כיצד להצפין את ה-DNS שלך מבלי לגעת בנתב שלך באמצעות DNS דרך HTTPS

DoH מצפין שאילתות DNS באמצעות HTTPS (פורט 443), משפר את הפרטיות ומונע שיבוש גישה.
ניתן להפעילו בדפדפנים ובמערכות (כולל Windows Server 2022) מבלי להיות תלוי בנתב.
ביצועים דומים ל-DNS קלאסי; משלימים DNSSEC לאימות תגובות.
שרתי DoH פופולריים (Cloudflare, Google, Quad9) והיכולת להוסיף או להגדיר רזולוטור משלכם.

¿איך להצפין את ה-DNS שלך מבלי לגעת בנתב שלך באמצעות DNS דרך HTTPS? אם אתם מודאגים לגבי מי יכול לראות לאילו אתרים אתם מתחברים, הצפנת שאילתות של מערכת שמות מתחם עם DNS דרך HTTPS זוהי אחת הדרכים הקלות ביותר להגביר את הפרטיות שלך מבלי שתצטרך להילחם עם הנתב שלך. עם DoH, המתרגם שממיר דומיינים לכתובות IP מפסיק לנוע בצורה חלקה ועובר דרך מנהרת HTTPS.

במדריך זה תמצאו, בשפה ישירה ובלי יותר מדי ז'רגון, מה בדיוק זה DoH, וכיצד זה שונה מאפשרויות אחרות כמו DoT, כיצד להפעיל אותו בדפדפנים ובמערכות הפעלה (כולל Windows Server 2022), כיצד לוודא שהוא אכן פועל, שרתים נתמכים, ואם אתם מרגישים אמיצים, אפילו כיצד להגדיר פותר DoH משלכם. הכל, בלי לגעת בראוטר...למעט סעיף אופציונלי עבור אלו שכן רוצים להגדיר אותו על MikroTik.

מה זה DNS דרך HTTPS (DoH) ולמה זה אולי אכפת לך?

גוגל DNS

כאשר מקלידים דומיין (לדוגמה, Xataka.com) המחשב שואל פותר DNS מהי כתובת ה-IP שלו; תהליך זה בדרך כלל מוצג בטקסט רגיל וכל אחד ברשת שלך, ספק האינטרנט שלך או מכשירים ביניים יכולים לגלוש או לתמרן אותו. זוהי המהות של DNS קלאסי: מהיר, נגיש בכל מקום... ושקוף לצדדים שלישיים.

וכאן נכנס לתמונה משרד החינוך: זה מעביר את שאלות ותשובות ה-DNS לאותו ערוץ מוצפן בו משתמשת האינטרנט המאובטח (HTTPS, פורט 443)התוצאה היא שהם כבר לא נוסעים "בשטח פתוח", מה שמפחית את האפשרות של ריגול, חטיפת שאילתות ותקיפות מסוימות מסוג "אדם באמצע". יתר על כן, בבדיקות רבות החביון לא מחמיר באופן משמעותי ואף ניתן לשפר זאת הודות לאופטימיזציות בתחבורה.

Una ventaja clave es que ניתן להפעיל את DoH ברמת האפליקציה או המערכת, כך שאינך צריך להסתמך על הספק או הנתב שלך כדי להפעיל דבר. כלומר, אתה יכול להגן על עצמך "מהדפדפן החוצה", מבלי לגעת בציוד רשת כלשהו.

חשוב להבחין בין DoH ל-DoT (DNS על פני TLS): DoT מצפין DNS בפורט 853 ישירות דרך TLS, בעוד ש-DoH משלב אותו לתוך HTTP(S). DoT פשוט יותר בתיאוריה, אבל סביר יותר שהוא ייחסם על ידי חומות אש שחותכים פורטים לא שגרתיים; משרד הבריאות, באמצעות 443, עוקף טוב יותר את ההגבלות הללו ומונע התקפות "דחיפה" כפויות ל-DNS לא מוצפן.

לגבי פרטיות: שימוש ב-HTTPS אינו מרמז על קובצי Cookie או מעקב ב-DoH; התקנים ממליצים במפורש נגד השימוש בהם בהקשר זה, TLS 1.3 גם מפחית את הצורך בהפעלה מחדש של סשנים, וממזער את המתאמים. ואם אתם מודאגים לגבי ביצועים, HTTP/3 על גבי QUIC יכול לספק שיפורים נוספים על ידי ריבוב שאילתות ללא חסימה.

