Me pehea te whakamuna i to DNS me te kore e pa ki to pouara ki a DoH: He Aratohu Katoa

¿Me pehea te whakamuna i to DNS me te kore e pa ki to pouara ma te whakamahi i te DNS mo HTTPS? Mena kei te awangawanga koe mo wai ka kite he aha nga paetukutuku e hono ana koe, Whakamuna nga patai a te Pūnaha Ingoa Rohe me te DNS ma runga HTTPS Koinei tetahi o nga huarahi ngawari ki te whakanui ake i to taatai ​​​​me te kore e whawhai ki to pouara. Ma te DoH, ko te kaiwhakamaori e huri ana i nga rohe ki nga wahitau IP ka mutu te haere ma te marama ka haere ma roto i te kauhanga HTTPS.

I roto i tenei aratohu ka kitea e koe, i roto i te reo tika me te kore e nui rawa atu nga kupu, He aha te DoH, he pehea te rereke mai i etahi atu whiringa penei i te DoT, me pehea e taea ai i roto i nga kaitirotiro me nga punaha whakahaere (tae atu ki te Windows Server 2022), me pehea te manatoko kei te mahi tonu, e tautokohia ana nga tūmau, me te mea kei te maia koe, me pehea te whakarite i a koe ake whakatau DoH. Nga mea katoa, me te kore e pa ki te pouara…haunga mo te waahanga whiriwhiri mo te hunga e hiahia ana ki te whirihora i runga i te MikroTik.

He aha te DNS i runga i te HTTPS (DoH) me te aha e whakaaro nui ai koe

Ina pato koe i tetahi rohe (hei tauira, Xataka.com) ka patai te rorohiko ki tetahi kaiwhakatau DNS he aha tana IP; I te nuinga o te wa kei roto i nga tuhinga noa tenei tukanga Ka taea e te tangata i runga i to whatunga, i to kaiwhakarato Ipurangi, i nga taputapu takawaenga ranei te hopu, te raweke ranei. Koinei te mauri o te DNS matarohia: tere, puta noa ... me te marama ki nga roopu tuatoru.

Koinei te waahi ka uru mai a DoH: Ka nekehia aua patai DNS me nga whakautu ki te hongere whakamunatia e whakamahia ana e te paetukutuku haumaru (HTTPS, tauranga 443)Ko te hua ko te kore ratou e haere "i roto i te tuwhera," ka whakaiti i te tupono o te torotoro, te kaipahua uiui, me etahi whakaeke tangata-i-waenganui. I tua atu, i roto i nga whakamatautau maha e kore e tino kino te torohūtanga ka taea hoki te whakapai ake na te arotautanga waka.

Ko tētahi painga matua ko te Ka taea te DoH i te tono, i te taumata punaha ranei, no reira kaore koe e whakawhirinaki ki to kaikawe, pouara ranei kia taea ai tetahi mea. Arā, ka taea e koe te tiaki i a koe "mai i te tirotiro ki waho," me te kore e pa ki nga taputapu whatunga.

He mea nui ki te wehewehe i te DoH mai i te DoT (DNS ki te TLS): Ka whakamuna a DoT i te DNS ki te tauranga 853 tika i runga i te TLS, i te wa e whakaurua ana e DoH ki HTTP(S). He maamaa ake a DoT i roto i te ariā, engari Ka kaha ake te aukatia e nga papaahi e tapahi ana i nga tauranga tauhou; Ko te DoH, ma te whakamahi i te 443, he pai ake te karo i enei here me te aukati i nga whakaeke "whakamuri" ki te DNS kore whakamuna.

I runga i te tūmataiti: Ko te whakamahi i te HTTPS kaore he pihikete, he aroturuki ranei i DoH; e tino tohutohu ana nga paerewa mo te whakamahi I roto i tenei horopaki, ka whakaitihia e TLS 1.3 te hiahia ki te whakaara ano i nga waahi, me te whakaiti i nga hononga. A, ki te maaharahara koe mo te mahi, ka taea e HTTP/3 mo QUIC te whakapai ake ma te maha o nga patai me te kore e aukati.

Me pehea te mahi a DNS, nga tupono noa, me te waahi e uru ai a DoH

Ko te tikanga ka akohia e te punaha whakahaere ko wai te kaiwhakatau hei whakamahi ma te DHCP; I te kainga ka whakamahi koe i nga ISP, i roto i te tari, te whatunga umanga. Ki te kore whakamunatia tenei korero (UDP/TCP 53), ka taea e te tangata kei runga i to Wi-Fi, i te huarahi ranei te kite i nga rohe patai, ka werohia nga whakautu rūpahu, ka tukuna ano koe ki nga rapunga karekau te rohe, pera i etahi o nga kaiwhakahaere.

