Conas Do DNS a Chriptiú Gan Teagmháil a Dhéanamh le DoH: Treoir Iomlán

¿Conas do DNS a chriptiú gan teagmháil a dhéanamh le do ródaire ag baint úsáide as DNS thar HTTPS? Má tá imní ort faoi cé a fheiceann na suíomhanna gréasáin a nascann tú leo, Criptigh ceisteanna Córas Ainm Fearainn le DNS thar HTTPS Tá sé ar cheann de na bealaí is fusa chun do phríobháideacht a mhéadú gan a bheith ort dul i ngleic le do ródaire. Le DoH, stopann an t-aistritheoir a athraíonn fearainn go seoltaí IP ag taisteal gan stró agus téann sé trí thollán HTTPS.

Sa treoir seo gheobhaidh tú, i dteanga dhíreach agus gan an iomarca teanga ghinearálta, Cad go díreach is DoH ann, agus conas atá sé difriúil ó roghanna eile cosúil le DoT, conas é a chumasú i mbrabhsálaithe agus i gcórais oibriúcháin (lena n-áirítear Windows Server 2022), conas a fhíorú go bhfuil sé ag obair i ndáiríre, freastalaithe a dtacaítear leo, agus, má bhraitheann tú cróga, fiú conas do réiteach DoH féin a bhunú. Gach rud, gan teagmháil a dhéanamh leis an ródaire...seachas cuid roghnach dóibh siúd ar mian leo é a chumrú ar MikroTik.

Cad is DNS thar HTTPS (DoH) ann agus cén fáth a mbeadh suim agat ann?

Nuair a chlóscríobhann tú fearann ​​​​isteach (mar shampla, Xataka.com) fiafraíonn an ríomhaire de réiteoir DNS cad é a sheoladh IP; De ghnáth bíonn an próiseas seo i ngnáththéacs Agus is féidir le duine ar bith ar do líonra, do sholáthraí Idirlín, nó gléasanna idirmheánacha é a fhionnadh nó a ionramháil. Seo croílár DNS clasaiceach: gasta, uileláithreach… agus trédhearcach do thríú páirtithe.

Seo an áit a dtagann DoH isteach: Bogann sé na ceisteanna agus na freagraí DNS sin chuig an gcainéal criptithe céanna a úsáideann an gréasán slán (HTTPS, port 443)Is é an toradh nach mbíonn siad ag taisteal "sa réimse oscailte" a thuilleadh, rud a laghdaíonn an fhéidearthacht go ndéanfar spiaireacht, fuadach fiosrúchán, agus ionsaithe áirithe fear-sa-lár. Ina theannta sin, i go leor tástálacha ní théann an latency in olcas go suntasach agus is féidir feabhas a chur air fiú a bhuíochas le hoptamaíochtaí iompair.

Buntáiste lárnach is ea go Is féidir DoH a chumasú ag leibhéal an fheidhmchláir nó an chórais, mar sin ní gá duit brath ar do iompróir ná ar do ródaire chun aon rud a chumasú. Is é sin le rá, is féidir leat tú féin a chosaint "ón mbrabhsálaí amach," gan teagmháil a dhéanamh le haon trealamh líonra.

Tá sé tábhachtach idirdhealú a dhéanamh idir DoH agus DoT (DNS thar TLS): Criptíonn DoT DNS ar phort 853 go díreach thar TLS, agus DoH á chomhtháthú i HTTP(S). Tá DoT níos simplí i dteoiric, ach Is dóichí go mbeidh sé blocáilte ag ballaí dóiteáin a ghearrann calafoirt neamhchoitianta; seachnaíonn an Roinn Sláinte na srianta seo níos fearr trí 443 a úsáid agus cuireann sé cosc ​​ar ionsaithe “cúltaca” éigeantacha chuig DNS neamhchriptithe.

