Wéi Dir Ären DNS verschlësselt ouni Äre Router mat DoH ze beréieren: E komplette Guide

¿Wéi verschlësselt een säin DNS ouni säi Router mat DNS iwwer HTTPS ze beréieren? Wann Dir Iech Suergen maacht, wien ka gesinn, op wéi eng Websäiten Dir Iech verbënnt, Verschlësselung vun Domain Name System Ufroen mat DNS iwwer HTTPS Et ass eng vun den einfachste Méiglechkeeten, fir Är Privatsphär ze erhéijen, ouni mat Ärem Router ze kämpfen. Mat DoH hält den Iwwersetzer, deen Domainen an IP-Adressen ëmwandelt, op mat reesen an geet duerch en HTTPS-Tunnel.

An dësem Guide fannt Dir, a direktem Sproochgebrauch an ouni ze vill Fachjargon, Wat genau ass DoH, a wéi ënnerscheet et sech vun aneren Optiounen wéi DoT, wéi een et a Browseren an Betribssystemer (inklusiv Windows Server 2022) aktivéiere kann, wéi een iwwerpréift, ob et tatsächlech funktionéiert, ënnerstëtzte Serveren, a wann Dir Iech muteg fillt, souguer wéi Dir Ären eegene DoH-Resolver opstellt. Alles, ouni de Router ze beréieren...ausser enger optionaler Sektioun fir déi, déi et op engem MikroTik konfiguréiere wëllen.

Wat ass DNS iwwer HTTPS (DoH) a firwat kéint et Iech interesséieren?

Wann Dir eng Domain aginn (zum Beispill Xataka.com), freet de Computer en DNS-Resolver, wat seng IP-Adress ass; Dëse Prozess ass normalerweis am Klartext An jiddereen an Ärem Netzwierk, Ären Internetprovider oder Zwëschengeräter kann et ofspionéieren oder manipuléieren. Dëst ass d'Essenz vum klasseschen DNS: séier, allgegenwärteg ... an transparent fir Drëttpersounen.

Hei kënnt den DoH an d'Spill: Et réckelt dës DNS-Froen an Äntwerten op dee selwechte verschlësselte Kanal, deen vum sécheren Internet benotzt gëtt (HTTPS, Port 443).D'Resultat ass, datt se net méi "am Fräien" reesen, wat d'Méiglechkeet vu Spionage, Query-Hijacking a bestëmmte Man-in-the-Middle-Attacken reduzéiert. Ausserdeem, a ville Tester D'Latenz verschlechtert sech net merkbar a kann souguer duerch Transportoptimiséierunge verbessert ginn.

E wichtege Virdeel ass, datt DoH kann op Applikatiouns- oder Systemniveau aktivéiert ginn, sou datt Dir net op Äre Provider oder Router ugewise musst, fir eppes z'aktivéieren. Dat heescht, Dir kënnt Iech "vum Browser eraus" schützen, ouni iergendeng Netzwierkausrüstung unzeréieren.

Et ass wichteg tëscht DoH an DoT z'ënnerscheeden (DNS iwwer TLS): DoT verschlësselt DNS op Port 853 direkt iwwer TLS, während DoH et an HTTP(S) integréiert. DoT ass theoretesch méi einfach, awer Et ass méi wahrscheinlech datt et vu Firewalls blockéiert gëtt déi ongewéinlech Ports ofschneiden; den DoH, andeems en 443 benotzt, ëmgeet dës Restriktiounen besser a verhënnert gezwongen "Pushback"-Attacken op onverschlësselt DNS.

Zur Privatsphär: D'Benotzung vun HTTPS implizéiert keng Cookien oder Tracking am DoH; D'Normen roden ausdrécklech géint seng Notzung An dësem Kontext reduzéiert TLS 1.3 och d'Noutwennegkeet fir Sessiounen nei ze starten, wouduerch d'Korrelatiounen miniméiert ginn. A wann Dir Iech Suergen iwwer d'Performance maacht, kann HTTP/3 iwwer QUIC zousätzlech Verbesserunge bidden andeems Ufroen ouni Blockéierung multiplexéiert ginn.

Wéi DNS funktionéiert, üblech Risiken a wou den DoH eng Roll spillt

De Betribssystem léiert normalerweis iwwer DHCP, wéi ee Resolver e benotze soll; Doheem benotzt Dir normalerweis den Internetanbieter, am Büro, dem Firmennetz. Wann dës Kommunikatioun onverschlësselt ass (UDP/TCP 53), kann jiddereen op Ärem Wi-Fi oder op der Streck ugefrote Domainen gesinn, falsch Äntwerten aféieren oder Iech op Recherchen ëmleeden, wann d'Domain net existéiert, wéi et e puer Operateuren maachen.

