Как зашифровать DNS, не трогая маршрутизатор, с помощью DoH: полное руководство

Последнее обновление: 17.12.2023
Автор: Кристиан Гарсия

  • DoH шифрует DNS-запросы с использованием HTTPS (порт 443), повышая конфиденциальность и предотвращая несанкционированный доступ.
  • Его можно активировать в браузерах и системах (включая Windows Server 2022) независимо от маршрутизатора.
  • Производительность, аналогичная классическому DNS; дополнена DNSSEC для проверки ответов.
  • Популярные DoH-серверы (Cloudflare, Google, Quad9) и возможность добавить или настроить собственный резолвер.

Как зашифровать DNS, не трогая роутер, используя DNS через HTTPS

¿Как зашифровать DNS, не трогая маршрутизатор, используя DNS через HTTPS? Если вас беспокоит, кто может видеть, к каким веб-сайтам вы подключаетесь, Шифрование запросов доменной системы имен с помощью DNS через HTTPS Это один из самых простых способов повысить конфиденциальность, не тратя время на борьбу с маршрутизатором. Благодаря DoH, преобразователь, преобразующий домены в IP-адреса, переходит от открытого доступа к HTTPS-туннелю.

В этом руководстве вы найдете информацию, изложенную простым языком и без лишних жаргонизмов, Что такое DoH и чем он отличается от других вариантов, таких как DoT, как включить его в браузерах и операционных системах (включая Windows Server 2022), как проверить его работоспособность, поддерживаемые серверы и, если вы достаточно смелы, даже как настроить собственный резолвер DoH. Всё, не прикасаясь к маршрутизатору…за исключением необязательного раздела для тех, кто хочет настроить его на MikroTik.

Что такое DNS поверх HTTPS (DoH) и почему это может вас заинтересовать

Google DNS

Когда вы вводите домен (например, Xataka.com), компьютер запрашивает у DNS-резолвера его IP-адрес; Этот процесс обычно осуществляется в виде простого текста. И любой в вашей сети, ваш интернет-провайдер или промежуточные устройства могут перехватывать или манипулировать им. В этом суть классического DNS: быстрый, вездесущий… и прозрачный для третьих лиц.

Вот тут-то и вступает в дело DoH: Он переносит эти DNS-вопросы и ответы на тот же зашифрованный канал, который используется безопасным Интернетом (HTTPS, порт 443).В результате они больше не передаются «в открытую», что снижает вероятность шпионажа, перехвата запросов и некоторых атак типа «человек посередине». Более того, во многих тестах задержка не ухудшается существенно и может быть даже улучшена за счет оптимизации транспорта.

Ключевое преимущество заключается в том, что DoH можно включить на уровне приложения или системы., поэтому вам не придётся полагаться на своего оператора связи или маршрутизатор для включения каких-либо функций. То есть, вы можете защитить себя «из браузера», не прикасаясь к сетевому оборудованию.

Важно различать DoH и DoT (DNS через TLS): DoT шифрует DNS на порту 853 напрямую через TLS, а DoH интегрирует его в HTTP(S). DoT проще в теории, но Вероятность блокировки брандмауэрами выше. которые отсекают необычные порты; DoH, используя 443, лучше обходит эти ограничения и предотвращает принудительные атаки «pushback» на незашифрованные DNS.

О конфиденциальности: использование HTTPS не подразумевает использование файлов cookie или отслеживания в DoH; стандарты прямо не рекомендуют его использование В этом контексте TLS 1.3 также снижает необходимость перезапуска сеансов, минимизируя корреляции. А если вас беспокоит производительность, HTTP/3 через QUIC может обеспечить дополнительные улучшения за счёт мультиплексирования запросов без блокировки.

Как работает DNS, распространенные риски и место DoH

Операционная система обычно узнает, какой преобразователь использовать, через DHCP; Дома вы обычно пользуетесь услугами интернет-провайдера, в офисе, в корпоративной сети. Если это соединение не зашифровано (UDP/TCP 53), любой, кто подключен к вашей сети Wi-Fi или к вашему маршруту, может видеть запрашиваемые домены, вставлять поддельные ответы или перенаправлять вас на поисковые запросы, когда домен не существует, как это делают некоторые операторы.

Типичный анализ трафика выявляет порты, IP-адреса источника/назначения и сам разрешенный домен; Это не только раскрывает привычки просмотра, это также облегчает соотнесение последующих соединений, например, с адресами Twitter или аналогичными, и позволяет определить, какие именно страницы вы посетили.