כיצד DNS עובד, סיכונים נפוצים והיכן DoH משתלב

מערכת ההפעלה בדרך כלל לומדת באיזה רזולוטור להשתמש דרך DHCP; בבית אתה בדרך כלל משתמש בספק האינטרנט, במשרד, ברשת הארגונית. כאשר תקשורת זו אינה מוצפנת (UDP/TCP 53), כל מי שנמצא ברשת ה-Wi-Fi שלך או בנתיב יכול לראות דומיינים שנשאלו, להזריק תגובות מזויפות או להפנות אותך לחיפושים כאשר הדומיין אינו קיים, כפי שעושים חלק מהמפעילים.

ניתוח תעבורה טיפוסי חושף פורטים, כתובות IP של מקור/יעד ואת הדומיין עצמו שפועל; זה לא רק חושף הרגלי גלישה, זה גם מקל על הקישור בין חיבורים עוקבים, למשל לכתובות טוויטר או דומות, ולהסיק באילו דפים בדיוק ביקרת.

עם DoT, הודעת ה-DNS עוברת בתוך TLS בפורט 853; עם DoH, שאילתת ה-DNS מצורפת בבקשת HTTPS סטנדרטית, אשר מאפשר גם את השימוש בו על ידי יישומי אינטרנט דרך ממשקי API של דפדפן. שני המנגנונים חולקים את אותו הבסיס: אימות שרת עם תעודה וערוץ מוצפן מקצה לקצה.

תוכן בלעדי - לחץ כאן Como Usar Kali Linux

הבעיה עם פורטים חדשים היא שזה נפוץ ש... חלק מהרשתות חוסמות את 853, מה שמעודד תוכנות "לחזור" ל-DNS לא מוצפן. משרד הבריאות ממתן מצב זה באמצעות 443, שהוא נפוץ באינטרנט. DNS/QUIC קיים גם כאפשרות מבטיחה נוספת, אם כי הוא דורש UDP פתוח ואינו תמיד זמין.

אפילו בעת הצפנת תעבורה, יש להיזהר עם ניואנס אחד: אם הפתרון משקר, הצופן לא מתקן אותו.למטרה זו קיים DNSSEC, המאפשר אימות שלמות התגובות, למרות שאימוץו אינו נפוץ וחלק מהמתווכים מפרים את פונקציונליותו. למרות זאת, משרד הבריאות מונע מצדדים שלישיים בדרך לחטט או להתערב בשאילתות שלך.

הפעל אותו מבלי לגעת בנתב: דפדפנים ומערכות

הדרך הפשוטה ביותר להתחיל היא להפעיל את DoH בדפדפן או במערכת ההפעלה שלך. כך תסתירו שאילתות מהצוות שלכם מבלי להסתמך על קושחת הנתב.

גוגל כרום

בגרסאות הנוכחיות ניתן לעבור ל chrome://settings/security ותחת "השתמש ב-DNS מאובטח", הפעל את האפשרות ובחר את הספק (הספק הנוכחי שלך אם הוא תומך ב-DoH או אחד מהרשימה של גוגל כגון Cloudflare או Google DNS).

בגרסאות קודמות, Chrome הציע מתג ניסיוני: הקלד chrome://flags/#dns-over-https, חפשו "חיפושי DNS מאובטחים" ו שנה את זה מברירת מחדל לפעילהפעל מחדש את הדפדפן כדי להחיל את השינויים.

Microsoft Edge (Chromium)

Edge, המבוסס על Chromium, כולל אפשרות דומה. אם אתם זקוקים לה, גשו אל edge://flags/#dns-over-https, אתר את "חיפושי DNS מאובטחים" ו הפעל אותו ב- מופעלבגרסאות מודרניות, הפעלה זמינה גם בהגדרות הפרטיות שלך.

מוזילה פיירפוקס

פתחו את התפריט (למעלה מימין) > הגדרות > כללי > גלולו מטה אל "הגדרות רשת", הקישו על תְצוּרָה וסמן "הפעל DNS דרך HTTPS"אתה יכול לבחור מבין ספקים כמו Cloudflare או NextDNS."

אם אתם מעדיפים שליטה עדינה, ב about:config לְהַתְאִים network.trr.mode: 2 (אופורטוניסט) משתמש ב-DoH ויוצר גיבוי אם אינו זמין; 3 מנדטים (מחמירים) של משרד הבריאות ונכשל אם אין תמיכה. במצב קפדני, הגדר פותר אתחול כ network.trr.bootstrapAddress=1.1.1.1.

אוֹפֵּרָה

מאז גרסה 65, אופרה כוללת אפשרות ל הפעל את DoH עם 1.1.1.1הוא מושבת כברירת מחדל ופועל במצב אופורטוניסטי: אם 1.1.1.1:443 מגיב, הוא ישתמש ב-DoH; אחרת, הוא חוזר לרזולוטור הלא מוצפן.

