Како шифровати свој ДНС без додиривања рутера помоћу DoH-а: Комплетан водич

¿Како шифровати ДНС без додиривања рутера користећи ДНС преко ХТТПС-а? Ако сте забринути ко може да види на које веб странице се повезујете, Шифрујте упите система имена домена помоћу DNS-а преко HTTPS-а То је један од најлакших начина да повећате своју приватност без потребе да се борите са рутером. Са DoH-ом, преводилац који конвертује домене у IP адресе престаје да путује без шифровања и пролази кроз HTTPS тунел.

У овом водичу ћете пронаћи, на директном језику и без превише жаргона, Шта је тачно DoH, како се разликује од других опција попут DoT-а, како га омогућити у прегледачима и оперативним системима (укључујући Windows Server 2022), како проверити да ли заиста ради, подржани сервери и, ако се осећате храбро, чак и како да подесите сопствени DoH резолвер. Све, без додиривања рутера...осим опционог одељка за оне који желе да га конфигуришу на МикроТику.

Шта је DNS преко HTTPS-а (DoH) и зашто би вас то могло занимати

Када укуцате домен (на пример, Xataka.com), рачунар пита DNS резолвер која је његова IP адреса; Овај процес се обично одвија у обичном тексту И било ко на вашој мрежи, ваш интернет провајдер или посреднички уређаји могу да га шпијунирају или манипулишу. То је суштина класичног DNS-а: брз, свеприсутан… и транспарентан за треће стране.

Ту долази до изражаја DoH: Премешта та DNS питања и одговоре на исти шифровани канал који користи безбедни веб (HTTPS, порт 443)Резултат је да више не путују „на отвореном“, смањујући могућност шпијунаже, отмице упита и одређених напада типа „човек у средини“. Штавише, у многим тестовима латенција се не погоршава значајно и чак се може побољшати захваљујући оптимизацији транспорта.

Кључна предност је то што DoH се може омогућити на нивоу апликације или система, тако да не морате да се ослањате на свог оператера или рутер да бисте било шта омогућили. То јест, можете се заштитити „из прегледача“, без додиривања било какве мрежне опреме.

Важно је разликовати DoH од DoT (DNS преко TLS-а): DoT шифрује DNS на порту 853 директно преко TLS-а, док га DoH интегрише у HTTP(S). DoT је једноставнији у теорији, али Већа је вероватноћа да ће га блокирати заштитни зидови (фајервол). који пресецају неуобичајене портове; DoH, коришћењем 443, боље заобилази ова ограничења и спречава присилне „pushback“ нападе на нешифровани DNS.

О приватности: Коришћење HTTPS-а не подразумева колачиће или праћење у DoH-у; стандарди изричито саветују против његове употребе У овом контексту, TLS 1.3 такође смањује потребу за поновним покретањем сесија, минимизирајући корелације. А ако сте забринути због перформанси, HTTP/3 преко QUIC-а може пружити додатна побољшања мултиплексирањем упита без блокирања.

Како DNS функционише, уобичајени ризици и где се ту уклапа DoH

Оперативни систем обично учи који резолвер да користи путем DHCP-а; Код куће обично користите интернет провајдере, у канцеларији, корпоративној мрежи. Када је ова комуникација нешифрована (UDP/TCP 53), свако на вашој Wi-Fi мрежи или на рути може да види упите домене, убаци лажне одговоре или вас преусмери на претраге када домен не постоји, као што то раде неки оператери.

Типична анализа саобраћаја открива портове, изворне/одредишне IP адресе и сам домен који је разрешен; Ово не само да открива навике прегледавања, такође олакшава повезивање накнадних веза, на пример, са Твитер адресама или слично, и закључивање које сте тачно странице посетили.

Са DoT-ом, DNS порука иде унутар TLS-а на порту 853; са DoH-ом, DNS упит је инкапсулиран у стандардни HTTPS захтев, што такође омогућава његово коришћење од стране веб апликација путем API-ја прегледача. Оба механизма деле исту основу: аутентификацију сервера помоћу сертификата и канал шифрован од краја до краја.

Проблем са новим портовима је тај што је уобичајено да неке мреже блокирају 853, подстичући софтвер да се „врати“ на нешифровани DNS. DoH ублажава ово коришћењем 443, што је уобичајено за веб. DNS/QUIC такође постоји као још једна обећавајућа опција, иако захтева отворени UDP и није увек доступан.

