Kako šifrirati DNS bez dodirivanja usmjerivača s DoH-om: Potpuni vodič

¿Kako šifrirati DNS bez dodirivanja rutera koristeći DNS putem HTTPS-a? Ako vas brine tko može vidjeti na koje se web-stranice povezujete, Šifriranje upita sustava domenskih imena pomoću DNS-a putem HTTPS-a To je jedan od najlakših načina za povećanje privatnosti bez potrebe za borbom s usmjerivačem. S DoH-om, prevoditelj koji pretvara domene u IP adrese prestaje putovati u čistom obliku i prolazi kroz HTTPS tunel.

U ovom ćete vodiču, na izravnom jeziku i bez previše žargona, pronaći Što je točno DoH, kako se razlikuje od drugih opcija poput DoT-a, kako ga omogućiti u preglednicima i operativnim sustavima (uključujući Windows Server 2022), kako provjeriti da li zapravo radi, podržani poslužitelji i, ako se osjećate hrabro, čak i kako postaviti vlastiti DoH resolver. Sve, bez dodirivanja rutera...osim opcionalnog dijela za one koji ga žele konfigurirati na MikroTiku.

Što je DNS preko HTTPS-a (DoH) i zašto bi vas to moglo zanimati

Kada upišete domenu (na primjer, Xataka.com), računalo pita DNS resolver koja je njezina IP adresa; Ovaj postupak se obično odvija u običnom tekstu I bilo tko na vašoj mreži, vaš davatelj internetskih usluga ili posrednički uređaji mogu ga špijunirati ili manipulirati. To je bit klasičnog DNS-a: brz, sveprisutan... i transparentan trećim stranama.

Tu nastupa DoH: Premješta ta DNS pitanja i odgovore na isti šifrirani kanal koji koristi sigurni web (HTTPS, port 443)Rezultat je da više ne putuju "na otvorenom", što smanjuje mogućnost špijunaže, otmice upita i određenih napada tipa "čovjek u sredini". Nadalje, u mnogim testovima latencija se ne pogoršava značajno i čak se može poboljšati zahvaljujući optimizacijama transporta.

Ključna prednost je to što DoH se može omogućiti na razini aplikacije ili sustava, tako da se ne morate oslanjati na svog operatera ili usmjerivač da biste išta omogućili. To jest, možete se zaštititi "iz preglednika", bez dodirivanja bilo kakve mrežne opreme.

Važno je razlikovati DoH od DoT-a (DNS preko TLS-a): DoT šifrira DNS na portu 853 izravno preko TLS-a, dok ga DoH integrira u HTTP(S). DoT je jednostavniji u teoriji, ali Vjerojatnije je da će ga blokirati vatrozidovi koji režu neuobičajene portove; DoH, korištenjem 443, bolje zaobilazi ta ograničenja i sprječava prisilne "pushback" napade na nešifrirani DNS.

O privatnosti: Korištenje HTTPS-a ne podrazumijeva kolačiće ili praćenje u DoH-u; standardi izričito preporučuju protiv njegove upotrebe U tom kontekstu, TLS 1.3 također smanjuje potrebu za ponovnim pokretanjem sesija, minimizirajući korelacije. A ako ste zabrinuti zbog performansi, HTTP/3 preko QUIC-a može pružiti dodatna poboljšanja multipleksiranjem upita bez blokiranja.

Kako DNS funkcionira, uobičajeni rizici i gdje se DoH uklapa

Operativni sustav obično uči koji resolver koristiti putem DHCP-a; Kod kuće obično koristite usluge internetskih davatelja., u uredu, korporativnoj mreži. Kada je ova komunikacija nešifrirana (UDP/TCP 53), svatko na vašoj Wi-Fi mreži ili na ruti može vidjeti upitane domene, ubaciti lažne odgovore ili vas preusmjeriti na pretraživanja kada domena ne postoji, kao što to rade neki operateri.

Tipična analiza prometa otkriva portove, izvorne/odredišne ​​IP adrese i samu domenu; Ovo ne samo da otkriva navike pregledavanja, također olakšava povezivanje naknadnih veza, na primjer, s Twitter adresama ili slično, te zaključivanje koje ste točno stranice posjetili.

S DoT-om, DNS poruka ide unutar TLS-a na portu 853; s DoH-om, DNS upit je enkapsuliran u standardni HTTPS zahtjev, što također omogućuje njegovu upotrebu web aplikacijama putem API-ja preglednika. Oba mehanizma dijele istu osnovu: autentifikaciju poslužitelja s certifikatom i kanal šifriran od kraja do kraja.

