Kumaha Énkripsi DNS anjeun Tanpa Ngarampa Router anjeun sareng DoH: Pitunjuk Lengkep

¿Kumaha énkripsi DNS anjeun tanpa nyabak router anjeun nganggo DNS liwat HTTPS? Upami anjeun hariwang ngeunaan saha anu tiasa ningali situs wéb anu anjeun sambungkeun, Encrypt Domain Ngaran System queries kalawan DNS ngaliwatan HTTPS Ieu mangrupikeun salah sahiji cara anu paling gampang pikeun ningkatkeun privasi anjeun tanpa kedah ngalawan sareng router anjeun. Kalayan DoH, penerjemah anu ngarobih domain kana alamat IP ngeureunkeun perjalanan anu jelas sareng ngalangkungan torowongan HTTPS.

Dina pituduh ieu anjeun bakal mendakan, dina basa langsung sareng tanpa seueur jargon, Naon kahayang téh DoH, kumaha eta béda ti pilihan séjén kawas DoT, kumaha ngaktifkeunana dina panyungsi sareng sistem operasi (kalebet Windows Server 2022), kumaha pariksa yén éta leres-leres jalan, pangladén anu dirojong, sareng, upami anjeun ngarasa wani, bahkan kumaha cara nyetél résolusi DoH anjeun nyalira. sagalana, tanpa noél router...iwal bagian opsional pikeun anu hoyong ngonpigurasikeunana dina MikroTik.

Naon DNS leuwih HTTPS (DoH) jeung naha anjeun bisa paduli

Lamun anjeun ngetik dina domain a (contona, Xataka.com) komputer nanya ka DNS resolver naon IP na; Proses ieu biasana dina téks polos Sareng saha waé dina jaringan anjeun, panyadia Internét anjeun, atanapi alat perantara tiasa ngaintip atanapi ngamanipulasi éta. Ieu hakekat DNS klasik: gancang, ubiquitous… sareng transparan pikeun pihak katilu.

Ieu tempat DoH asup: Éta mindahkeun patarosan DNS sareng jawaban kana saluran énkripsi anu sami anu dianggo ku wéb anu aman (HTTPS, port 443)Hasilna nyaéta aranjeunna henteu deui ngarambat "di tempat terbuka," ngirangan kamungkinan spionase, pangbajak pamundut, sareng serangan man-in-the-middle tangtu. Saterusna, dina loba tés latency teu worsen appreciably komo bisa ningkat berkat optimizations angkutan.

Una ventaja clave es que DoH tiasa diaktipkeun dina tingkat aplikasi atanapi sistem, janten anjeun teu kedah ngandelkeun operator atanapi router anjeun pikeun ngaktipkeun nanaon. Hartina, anjeun bisa ngajaga diri "tina browser kaluar," tanpa noél sagala parabot jaringan.

Penting pikeun ngabédakeun DoH sareng DoT (DNS tibatan TLS): DoT énkripsi DNS dina port 853 langsung ngaliwatan TLS, bari DoH integrates kana HTTP (S). DoT leuwih basajan dina teori, tapi Éta leuwih gampang diblokir ku firewalls nu motong palabuhan ilahar; DoH, ku ngagunakeun 443, langkung saé ngahindarkeun larangan ieu sareng nyegah serangan "pushback" paksa ka DNS anu teu énkripsi.

Dina privasi: Ngagunakeun HTTPS teu imply cookies atawa tracking di DoH; standar sacara jelas nyarankeun ngalawan panggunaanana Dina kontéks ieu, TLS 1.3 ogé ngirangan kabutuhan pikeun ngamimitian deui sési, ngaminimalkeun korelasi. Sareng upami anjeun prihatin ngeunaan pagelaran, HTTP / 3 tina QUIC tiasa nyayogikeun perbaikan tambahan ku cara ngagandakeun patarosan tanpa ngahalangan.

Kumaha DNS jalan, résiko umum, sareng dimana DoH pas

Sistem operasi ilaharna diajar solver mana nu dipaké via DHCP; Di bumi anjeun biasana nganggo ISP, di kantor, jaringan perusahaan. Nalika komunikasi ieu henteu énkripsi (UDP/TCP 53), saha waé dina Wi-Fi anjeun atanapi dina rute tiasa ningali domain anu ditaroskeun, nyuntik réspon palsu, atanapi alihan anjeun ka milarian nalika domain éta henteu aya, sapertos sababaraha operator.