Maidir le príobháideacht: Ní hionann úsáid a bhaint as HTTPS agus fianáin ná rianú san Roinn Sláinte; moltar go sainráite i gcoinne a úsáide sna caighdeáin Sa chomhthéacs seo, laghdaíonn TLS 1.3 an gá atá le seisiúin a atosú freisin, rud a íoslaghdaíonn comhghaolta. Agus má tá imní ort faoi fheidhmíocht, is féidir le HTTP/3 thar QUIC feabhsuithe breise a sholáthar trí cheisteanna a ilphléacsáil gan bhac.

Conas a oibríonn DNS, rioscaí coitianta, agus cá n-oireann an Roinn Sláinte don ról

De ghnáth foghlaimíonn an córas oibriúcháin cén réiteoir atá le húsáid trí DHCP; Sa bhaile is gnách go n-úsáideann tú an ISP, san oifig, an líonra corparáideach. Nuair nach mbíonn an chumarsáid seo criptithe (UDP/TCP 53), is féidir le duine ar bith ar do Wi-Fi nó ar an mbealach fearainn a ndearnadh fiosrúcháin orthu a fheiceáil, freagraí bréige a instealladh, nó tú a atreorú chuig cuardaigh nuair nach bhfuil an fearann ​​ann, mar a dhéanann roinnt oibreoirí.

Nochtann anailís tráchta tipiciúil calafoirt, IPanna foinse/cinn scríbe, agus an fearann ​​​​féin réitithe; Ní hamháin go nochtann sé seo nósanna brabhsála, cuireann sé ar chumas daoine freisin nascanna ina dhiaidh sin a chomhghaolú, mar shampla, le seoltaí Twitter nó a leithéid, agus a dhéanamh amach cé na leathanaigh bheachta ar thug tú cuairt orthu.

Le DoT, téann an teachtaireacht DNS taobh istigh de TLS ar phort 853; le DoH, Tá an fiosrúchán DNS curtha i bhfolach in iarratas caighdeánach HTTPS, rud a chuireann ar chumas feidhmchláir ghréasáin é a úsáid trí APIanna brabhsálaí. Tá an bunús céanna ag an dá mheicníocht: fíordheimhniú freastalaí le deimhniú agus cainéal criptithe foirceann go foirceann.

Is í an fhadhb le calafoirt nua ná go mbíonn sé coitianta go blocálann roinnt líonraí 853, ag spreagadh bogearraí chun “titim siar” chuig DNS neamhchriptithe. Maolaíonn an Roinn Sláinte é seo trí 443 a úsáid, rud atá coitianta don ghréasán. Tá DNS/QUIC ann freisin mar rogha gheallmhar eile, cé go n-éilíonn sé UDP oscailte agus nach mbíonn sé ar fáil i gcónaí.

Fiú agus iompar á chriptiú, bí cúramach le nuance amháin: Mura bhfuil an réiteoir ceart, ní cheartóidh an cód é.Chun na críche seo, tá DNSSEC ann, rud a cheadaíonn bailíochtú sláine freagraí, cé nach nglactar go forleathan leis agus go mbriseann roinnt idirghabhálaithe a fheidhmiúlacht. Mar sin féin, cuireann an Roinn Sláinte cosc ​​ar thríú páirtithe ó bheith ag sníomh nó ag cur isteach ar do cheisteanna.

Gníomhachtaigh é gan teagmháil a dhéanamh leis an ródaire: brabhsálaithe agus córais

Is é an bealach is simplí le tosú ná DoH a chumasú i do bhrabhsálaí nó i do chóras oibriúcháin. Seo mar a chosnaíonn tú fiosrúcháin ó do fhoireann gan brath ar fhirmware an ródaire.

Google Chrome

Sna leaganacha reatha is féidir leat dul chuig chrome://settings/security agus, faoi “Úsáid DNS slán”, gníomhachtaigh an rogha agus roghnaigh an soláthraí (do sholáthraí reatha má thacaíonn siad le DoH nó ceann ó liosta Google ar nós Cloudflare nó Google DNS).

I leaganacha roimhe seo, thairg Chrome lasc turgnamhach: cineál chrome://flags/#dns-over-https, déan cuardach ar “Cuardaigh DNS slána” agus athraigh é ó Réamhshocrú go CumasaitheAtosaigh do bhrabhsálaí chun na hathruithe a chur i bhfeidhm.