При использовании DoT сообщение DNS передается внутри TLS через порт 853; при использовании DoH DNS-запрос инкапсулируется в стандартный HTTPS-запрос, что также позволяет использовать его веб-приложениям через API браузера. Оба механизма имеют одинаковую основу: аутентификацию сервера с помощью сертификата и сквозное шифрование канала.

Эксклюзивный контент – нажмите здесь  Как заблокировать ботов в Instagram

Проблема с новыми портами в том, что это обычное дело для некоторые сети блокируют 853, побуждая программное обеспечение «переходить» на незашифрованный DNS. DoH смягчает это, используя порт 443, который распространён в Интернете. DNS/QUIC также является ещё одним перспективным вариантом, хотя он требует открытого UDP и не всегда доступен.

Даже при шифровании транспорта будьте осторожны с одним нюансом: Если распознаватель лжет, шифр его не исправит.Для этой цели существует DNSSEC, позволяющий проверять целостность ответов, хотя он не получил широкого распространения, и некоторые посредники нарушают его работу. Тем не менее, DoH предотвращает перехват или изменение ваших запросов третьими лицами.

Активируйте его, не прикасаясь к роутеру: браузеры и системы

Самый простой способ начать работу — включить DoH в вашем браузере или операционной системе. Вот как вы защищаете запросы от своей команды вне зависимости от прошивки роутера.

Google Chrome

В текущих версиях вы можете перейти на chrome://settings/security и в разделе «Использовать безопасный DNS» активируйте опцию и выберите провайдера (ваш текущий провайдер, если он поддерживает DoH, или один из списка Google, например Cloudflare или Google DNS).

В предыдущих версиях Chrome предлагал экспериментальный переключатель: введите chrome://flags/#dns-over-https, найдите «Безопасные DNS-запросы» и изменить его с «По умолчанию» на «Включено». Перезапустите браузер, чтобы изменения вступили в силу.

Microsoft Edge (Chromium)

Edge на базе Chromium включает аналогичную функцию. Если вам она нужна, перейдите по ссылке edge://flags/#dns-over-https, найдите «Безопасные DNS-поиски» и включить его в ВключеноВ современных версиях активация также доступна в настройках конфиденциальности.

Mozilla Firefox

Откройте меню (справа вверху) > Настройки > Общие > прокрутите вниз до пункта «Настройки сети», нажмите Конфигурация и отметьте «Активар DNS собре HTTPSВы можете выбрать одного из таких провайдеров, как Cloudflare или NextDNS.

Если вы предпочитаете точный контроль, в about:config регулировать network.trr.mode: 2 (оппортунист) использует DoH и делает запасной вариант если недоступно; 3 (строгих) предписания DoH и завершается ошибкой, если поддержки нет. В строгом режиме определите распознаватель bootstrap как network.trr.bootstrapAddress=1.1.1.1.

Опера

Начиная с версии 65, Opera включает возможность включить DoH с 1.1.1.1. По умолчанию он отключен и работает в оппортунистическом режиме: если 1.1.1.1:443 отвечает, он использует DoH; в противном случае он возвращается к незашифрованному резолверу.

Windows 10/11: Автоопределение (AutoDoH) и реестр

Windows может автоматически включать DoH с некоторыми известными резолверами. В более старых версиях вы можете заставить поведение из реестра: запустить regedit и перейти к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Создайте DWORD (32-битный) с именем EnableAutoDoh со значением 2 y Перезагрузите компьютер.Это работает, если вы используете DNS-серверы, поддерживающие DoH.

Windows Server 2022: DNS-клиент с собственным DoH

Встроенный DNS-клиент в Windows Server 2022 поддерживает DoH. Вы сможете использовать DoH только с серверами, которые есть в списке «Известных DoH». или добавленный вами самостоятельно. Чтобы настроить его через графический интерфейс:

  1. Откройте Параметры Windows > Сеть и Интернет.
  2. Входить ЭН и выберите свой интерфейс.
  3. На экране сети прокрутите вниз до Настройки DNS и нажмите Редактировать.
  4. Выберите «Вручную», чтобы определить предпочитаемые и альтернативные серверы.
  5. Если эти адреса есть в известном списке DoH, он будет включен. «Предпочтительное DNS-шифрование» с тремя вариантами:
    • Только шифрование (DNS через HTTPS): Принудительный DoH; если сервер не поддерживает DoH, разрешение выполнено не будет.
    • Предпочитать шифрование, разрешить незашифрованное: Пытается выполнить DoH, а в случае неудачи возвращается к незашифрованному классическому DNS.
    • Только незашифрованные: Использует традиционный текстовый DNS.
  6. Сохраните, чтобы применить изменения.