Eng typesch Trafficanalyse weist Ports, Quell-/Destinatiouns-IPs an d'Domain selwer op, déi opgeléist goufen; Dëst weist net nëmmen d'Surfgewunnechten op, et mécht et och méi einfach, spéider Verbindungen ze korreléieren, zum Beispill mat Twitter-Adressen oder ähnlechem, an ofzeleeden, wéi eng Säiten Dir genee besicht hutt.

Mat DoT geet d'DNS-Noriicht an TLS op Port 853; mat DoH, D'DNS-Ufro ass an enger Standard-HTTPS-Ufro agekapselt, wat et och duerch Webapplikatiounen iwwer Browser-APIs erméiglecht. Béid Mechanismen deelen déiselwecht Basis: Serverauthentifikatioun mat engem Zertifikat an engem End-to-End verschlësselte Kanal.

De Problem mat neien Häfen ass, datt et üblech ass, datt verschidde Netzwierker blockéieren 853, wat Software encouragéiert, op onverschlësselte DNS zeréckzefalen. D'DoH reduzéiert dëst andeems se 443 benotzt, wat fir den Internet üblech ass. DNS/QUIC gëtt et och als eng aner villverspriechend Optioun, obwuel et en oppene UDP erfuerdert an net ëmmer verfügbar ass.

Och wann Dir den Transport verschlësselt, passt op eng Nuance op: Wann de Resolver lügt, korrigéiert d'Chiffer en net.Fir dësen Zweck gëtt et DNSSEC, wat d'Integritéit vun der Äntwert validéiere kann, obwuel seng Uwendung net wäit verbreet ass an e puer Intermédiairen seng Funktionalitéit zerstéieren. Trotzdem verhënnert den DoH datt Drëttpersounen ënnerwee Är Ufroen ofschnüffelen oder manipuléieren.

Aktivéiert et ouni de Router unzeréieren: Browser a Systemer

Dee einfachste Wee fir unzefänken ass DoH an Ärem Browser oder Betribssystem z'aktivéieren. Sou schützt Dir Ufroen virun Ärem Team of ouni vun der Router-Firmware ofhängeg ze sinn.

Google Sexualmoral

An den aktuellen Versiounen kënnt Dir op chrome://settings/security an, ënner "Sécheren DNS benotzen", aktivéiert d'Optioun a wielt den Ubidder (Ären aktuellen Ubidder, wa se DoH ënnerstëtzen, oder ee vun der Lëscht vu Google, wéi Cloudflare oder Google DNS).

A fréiere Versiounen huet Chrome en experimentellen Schalter ugebueden: type chrome://flags/#dns-over-https, sicht no "Sécher DNS-Sich" a Ännert et vun Standard op AktivéiertStart Äre Browser nei fir d'Ännerungen anzesetzen.

Microsoft Edge (Chromium)

Chromium-baséiert Edge enthält eng ähnlech Optioun. Wann Dir se braucht, gitt op edge://flags/#dns-over-https, fannt "Sécher DNS-Sich" a aktivéiert et an AktivéiertA modernen Versiounen ass d'Aktivéierung och an Ären Dateschutzastellungen verfügbar.

Mozilla Firefox

Öffnet d'Menü (uewe riets) > Astellungen > Allgemeng > scrollt erof op "Netzwierkastellungen", tippt op Konfiguratioun a markéieren "DNS iwwer HTTPS aktivéierenDir kënnt tëscht Ubidder wéi Cloudflare oder NextDNS wielen.

Wann Dir léiwer eng fein Kontroll hutt, an about:config passt network.trr.mode: 2 (Opportunist) benotzt DoH a mécht e Fallback wann net verfügbar; 3 (strikt) Mandater vum DoH a klappt net wann et keng Ënnerstëtzung gëtt. Am strikte Modus, definéiert e Bootstrap-Resolver als network.trr.bootstrapAddress=1.1.1.1.

Oper

Zënter der Versioun 65 enthält Opera eng Optioun fir ... DoH mat 1.1.1.1 aktivéierenEt ass standardméisseg deaktivéiert a funktionéiert am opportunistesche Modus: wann 1.1.1.1:443 äntwert, benotzt et DoH; soss fällt et op den onverschlësselte Resolver zeréck.