Microsoft Edge (Cróimiam)

Tá rogha chomhchosúil in Edge atá bunaithe ar Chromium. Más gá duit é, téigh chuig edge://flags/#dns-over-https, aimsigh “Cuardaigh DNS Slána” agus cumasaigh é i gCumasaitheI leaganacha nua-aimseartha, tá gníomhachtú ar fáil i do shocruithe príobháideachais freisin.

Mozilla Firefox

Oscail an roghchlár (barr ar dheis) > Socruithe > Ginearálta > scrollaigh síos go dtí “Socruithe Líonra”, tapáil ar cumraíocht agus marcáil “Cumasaigh DNS thar HTTPSIs féidir leat rogha a dhéanamh as soláthraithe ar nós Cloudflare nó NextDNS.

Más fearr leat rialú mín, i about:config choigeartaíonn network.trr.mode: 2 (deisiúil) úsáideann DoH agus déanann sé rogha eile mura bhfuil sé ar fáil; 3 shainordú (dian) ón Roinn Sláinte agus teipeann air mura bhfuil tacaíocht ann. Le mód dian, sainmhínigh réiteoir tosaithe mar network.trr.bootstrapAddress=1.1.1.1.

oibriú

Ó leagan 65, tá rogha san áireamh in Opera chun cumasaigh DoH le 1.1.1.1Tagann sé díchumasaithe de réir réamhshocraithe agus oibríonn sé i mód deisbhéalach: má fhreagraíonn 1.1.1.1:443, úsáidfidh sé DoH; ar shlí eile, titeann sé ar ais chuig an réiteoir neamhchriptithe.

Windows 10/11: Uathbhrath (AutoDoH) agus Clárlann

Is féidir le Windows DoH a chumasú go huathoibríoch le réitigh áirithe aitheanta. I leaganacha níos sine, is féidir leat an t-iompar a fhorchur ón gClárlann: rith regedit agus téigh go HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Cruthaigh DWORD (32-giotán) ar a dtugtar EnableAutoDoh le misneach 2 y atosú ar an ríomhaireOibríonn sé seo má tá tú ag úsáid freastalaithe DNS a thacaíonn le DoH.

Windows Server 2022: cliant DNS le DoH dúchasach

Tacaíonn an cliant DNS ionsuite i Windows Server 2022 le DoH. Ní bheidh tú in ann DoH a úsáid ach le freastalaithe atá ar a liosta “DoH Aitheanta”. nó go gcuireann tú féin leis. Chun é a chumrú ón gcomhéadan grafach:

1. Oscail Socruithe Windows > Líonra agus Idirlíon.
2. Iontráil isteach Ethernet agus roghnaigh do chomhéadan.
3. Ar an scáileán líonra, scrollaigh síos go dtí Cumraíocht DNS agus brúigh Cuir.
4. Roghnaigh “Lámhleabhar” chun freastalaithe is fearr leat agus freastalaithe malartacha a shainiú.
5. Má tá na seoltaí sin ar an liosta DoH aitheanta, cuirfear ar chumas é "Criptiú DNS is Fearr" le trí rogha:
   • Criptiú amháin (DNS thar HTTPS)Fórsáil DoH; mura dtacaíonn an freastalaí le DoH, ní bheidh aon réiteach ann.
   • Is fearr criptiú, ceadaigh neamhchriptitheDéanann iarracht DoH agus mura n-éiríonn leis, titeann sé ar ais chuig DNS clasaiceach neamhchriptithe.
   • Gan chriptiú amháinÚsáideann sé DNS gnáth-théacs.
6. Sábháil chun na hathruithe a chur i bhfeidhm.

