DoH를 사용하여 라우터를 건드리지 않고 DNS를 암호화하는 방법: 완전한 가이드

¿HTTPS를 통한 DNS를 사용하여 라우터를 건드리지 않고 DNS를 암호화하는 방법은 무엇입니까? 귀하가 어떤 웹사이트에 접속하는지 누가 볼 수 있는지 걱정된다면, HTTPS를 통한 DNS로 도메인 이름 시스템 쿼리 암호화 라우터와 씨름하지 않고도 개인정보 보호를 강화하는 가장 쉬운 방법 중 하나입니다. DoH를 사용하면 도메인을 IP 주소로 변환하는 변환기가 암호화되지 않은 상태로 전송되는 것을 중단하고 HTTPS 터널을 통과합니다.

이 가이드에서는 너무 많은 전문 용어 없이 직접적인 언어로 다음 내용을 찾을 수 있습니다. DoH가 정확히 무엇이며 DoT와 같은 다른 옵션과 어떻게 다른가요?브라우저 및 운영 체제(Windows Server 2022 포함)에서 활성화하는 방법, 실제로 작동하는지 확인하는 방법, 지원되는 서버, 그리고 용기가 있다면 DoH 리졸버를 직접 설정하는 방법까지 모두 알려드립니다. 라우터를 건드리지 않고…MikroTik에서 구성하려는 사람들을 위한 선택 섹션은 제외됩니다.

HTTPS(DoH)를 통한 DNS란 무엇이며 왜 관심을 가져야 할까요?

도메인(예: Xataka.com)을 입력하면 컴퓨터는 DNS 확인자에게 해당 IP가 무엇인지 묻습니다. 이 프로세스는 일반적으로 일반 텍스트로 진행됩니다. 네트워크, 인터넷 제공업체, 또는 중간 장치에 있는 누구든 이를 염탐하거나 조작할 수 있습니다. 이것이 바로 클래식 DNS의 핵심입니다. 빠르고, 어디에나 존재하며, 제3자에게 투명합니다.

여기서 DoH가 등장합니다. 이는 DNS 질문과 답변을 보안 웹(HTTPS, 포트 443)에서 사용하는 동일한 암호화 채널로 이동합니다.결과적으로 이러한 기기는 더 이상 "공개된" 상태로 이동하지 않아 간첩, 쿼리 하이재킹, 그리고 특정 중간자 공격의 가능성을 줄입니다. 또한, 여러 테스트에서 지연 시간이 눈에 띄게 악화되지 않습니다. 운송 최적화를 통해 더욱 개선될 수도 있습니다.

Una ventaja clave es que DoH는 애플리케이션 또는 시스템 수준에서 활성화될 수 있습니다.따라서 통신사나 라우터에 의존할 필요가 없습니다. 즉, 네트워크 장비를 건드리지 않고도 "브라우저 외부"로부터 자신을 보호할 수 있습니다.

DoH와 DoT(TLS를 통한 DNS)를 구별하는 것이 중요합니다. DoT가 포트 853의 DNS를 암호화합니다. TLS를 통해 직접 처리하는 반면 DoH는 이를 HTTP(S)에 통합합니다. DoT는 이론적으로는 더 간단하지만 방화벽에 의해 차단될 가능성이 더 높습니다. 흔하지 않은 포트를 차단합니다. DoH는 443을 사용하여 이러한 제한을 더 잘 우회하고 암호화되지 않은 DNS에 대한 강제 "푸시백" 공격을 방지합니다.

개인정보 보호에 관하여: HTTPS를 사용한다고 해서 DoH에서 쿠키나 추적이 사용되는 것은 아닙니다. 표준에서는 명시적으로 사용을 권장하지 않습니다. 이러한 맥락에서 TLS 1.3은 세션 재시작 필요성을 줄여 상관관계를 최소화합니다. 또한, 성능이 우려된다면 QUIC 기반 HTTP/3을 통해 차단 없이 쿼리를 다중화하여 추가적인 성능 향상을 제공할 수 있습니다.

DNS 작동 방식, 일반적인 위험 및 DoH의 적용 범위

운영 체제는 일반적으로 DHCP를 통해 어떤 리졸버를 사용할지 학습합니다. 집에서는 보통 ISP를 사용합니다.사무실이나 회사 네트워크에서 이러한 통신이 암호화되지 않으면(UDP/TCP 53), Wi-Fi 또는 경로에 있는 모든 사람이 쿼리된 도메인을 보거나, 가짜 응답을 삽입하거나, 일부 통신사처럼 도메인이 존재하지 않는 검색으로 리디렉션될 수 있습니다.