Windows 10/11: זיהוי אוטומטי (AutoDoH) ורישום

Windows יכול להפעיל באופן אוטומטי DoH עם רזולוטורים ידועים מסוימים. בגרסאות קודמות, אתה יכול לכפות את ההתנהגות מהרישום: הפעל regedit וללכת אל HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

צור DWORD (32 סיביות) בשם EnableAutoDoh עם ערך 2 y הפעל מחדש את המחשבזה עובד אם אתה משתמש בשרתי DNS שתומכים ב-DoH.

Windows Server 2022: לקוח DNS עם DoH מקורי

לקוח ה-DNS המובנה ב-Windows Server 2022 תומך ב-DoH. תוכלו להשתמש ב-DoH רק עם שרתים שנמצאים ברשימת "DoH ידוע" שלהם. או שאתה מוסיף בעצמך. כדי להגדיר אותו מהממשק הגרפי:

פתח את הגדרות Windows > רשת ואינטרנט.
לְהַכנִיס אתרנט ובחר את הממשק שלך.
במסך הרשת, גלול מטה אל הגדרות DNS ולחץ לַעֲרוֹך.
בחר "ידני" כדי להגדיר שרתים מועדפים ושרתים חלופיים.
אם כתובות אלו נמצאות ברשימת ה-DoH הידועה, היא תופעל "הצפנת DNS מועדפת" עם שלוש אפשרויות:
- הצפנה בלבד (DNS מעל HTTPS)כפיית DoH; אם השרת אינו תומך ב-DoH, לא תהיה פתרון.
- העדיפו הצפנה, אפשרו לא מוצפניםמנסה DoH, ואם זה נכשל, חוזר ל-DNS קלאסי לא מוצפן.
- לא מוצפן בלבדמשתמש ב-DNS טקסט רגיל מסורתי.
שמור כדי להחיל את השינויים.

ניתן גם לבצע שאילתה ולהרחיב את רשימת פותרי DoH ידועים באמצעות PowerShell. כדי לראות את הרשימה הנוכחית:

Get-DNSClientDohServerAddress

כדי לרשום שרת DoH חדש ידוע עם התבנית שלך, השתמש ב:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

שים לב ש-cmdlet Set-DNSClientServerAddress לא שולט בעצמו השימוש ב-DoH; ההצפנה תלויה בשאלה האם כתובות אלו נמצאות בטבלת שרתי DoH ידועים. לא ניתן כעת להגדיר DoH עבור לקוח DNS של Windows Server 2022 ממרכז הניהול של Windows או באמצעות sconfig.cmd.

מדיניות קבוצתית ב-Windows Server 2022

יש הנחיה שנקראת "הגדרת DNS דרך HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSכאשר מופעל, ניתן לבחור:

אפשר משרד הרווחההשתמש ב-DoH אם השרת תומך בכך; אחרת, בצע שאילתה ללא הצפנה.
באן דו-האף פעם לא משתמש ב-DoH.
דרוש משרד הבריאות: כופה על DoH; אם אין תמיכה, הפתרון נכשל.

תוכן בלעדי - לחץ כאן האם בטוח להשתמש במצב משחק עם האנטי-וירוס החינמי של פנדה?

חָשׁוּב: אל תפעילו את "דרוש DoH" במחשבים המחוברים לדומייןActive Directory מסתמך על DNS, ותפקיד שרת ה-DNS של Windows Server אינו תומך בשאילתות DoH. אם עליך לאבטח את תעבורת ה-DNS בתוך סביבת AD, שקול להשתמש כללי IPsec בין לקוחות לפותרים פנימיים.

אם אתם מעוניינים להפנות דומיינים ספציפיים לרזולוטורים ספציפיים, תוכלו להשתמש ב- טבלת מדיניות פתרון שמות (NRPT)אם שרת היעד נמצא ברשימת ה-DoH הידועה, ההתייעצויות הללו ייסע דרך משרד הבריאות.

אנדרואיד, iOS ולינוקס

באנדרואיד 9 ומעלה, האפשרות DNS privado מאפשר DoT (לא DoH) בשני מצבים: "אוטומטי" (אופורטוניסטי, לוקח את פותר הרשת) ו-"קפדני" (עליך לציין שם מארח המאומת על ידי אישור; כתובות IP ישירות אינן נתמכות).