Чак и приликом шифровања транспорта, будите опрезни са једном нијансом: Ако резолвер лаже, шифра то не исправља.У ту сврху постоји DNSSEC, који омогућава валидацију интегритета одговора, иако његово усвајање није широко распрострањено и неки посредници крше његову функционалност. Упркос томе, DoH спречава треће стране да успут шпијунирају или манипулишу вашим упитима.

Активирајте га без додиривања рутера: прегледачи и системи

Најједноставнији начин за почетак је да омогућите DoH у вашем прегледачу или оперативном систему. Овако штитите упите од свог тима без зависности од фирмвера рутера.

Гугл Хром

У тренутним верзијама можете отићи на chrome://settings/security и, под „Користи безбедан ДНС“, активирајте опцију и изаберите провајдера (ваш тренутни провајдер ако подржава DoH или неки са Google-ове листе као што су Cloudflare или Google DNS).

У претходним верзијама, Chrome је нудио експериментални прекидач: укуцај chrome://flags/#dns-over-https, потражите „Безбедне DNS претраге“ и промените га са подразумеваног на омогућеноПоново покрените прегледач да бисте применили промене.

Мајкрософт Еџ (Хромијум)

Еџ базиран на Хромијуму укључује сличну опцију. Ако вам је потребна, идите на edge://flags/#dns-over-https, пронађите „Безбедне DNS претраге“ и омогућите га у ОмогућеноУ модерним верзијама, активација је доступна и у подешавањима приватности.

Мозила Фајерфокс

Отворите мени (горе десно) > Подешавања > Опште > померите се надоле до „Подешавања мреже“, додирните Конфигурација и означите „Омогући DNS преко HTTPS-а„. Можете бирати између провајдера као што су Cloudflare или NextDNS.

Ако више волите фину контролу, у about:config подесити network.trr.mode: 2 (опортуниста) користи DoH и прави резервну опцију ако није доступно; 3 (строга) наређења DoH-а и не успева ако нема подршке. У строгом режиму, дефинишите bootstrap resolver као network.trr.bootstrapAddress=1.1.1.1.

Опера

Од верзије 65, Opera укључује опцију за омогући DoH са верзијом 1.1.1.1Подразумевано је онемогућен и ради у опортунистичком режиму: ако 1.1.1.1:443 одговори, користиће DoH; у супротном, враћа се на нешифровани резолвер.

Windows 10/11: Аутоматско откривање (AutoDoH) и регистар

Windows може аутоматски да омогући DoH са одређеним познатим резолверима. У старијим верзијама, можете наметнути понашање из регистра: покрени regedit и иди на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Направите DWORD (32-битни) под називом EnableAutoDoh са вредношћу 2 y Рестартујте рачунарОво функционише ако користите ДНС сервере који подржавају DoH.

Windows Server 2022: DNS клијент са изворним DoH-ом

Уграђени DNS клијент у Windows Server 2022 подржава DoH. Моћи ћете да користите DoH само са серверима који се налазе на њиховој листи „Познати DoH“. или које сами додате. Да бисте га конфигурисали из графичког интерфејса:

1. Отворите подешавања система Windows > Мрежа и интернет.
2. Унесите Етернет и изаберите свој интерфејс.
3. На екрану мреже, померите се надоле до Подешавања ДНС-а и притисните Измени.
4. Изаберите „Ручно“ да бисте дефинисали жељене и алтернативне сервере.
5. Ако су те адресе на познатој DoH листи, биће омогућено „Преферирано ДНС шифровање“ са три опције:
   • Само шифровање (DNS преко HTTPS-а): Присилно искључивање DoH-а; ако сервер не подржава DoH, неће бити решења.
   • Преферирај шифровање, дозволи нешифрованоПокушава DoH и ако не успе, враћа се на нешифровани класични DNS.
   • Само нешифрованоКористи традиционални DNS у обичном тексту.
6. Сачувај да би се примениле промене.