Is féidir leat fiosrúcháin a dhéanamh ar an liosta de réiteoirí DoH aitheanta agus iad a leathnú trí PowerShell a úsáid freisin. Chun an liosta reatha a fheiceáil:

Get-DNSClientDohServerAddress

Chun freastalaí DoH aitheanta nua a chlárú le do theimpléad, bain úsáid as:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Tabhair faoi deara go bhfuil an cmdlet Set-DNSClientServerAddress ní rialaíonn sé féin úsáid DoH; braitheann criptiú ar cibé an bhfuil na seoltaí sin i dtábla na bhfreastalaithe DoH aitheanta. Ní féidir leat DoH a chumrú faoi láthair don chliant DNS Windows Server 2022 ó Ionad Riaracháin Windows nó le sconfig.cmd.

Polasaí Grúpa i Windows Server 2022

Tá treoir ann ar a dtugtar "Cumraigh DNS thar HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSNuair a bhíonn sé cumasaithe, is féidir leat a roghnú:

• Ceadaigh DoHÚsáid DoH má thacaíonn an freastalaí leis; ar shlí eile, déan fiosrú gan chriptiú.
• Toirmeasc ar an DoHNí úsáideann sé DoH riamh.
• Éiligh an Roinn Sláinte: cuireann sé iallach ar an Roinn Sláinte; mura bhfuil tacaíocht ann, teipeann ar an réiteach.

Tábhachtach: Ná cumasaigh “Éiligh DoH” ar ríomhairí atá ceangailte le fearannBraitheann Active Directory ar DNS, agus ní thacaíonn ról Freastalaí DNS Windows Server le fiosrúcháin DoH. Más gá duit trácht DNS a dhaingniú laistigh de thimpeallacht AD, smaoinigh ar úsáid a bhaint as Rialacha IPsec idir cliaint agus réiteoirí inmheánacha.

Más spéis leat fearainn shonracha a atreorú chuig réiteoirí sonracha, is féidir leat úsáid a bhaint as an NRPT (Tábla Beartais Réitigh Ainmneacha)Má tá an freastalaí ceann scríbe ar an liosta DoH aitheanta, na comhairliúcháin sin taistealóidh sé tríd an Roinn Sláinte.

Android, iOS agus Linux

Ar Android 9 agus níos airde, an rogha DNS Príobháideach ceadaíonn sé DoT (ní DoH) le dhá mhodh: “Uathoibríoch” (deisiúil, glacann sé an réiteoir líonra) agus “Dianach” (ní mór duit ainm óstach a shonrú atá bailíochtú ag deimhniú; ní thacaítear le IPanna díreacha).

Ar iOS agus Android, an aip 1.1.1.1 Cumasaíonn Cloudflare DoH nó DoT i mód dian ag baint úsáide as an VPN API chun iarratais neamhchriptithe a thascradh agus iad a sheoladh ar aghaidh trí chainéal slán.

Ar Linux, córasd-réitithe Tacaíonn sé le DoT ó systemd 239. Tá sé díchumasaithe de réir réamhshocraithe; cuireann sé mód deisitheach ar fáil gan deimhnithe a bhailíochtú agus mód dian (ó 243) le bailíochtú CA ach gan SNI ná fíorú ainm, rud a... lagaíonn sé an tsamhail muiníne i gcoinne ionsaitheoirí ar an mbóthar.

Ar Linux, macOS, nó Windows, is féidir leat cliant DoH i mód dian a roghnú cosúil le cloudflared proxy-dns (de réir réamhshocraithe úsáideann sé 1.1.1.1, cé go is féidir leat sruthanna suas an abhainn a shainiú roghanna malartacha).

Freastalaithe DoH aitheanta (Windows) agus conas níos mó a chur leis

Tá liosta de réitigh ar a dtugtar go dtacaíonn siad le DoH ar fáil i Windows Server. Is féidir leat é a sheiceáil le PowerShell agus cuir iontrálacha nua leis más gá.

Is iad seo na freastalaithe DoH aitheanta as an mbosca:

Úinéir an Fhreastalaí	Seoltaí IP freastalaithe DNS
Cloudflare	1.1.1.1 1.0.0.1 2606: 4700: 4700 1111 :: 2606: 4700: 4700 1001 ::
google	8.8.8.8 8.8.4.4 2001: 4860: 4860 8888 :: 2001: 4860: 4860 8844 ::
Quad9	9.9.9.9 149.112.112.112 2620: fe FE :: 2620: fe :: fe: 9

go féach an liosta, rith:

Get-DNSClientDohServerAddress

go cuir réiteoir nua DoH leis an teimpléad atá aige, úsáideann:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Má bhainistíonn tú spásanna ainm iolracha, ligfidh an NRPT duit bainistigh fearainn shonracha chuig réiteoir sonrach a thacaíonn le DoH.