Windows 10/11: Automatesch Detektioun (AutoDoH) a Registrierung

Windows kann DoH automatesch mat bestëmmte bekannte Resolver aktivéieren. An eelere Versiounen, Dir kënnt d'Verhalen forcéieren aus dem Registry: ausféieren regedit a gitt op HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Erstellt en DWORD (32-Bit) mam Numm EnableAutoDoh mat Courage 2 y de Computer nei startenDëst funktionéiert wann Dir DNS-Server benotzt, déi DoH ënnerstëtzen.

Windows Server 2022: DNS-Client mat nativen DoH

Den agebauten DNS-Client a Windows Server 2022 ënnerstëtzt DoH. Dir kënnt DoH nëmme mat Serveren benotzen, déi op hirer "Bekannt DoH"-Lëscht sinn. oder datt Dir selwer derbäisetzt. Fir et vun der grafescher Interface aus ze konfiguréieren:

1. Windows Astellungen opmaachen > Netz an Internet.
2. Gitt eran Ethernet a wielt Är Interface.
3. Um Netzwierkbildschierm scrollt Dir erof op DNS Konfiguratioun an dréckt Editéieren.
4. Wielt "Manuell" fir bevorzugt an alternativ Serveren ze definéieren.
5. Wann dës Adressen op der bekannter DoH-Lëscht sinn, gëtt se aktivéiert "Bevorzugt DNS-Verschlësselung" mat dräi Optiounen:
   • Nëmme Verschlësselung (DNS iwwer HTTPS)DoH forcéieren; wann de Server DoH net ënnerstëtzt, gëtt et keng Léisung.
   • Verschlësselung virzéien, onverschlësselung erlabenVersicht DoH a wann et feelschléit, fällt et op onverschlësselt klassesch DNS zeréck.
   • Nëmmen onverschlësseltBenotzt traditionell Klartext-DNS.
6. Späicheren fir d'Ännerungen unzewenden.

Dir kënnt d'Lëscht vun bekannte DoH-Resolver och mat PowerShell ofrufen an erweideren. Fir déi aktuell Lëscht ze gesinn:

Get-DNSClientDohServerAddress

Fir en neie bekannte DoH-Server mat Ärer Schabloun ze registréieren, benotzt:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Bedenkt datt de cmdlet Set-DNSClientServerAddress kontrolléiert sech net selwer d'Benotzung vun DoH; d'Verschlësselung hänkt dovun of, ob dës Adressen an der Tabelle vun bekannte DoH-Serveren sinn. Dir kënnt de Moment net DoH fir de Windows Server 2022 DNS Client vum Windows Admin Center aus oder mat konfiguréieren. sconfig.cmd.

Gruppenrichtlinien a Windows Server 2022

Et gëtt eng Direktiv mam Numm "DNS iwwer HTTPS (DoH) konfiguréieren" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSWann aktivéiert, kënnt Dir wielen:

• DoH erlabenBenotzt DoH wann de Server et ënnerstëtzt; soss, frot onverschlësselt of.
• Verbuet DoHbenotzt ni DoH.
• DoH erfuerderen: forcéiert DoH; wann keng Ënnerstëtzung, klappt d'Léisung net.

Wichteg: Aktivéiert "DoH erfuerderen" net op Domain-verbonne Computeren.Active Directory baséiert op DNS, an d'Windows Server DNS Server Roll ënnerstëtzt keng DoH Ufroen. Wann Dir den DNS-Verkéier an enger AD Ëmfeld sécheren musst, sollt Dir iwwerleeën, ... IPsec-Regele tëscht Clienten an internen Resolver.

Wann Dir un der Ëmleedung vu spezifesche Domainen op spezifesch Resolver interesséiert sidd, kënnt Dir d'[...] benotzen. NRPT (Tabell fir d'Resolutiounspolitik vun den Nimm)Wann den Destinatiounsserver op der bekannter DoH-Lëscht ass, dës Consultatiounen wäert duerch DoH reesen.

Android, iOS a Linux

Op Android 9 a méi héich ass d'Optioun Privat DNS erlaabt DoT (net DoH) mat zwéi Modi: "Automatesch" (opportunistesch, benotzt den Netzwierkresolver) a "Strict" (Dir musst en Hostnumm uginn, deen duerch e Zertifikat validéiert gëtt; direkt IP-Adressen ginn net ënnerstëtzt).

Op iOS an Android, d'App 1.1.1.1 Cloudflare erméiglecht DoH oder DoT am strikte Modus mat Hëllef vun der VPN API fir onverschlësselt Ufroen ofzefänken an weiderleeden se iwwer e séchere Kanal.