A analisis lalulintas has nembongkeun palabuhan, sumber / tujuan IP, sarta domain sorangan ngumbar; Ieu mah ngan saukur nembongkeun kabiasaan browsing, éta ogé ngagampangkeun pikeun ngahubungkeun sambungan anu salajengna, contona, ka alamat Twitter atanapi anu sami, sareng nyimpulkeun halaman-halaman anu pasti anu anjeun kunjungan.

Kalayan DoT, pesen DNS asup ka jero TLS dina port 853; kalawan DoH, query DNS ieu encapsulated dina pamundut HTTPS baku, anu ogé tiasa dianggo ku aplikasi wéb ngalangkungan API browser. Kadua mékanisme ngabagi yayasan anu sami: auténtikasi server sareng sertipikat sareng saluran énkripsi end-to-end.

Masalah sareng palabuhan anyar téh nya éta umum pikeun sababaraha jaringan meungpeuk 853, encouraging software pikeun "ragrag deui" kana DNS unencrypted. DoH ngirangan ieu ku ngagunakeun 443, anu umum pikeun wéb. DNS/QUIC ogé aya salaku pilihan séjén anu ngajangjikeun, sanajan merlukeun UDP kabuka sarta henteu salawasna sadia.

Sanaos énkripsi angkutan, ati-ati ku hiji nuansa: Upami solver bohong, cipher henteu ngabenerkeunana.Pikeun tujuan ieu, DNSSEC aya, anu ngamungkinkeun pikeun validasi integritas respon, sanajan nyoko na teu nyebar sarta sababaraha perantara megatkeun pungsionalitasna. Sanajan kitu, DoH nyegah pihak katilu sapanjang jalan ti snooping atawa tampering patarosan anjeun.

Aktipkeun éta tanpa noél router: panyungsi sareng sistem

Cara anu paling gampang pikeun ngamimitian nyaéta ngaktipkeun DoH dina panyungsi anjeun atanapi sistem operasi. Ieu kumaha anjeun ngalindungan patarosan ti tim anjeun tanpa gumantung kana firmware router.

Google Chrome

Dina versi ayeuna anjeun tiasa angkat ka chrome://settings/security jeung, dina "Paké DNS aman", Aktipkeun pilihan sareng pilih panyadia (panyadia anjeun ayeuna upami aranjeunna ngadukung DoH atanapi salah sahiji tina daptar Google sapertos Cloudflare atanapi Google DNS).

Dina vérsi saméméhna, Chrome nawiskeun saklar ékspérimén: jinis chrome://flags/#dns-over-https, milarian "Secure DNS lookups" na robah tina Default ka Diaktipkeun. Balikan deui panyungsi anjeun pikeun nerapkeun parobihan.

Microsoft Edge (Chromium)

Edge basis Chromium kalebet pilihan anu sami. Upami anjeun peryogi, angkat ka edge://flags/#dns-over-https, manggihan "Secure DNS lookups" jeung aktipkeun dina AktipkeunDina vérsi modéren, aktivasina ogé sayogi dina setélan privasi anjeun.

Mozilla Firefox

Buka menu (katuhu luhur)> Setélan> Umum> gulung ka handap ka "Setélan Jaringan", ketok Konfigurasi jeung tanda"Aktipkeun DNS ngaliwatan HTTPSAnjeun tiasa milih ti panyadia sapertos Cloudflare atanapi NextDNS.

Lamun resep kontrol rupa, di about:config nyaluyukeun network.trr.mode: 2 (oportunis) ngagunakeun DoH sareng ngajantenkeun mundur lamun teu sadia; 3 (ketat) amanat DoH sareng gagal upami teu aya dukungan. Kalawan mode ketat, nangtukeun hiji solver bootstrap salaku network.trr.bootstrapAddress=1.1.1.1.