Conas a sheiceáil an bhfuil DoH gníomhach

I mbrabhsálaithe, tabhair cuairt ar https://1.1.1.1/help; feicfidh tú ansin an Tá do thrácht ag baint úsáide as DoH le 1.1.1.1 nó nach ea. Is tástáil thapa í chun a fheiceáil cén stádas atá agat.

I Windows 10 (leagan 2004), is féidir leat monatóireacht a dhéanamh ar thrácht DNS clasaiceach (port 53) le pctmon ó chonsól pribhléideach:

pktmon filter add -p 53
pktmon start --etw -m real-time

Má bhíonn sruth leanúnach paicéad le feiceáil ar an 53, is dócha go mór go Tá DNS neamhchriptithe á úsáid agat fósCuimhnigh: an paraiméadar --etw -m real-time éilíonn sé 2004; i leaganacha níos luaithe feicfidh tú earráid “paraiméadar anaithnid”.

Roghnach: cumraigh é ar an ródaire (MikroTik)

Más fearr leat criptiú a lárú ar an ródaire, is féidir leat DoH a chumasú go héasca ar fheistí MikroTik. Ar dtús, allmhairigh an CA fréimhe a shíneoidh an freastalaí a mbeidh tú ag nascadh leis. Is féidir leat é a íoslódáil le haghaidh Cloudflare DigiCertGlobalRootCA.crt.pem.

Uaslódáil an comhad chuig an ródaire (trína tharraingt chuig “Comhaid”), agus téigh go Córas > Teastais > Iompórtáil chun é a ionchorprú. Ansin, cumraigh DNS an ródaire leis an URLanna DoH CloudflareNuair a bheidh sé gníomhach, tabharfaidh an ródaire tús áite don nasc criptithe thar an DNS neamhchriptithe réamhshocraithe.

Chun a dheimhniú go bhfuil gach rud i gceart, tabhair cuairt ar 1.1.1.1/cabhair ó ríomhaire taobh thiar den ródaire. Is féidir leat gach rud a dhéanamh tríd an teirminéal freisin i RouterOS más fearr leat.

Feidhmíocht, príobháideacht bhreise agus teorainneacha an chur chuige

Maidir le luas, tá dhá mhéadracht tábhachtach: am réitigh agus ualach iarbhír leathanaigh. Tástálacha neamhspleácha (amhail SamKnows) Tagann siad ar an gconclúid nach bhfuil mórán difríochta idir DoH agus DNS clasaiceach (Do53) ar an dá thaobh; i gcleachtas, níor cheart go dtabharfá faoi deara aon mhoill.

Criptíonn an DoH an “fhiosrúchán DNS”, ach tá níos mó comharthaí ar an líonra. Fiú má cheiltíonn tú DNS, d'fhéadfadh ISP rudaí a thuiscint trí naisc TLS (e.g., SNI i gcásanna oidhreachta áirithe) nó rianta eile. Chun príobháideacht a fheabhsú, is féidir leat DoT, DNSCrypt, DNSCurve, nó cliaint a íoslaghdaíonn meiteashonraí a iniúchadh.

Ní thacaíonn gach éiceachóras le DoH go fóill. Ní thairgeann go leor seanréiteoirí é seo., ag cur iallach ar fhoinsí poiblí (Cloudflare, Google, Quad9, srl.). Osclaíonn sé seo an díospóireacht faoi lárú: bíonn costais phríobháideachais agus iontaoibhe i gceist le fiosrúcháin a dhíriú ar roinnt aisteoirí.