Op Linux, systemd geléist ënnerstëtzt DoT zënter systemd 239. Et ass standardméisseg deaktivéiert; et bitt den opportunistesche Modus ouni d'Validéierung vu Zertifikater an de strikte Modus (zënter systemd 243) mat CA-Validatioun awer ouni SNI- oder Nummverifizéierung, wat schwächt de Vertrauensmodell géint Attacker op der Strooss.

Op Linux, macOS oder Windows kënnt Dir e strikte Modus DoH Client wielen, wéi zum Beispill cloudflared proxy-dns (standardméisseg benotzt et 1.1.1.1, obwuel Dir kënnt Upstreams definéieren Alternativen).

Bekannt DoH Serveren (Windows) a wéi een derbäisetzt méi

Windows Server enthält eng Lëscht vu Resolver, déi bekannt sinn, DoH z'ënnerstëtzen. Dir kënnt dat mat PowerShell kontrolléieren an nei Entréeën derbäisetzen, wann néideg.

Dëst sinn de bekannte DoH Serveren direkt aus der Këscht:

Serverbesëtzer	DNS-Server IP-Adressen
Cloudflare	1.1.1.1 1.0.0.1 2606: 4700: 4700 1111 :: 2606: 4700: 4700 1001 ::
Google	8.8.8.8 8.8.4.4 2001: 4860: 4860 8888 :: 2001: 4860: 4860 8844 ::
Quad9	9.9.9.9 149.112.112.112 2620: géréiert géréiert :: 2620: fe :: fe: 9

Para kuckt d'Lëscht, lafen:

Get-DNSClientDohServerAddress

Para füügt en neien DoH-Resolver mat senger Schabloun derbäi, benotzt:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Wann Dir verschidde Namespaces verwaltet, erlaabt Iech den NRPT dat spezifesch Domainen verwalten op e spezifesche Resolver, deen DoH ënnerstëtzt.

Wéi kontrolléiert een ob den DoH aktiv ass

An Browseren, besicht https://1.1.1.1/help; do wäerts du gesinn, ob Äre Verkéier benotzt DoH mat 1.1.1.1 oder net. Et ass e séieren Test fir ze kucken, a wéi engem Status Dir sidd.

A Windows 10 (Versioun 2004) kënnt Dir de klassesche DNS-Verkéier (Port 53) iwwerwaachen mat ... pktmon vun enger privilegéierter Konsole:

pktmon filter add -p 53
pktmon start --etw -m real-time

Wann e stännege Stroum vu Paketen op der 53 erschéngt, ass et ganz wahrscheinlech, datt Dir benotzt nach ëmmer onverschlësselt DNSDenk drun: de Parameter --etw -m real-time erfuerdert 2004; a fréiere Versioune gesitt Dir e Feeler "onbekannte Parameter".

Optional: konfiguréieren um Router (MikroTik)

Wann Dir léiwer d'Verschlësselung um Router zentraliséiert wëllt, kënnt Dir DoH einfach op MikroTik-Geräter aktivéieren. Als éischt, importéiert d'Root CA déi vum Server ënnerschriwwe gëtt, mat deem Dir Iech verbënnt. Fir Cloudflare kënnt Dir eroflueden DigiCertGlobalRootCA.crt.pem.

Luet d'Datei op de Router erop (andeems Dir se op "Dateien" zitt), a gitt op System > Zertifikater > Importéieren fir et anzebannen. Dann konfiguréiert den DNS vum Router mat der Cloudflare DoH URLsSoubal en aktiv ass, prioritéiert de Router déi verschlësselte Verbindung iwwer den standardméissegen net verschlësselten DNS.

Fir ze kontrolléieren, ob alles an der Rei ass, besicht 1.1.1.1/Hëllef vun engem Computer hannert dem Router. Dir kënnt och alles iwwer den Terminal maachen am RouterOS, wann Dir et léiwer hutt.

Leeschtung, zousätzlech Privatsphär a Grenzen vum Usaz

Wann et ëm Geschwindegkeet geet, sinn zwou Metriken wichteg: d'Opléisungszäit an déi tatsächlech Säiteluedung. Onofhängeg Tester (wéi SamKnows) Si kommen zum Schluss, datt den Ënnerscheed tëscht DoH an dem klasseschen DNS (Do53) op béide Fronte marginal ass; an der Praxis sollt een keng Luesheet feststellen.

D'DoH verschlësselt d'"DNS-Ufro", awer et gi méi Signaler am Netz. Och wann Dir DNS verstoppt, kéint en Internetanbieter Saachen ofleeden iwwer TLS-Verbindungen (z.B. SNI a verschiddene Legacy-Szenarien) oder aner Spueren. Fir d'Privatsphär ze verbesseren, kënnt Dir DoT, DNSCrypt, DNSCurve oder Clienten entdecken, déi Metadaten miniméieren.