Ko te tātaritanga waka angamaheni e whakaatu ana i nga tauranga, nga IP puna / tauranga, me te rohe ano i whakatau; Ehara tenei i te whakaatu noa i nga tikanga tirotiro, ka ngawari ake te hono i nga hononga o muri mai, hei tauira, ki nga wahitau Twitter, ki nga wahitau rite ranei, me te whakatau i nga wharangi tika i torohia e koe.

Ma te DoT, ka haere te karere DNS ki roto TLS i runga i te tauranga 853; me DoH, ko te patai DNS kei roto i te tono HTTPS paerewa, ka taea hoki te whakamahi ma nga tono tukutuku ma nga API tirotiro. He rite te turanga o nga mahi e rua: te motuhēhēnga tūmau me te tiwhikete me te hongere whakamuna mutunga-ki-mutunga.

Ko te raruraru ki nga tauranga hou he mea noa mo etahi whatunga poraka 853, whakatenatena i nga rorohiko ki te "hoki" ki te DNS kore whakamuna. Ka whakaitihia e DoH tenei ma te whakamahi i te 443, he mea noa mo te ipurangi. Kei te noho ano hoki a DNS/QUIC hei whiringa pai, ahakoa me tuwhera te UDP, kaore i te waatea tonu.

Ahakoa te whakamuna i te kawe waka, kia tupato ki tetahi ahuatanga: Mena ka teka te kaiwhakatau, karekau te cipher e whakatika.Mo tenei kaupapa, kei te noho a DNSSEC, e taea ai te whakamana i te pono o te whakautu, ahakoa kaore i te whanui te tango, ka pakaru etahi o nga kaiwawao i tana mahi. Ahakoa, ka aukati a DoH i te hunga tuatoru i te huarahi mai i te tirotiro, i te raweke ranei i o patai.

Whakahohehia me te kore e pa ki te pouara: nga kaitirotiro me nga punaha

Ko te huarahi tino ngawari ki te timata ko te whakaahei i te DoH i roto i to kaitirotiro, punaha whakahaere ranei. Ma tenei e tiaki nga patai mai i to roopu me te kore e ti'aturi i runga i te firmware pouara.

Google Chrome

I nga putanga o naianei ka taea e koe te haere ki chrome://settings/security a, i raro i te "Whakamahia DNS haumaru", whakahohe i te kōwhiringa me te whiriwhiri i te kaiwhakarato (to kaiwhakarato o naianei mena kei te tautoko ratou i te DoH, i tetahi ranei mai i te raarangi a Google penei i a Cloudflare, Google DNS ranei).

I nga putanga o mua, i tukuna e Chrome he huringa whakamatautau: momo chrome://flags/#dns-over-https, rapu mo "Tirohanga DNS Haumaru" me te huri mai i te Taunoa ki te Whakahohe. Tīmataria anō tō pūtirotiro hei whakamahi i ngā huringa.

Microsoft Edge (Chromium)

Kei roto i te Chromium-based Edge tetahi whiringa rite. Ki te hiahia koe, haere ki edge://flags/#dns-over-https, kimihia "Tirohanga DNS Haumaru" me te whakahohea i roto i te WhakahoheI roto i nga putanga hou, kei te waatea ano te whakahohe i o tautuhinga tūmataiti.

Mozilla Firefox

Whakatuwheratia te tahua (matau ki runga)> Tautuhinga> General> panuku ki raro ki te "Tautuhinga Whatunga", pato i runga Whirihoranga ka tohu "Whakahohe DNS ki runga HTTPSKa taea e koe te whiriwhiri mai i nga kaiwhakarato penei i te Cloudflare, NextDNS ranei.

Ki te hiahia koe ki te whakahaere pai, in about:config whakatikatika network.trr.mode: Ka whakamahi a 2 (te whai waahi) i te DoH ka hoki whakamuri ki te kore e waatea; E toru nga whakahau a DoH ka taka ki te kore he tautoko. Ki te aratau tino, tautuhia he kaiwhakatau bootstrap hei network.trr.bootstrapAddress=1.1.1.1.

Ōpera

Mai i te putanga 65, kei a Opera he whiringa ki te Whakahohehia a DoH me te 1.1.1.1. Kua monokia ma te taunoa ka mahi i runga i te aratau whai waahi: ki te whakautu a 1.1.1.1:443, ka whakamahia te DoH; ki te kore, ka hoki ki te kaiwhakatau kore whakamuna.

