rikkovat sen, mutta trendi on positiivinen. Resolvereiden ja autoritaaristen palvelimien välisellä polulla DNS pysyy perinteisesti salaamattomana; suuret operaattorit (esim. 1.1.1.1 Facebookin autoritaaristen palvelimien kanssa) kokeilevat jo DoT:n käyttöä suojauksen parantamiseksi.

Välivaihtoehtona on salata vain välissä reititin ja resolveri, jolloin laitteiden ja reitittimen välinen yhteys pysyy salaamattomana. Hyödyllinen suojatuissa langallisissa verkoissa, mutta ei suositella avoimissa Wi-Fi-verkoissa: muut käyttäjät voivat vakoilla tai manipuloida näitä kyselyitä lähiverkossa.

Tee oma DoH-resolverisi

Jos haluat täydellisen itsenäisyyden, voit ottaa käyttöön oman resolverisi. Sitoutumaton + Redis (L2-välimuisti) + Nginx on suosittu yhdistelmä DoH-URL-osoitteiden tarjoamiseen ja verkkotunnusten suodattamiseen automaattisesti päivittyvien listojen avulla.

Tämä pino toimii täydellisesti vaatimattomalla VPS:llä (esimerkiksi yksi ydin/2 johdinta perheelle). Saatavilla on käyttövalmiita ohjeita sisältäviä oppaita, kuten tämä arkisto: github.com/ousatov-ua/dns-filtering. Jotkut VPS-palveluntarjoajat tarjoavat tervetuliaisbonuksia uusille käyttäjille, joten voit määrittää kokeilujakson edullisesti.

Yksityisen resolverisi avulla voit valita suodatuslähteet, määrittää säilytyskäytännöt ja vältä kyselyiden keskittämistä kolmansille osapuolille. Vastineeksi sinä hallinnoit tietoturvaa, ylläpitoa ja korkeaa käytettävyyttä.

Ennen sulkemista pieni huomautus: internetissä vaihtoehdot, valikot ja nimet muuttuvat usein; jotkut vanhat oppaat ovat vanhentuneita (Esimerkiksi Chromen "lippujen" läpikäyminen ei ole enää tarpeen uudemmissa versioissa.) Tarkista aina asia selaimesi tai järjestelmäsi dokumentaatiosta.

Jos olet päässyt näin pitkälle, tiedät jo, mitä DoH tekee, miten se sopii yhteen DoT:n ja DNSSEC:n kanssa ja mikä tärkeintä, miten se aktivoidaan nyt laitteellasi estääkseen DNS:n kulkemisen salaamattomana. Muutamalla napsautuksella selaimessasi tai Windowsin säädöillä (jopa käytäntötasolla Server 2022:ssa) saat salatut kyselyt. Jos haluat viedä asiat seuraavalle tasolle, voit siirtää salauksen MikroTik-reitittimeen tai rakentaa oman resolverisi. Tärkeintä on, että Koskematta reitittimeesi voit suojata yhden nykyään juorutuimmista osista liikenteestäsi..