Opera

Kusabab versi 65, Opera ngawengku hiji pilihan pikeun ngaktipkeun DoH kalawan 1.1.1.1. Datang ditumpurkeun sacara standar tur beroperasi dina modeu opportunistic: lamun 1.1.1.1:443 ngabales, eta bakal make DoH; disebutkeun, ragrag deui ka solver unencrypted.

Windows 10/11: Autodetect (AutoDoH) sareng Registry

Windows tiasa otomatis ngaktipkeun DoH sareng solvers anu dipikanyaho. Dina versi heubeul, anjeun tiasa maksakeun paripolah ti pendaptaran: ngajalankeun regedit sareng angkat ka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Jieun DWORD (32-bit) disebut EnableAutoDoh kalawan nilai 2 y Pareuman terus hurungkeun deui komputerIeu tiasa dianggo upami anjeun nganggo pangladén DNS anu ngadukung DoH.

Windows Server 2022: klien DNS sareng DoH asli

Klién DNS anu diwangun dina Windows Server 2022 ngadukung DoH. Anjeun ngan ukur tiasa nganggo DoH sareng server anu aya dina daptar "DOH Dipikawanoh". atawa nu nambahkeun diri. Pikeun ngonpigurasikeunana tina antarmuka grafis:

1. Buka Setélan Windows > Jaringan sareng Internét.
2. Lebetkeun Ethernet tur pilih panganteur Anjeun.
3. Dina layar jaringan, gulung ka handap ka Setélan DNS jeung pencét Édit.
4. Pilih "Manual" pikeun ngartikeun pangladén anu dipikaresep sareng alternatip.
5. Upami alamat-alamat éta aya dina daptar DoH anu dipikanyaho, éta bakal diaktipkeun "Enkripsi DNS anu dipikaresep" kalawan tilu pilihan:
   • Énkripsi wungkul (DNS ngaliwatan HTTPS): Maksakeun DoH; lamun server teu ngarojong DoH, moal aya resolusi.
   • Leuwih resep enkripsi, ngidinan unencrypted: Usaha DoH sarta lamun gagal, ragrag deui ka DNS Palasik unencrypted.
   • Unencrypted wungkul: Ngagunakeun DNS plaintext tradisional.
6. Simpen pikeun nerapkeun parobahan.

Anjeun ogé tiasa naroskeun sareng manjangkeun daptar panyusun DoH anu dipikanyaho nganggo PowerShell. Pikeun ningali daptar ayeuna:

Get-DNSClientDohServerAddress

Pikeun ngadaptarkeun pangladén DoH anyar anu dikenal sareng citakan anjeun, paké:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Catet yén cmdlet Set-DNSClientServerAddress teu ngadalikeun diri pamakéan DoH; enkripsi gumantung kana naha alamat maranéhanana aya dina tabel server DoH dipikawanoh. Anjeun ayeuna teu tiasa ngonpigurasikeun DoH pikeun klien DNS Windows Server 2022 tina Windows Admin Center atanapi nganggo sconfig.cmd.

Kawijakan Grup dina Windows Server 2022

Aya diréktif disebut "Konpigurasikeun DNS ngaliwatan HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Nalika diaktipkeun, anjeun tiasa milih:

• Ngidinan DoH: Paké DoH lamun server ngarojong eta; disebutkeun, query unencrypted.
• Larangan DoH: pernah ngagunakeun DoH.
• Merlukeun DoH: maksakeun DoH; lamun euweuh rojongan, resolusi gagal.

Penting: Ulah aktipkeun "Require DoH" dina komputer domain-gabunganActive Directory ngandelkeun DNS, sarta peran Windows Server DNS Server teu ngarojong pamundut DoH. Upami anjeun kedah ngamankeun lalu lintas DNS dina lingkungan AD, pertimbangkeun nganggo aturan IPsec antara klien jeung solvers internal.

Upami anjeun kabetot dina alihan domain khusus ka résolusi khusus, anjeun tiasa nganggo NRPT (Tabel Kabijakan Resolusi Ngaran). Upami pangladén tujuan aya dina daptar DoH anu dipikanyaho, éta konsultasi bakal ngaliwat DoH.