Windows 10/11: Ka kitea Aunoa (AutoDoH) me te Rēhita

Ka taea e Windows te whakaahei aunoa i a DoH me etahi kaiwhakatau e mohiotia ana. I nga putanga tawhito, ka taea e koe te akiaki i te whanonga mai i te Rehita: rere regedit ā, haere ki HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Waihangahia he DWORD (32-bit) e kiia ana EnableAutoDoh me te uara 2 y Tīmata anō i te rorohikoKa whai hua tenei mena kei te whakamahi koe i nga tūmau DNS e tautoko ana i a DoH.

Windows Server 2022: Kiritaki DNS me DoH taketake

E tautoko ana te kiritaki DNS i roto i te Windows Server 2022 i te DoH. Ka taea e koe anake te whakamahi i te DoH me nga kaitoro kei runga i ta raatau rarangi "DoH Mohiotia". me tapiri koe i a koe ano. Hei whirihora mai i te atanga kauwhata:

1. Whakatuwherahia nga Tautuhinga Matapihi > Whatunga me te Ipurangi.
2. Tomo Itarangi ka whiriwhiri i to atanga.
3. I te mata whatunga, panuku ki raro Ngā tautuhinga DNS me te pēhi Whakatika.
4. Tīpakohia te "A-ringa" ki te tautuhi i nga kaitoro pai me etahi atu.
5. Mēnā kei te rārangi DoH ērā wāhitau e mōhiotia ana, ka whakahohea "Whakamuna DNS pai ake" me nga whiringa e toru:
   • Whakamuna anake (DNS mo HTTPS): Force DoH; ki te kore te tūmau e tautoko i te DoH, karekau he whakatau.
   • He pai ake te whakamunatanga, tukua kia kore e whakamuna: Ka ngana ki te DoH a ki te rahua, ka hoki ki te DNS matarohia kore whakamuna.
   • Kore whakamuna anake: Ka whakamahi i te DNS kuputuhi tokau tuku iho.
6. Tiakina hei hoatu huringa.

Ka taea hoki e koe te uiui me te whakaroa i te rarangi o nga kaiwhakatau DoH e mohiotia ana ma te whakamahi PowerShell. Hei kite i te rarangi o naianei:

Get-DNSClientDohServerAddress

Hei rēhita i tētahi tūmau DoH hou e mōhiotia ana me tō tātauira, whakamahia:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Kia mahara ko te cmdlet Set-DNSClientServerAddress e kore e whakahaere i a ia ano te whakamahi i te DoH; Ko te whakamunatanga kei runga i te mea kei roto aua wahitau i te ripanga o nga tūmau DoH e mohiotia ana. Kaore e taea e koe te whirihora i te DoH mo te kiritaki DNS Windows Server 2022 mai i te Pokapū Whakahaere Windows me te taha ranei sconfig.cmd.

Kaupapahere Rōpū i Windows Server 2022

He tohutohu e kiia ana "Whakaritea DNS ki runga HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Ina whakahohea, ka taea e koe te whiriwhiri:

• Tukua a DoH: Whakamahia te DoH ki te tautoko te tūmau; ki te kore, he uiui kore whakamuna.
• Aukati DoH: kaua rawa e whakamahi i te DoH.
• Hiahia DoH: whakakaha DoH; ki te kore he tautoko, ka rahua te whakatau.

He mea nui: Kaua e whakaaheitia te "Tiaki DoH" ki nga rorohiko hono-roheKei te whakawhirinaki a Active Directory ki te DNS, karekau te mahi a te Tūmau Windows DNS Server i te tautoko i nga patai a DoH. Mena ka hiahia koe ki te haumaru i nga hokohoko DNS i roto i te taiao AD, whakaarohia te whakamahi Nga ture IPsec i waenganui i nga kiritaki me nga kaiwhakatau o roto.

Mena kei te pirangi koe ki te huri i nga rohe motuhake ki nga kaiwhakatikatika motuhake, ka taea e koe te whakamahi i te NRPT (Ripanga Kaupapa Whakatau Ingoa). Mēnā kei te rārangi DoH te tūmau ūnga, aua whiriwhiringa ka haere ma DoH.

Android, iOS me Linux

I runga i te Android 9 me te teitei ake, ko te whiringa DNS tūmataiti Ka taea e DoT (ehara i te DoH) kia rua nga ahuatanga: "Aunoa" (he whai waahi, ka tango i te kaiwhakatau whatunga) me te "Kaikaha" (me tohu e koe he ingoa kaihautu e whakamanahia ana e te tiwhikete; kaore i te tautokohia nga IP tika).