Такође можете да упитате и проширите листу познатих DoH разрешивача користећи PowerShell. Да бисте видели тренутну листу:

Get-DNSClientDohServerAddress

Да бисте регистровали нови познати DoH сервер са вашим шаблоном, користите:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Имајте на уму да cmdlet Set-DNSClientServerAddress не контролише себе коришћење DoH-а; шифровање зависи од тога да ли се те адресе налазе у табели познатих DoH сервера. Тренутно не можете да конфигуришете DoH за Windows Server 2022 DNS клијент из Windows Admin центра или са sconfig.cmd.

Групне политике у Windows Server 2022

Постоји директива која се зове „Конфигуришите DNS преко HTTPS-а (DoH)“ en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSКада је омогућено, можете изабрати:

• Дозволи DoHКористите DoH ако сервер то подржава; у супротном, упит се шаље нешифровано.
• Забрана DoH-а: никада не користи DoH.
• Захтевајте DoH: форсира DoH; ако нема подршке, решавање не успева.

Важно: Не омогућавајте „Захтевај DoH“ на рачунарима придруженим доменуActive Directory се ослања на DNS, а улога DNS сервера Windows Server-а не подржава DoH упите. Ако вам је потребно да обезбедите DNS саобраћај унутар AD окружења, размислите о коришћењу IPsec правила између клијената и интерних решавача.

Ако сте заинтересовани за преусмеравање одређених домена на одређене резолвере, можете користити NRPT (Табела политика за решавање имена)Ако је одредишни сервер на познатој DoH листи, те консултације путоваће кроз DoH.

Андроид, иОС и Линукс

На Андроиду 9 и новијим верзијама, опција Приватни ДНС омогућава DoT (не DoH) са два режима: „Аутоматски“ (опортунистички, користи мрежни резолвер) и „Строги“ (морате навести име хоста које је потврђено сертификатом; директне IP адресе нису подржане).

На iOS-у и Android-у, апликација 1.1.1.1 Клаудфлејр омогућава ДоХ или ДоТ у строгом режиму користећи ВПН АПИ за пресретање нешифрованих захтева и проследите их преко безбедног канала.

У Линуксу, системски решено подржава DoT од systemd 239. Подразумевано је онемогућен; нуди опортунистички режим без валидације сертификата и строги режим (од 243) са CA валидацијом, али без SNI или верификације имена, што слаби модел поверења против нападача на путу.

На Linux-у, macOS-у или Windows-у, можете се одлучити за DoH клијент строгог режима, као што је cloudflared proxy-dns (подразумевано користи 1.1.1.1, иако можете дефинисати узводне токове алтернативе).

Познати DoH сервери (Windows) и како додати још

Windows Server садржи листу резолвера за које се зна да подржавају DoH. Можете то проверити помоћу PowerShell-а и додајте нове уносе ако је потребно.

Ово су познати DoH сервери одмах по инсталацији:

Власник сервера	IP адресе DNS сервера
Клаудфлејр	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Гугл	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Квад9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

За Погледајте листу, трцати:

Get-DNSClientDohServerAddress

За додајте нови DoH резолвер са његовим шаблоном, користи:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Ако управљате више именских простора, NRPT ће вам омогућити да управљајте одређеним доменима на одређени резолвер који подржава DoH.

Како проверити да ли је DoH активан

У прегледачима посетите https://1.1.1.1/help; тамо ћеш видети да ли Ваш саобраћај користи DoH са верзијом 1.1.1.1 или не. То је брз тест да видите у ком се статусу налазите.

У оперативном систему Windows 10 (верзија 2004), можете пратити класични DNS саобраћај (порт 53) помоћу пктмон из привилеговане конзоле:

pktmon filter add -p 53
pktmon start --etw -m real-time

Ако се на 53-ој појави константан ток пакета, веома је вероватно да И даље користите нешифровани ДНСЗапамтите: параметар --etw -m real-time захтева 2004; у ранијим верзијама видећете грешку „непознати параметар“.

Опционо: конфигуришите га на рутеру (MikroTik)

Ако више волите да централизујете шифровање на рутеру, можете лако омогућити DoH на MikroTik уређајима. Прво, увезите коренски сертификациони ауторитет (CA) који ће бити потписан од стране сервера на који ћете се повезати. За Cloudflare можете преузети ДигиЦертГлобалРоотЦА.црта.пем.