일반적인 트래픽 분석에서는 포트, 소스/대상 IP, 도메인 자체가 확인된 것을 보여줍니다. 이는 검색 습관을 노출할 뿐만 아니라또한 이를 통해 이후의 연결을 Twitter 주소 등과 연관시키고, 어떤 페이지를 방문했는지 정확하게 추론하는 것이 더 쉬워집니다.

DoT를 사용하면 DNS 메시지가 포트 853의 TLS 내부로 전송되고 DoH를 사용하면 DNS 쿼리는 표준 HTTPS 요청에 캡슐화됩니다.브라우저 API를 통해 웹 애플리케이션에서도 사용할 수 있습니다. 두 메커니즘 모두 인증서를 사용한 서버 인증과 종단 간 암호화 채널이라는 동일한 기반을 공유합니다.

새로운 포트의 문제점은 다음과 같습니다. 일부 네트워크는 853을 차단합니다소프트웨어가 암호화되지 않은 DNS로 "회피"하도록 유도합니다. DoH는 웹에서 흔히 사용되는 443을 사용하여 이러한 문제를 완화합니다. DNS/QUIC 또한 유망한 옵션으로 존재하지만, 개방형 UDP가 필요하고 항상 사용 가능한 것은 아닙니다.

전송을 암호화할 때에도 한 가지 뉘앙스에는 주의하세요. 해석자가 거짓말을 하면 암호는 그것을 수정하지 않습니다.이러한 목적을 위해 DNSSEC이 존재하며, 응답 무결성 검증을 허용합니다. 하지만 널리 채택되지는 않았고 일부 중개자가 기능을 손상시키기도 합니다. 그럼에도 불구하고 DoH는 제3자가 사용자의 쿼리를 엿보거나 변조하는 것을 방지합니다.

라우터를 건드리지 않고 활성화: 브라우저 및 시스템

가장 간단한 시작 방법은 브라우저나 운영 체제에서 DoH를 활성화하는 것입니다. 팀으로부터 질문을 보호하는 방법은 다음과 같습니다. 라우터 펌웨어에 의존하지 않고.

구글 크롬

현재 버전에서는 다음으로 이동할 수 있습니다. chrome://settings/security 그리고 "보안 DNS 사용"에서 옵션을 활성화하고 공급자를 선택하세요 (DoH를 지원하는 경우 현재 공급업체 또는 Cloudflare나 Google DNS와 같이 Google 목록에 있는 공급업체)

이전 버전에서는 Chrome에서 실험적 스위치를 제공했습니다. chrome://flags/#dns-over-https, "보안 DNS 조회"를 검색하고 기본값에서 활성화로 변경하세요. 변경 사항을 적용하려면 브라우저를 다시 시작하세요.

Microsoft Edge (Chromium)

Chromium 기반 Edge에도 비슷한 옵션이 있습니다. 필요하시면 여기로 이동하세요. edge://flags/#dns-over-https, "보안 DNS 조회"를 찾아 활성화로 활성화하세요최신 버전에서는 개인정보 보호 설정에서도 활성화가 가능합니다.

모질라 파이어폭스

메뉴(오른쪽 상단)를 열고 설정 > 일반 > "네트워크 설정"까지 아래로 스크롤하여 탭합니다. 구성 그리고 "표시"Activar DNS 서버 HTTPS”. Cloudflare나 NextDNS와 같은 공급업체 중에서 선택할 수 있습니다.

정밀한 제어를 선호한다면 about:config 조정하다 network.trr.mode: 2 (기회주의자)는 DoH를 사용하여 대체 조치를 취합니다. 사용할 수 없는 경우 3 (엄격한) DoH 명령 지원이 없으면 실패합니다. 엄격 모드에서는 부트스트랩 리졸버를 다음과 같이 정의합니다. network.trr.bootstrapAddress=1.1.1.1.

오페라

Opera는 버전 65부터 다음 옵션을 포함합니다. 1.1.1.1로 DoH 활성화기본적으로 비활성화되어 있으며 기회주의 모드로 작동합니다. 1.1.1.1:443이 응답하면 DoH를 사용하고, 그렇지 않으면 암호화되지 않은 리졸버로 대체됩니다.