ב-iOS וב-Android, האפליקציה 1.1.1.1 Cloudflare מאפשר ל-DoH או DoT במצב קפדני באמצעות ממשק ה-API של VPN ליירט בקשות לא מוצפנות ו- להעביר אותם דרך ערוץ מאובטח.

En Linux, systemd-resolved תומך ב-DoT מאז systemd 239. הוא מושבת כברירת מחדל; הוא מציע מצב אופורטוניסטי ללא אימות אישורים ומצב קפדני (מאז systemd 243) עם אימות CA אך ללא אימות SNI או שם, אשר... מחליש את מודל האמון נגד תוקפים בכביש.

ב-Linux, macOS או Windows, ניתן לבחור בלקוח DoH במצב קפדני כגון cloudflared proxy-dns (כברירת מחדל הוא משתמש ב-1.1.1.1, למרות אתה יכול להגדיר זרמי עלייה חלופות).

שרתי DoH ידועים (Windows) וכיצד להוסיף עוד

שרת Windows כולל רשימה של רזולוטורים הידועים כתומכים ב-DoH. אתה יכול לבדוק את זה עם PowerShell ולהוסיף רשומות חדשות במידת הצורך.

אלה הם ה שרתי DoH ידועים ישירות מהקופסה:

בעל השרת	כתובות IP של שרתי DNS
קלאודפלאר	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
גוגל	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

עֲבוּר ver la lista, לרוץ:

Get-DNSClientDohServerAddress

עֲבוּר הוסף פותר DoH חדש עם התבנית שלו, משתמש ב:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

אם אתם מנהלים מספר מרחבי שמות, ה-NRPT יאפשר לכם ניהול דומיינים ספציפיים לרזולוטור ספציפי התומך ב-DoH.

כיצד לבדוק אם DoH פעיל

בדפדפנים, בקרו https://1.1.1.1/helpשם תראה אם התעבורה שלך משתמשת ב-DoH עם 1.1.1.1 או לא. זוהי בדיקה מהירה כדי לראות באיזה סטטוס אתה נמצא.

ב-Windows 10 (גרסה 2004), ניתן לנטר תעבורת DNS קלאסית (פורט 53) באמצעות פקטמון מקונסולה מועדפת:

pktmon filter add -p 53
pktmon start --etw -m real-time

אם מופיע זרם קבוע של חבילות על ה-53, סביר מאוד ש... אתה עדיין משתמש ב-DNS לא מוצפןזכור: הפרמטר --etw -m real-time דורש את 2004; בגרסאות קודמות תראה שגיאת "פרמטר לא ידוע".

אופציונלי: הגדר אותו בנתב (MikroTik)

אם אתם מעדיפים לרכז את ההצפנה בנתב, תוכלו בקלות להפעיל DoH במכשירי MikroTik. ראשית, ייבא את רשות האישור הבסיסית אשר ייחתם על ידי השרת שאליו תתחברו. עבור Cloudflare תוכלו להוריד DigiCertGlobalRootCA.crt.pem.

העלה את הקובץ לנתב (על ידי גרירתו ל"קבצים") ועבור אל מערכת > אישורים > ייבוא כדי לשלב אותו. לאחר מכן, הגדר את ה-DNS של הנתב עם ה- כתובות URL של Cloudflare DoHלאחר הפעלת הנתב, הוא ייתן עדיפות לחיבור המוצפן על פני ה-DNS הלא מוצפן המוגדר כברירת מחדל.

תוכן בלעדי - לחץ כאן ¿Cómo Saber Si Tienes el Móvil Pinchado?

כדי לוודא שהכל תקין, בקרו באתר 1.1.1.1/עזרה ממחשב מאחורי הראוטר. אפשר גם לעשות הכל דרך הטרמינל ב-RouterOS אם אתה מעדיף.

ביצועים, פרטיות נוספת ומגבלות הגישה

כשמדובר במהירות, שני מדדים חשובים: זמן פתרון וטעינת הדף בפועל. בדיקות עצמאיות (כגון SamKnows) הם מסיקים שההבדל בין DoH ל-DNS קלאסי (Do53) הוא שולי בשני התחומים; בפועל, לא אמורה להבחין באיטיות כלשהי.

DoH מצפין את "שאילתת ה-DNS", אך ישנם אותות נוספים ברשת. אפילו אם תסתירו את ה-DNS, ספק אינטרנט יכול להסיק דברים באמצעות חיבורי TLS (למשל, SNI בתרחישים מדור קודם מסוימים) או עקבות אחרות. כדי לשפר את הפרטיות, ניתן לחקור DoT, DNSCrypt, DNSCurve או לקוחות שממזערים מטא-נתונים.