Android, ios jeung Linux

Dina Android 9 sareng langkung luhur, pilihan DNS Pribadi ngamungkinkeun DoT (sanes DoH) dua modus: "Otomatis" (opportunistic, nyokot solver jaringan) jeung "Ketat" (Anjeun kudu nangtukeun hostname nu geus disahkeun ku sertipikat; IP langsung teu dirojong).

Dina ios sareng Android, aplikasi 1.1.1.1 Cloudflare ngamungkinkeun DoH atanapi DoT dina modeu ketat nganggo API VPN pikeun nyegat pamundut anu teu énkripsi sareng teruskeun aranjeunna ngaliwatan saluran aman.

En Linux, systemd-resolved ngarojong DoT saprak systemd 239. Ieu ditumpurkeun sacara standar; eta nawarkeun mode opportunistic tanpa validating sertipikat jeung mode ketat (ti 243) kalawan validasi CA tapi tanpa SNI atawa verifikasi ngaran, nu weakens model kapercayaan ngalawan panyerang di jalan.

Dina Linux, macOS, atanapi Windows, anjeun tiasa milih klien DoH mode ketat sapertos cloudflared proxy-dns (sacara standar ngagunakeun 1.1.1.1, sanajan Anjeun tiasa nangtukeun hulu alternatip).

Dipikawanoh DoH Servers (Windows) jeung kumaha carana nambahkeun leuwih

Windows Server kalebet daptar résolusi anu dipikanyaho ngadukung DoH. Anjeun tiasa pariksa ku PowerShell sareng tambahkeun éntri énggal upami anjeun peryogi.

Ieu mangrupikeun server DoH dipikawanoh out of the box:

Pamilik server	Alamat IP pangladén DNS
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Pikeun Témbongkeun daptarna, lumpat:

Get-DNSClientDohServerAddress

Pikeun tambahkeun solver DoH anyar sareng citakan na, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Upami anjeun ngatur sababaraha ruang ngaran, NRPT bakal ngamungkinkeun anjeun ngatur domain husus ka solver husus nu ngarojong DoH.

Kumaha pariksa naha DoH aktip

Dina browser, nganjang https://1.1.1.1/help; aya anjeun bakal nempo lamun lalulintas anjeun ngagunakeun DoH jeung 1.1.1.1 atanapi henteu. Ieu mangrupikeun tés gancang pikeun ningali status naon anjeun.

Dina Windows 10 (versi 2004), anjeun tiasa ngawas lalu lintas DNS klasik (port 53) sareng pktmon ti konsol istimewa:

pktmon filter add -p 53
pktmon start --etw -m real-time

Lamun aliran konstan pakét némbongan dina 53, eta kamungkinan pisan anjeun masih nganggo DNS anu teu énkripsi. Inget: parameter --etw -m real-time merlukeun 2004; dina versi samemehna anjeun bakal nempo kasalahan "parameter kanyahoan".

Pilihan: Konpigurasikeun dina router (MikroTik)

Upami anjeun resep pikeun sentralisasi enkripsi dina router, anjeun tiasa sacara gampil ngaktipkeun DoH dina alat MikroTik. Mimiti, impor akar CA nu bakal ditandatanganan ku server anjeun bakal nyambung ka. Pikeun Cloudflare anjeun tiasa ngaunduh DigiCertGlobalRootCA.crt.pem.

Unggah file ka router (ku cara nyéred ka "Files"), teras angkat ka Sistem > Sertipikat > Impor pikeun ngasupkeun éta. Lajeng, ngonpigurasikeun DNS router urang jeung URL Cloudflare DoHSakali aktip, router bakal prioritas sambungan énkripsi leuwih DNS unencrypted standar.

Pikeun mastikeun yén sagalana aya dina urutan, mangga buka 1.1.1.1/pitulung ti komputer tukangeun router dina. Anjeun oge bisa ngalakukeun sagalana via terminal dina RouterOS upami anjeun resep.

Kinerja, privasi tambahan sareng wates pendekatan

Lamun datang ka speed, dua metrics masalah: waktos resolusi jeung beban kaca sabenerna. Tes mandiri (sapertos SamKnows) Aranjeunna menyimpulkan yén bédana antara DoH jeung DNS Palasik (Do53) nyaeta marginal on duanana fronts; dina prakna, Anjeun teu kudu aya bewara slowness wae.