I runga i te iOS me te Android, te taupānga 1.1.1.1 Ka taea e Cloudflare te DoH, DoT ranei i roto i te aratau tino ma te whakamahi i te VPN API ki te haukoti i nga tono kore whakamuna me te tuku atu ma te hongere haumaru.

I roto i te Linux, kua whakatauhia e te pūnaha e tautoko ana i te DoT mai i te systemd 239. Kua monokia e te taunoa; ka tukuna e ia te aratau whai waahi me te kore e whakamana i nga tiwhikete me te aratau tino (mai i te 243) me te whakamana CA engari kaore he SNI me te whakaū ingoa, e ka ngoikore te tauira whakawhirinaki ki te hunga whakaeke i te huarahi.

I runga i te Linux, macOS, Windows ranei, ka taea e koe te kowhiri i tetahi aratau tino DoH kiritaki penei i cloudflared proxy-dns (ma te taunoa ka whakamahia te 1.1.1.1, ahakoa ka taea e koe te tautuhi i nga awaawa whirinoa).

Nga Tūmau DoH e mohiotia ana (Windows) me pehea te taapiri atu

Kei roto i te Windows Server he rarangi o nga kaiwhakatikatika e mohiotia ana ki te tautoko i a DoH. Ka taea e koe te tirotiro me te PowerShell me te taapiri i nga urunga hou mena ka hiahia koe.

Ko ēnei ngā nga tūmau DoH e mohiotia ana i waho o te pouaka:

Kaipupuri Tūmau	Nga wahitau IP tūmau DNS
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
E whā tekau mā iwa	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Mō Tirohia te rārangi, oma:

Get-DNSClientDohServerAddress

Mō tāpirihia he kaiwhakatau DoH hou me tana tauira, ngā whakamahinga:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Mena ka whakahaere koe i nga waahi ingoa maha, ma te NRPT koe e whakaae whakahaere rohe motuhake ki tetahi kaiwhakatau motuhake e tautoko ana i te DoH.

Me pehea te tirotiro mena kei te kaha a DoH

I roto i nga kaitirotiro, toro https://1.1.1.1/help; i reira ka kite koe mehemea kei te whakamahi to hokohoko i te DoH me te 1.1.1.1 kaore ranei. He whakamatautau tere ki te kite he aha te mana kei a koe.

I roto i te Windows 10 (putanga 2004), ka taea e koe te aro turuki mo nga hokohoko DNS matarohia (tauranga 53) me pktmon mai i te papatohu whaimana:

pktmon filter add -p 53
pktmon start --etw -m real-time

Mena ka puta mai he rerenga paatete i runga i te 53, tera pea kei te whakamahi tonu koe i te DNS kore whakamuna. Kia mahara: te tawhā --etw -m real-time me 2004; i nga putanga o mua ka kite koe i te hapa "tawhā kore e mohiotia".

Kōwhiringa: whirihora i runga i te pouara (MikroTik)

Ki te hiahia koe ki te whakamunatanga ki runga i te pouara, ka taea e koe te whakahohe i te DoH i runga i nga taputapu MikroTik. Tuatahi, kawemai i te pakiaka CA ka hainatia e te tūmau ka hono atu koe. Mo Cloudflare ka taea e koe te tango DigiCertGlobalRootCA.crt.pem.

Tukuna te konae ki te pouara (ma te toia ki "Kōnae"), ka haere ki Pūnaha > Tiwhikete > Kawemai ki te whakauru. Na, whirihora DNS o te pouara ki te Cloudflare DoH URLsIna kaha ana te pouara, ka whakamunatia te hononga whakamuna ki runga i te DNS kore whakamuna.

Hei whakamana kei te pai nga mea katoa, toro 1.1.1.1/awhina mai i te rorohiko kei muri i te pouara. Ka taea hoki e koe nga mea katoa ma te tauranga i RouterOS ki te hiahia koe.

Mahinga, taapiri taapiri me nga rohe o te huarahi

Ina tae ki te tere, e rua nga inenga he mea nui: te wa whakatau me te utaina o te whaarangi. Nga whakamatautau motuhake (penei i a SamKnows) Ka whakatauhia e ratou ko te rereketanga i waenga i te DoH me te DNS matarohia (Do53) he iti ki nga taha e rua; i roto i te mahi, kia kore koe e kite i tetahi puhoi.

Ka whakamuna e DoH te "Uiui DNS," engari he maha atu nga tohu kei runga i te whatunga. Ahakoa ka huna e koe te DNS, ka taea e te ISP te whakatau i nga mea ma nga hononga TLS (hei tauira, SNI i etahi ahuatanga tuku iho) etahi atu tohu ranei. Hei whakarei ake i te tūmataitinga, ka taea e koe te torotoro i te DoT, DNSCrypt, DNSCurve, i nga kiritaki ranei e whakaiti ana i nga metadata.