I dtimpeallachtaí corparáideacha, d’fhéadfadh an Roinn Sláinte teacht salach ar bheartais slándála atá bunaithe ar Monatóireacht nó scagadh DNS (bogearraí mailíseacha, rialuithe tuismitheoirí, comhlíonadh dlí). I measc na réiteach tá MDM/Polasaí Grúpa chun réiteoir DoH/DoT a shocrú go mód dian, nó i dteannta le rialuithe ar leibhéal an fheidhmchláir, atá níos cruinne ná blocáil bunaithe ar fhearann.

Comhlánaíonn DNSSEC an Roinn Sláinte: Cosnaíonn an Roinn Sláinte an t-iompar; bailíochtúíonn DNSSEC an freagraTá an glacadh míchothrom, agus briseann roinnt gléasanna idirmheánacha é, ach tá an treocht dearfach. Ar an mbealach idir réitigh agus freastalaithe údarásacha, fanann DNS gan chriptiú go traidisiúnta; tá turgnaimh ann cheana féin ag baint úsáide as DoT i measc oibreoirí móra (e.g., 1.1.1.1 le freastalaithe údarásacha Facebook) chun cosaint a fheabhsú.

Rogha eile idirmheánach is ea criptiú a dhéanamh idir an ródaire agus an réiteoir, ag fágáil an nasc idir gléasanna agus an ródaire gan chriptiú. Úsáideach ar líonraí sreangaithe slána, ach ní mholtar ar líonraí Wi-Fi oscailte: d'fhéadfadh úsáideoirí eile spiaireacht a dhéanamh ar na fiosrúcháin seo nó iad a ionramháil laistigh den LAN.

Déan do réiteoir DoH féin

Más mian leat neamhspleáchas iomlán, is féidir leat do réiteoir féin a imscaradh. Gan cheangal + Redis (taisce L2) + Nginx Is teaglaim choitianta í chun URLanna DoH a sheirbheáil agus fearainn a scagadh le liostaí is féidir a nuashonrú go huathoibríoch.

Ritheann an stac seo go foirfe ar VPS measartha (mar shampla, croí amháin/2 shreang (do theaghlach). Tá treoracha ann le treoracha réidh le húsáid, amhail an stór seo: github.com/ousatov-ua/dns-filtering. Cuireann roinnt soláthraithe VPS creidmheasanna fáilte ar fáil d’úsáideoirí nua, ionas gur féidir leat triail a bhunú ar chostas íseal.

Le do réiteach príobháideach, is féidir leat do fhoinsí scagtha a roghnú, beartais choinneála a chinneadh agus seachain do cheisteanna a lárú do thríú páirtithe. Mar mhalairt air sin, bainistíonn tú slándáil, cothabháil agus ard-infhaighteacht.

Sula ndúnfar, nóta bailíochta: ar an Idirlíon, athraíonn roghanna, biachláir agus ainmneacha go minic; tá roinnt sean-threoracha as dáta (Mar shampla, ní gá dul trí “bhratacha” i Chrome a thuilleadh i leaganacha le déanaí.) Seiceáil i gcónaí le doiciméadacht do bhrabhsálaí nó an chórais.

Más rud é gur shroich tú an pointe seo, tá a fhios agat cheana féin cad a dhéanann an Roinn Sláinte, conas a oireann sé don bhfreagra idir an Roinn Sláinte agus an Roinn DNSSEC, agus níos tábhachtaí fós, conas é a ghníomhachtú anois ar do ghléas chun cosc ​​a chur ar DNS taisteal gan stró. Le cúpla cad a tharlaíonn i do bhrabhsálaí nó le coigeartuithe i Windows (fiú ag leibhéal an bheartais i Server 2022) beidh fiosrúcháin chriptithe agat; más mian leat rudaí a thabhairt go dtí an chéad leibhéal eile, is féidir leat an criptiú a bhogadh chuig an ródaire MikroTik nó do réiteach féin a thógáil. Is é an rud is tábhachtaí ná, Gan teagmháil a dhéanamh le do ródaire, is féidir leat ceann de na codanna is mó a bhfuiltear ag caint fúthu de do thrácht inniu a chosaint..