Windows 10/11: 자동 감지(AutoDoH) 및 레지스트리

Windows는 알려진 특정 리졸버를 사용하여 DoH를 자동으로 활성화할 수 있습니다. 이전 버전에서는 당신은 행동을 강요할 수 있습니다 레지스트리에서: 실행 regedit 그리고 가세요 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

DWORD(32비트)를 생성합니다. EnableAutoDoh 값과 함께 2 y 컴퓨터를 재시작하세요DoH를 지원하는 DNS 서버를 사용하는 경우 이 방법이 효과적입니다.

Windows Server 2022: 기본 DoH를 갖춘 DNS 클라이언트

Windows Server 2022의 기본 제공 DNS 클라이언트는 DoH를 지원합니다. "알려진 DoH" 목록에 있는 서버에서만 DoH를 사용할 수 있습니다. 또는 직접 추가할 수도 있습니다. 그래픽 인터페이스에서 구성하려면 다음을 수행하세요.

1. Windows 설정 열기 > 네트워크 및 인터넷.
2. 입력하다 이더넷 그리고 인터페이스를 선택하세요.
3. 네트워크 화면에서 아래로 스크롤하세요. DNS 설정 그리고 누르세요 편집하다.
4. 선호하는 서버와 대체 서버를 정의하려면 "수동"을 선택하세요.
5. 해당 주소가 알려진 DoH 목록에 있는 경우 활성화됩니다. "선호하는 DNS 암호화" 세 가지 옵션:
   • 암호화만(HTTPS를 통한 DNS): DoH를 강제로 실행합니다. 서버가 DoH를 지원하지 않으면 해결 방법이 없습니다.
   • 암호화를 선호하고 암호화되지 않은 것을 허용합니다.: DoH를 시도하고 실패하면 암호화되지 않은 기존 DNS로 돌아갑니다.
   • 암호화되지 않음만: 기존의 평문 DNS를 사용합니다.
6. 변경 사항을 적용하려면 저장하세요.

PowerShell을 사용하여 알려진 DoH 확인자 목록을 쿼리하고 확장할 수도 있습니다. 현재 목록을 보려면:

Get-DNSClientDohServerAddress

템플릿에 새로 알려진 DoH 서버를 등록하려면 다음을 사용하세요.

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

cmdlet을 참고하세요 Set-DNSClientServerAddress 스스로를 통제하지 못한다 DoH 사용. 암호화는 해당 주소가 알려진 DoH 서버 테이블에 있는지 여부에 따라 달라집니다. 현재 Windows Admin Center 또는 다음을 통해 Windows Server 2022 DNS 클라이언트에 대한 DoH를 구성할 수 없습니다. sconfig.cmd.

Windows Server 2022의 그룹 정책

라는 지시가 있습니다 “HTTPS를 통한 DNS 구성(DoH)” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. 활성화하면 다음을 선택할 수 있습니다.

• DoH 허용: 서버가 지원하면 DoH를 사용하고, 그렇지 않으면 암호화되지 않은 쿼리를 사용합니다.
• 반 도흐: DoH를 사용하지 않습니다.
• DoH가 필요합니다: DoH를 강제로 실행합니다. 지원하지 않으면 해결이 실패합니다.

중요한: 도메인에 가입된 컴퓨터에서 "DoH 필요"를 활성화하지 마십시오.Active Directory는 DNS를 사용하며, Windows Server DNS 서버 역할은 DoH 쿼리를 지원하지 않습니다. AD 환경 내에서 DNS 트래픽을 보호해야 하는 경우 다음을 사용하는 것이 좋습니다. IPsec 규칙 클라이언트와 내부 확인자 간.

특정 도메인을 특정 리졸버로 리디렉션하는 데 관심이 있는 경우 다음을 사용할 수 있습니다. NRPT(이름 확인 정책 테이블). 대상 서버가 알려진 DoH 목록에 있는 경우 그 협의들 DoH를 통과할 예정입니다.

안드로이드, iOS, 리눅스

Android 9 이상에서는 옵션 개인 DNS 두 가지 모드, 즉 "자동"(기회적, 네트워크 확인자 사용)과 "엄격"(인증서로 검증된 호스트 이름을 지정해야 함, 직접 IP는 지원되지 않음)을 사용하여 DoT(DoH 아님)를 허용합니다.

iOS 및 Android에서 앱 1.1.1.1 Cloudflare는 VPN API를 사용하여 암호화되지 않은 요청을 가로채기 위해 엄격 모드에서 DoH 또는 DoT를 활성화합니다. 안전한 채널을 통해 전달합니다.