Вы также можете запрашивать и расширять список известных преобразователей DoH с помощью PowerShell. Чтобы увидеть текущий список:

Get-DNSClientDohServerAddress

Чтобы зарегистрировать новый известный сервер DoH с помощью вашего шаблона, используйте:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Обратите внимание, что командлет Set-DNSClientServerAddress не контролирует себя Использование DoH; шифрование зависит от наличия этих адресов в таблице известных DoH-серверов. В настоящее время настроить DoH для DNS-клиента Windows Server 2022 через Центр администрирования Windows или с помощью sconfig.cmd.

Групповая политика в Windows Server 2022

Есть директива, которая называется «Настройка DNS через HTTPS (DoH)» en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. При включении вы можете выбрать:

  • Разрешить DoH: Используйте DoH, если сервер его поддерживает; в противном случае отправляйте незашифрованный запрос.
  • Запретить ДоХ: никогда не использует DoH.
  • Требуется DoH: принудительное выполнение DoH; если поддержки нет, разрешение не выполняется.
Эксклюзивный контент – нажмите здесь  Как расшифровать пароли мобильных телефонов

Важный: Не включайте «Требовать DoH» на компьютерах, подключенных к домену.Active Directory использует DNS, а роль DNS-сервера Windows Server не поддерживает запросы DoH. Если вам требуется защитить трафик DNS в среде AD, рассмотрите возможность использования Правила IPsec между клиентами и внутренними посредниками.

Если вы заинтересованы в перенаправлении определенных доменов на определенные резолверы, вы можете использовать NRPT (таблица политики разрешения имен)Если целевой сервер есть в списке известных DoH, эти консультации будет проходить через DoH.

Android, iOS и Linux

На Android 9 и выше опция DNS privado позволяет использовать DoT (не DoH) в двух режимах: «Автоматический» (адаптивный, использует сетевой преобразователь) и «Строгий» (необходимо указать имя хоста, подтвержденное сертификатом; прямые IP-адреса не поддерживаются).

На iOS и Android приложение 1.1.1.1 Cloudflare позволяет DoH или DoT в строгом режиме, используя API VPN для перехвата незашифрованных запросов и пересылать их по защищенному каналу.

En Linux, systemd-resolved поддерживает DoT, начиная с systemd 239. По умолчанию он отключен; он предлагает оппортунистический режим без проверки сертификатов и строгий режим (с 243) с проверкой CA, но без SNI или проверки имени, что ослабляет модель доверия от нападающих на дороге.

В Linux, macOS или Windows вы можете выбрать клиент DoH строгого режима, такой как cloudflared proxy-dns (по умолчанию используется 1.1.1.1, хотя вы можете определить восходящие потоки альтернативы).

Известные DoH-серверы (Windows) и как добавить больше

Windows Server включает список резолверов, которые, как известно, поддерживают DoH. Вы можете проверить это с помощью PowerShell. и добавьте новые записи, если необходимо.

Это они известные DoH-серверы из коробки:

Владелец сервера IP-адреса DNS-серверов
Клаудфлаер 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Квад9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Для ver la lista, бежать:

Get-DNSClientDohServerAddress

Для добавить новый DoH-резолвер с его шаблоном, используется:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Если вы управляете несколькими пространствами имен, NRPT позволит вам управлять определенными доменами к конкретному резолверу, который поддерживает DoH.

Как проверить активность DoH

В браузерах посетите https://1.1.1.1/help; там вы увидите, если ваш трафик использует DoH С версией 1.1.1.1 или нет. Это быстрый тест, чтобы узнать ваш статус.

В Windows 10 (версия 2004) вы можете отслеживать классический DNS-трафик (порт 53) с помощью пктмон из привилегированной консоли:

pktmon filter add -p 53
pktmon start --etw -m real-time

Если на 53-м появляется постоянный поток пакетов, то весьма вероятно, что вы все еще используете незашифрованный DNS. Помните: параметр --etw -m real-time требуется 2004; в более ранних версиях вы увидите ошибку «неизвестный параметр».

Дополнительно: настройте на роутере (MikroTik)

Если вы предпочитаете централизовать шифрование на маршрутизаторе, вы можете легко включить DoH на устройствах MikroTik. Сначала импортируйте корневой CA который будет подписан сервером, к которому вы подключитесь. Для Cloudflare вы можете скачать DigiCertGlobalRootCA.crt.pem.