Problem s novim portovima je taj što je uobičajeno da neke mreže blokiraju 853, potičući softver da se "povrati" na nešifrirani DNS. DoH to ublažava korištenjem 443, što je uobičajeno za web. DNS/QUIC također postoji kao još jedna obećavajuća opcija, iako zahtijeva otvoreni UDP i nije uvijek dostupan.

Čak i prilikom šifriranja transporta, budite oprezni s jednom nijansom: Ako razrješivač laže, šifra to ne ispravlja.U tu svrhu postoji DNSSEC, koji omogućuje provjeru integriteta odgovora, iako njegovo usvajanje nije široko rasprostranjeno i neki posrednici narušavaju njegovu funkcionalnost. Unatoč tome, DoH sprječava treće strane da usput špijuniraju ili manipuliraju vašim upitima.

Aktivirajte ga bez dodirivanja usmjerivača: preglednici i sustavi

Najjednostavniji način za početak je omogućiti DoH u vašem pregledniku ili operativnom sustavu. Ovako štitite upite od svog tima bez ovisnosti o firmveru rutera.

Google Chrome

U trenutnim verzijama možete otići na chrome://settings/security i, pod "Koristi sigurni DNS", aktivirajte opciju i odaberite pružatelja usluga (vaš trenutni pružatelj usluga ako podržava DoH ili neki s Googleovog popisa kao što su Cloudflare ili Google DNS).

U prethodnim verzijama Chrome je nudio eksperimentalnu opciju: tip chrome://flags/#dns-over-https, pretražite "Sigurne DNS pretrage" i promijenite ga s zadanog na omogućenoPonovno pokrenite preglednik da biste primijenili promjene.

Microsoft Edge (Chromium)

Edge baziran na Chromiumu uključuje sličnu opciju. Ako vam je potrebna, posjetite edge://flags/#dns-over-https, pronađite "Sigurne DNS pretrage" i omogućite to u OmogućenoU modernim verzijama, aktivacija je dostupna i u postavkama privatnosti.

Mozilla Firefox

Otvorite izbornik (gore desno) > Postavke > Općenito > pomaknite se prema dolje do "Postavke mreže", dodirnite Konfiguracija i označite "Omogući DNS putem HTTPS-aMožete birati između pružatelja usluga poput Cloudflarea ili NextDNS-a.

Ako preferirate finu kontrolu, u about:config prilagoditi network.trr.mode: 2 (oportunist) koristi DoH i pravi rezervnu opciju ako nije dostupno; 3 (stroga) naređenja DoH-a i ne uspijeva ako nema podrške. U strogom načinu rada, definirajte bootstrap resolver kao network.trr.bootstrapAddress=1.1.1.1.

Opera

Od verzije 65, Opera uključuje opciju za Omogući DoH s verzijom 1.1.1.1Prema zadanim postavkama je onemogućen i radi u oportunističkom načinu rada: ako 1.1.1.1:443 odgovori, koristit će DoH; inače se vraća na nešifrirani resolver.

Windows 10/11: Automatsko otkrivanje (AutoDoH) i registar

Windows može automatski omogućiti DoH s određenim poznatim resolverima. U starijim verzijama, možete prisiliti ponašanje iz registra: pokrenite regedit i idi na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Napravite DWORD (32-bitni) pod nazivom EnableAutoDoh s vrijednošću 2 y Ponovno pokrenite računaloOvo funkcionira ako koristite DNS poslužitelje koji podržavaju DoH.

Windows Server 2022: DNS klijent s izvornim DoH-om

Ugrađeni DNS klijent u sustavu Windows Server 2022 podržava DoH. Moći ćete koristiti DoH samo s poslužiteljima koji se nalaze na njihovom popisu "Poznati DoH". ili koje sami dodate. Za konfiguriranje iz grafičkog sučelja:

1. Otvorite postavke sustava Windows > Mreža i internet.
2. Unesi Ethernet i odaberite svoje sučelje.
3. Na mrežnom zaslonu pomaknite se prema dolje do Configuración de DNS i pritisnite Uredi.
4. Odaberite "Ručno" za definiranje preferiranih i alternativnih poslužitelja.
5. Ako su te adrese na poznatom DoH popisu, bit će omogućeno "Preferirana DNS enkripcija" sa tri opcije:
   • Samo enkripcija (DNS preko HTTPS-a): Prisilno aktiviranje DoH-a; ako poslužitelj ne podržava DoH, neće biti razlučivosti.
   • Preferiraj šifriranje, dopusti nešifriranoPokušava DoH i ako ne uspije, vraća se na nešifrirani klasični DNS.
   • Samo nešifriranoKoristi tradicionalni DNS u običnom tekstu.
6. Spremi za primjenu promjena.