Net all Ökosystemer ënnerstëtzen DoH nach. Vill Legacy-Resolver bidden dat net un., wat d'Ofhängegkeet vun ëffentleche Quellen (Cloudflare, Google, Quad9, etc.) forcéiert. Dëst mécht d'Debatt iwwer Zentraliséierung op: d'Konzentratioun vun Ufroen op e puer Akteuren bréngt Käschte fir Privatsphär a Vertrauen mat sech.

A Firmenëmfeld kann den DoH mat Sécherheetsrichtlinne kollidéieren, déi op ... baséieren. DNS-Iwwerwaachung oder -Filterung (Malware, Elterenkontrollen, gesetzlech Konformitéit). Léisunge sinn ënner anerem MDM/Gruppenrichtlinn fir en DoH/DoT-Resolver op de strikte Modus ze setzen, oder a Kombinatioun mat Kontrollen op Applikatiounsniveau, déi méi präzis si wéi domänbaséiert Blockéierung.

DNSSEC ergänzt den DoH: D'DoH schützt den Transport; DNSSEC validéiert d'ÄntwertD'Adoptioun ass ongläichméisseg, an e puer Zwëschenapparater briechen se, awer den Trend ass positiv. Um Wee tëscht Resolver an autoritäre Server bleift DNS traditionell onverschlësselt; et gëtt scho Experimenter mat DoT bei grousse Betreiber (z.B. 1.1.1.1 mat de autoritäre Server vu Facebook) fir de Schutz ze verbesseren.

Eng Zwëschenalternativ ass et, nëmmen tëscht ze verschlësselen de Router an de Resolver, wouduerch d'Verbindung tëscht den Apparater an dem Router onverschlësselt bleift. Nëtzlech a sécheren, verkabelte Netzwierker, awer net recommandéiert op oppene Wi-Fi Netzwierker: aner Benotzer kéinten dës Ufroen am LAN ausspionéieren oder manipuléieren.

Maacht Ären eegenen DoH-Resolver

Wann Dir komplett Onofhängegkeet wëllt, kënnt Dir Ären eegene Resolver benotzen. Ongebonnen + Redis (L2 Cache) + Nginx ass eng populär Kombinatioun fir DoH URLen ze servéieren an Domainen mat automatesch aktualiséiertbare Lëschten ze filteren.

Dëse Stack funktionéiert perfekt op engem bescheidenen VPS (zum Beispill, een Kär/2 Drot fir eng Famill). Et gëtt Guiden mat benotzerfrëndleche Instruktiounen, wéi zum Beispill dëse Repository: github.com/ousatov-ua/dns-filtering. Verschidde VPS-Ubidder bidden Willkommenskreditter un fir nei Benotzer, sou datt Dir eng Testversioun zu niddrege Käschten opstelle kënnt.

Mat Ärem private Resolver kënnt Dir Är Filterquellen auswielen, d'Späicherungsrichtlinne festleeën an Vermeit et, Är Ufroen ze zentraliséieren un Drëttpersounen. Am Géigenzuch geréiert Dir d'Sécherheet, d'Maintenance an d'héich Disponibilitéit.

Ier mer ofschléissen, eng Bemierkung iwwer d'Gëltegkeet: am Internet änneren sech Optiounen, Menüen an Nimm dacks; e puer al Guiden sinn net méi aktuell (Zum Beispill ass et an de rezenten Versiounen net méi néideg, "Fändelen" a Chrome ze duerchsichen.) Kuckt ëmmer an der Dokumentatioun vun Ärem Browser oder der System no.

Wann Dir bis heihi komm sidd, wësst Dir scho wat DoH mécht, wéi et an de Puzzle mat DoT an DNSSEC passt, an am wichtegsten, wéi Dir et elo direkt op Ärem Apparat aktivéiere kënnt fir ze verhënneren, datt DNS fräi weidergeleet gëtt. Mat e puer Klicks an Ärem Browser oder Astellungen a Windows (och um Politikniveau am Server 2022) hutt Dir verschlësselte Ufroen; wann Dir d'Saachen op den nächsten Niveau wëllt bréngen, kënnt Dir d'Verschlësselung op de MikroTik Router réckelen oder Ären eegene Resolver bauen. De Schlëssel ass, datt, Ouni Äre Router unzeréieren, kënnt Dir ee vun den Deeler vun Ärem Traffic, iwwer déi haut am meeschte geklatscht gëtt, ofschützen..