Загрузите файл на роутер (перетащив его в «Файлы») и перейдите в Система > Сертификаты > Импорт чтобы включить его. Затем настройте DNS маршрутизатора с помощью URL-адреса Cloudflare DoHПосле активации маршрутизатор отдаст приоритет зашифрованному соединению по сравнению с незашифрованным DNS по умолчанию.

Эксклюзивный контент – нажмите здесь  Как пользоваться антивирусом «Лаборатория Касперский»?

Чтобы убедиться, что все в порядке, посетите 1.1.1.1/помощь с компьютера за маршрутизатором. Вы также можете сделать все через терминал. в RouterOS, если вам так удобнее.

Производительность, дополнительная конфиденциальность и ограничения подхода

Когда речь идет о скорости, важны два показателя: время разрешения и фактическая загрузка страницы. Независимые тесты (например, SamKnows) Они приходят к выводу, что разница между DoH и классическим DNS (Do53) незначительна по обоим направлениям; на практике вы не должны заметить никакой замедления.

DoH шифрует «DNS-запрос», но в сети есть и другие сигналы. Даже если вы скроете DNS, интернет-провайдер может сделать выводы через TLS-подключения (например, SNI в некоторых устаревших сценариях) или другие методы отслеживания. Для повышения конфиденциальности вы можете использовать DoT, DNSCrypt, DNSCurve или клиенты, минимизирующие метаданные.

Пока не все экосистемы поддерживают DoH. Многие устаревшие резолверы не предлагают такой возможности., вынуждая полагаться на общедоступные источники (Cloudflare, Google, Quad9 и т. д.). Это открывает дискуссию о централизации: концентрация запросов на нескольких субъектах влечёт за собой потери конфиденциальности и доверия.

В корпоративной среде DoH может конфликтовать с политиками безопасности, основанными на DNS-мониторинг или фильтрация (вредоносное ПО, родительский контроль, соблюдение законодательства). Решения включают MDM/групповую политику для настройки DoH/DoT-преобразователя в строгий режим или в сочетании с контролем на уровне приложений, который обеспечивает большую точность, чем блокировка на уровне домена.

DNSSEC дополняет DoH: DoH защищает транспорт; DNSSEC проверяет ответВнедрение происходит неравномерно, и некоторые промежуточные устройства нарушают его, но тенденция положительная. На пути между резолверами и авторизованными серверами DNS традиционно остаётся незашифрованным; крупные операторы уже проводят эксперименты с использованием DoT (например, 1.1.1.1 с авторизованными серверами Facebook) для усиления защиты.

Промежуточной альтернативой является шифрование только между маршрутизатор и резольвер, оставляя соединение между устройствами и маршрутизатором незашифрованным. Полезно в защищённых проводных сетях, но не рекомендуется в открытых сетях Wi-Fi: другие пользователи могут шпионить за этими запросами или манипулировать ими в локальной сети.

Создайте свой собственный преобразователь DoH

Если вам нужна полная независимость, вы можете развернуть собственный резолвер. Unbound + Redis (кэш L2) + Nginx — популярная комбинация для обслуживания URL-адресов DoH и фильтрации доменов с автоматически обновляемыми списками.

Этот стек отлично работает на скромном VPS (например, одна жила/2 провода (для семьи). Существуют руководства с готовыми инструкциями, например, этот репозиторий: github.com/ousatov-ua/dns-filtering. Некоторые провайдеры VPS предлагают приветственные кредиты для новых пользователей, поэтому вы можете организовать пробную версию по низкой цене.

С помощью вашего частного резолвера вы можете выбирать источники фильтрации, определять политику хранения и избегайте централизации ваших запросов третьим лицам. Взамен вы обеспечиваете безопасность, обслуживание и высокую доступность.

В заключение небольшое замечание: в Интернете опции, меню и названия часто меняются; некоторые старые руководства устарели (Например, в последних версиях Chrome больше нет необходимости использовать «флаги».) Всегда сверяйтесь с документацией к браузеру или системе.

Если вы дошли до этого места, то вы уже знаете, что делает DoH, как он вписывается в пазл с DoT и DNSSEC, и, что самое важное, как активировать его прямо сейчас на вашем устройстве чтобы предотвратить передачу DNS-запросов в открытом виде. Несколькими щелчками мыши в браузере или настройками в Windows (даже на уровне политик в Server 2022) вы сможете зашифровать запросы; если же вы хотите перейти на следующий уровень, можно перенести шифрование на маршрутизатор MikroTik или создать собственный резолвер. Ключевой момент в том, что Не прикасаясь к маршрутизатору, вы можете защитить одну из самых обсуждаемых сегодня частей вашего трафика..