לא כל המערכת האקולוגית תומכת עדיין ב-DoH. רזולוטורים מדור קודם רבים אינם מציעים זאת., מה שכופה הסתמכות על מקורות ציבוריים (Cloudflare, Google, Quad9 וכו'). זה פותח את הדיון על ריכוזיות: ריכוז שאילתות על מספר גורמים כרוך בעלויות של פרטיות ואמון.

בסביבות ארגוניות, משרד הבריאות עלול להתנגש עם מדיניות אבטחה המבוססת על ניטור או סינון DNS (תוכנות זדוניות, בקרות הורים, תאימות לחוק). הפתרונות כוללים MDM/מדיניות קבוצתית כדי להגדיר פותר של DoH/DoT למצב קפדני, או שילוב עם בקרות ברמת האפליקציה, שהן מדויקות יותר מחסימה מבוססת דומיין.

DNSSEC משלים את משרד הבריאות: משרד הבריאות מגן על ההובלה; DNSSEC מאמת את התגובההאימוץ אינו אחיד, וכמה התקנים ביניים שוברים אותו, אך המגמה חיובית. לאורך המסלול בין רזולוורים לשרתים סמכותיים, DNS נותר באופן מסורתי לא מוצפן; כבר ישנם ניסויים המשתמשים ב-DoT בקרב מפעילים גדולים (למשל, 1.1.1.1 עם השרתים הסמכותיים של פייסבוק) כדי לשפר את ההגנה.

אלטרנטיבה ביניים היא להצפין רק בין הנתב והרזולבר, ומשאיר את החיבור בין המכשירים לנתב ללא הצפנה. שימושי ברשתות קוויות מאובטחות, אך לא מומלץ ברשתות Wi-Fi פתוחות: משתמשים אחרים עלולים לרגל או לתפעל שאילתות אלו בתוך הרשת המקומית.

צור פותר DoH משלך

אם אתם רוצים עצמאות מוחלטת, תוכלו לפרוס את הרזולוטור שלכם. לא מחויב + Redis (מטמון L2) + Nginx הוא שילוב פופולרי להצגת כתובות URL של DoH ולסינון דומיינים עם רשימות הניתנות לעדכון אוטומטי.

מחסנית זו פועלת בצורה מושלמת על VPS צנוע (לדוגמה, ליבה אחת/2 חוטים (למשפחה). ישנם מדריכים עם הוראות מוכנות לשימוש, כמו למשל במאגר הזה: github.com/ousatov-ua/dns-filtering. חלק מספקי ה-VPS מציעים נקודות זכות קבלת פנים עבור משתמשים חדשים, כך שתוכלו להגדיר תקופת ניסיון בעלות נמוכה.

בעזרת הרזולוטור הפרטי שלך, תוכל לבחור את מקורות הסינון שלך, להחליט על מדיניות שמירה ו הימנעו מריכוז השאילתות שלכם לצדדים שלישיים. בתמורה, אתם מנהלים את האבטחה, התחזוקה והזמינות הגבוהה.

לפני סיום, הערה חשובה: באינטרנט, אפשרויות, תפריטים ושמות משתנים לעתים קרובות; חלק מהמדריכים הישנים מיושנים (לדוגמה, מעבר על "דגלים" בכרום כבר אינו הכרחי בגרסאות האחרונות.) יש לבדוק תמיד בתיעוד הדפדפן או המערכת.

אם הגעתם עד הלום, אתם כבר יודעים מה DoH עושה, איך זה משתלב בפאזל עם DoT ו-DNSSEC, וחשוב מכל, איך להפעיל את זה עכשיו במכשיר שלך כדי למנוע מ-DNS לנוע בצורה חלקה. עם כמה לחיצות בדפדפן או התאמות ב-Windows (אפילו ברמת המדיניות ב-Server 2022) יהיו לך שאילתות מוצפנות; אם אתה רוצה לקחת את הדברים לשלב הבא, אתה יכול להעביר את ההצפנה לנתב MikroTik או לבנות רזולוטור משלך. המפתח הוא ש, בלי לגעת בנתב שלך, אתה יכול להגן על אחד החלקים המרוכלים ביותר בתעבורה שלך כיום..

כריסטיאן גרסיה

נלהב לטכנולוגיה מאז שהיה קטן. אני אוהב להיות מעודכן במגזר ומעל הכל לתקשר אותו. לכן אני מוקדש לתקשורת באתרי טכנולוגיה ומשחקי וידאו כבר שנים רבות. אתה יכול למצוא אותי כותב על אנדרואיד, Windows, MacOS, iOS, נינטנדו או כל נושא אחר שעולה על דעתך.