리눅스에서는, systemd-resolved systemd 239 이후 DoT를 지원합니다. 기본적으로 비활성화되어 있으며 인증서 검증 없이 기회주의 모드와 SNI 또는 이름 검증 없이 CA 검증을 포함하는 엄격 모드(243 이후)를 제공합니다. 신뢰 모델을 약화시킨다 도로 위의 공격자에 대항하여.

Linux, macOS 또는 Windows에서는 다음과 같은 엄격한 모드 DoH 클라이언트를 선택할 수 있습니다. cloudflared proxy-dns (기본적으로 1.1.1.1을 사용하지만 상류를 정의할 수 있습니다 대안).

알려진 DoH 서버(Windows) 및 추가 방법

Windows Server에는 DoH를 지원하는 것으로 알려진 확인자 목록이 포함되어 있습니다. PowerShell로 확인할 수 있습니다. 필요한 경우 새로운 항목을 추가하세요.

이것들은 알려진 DoH 서버:

서버 소유자	DNS 서버 IP 주소
클라우드플레어	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

을 위한 ver la lista, 운영:

Get-DNSClientDohServerAddress

을 위한 템플릿을 사용하여 새로운 DoH 리졸버를 추가합니다.용도:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

여러 네임스페이스를 관리하는 경우 NRPT를 사용하면 다음을 수행할 수 있습니다. 특정 도메인 관리 DoH를 지원하는 특정 리졸버로.

DoH가 활성화되어 있는지 확인하는 방법

브라우저에서 방문하세요 https://1.1.1.1/help; 거기서 당신은 볼 수 있을 것입니다 귀하의 트래픽은 DoH를 사용하고 있습니다 1.1.1.1인지 아닌지. 현재 상태를 빠르게 테스트해 볼 수 있습니다.

Windows 10(버전 2004)에서는 다음을 사용하여 클래식 DNS 트래픽(포트 53)을 모니터링할 수 있습니다. pctmon 권한이 있는 콘솔에서:

pktmon filter add -p 53
pktmon start --etw -m real-time

53에 패킷의 지속적인 스트림이 나타나면 매우 가능성이 높습니다. 아직도 암호화되지 않은 DNS를 사용하고 계시네요. 기억하세요: 매개변수 --etw -m real-time 2004가 필요합니다. 이전 버전에서는 "알 수 없는 매개변수" 오류가 표시됩니다.

선택 사항: 라우터(MikroTik)에서 구성하세요.

라우터에서 암호화를 중앙화하려는 경우 MikroTik 장치에서 DoH를 쉽게 활성화할 수 있습니다. 먼저 루트 CA를 가져옵니다. 연결할 서버에서 서명합니다. Cloudflare의 경우 다운로드할 수 있습니다. DigiCertGlobalRootCA.crt.pem.

파일을 라우터에 업로드(파일로 끌어서 놓기)하고 다음으로 이동합니다. 시스템 > 인증서 > 가져오기 이를 통합하려면 라우터의 DNS를 다음과 같이 구성하세요. Cloudflare DoH URL활성화되면 라우터는 기본 암호화되지 않은 DNS보다 암호화된 연결을 우선시합니다.

모든 것이 제대로 되어 있는지 확인하려면 다음을 방문하세요. 1.1.1.1/도움말 라우터 뒤에 있는 컴퓨터에서. 터미널을 통해서도 모든 작업을 할 수 있습니다 원하시면 RouterOS에서 사용하세요.

성능, 추가 개인 정보 보호 및 접근 방식의 한계

속도와 관련해서는 해결 시간과 실제 페이지 로드라는 두 가지 측정 항목이 중요합니다. 독립적인 테스트(예: SamKnows) 그들은 DoH와 기존 DNS(Do53)의 차이가 두 가지 측면에서 모두 미미하다고 결론지었습니다. 실제로는 속도 저하를 느낄 수 없습니다.

DoH는 "DNS 쿼리"를 암호화하지만 네트워크에는 더 많은 신호가 있습니다. DNS를 숨기더라도 ISP는 다음과 같은 사항을 유추할 수 있습니다. TLS 연결(예: 일부 레거시 시나리오의 SNI) 또는 기타 추적을 통해 가능합니다. 개인정보 보호 강화를 위해 DoT, DNSCrypt, DNSCurve 또는 메타데이터를 최소화하는 클라이언트를 활용할 수 있습니다.