Također možete upitati i proširiti popis poznatih DoH resolvera pomoću PowerShella. Za pregled trenutnog popisa:

Get-DNSClientDohServerAddress

Za registraciju novog poznatog DoH poslužitelja s vašim predloškom, koristite:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Imajte na umu da cmdlet Set-DNSClientServerAddress ne kontrolira sebe korištenje DoH-a; šifriranje ovisi o tome jesu li te adrese u tablici poznatih DoH poslužitelja. Trenutno ne možete konfigurirati DoH za DNS klijent sustava Windows Server 2022 iz Windows Admin Centra ili pomoću sconfig.cmd.

Grupne politike u sustavu Windows Server 2022

Postoji direktiva koja se zove "Konfiguriraj DNS putem HTTPS-a (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSKada je omogućeno, možete odabrati:

• Dopusti DoHKoristite DoH ako ga poslužitelj podržava; u suprotnom, upitajte nešifrirano.
• Zabrani DoHnikad ne koristi DoH.
• Zahtijeva DoH: prisiljava DoH; ako nema podrške, rješavanje ne uspijeva.

Važno: Ne omogućite "Zahtijevaj DoH" na računalima pridruženim domeniActive Directory se oslanja na DNS, a uloga DNS poslužitelja Windows Servera ne podržava DoH upite. Ako trebate osigurati DNS promet unutar AD okruženja, razmislite o korištenju IPsec pravila između klijenata i internih rješavača.

Ako ste zainteresirani za preusmjeravanje određenih domena na određene resolvere, možete koristiti NRPT (Tablica pravila za razrješavanje imena)Ako se odredišni poslužitelj nalazi na poznatom DoH popisu, te konzultacije putovat će kroz DoH.

Android, iOS i Linux

Na Androidu 9 i novijim verzijama, opcija Privatni DNS omogućuje DoT (ne DoH) s dva načina rada: "Automatski" (oportunistički, koristi mrežni resolver) i "Strogi" (morate navesti naziv hosta koji je potvrđen certifikatom; izravne IP adrese nisu podržane).

Na iOS-u i Androidu, aplikacija 1.1.1.1 Cloudflare omogućuje DoH ili DoT u strogom načinu rada koristeći VPN API za presretanje nešifriranih zahtjeva i proslijedite ih putem sigurnog kanala.

En Linux, systemd-resolved podržava DoT od systemd 239. Onemogućen je prema zadanim postavkama; nudi oportunistički način rada bez provjere valjanosti certifikata i strogi način rada (od 243) s CA provjerom valjanosti, ali bez SNI-a ili provjere imena, što slabi model povjerenja protiv napadača na cesti.

Na Linuxu, macOS-u ili Windowsu možete odabrati DoH klijent sa strogim načinom rada, kao što je cloudflared proxy-dns (prema zadanim postavkama koristi 1.1.1.1, iako možete definirati uzvodne tokove alternative).

Poznati DoH serveri (Windows) i kako ih dodati još

Windows Server uključuje popis razrješivača za koje se zna da podržavaju DoH. Možete to provjeriti pomoću PowerShella i dodajte nove unose ako je potrebno.

Ovo su poznati DoH serveri odmah po vađenju iz kutije:

Vlasnik poslužitelja	IP adrese DNS poslužitelja
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Za ver la lista, trčanje:

Get-DNSClientDohServerAddress

Za dodajte novi DoH resolver s njegovim predloškom, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Ako upravljate s više imenskih prostora, NRPT će vam omogućiti da upravljajte određenim domenama na određeni resolver koji podržava DoH.

Kako provjeriti je li DoH aktivan

U preglednicima posjetite https://1.1.1.1/help; tamo ćeš vidjeti je li Vaš promet koristi DoH s verzijom 1.1.1.1 ili ne. To je brzi test da vidite u kojem se statusu nalazite.

U sustavu Windows 10 (verzija 2004) možete pratiti klasični DNS promet (port 53) pomoću pktmon iz privilegirane konzole:

pktmon filter add -p 53
pktmon start --etw -m real-time

Ako se na 53-ici pojavljuje stalan tok paketa, vrlo je vjerojatno da još uvijek koristite nešifrirani DNSZapamtite: parametar --etw -m real-time zahtijeva 2004; u ranijim verzijama vidjet ćete grešku "nepoznati parametar".

Opcionalno: konfigurirajte ga na ruteru (MikroTik)

Ako želite centralizirati enkripciju na usmjerivaču, možete jednostavno omogućiti DoH na MikroTik uređajima. Prvo uvezite korijenski CA koji će potpisati poslužitelj na koji ćete se spojiti. Za Cloudflare možete preuzeti DigiCertGlobalRootCA.crt.pem.

Prenesite datoteku na usmjerivač (povlačenjem u "Datoteke") i idite na Sustav > Certifikati > Uvoz da ga ugradite. Zatim konfigurirajte DNS usmjerivača s URL-ovi DoH-a za CloudflareNakon što je aktivan, usmjerivač će dati prioritet šifriranoj vezi u odnosu na zadani nešifrirani DNS.