Kaore ano nga punaha rauwiringa kaiao e tautoko i a DoH. He maha nga kaiwhakatikatika tuku iho kaore e tuku i tenei., te akiaki i te whakawhirinaki ki nga puna korero a te iwi (Cloudflare, Google, Quad9, etc.). Ko tenei ka whakatuwhera i te tautohetohe mo te whakaurunga: ko te aro ki nga paatai ​​​​mo etahi kaiwhakaari ka uru ki te utu mo te tūmataiti me te whakawhirinaki.

I roto i nga taiao rangatōpū, ka taupatupatu pea a DoH ki nga kaupapa here haumaru e ahu mai ana Aroturuki DNS tātari ranei (mate kino, nga mana a nga matua, nga hanganga ture). Ko nga otinga ko te kaupapa here MDM/Rōpū ki te whakarite i tetahi kaiwhakatau DoH/DoT ki te aratau tino, ka honoa ranei me nga mana taumata-tono, he tino tika atu i te aukati-a-rohe.

Ka whakakiia e DNSSEC a DoH: Ka tiakina e DoH te kawe; Ka whakamanahia e DNSSEC te whakautuKaore i rite te tangohanga, ka pakaru etahi taputapu takawaenga, engari he pai te ahua. I runga i te huarahi i waenga i nga kaiwhakatikatika me nga tūmau whai mana, ka noho whakamuna te DNS; kua oti kee nga whakamatautau ki te whakamahi i te DoT i waenga i nga kaiwhakahaere nui (hei tauira, 1.1.1.1 me nga kaiwhakarato mana a Facebook) hei whakarei ake i te whakamarumaru.

Ko tetahi momo takawaenga ko te whakamuna anake i waenga te pouara me te kaiwhakatau, ka waiho te hononga i waenga i nga taputapu me te pouara kaore i whakamunatia. Ka whai hua ki nga whatunga waea haumaru, engari kaore i te taunakitia mo nga whatunga Wi-Fi tuwhera: ka taea e etahi atu kaiwhakamahi te torotoro, te raweke ranei i enei patai i roto i te LAN.

Hangaia taau ake whakatau a DoH

Mena kei te pirangi koe ki te tino motuhake, ka taea e koe te tuku i a koe ake whakatau. Whakakore + Redis (L2 cache) + Nginx he huinga rongonui mo te mahi i nga URL DoH me te tātari i nga rohe me nga rarangi whakahōu aunoa.

Ka rere pai tenei puranga i runga i te VPS iti (hei tauira, kotahi matua/2 waea mo te whanau). He kaiarahi me nga tohutohu kua rite ki te whakamahi, penei i tenei putunga: github.com/ousatov-ua/dns-filtering. Ko etahi o nga kaiwhakarato VPS e tuku whiwhinga mai mo nga kaiwhakamahi hou, na ka taea e koe te whakarite whakamatautau mo te utu iti.

Ma to kaiwhakatikatika motuhake, ka taea e koe te whiriwhiri i o puna tātari, whakatau kaupapa here pupuri me te karohia te whakawhanaunga i o patai ki te hunga tuatoru. Hei utu, ka whakahaerehia e koe te haumarutanga, te tiaki, me te waatea nui.

I mua i te katinga, he tuhipoka whaimana: i runga i te Ipurangi, ka huri nga whiringa, nga tahua me nga ingoa; kua tawhito etahi o nga kaiarahi tawhito (Hei tauira, ko te haere i roto i nga "haki" i roto i te Chrome kaore e tika ana i nga waahanga tata nei.) Tirohia nga wa katoa me to kaitirotiro, tuhinga punaha ranei.

Mena kua eke koe ki tenei tawhiti, kua mohio koe he aha nga mahi a DoH, me pehea te uru ki te panga me te DoT me te DNSSEC, me te mea nui, me pehea te whakahohe i tenei wa tonu i runga i to taputapu ki te aukati DNS i te haere i roto i te marama. Ma te iti o nga pao i roto i to kaitirotiro, i nga whakarereketanga ranei i Windows (ahakoa i te taumata kaupapa here i roto i te Tūmau 2022) ka whakamunatia nga patai; ki te hiahia koe ki te kawe i nga mea ki te taumata e whai ake nei, ka taea e koe te neke i te whakamunatanga ki te pouara MikroTik, ki te hanga ranei i a koe ake whakatau. Ko te mea matua, Ki te kore e pa atu ki to pouara, ka taea e koe te whakamarumaru i tetahi o nga waahanga tino korero-mo to waka i enei ra..