Отпремите датотеку на рутер (превлачењем у „Датотеке“) и идите на Систем > Сертификати > Увоз да га уградите. Затим, конфигуришите DNS рутера са URL-ови за клаудфлејр хартије од вредности (Cloudflare DoH)Када се једном активира, рутер ће дати приоритет шифрованој вези у односу на подразумевани нешифровани ДНС.

Да бисте потврдили да је све у реду, посетите 1.1.1.1/помоћ са рачунара иза рутера. Такође можете све да урадите преко терминала у RouterOS-у ако желите.

Перформансе, додатна приватност и ограничења приступа

Када је у питању брзина, две метрике су битне: време решавања проблема и стварно учитавање странице. Независни тестови (као што је SamKnows) Закључују да је разлика између DoH-а и класичног DNS-а (Do53) маргинална на оба фронта; у пракси не би требало да приметите никакву спорост.

DoH шифрује „DNS упит“, али на мрежи постоји више сигнала. Чак и ако сакријете ДНС, интернет провајдер би могао да закључи ствари путем TLS веза (нпр. SNI у неким застарелим сценаријима) или других трагова. Да бисте побољшали приватност, можете истражити DoT, DNSCrypt, DNSCurve или клијенте који минимизирају метаподатке.

Још увек не подржавају сви екосистеми DoH. Многи старији резолвери не нуде ово., што приморава ослањање на јавне изворе (Cloudflare, Google, Quad9, итд.). Ово отвара дебату о централизацији: концентрисање упита на неколико актера подразумева трошкове приватности и поверења.

У корпоративним окружењима, DoH може бити у сукобу са безбедносним политикама које се заснивају на Надгледање или филтрирање DNS-а (малвер, родитељски надзор, усклађеност са законом). Решења укључују MDM/групне смернице за подешавање DoH/DoT решавача на строги режим или у комбинацији са контролама на нивоу апликације, које су прецизније од блокирања заснованог на домену.

DNSSEC допуњује DoH: DoH штити транспорт; DNSSEC валидира одговорУсвајање је неравномерно, а неки посредни уређаји га прекидају, али тренд је позитиван. На путу од резолвера до ауторитативних сервера, DNS традиционално остаје нешифрован; већ постоје експерименти коришћења DoT међу великим оператерима (нпр. 1.1.1.1 са ауторитативним серверима Фејсбука) ради побољшања заштите.

Међуалтернатива је шифровање само између рутер и резолвер, остављајући везу између уређаја и рутера нешифрованом. Корисно на безбедним жичним мрежама, али се не препоручује на отвореним Wi-Fi мрежама: други корисници би могли да шпијунирају или манипулишу овим упитима унутар локалне мреже.

Направите свој DoH резолвер

Ако желите потпуну независност, можете да примените сопствени резолвер. Неограничено + Redis (L2 кеш) + Nginx је популарна комбинација за приказивање DoH URL-ова и филтрирање домена са аутоматски ажурираним листама.

Овај стек ради савршено на скромном VPS-у (на пример, једно језгро/2 жице за породицу). Постоје водичи са упутствима спремним за употребу, као што је овај репозиторијум: github.com/ousatov-ua/dns-filtering. Неки VPS провајдери нуде кредите добродошлице за нове кориснике, тако да можете подесити пробни период по ниској цени.

Са вашим приватним резолвером можете да изаберете изворе филтрирања, одредите политике задржавања и избегавајте централизацију ваших упита трећим лицима. Заузврат, ви управљате безбедношћу, одржавањем и високом доступношћу.

Пре закључка, напомена о валидности: на интернету се опције, менији и имена често мењају; неки стари водичи су застарели (На пример, прегледање „заставица“ у Chrome-у више није потребно у новијим верзијама.) Увек проверите документацију прегледача или система.

Ако сте стигли довде, већ знате шта DoH ради, како се уклапа у слагалицу са DoT и DNSSEC-ом и, што је најважније, како да га одмах активирате на свом уређају да спречите DNS да путује без проблема. Са неколико кликова у вашем прегледачу или подешавањима у Windows-у (чак и на нивоу политике у Server 2022) имаћете шифроване упите; ако желите да ствари подигнете на виши ниво, можете преместити шифровање на MikroTik рутер или направити сопствени резолвер. Кључ је у томе, Без додиривања рутера, можете заштитити један од најтраченијих делова вашег саобраћаја данас..