Da biste provjerili je li sve u redu, posjetite 1.1.1.1/pomoć s računala iza rutera. Također sve možete napraviti putem terminala u RouterOS-u ako želite.

Performanse, dodatna privatnost i ograničenja pristupa

Kad je riječ o brzini, dva su pokazatelja važna: vrijeme rješavanja problema i stvarno učitavanje stranice. Neovisni testovi (kao što je SamKnows) Zaključuju da je razlika između DoH-a i klasičnog DNS-a (Do53) marginalna na oba fronta; u praksi ne biste trebali primijetiti nikakvu sporost.

DoH šifrira "DNS upit", ali na mreži postoji više signala. Čak i ako sakrijete DNS, davatelj internetskih usluga mogao bi zaključiti stvari putem TLS veza (npr. SNI u nekim starijim scenarijima) ili drugih tragova. Za poboljšanje privatnosti možete istražiti DoT, DNSCrypt, DNSCurve ili klijente koji minimiziraju metapodatke.

Još ne podržavaju svi ekosustavi DoH. Mnogi stariji resolveri to ne nude., prisiljavajući oslanjanje na javne izvore (Cloudflare, Google, Quad9 itd.). To otvara raspravu o centralizaciji: koncentriranje upita na nekoliko aktera podrazumijeva troškove privatnosti i povjerenja.

U korporativnim okruženjima, DoH se može sukobiti sa sigurnosnim politikama koje se temelje na Nadzor ili filtriranje DNS-a (zlonamjerni softver, roditeljski nadzor, usklađenost s propisima). Rješenja uključuju MDM/grupne politike za postavljanje DoH/DoT razrješivača na strogi način rada ili u kombinaciji s kontrolama na razini aplikacije, koje su preciznije od blokiranja temeljenog na domeni.

DNSSEC nadopunjuje DoH: DoH štiti transport; DNSSEC validira odgovorPrihvaćanje je neravnomjerno, a neki posrednički uređaji ga prekidaju, ali trend je pozitivan. Na putu između resolvera i autoritativnih poslužitelja, DNS tradicionalno ostaje nešifriran; već postoje eksperimenti korištenja DoT-a među velikim operaterima (npr. 1.1.1.1 s autoritativnim poslužiteljima Facebooka) za poboljšanje zaštite.

Međualternativa je šifriranje samo između usmjerivač i resolver, ostavljajući vezu između uređaja i usmjerivača nešifriranom. Korisno na sigurnim žičnim mrežama, ali se ne preporučuje na otvorenim Wi-Fi mrežama: drugi korisnici mogli bi špijunirati ili manipulirati tim upitima unutar LAN-a.

Napravite vlastiti DoH resolver

Ako želite potpunu neovisnost, možete implementirati vlastiti resolver. Nevezano + Redis (L2 predmemorija) + Nginx je popularna kombinacija za posluživanje DoH URL-ova i filtriranje domena s automatski ažuriranim popisima.

Ovaj paket savršeno radi na skromnom VPS-u (na primjer, jedna jezgra/2 žice za obitelj). Postoje vodiči s uputama spremnim za korištenje, kao što je ovaj repozitorij: github.com/ousatov-ua/dns-filtering. Neki VPS pružatelji usluga nude kredite dobrodošlice za nove korisnike, tako da možete postaviti probno razdoblje po niskoj cijeni.

Pomoću vašeg privatnog resolvera možete odabrati izvore filtriranja, odrediti pravila zadržavanja i izbjegavajte centralizaciju upita trećim stranama. Zauzvrat, vi upravljate sigurnošću, održavanjem i visokom dostupnošću.

Prije završetka, napomena o valjanosti: na internetu se opcije, izbornici i nazivi često mijenjaju; neki stari vodiči su zastarjeli (Na primjer, pregledavanje "zastavica" u Chromeu više nije potrebno u novijim verzijama.) Uvijek provjerite dokumentaciju preglednika ili sustava.

Ako ste stigli dovde, već znate što DoH radi, kako se uklapa u slagalicu s DoT-om i DNSSEC-om i, što je najvažnije, kako ga odmah aktivirati na svom uređaju kako bi se spriječilo da DNS putuje u čistom obliku. S nekoliko klikova u pregledniku ili prilagodbama u sustavu Windows (čak i na razini pravila u Serveru 2022) imat ćete šifrirane upite; ako želite stvari podići na višu razinu, možete premjestiti šifriranje na MikroTik usmjerivač ili izgraditi vlastiti resolver. Ključno je u tome, Bez dodirivanja usmjerivača, možete zaštititi jedan od najtraženijih dijelova svog prometa danas..