아직 모든 생태계가 DoH를 지원하는 것은 아닙니다. 많은 레거시 리졸버는 이 기능을 제공하지 않습니다., 공개 소스(Cloudflare, Google, Quad9 등)에 대한 의존을 강요합니다. 이는 중앙 집중화에 대한 논쟁을 불러일으킵니다. 쿼리를 소수의 행위자에게 집중시키는 것은 개인정보 보호 및 신뢰 비용을 수반합니다.

기업 환경에서 DoH는 다음을 기반으로 하는 보안 정책과 충돌할 수 있습니다. DNS 모니터링 또는 필터링 (맬웨어, 자녀 보호 기능, 법률 준수). 솔루션에는 DoH/DoT 리졸버를 엄격 모드로 설정하는 MDM/그룹 정책이 포함되거나, 도메인 기반 차단보다 더 정확한 애플리케이션 수준 제어와 결합되는 방식이 있습니다.

DNSSEC는 DoH를 보완합니다. DoH는 전송을 보호하고 DNSSEC는 응답을 검증합니다.도입률은 균등하지 않으며 일부 중간 장치에서는 이를 깨뜨리기도 하지만, 추세는 긍정적입니다. 리졸버와 권한 서버 간의 경로에서 DNS는 전통적으로 암호화되지 않은 상태로 유지됩니다. 대규모 운영사(예: Facebook 권한 서버를 사용하는 1.1.1.1)에서는 DoT를 사용하여 보안을 강화하는 실험이 이미 진행 중입니다.

중간 대안은 다음 사이에서만 암호화하는 것입니다. 라우터와 리졸버장치와 라우터 간의 연결을 암호화하지 않습니다. 보안 유선 네트워크에서는 유용하지만, 개방형 Wi-Fi 네트워크에서는 권장하지 않습니다. 다른 사용자가 LAN 내에서 이러한 쿼리를 감시하거나 조작할 수 있기 때문입니다.

DoH 리졸버를 직접 만들어 보세요

완전한 독립성을 원한다면 자체 리졸버를 배포할 수 있습니다. 언바운드 + Redis(L2 캐시) + Nginx DoH URL을 제공하고 자동으로 업데이트 가능한 목록으로 도메인을 필터링하는 데 널리 사용되는 조합입니다.

이 스택은 적당한 VPS(예: 1코어/2와이어 (가족을 위해). 이 저장소와 같이 바로 사용할 수 있는 지침이 담긴 가이드가 있습니다: github.com/ousatov-ua/dns-filtering. 일부 VPS 제공업체는 환영 크레딧을 제공합니다. 신규 사용자의 경우 저렴한 비용으로 체험판을 설정할 수 있습니다.

개인 리졸버를 사용하면 필터링 소스를 선택하고 보존 정책을 결정할 수 있습니다. 질의를 중앙 집중화하지 마십시오 제3자에게 제공합니다. 그 대가로 보안, 유지 관리 및 고가용성을 관리합니다.

마무리하기 전에 유의사항을 하나 알려드리겠습니다. 인터넷에서는 옵션, 메뉴, 이름이 자주 변경됩니다. 일부 오래된 가이드는 오래되었습니다 (예를 들어, 최신 버전에서는 Chrome에서 "플래그"를 살펴볼 필요가 없습니다.) 항상 브라우저나 시스템 설명서를 확인하세요.

여기까지 읽으셨다면 DoH가 무엇을 하는지, DoT 및 DNSSEC와 어떻게 연관되는지, 그리고 가장 중요한 것은 무엇인지 이미 알고 계실 것입니다. 지금 당장 기기에서 활성화하는 방법 DNS가 암호화되지 않도록 방지합니다. 브라우저에서 몇 번 클릭하거나 Windows에서 (Server 2022의 정책 수준에서도) 조정하면 암호화된 쿼리를 사용할 수 있습니다. 한 단계 더 나아가려면 암호화를 MikroTik 라우터로 옮기거나 자체 리졸버를 구축할 수 있습니다. 핵심은 다음과 같습니다. 라우터를 건드리지 않고도 오늘날 가장 화제가 되고 있는 트래픽 부분 중 하나를 보호할 수 있습니다..