DoH énkripsi "query DNS," tapi aya langkung seueur sinyal dina jaringan. Malah lamun nyumputkeun DNS, hiji ISP bisa infer hal via sambungan TLS (contona, SNI dina sababaraha skenario warisan) atawa ngambah lianna. Pikeun ningkatkeun privasi, anjeun tiasa ngajalajah DoT, DNSCrypt, DNSCurve, atanapi klien anu ngaminimalkeun metadata.

Henteu sadayana ékosistem ngadukung DoH. Seueur panyusun warisan henteu nawiskeun ieu., forcing reliance on sumber publik (Cloudflare, Google, Quad9, jsb). Ieu ngabuka debat ngeunaan sentralisasi: konsentrasi patarosan dina sababaraha aktor butuh biaya privasi sareng amanah.

Dina lingkungan perusahaan, DoH tiasa pasea sareng kawijakan kaamanan anu didasarkeun kana Ngawaskeun atanapi nyaring DNS (malware, kadali parental, patuh hukum). Solusi kaasup MDM / Kawijakan Grup pikeun nyetel hiji solver DoH / DoT kana mode ketat, atawa digabungkeun jeung kontrol tingkat aplikasi, nu leuwih tepat ti meungpeuk basis domain.

DNSSEC ngalengkepan DoH: DoH ngajaga angkutan; DNSSEC ngesahkeun résponNyoko henteu rata, sarta sababaraha alat panengah megatkeun eta, tapi trend nyaeta positif. Sapanjang jalur antara solvers sareng server otoritatif, DNS sacara tradisional tetep teu énkripsi; geus aya percobaan ngagunakeun DoT diantara operator badag (misalna, 1.1.1.1 kalawan server otoritatif Facebook urang) pikeun ngaronjatkeun panyalindungan.

Alternatif panengah nyaéta encrypt ngan antara router jeung solver nu, ninggalkeun sambungan antara alat jeung router unencrypted. Mangpaat dina jaringan kabel aman, tapi teu dianjurkeun dina jaringan Wi-Fi kabuka: pamaké séjén bisa nenjo atawa ngamanipulasi queries ieu dina LAN.

Jieun solver DoH anjeun sorangan

Upami anjeun hoyong kamerdikaan lengkep, anjeun tiasa nyebarkeun solver anjeun nyalira. Unbound + Redis (L2 cache) + Nginx mangrupakeun kombinasi populér pikeun ngalayanan URL DoH jeung nyaring domain kalawan daptar otomatis diropéa.

Tumpukan ieu jalan sampurna dina VPS modest (contona, hiji inti / 2 kawat pikeun kulawarga). Aya pituduh sareng petunjuk anu siap dianggo, sapertos gudang ieu: github.com/ousatov-ua/dns-filtering. Sababaraha panyadia VPS nawiskeun sks wilujeng sumping pikeun pamaké anyar, ku kituna anjeun bisa nyetél sidang kalawan béaya rendah.

Kalayan solver pribadi anjeun, anjeun tiasa milih sumber nyaring anjeun, mutuskeun kawijakan ingetan sareng ulah centralizing queries Anjeun ka pihak katilu. Sabalikna, anjeun ngatur kaamanan, pangropéa, sareng kasadiaan anu luhur.

Sateuacan nutup, catetan validitas: dina Internét, pilihan, ménu sareng nami sering robih; sababaraha Panungtun heubeul geus luntur (Contona, ngaliwatan "bendera" dina Chrome teu perlu deui dina versi panganyarna.) Salawasna pariksa ku panyungsi anjeun atawa dokuméntasi sistem.

Upami anjeun parantos dugi ka ieu, anjeun parantos terang naon anu dilakukeun ku DoH, kumaha éta cocog sareng teka-teki sareng DoT sareng DNSSEC, sareng anu paling penting, kumaha ngaktipkeun ayeuna dina alat Anjeun pikeun nyegah DNS ti iinditan dina jelas. Kalayan sababaraha klik dina panyungsi anjeun atanapi panyesuaian dina Windows (sanaos dina tingkat kawijakan dina Server 2022) anjeun bakal gaduh patarosan énkripsi; upami anjeun hoyong nyandak hal ka tingkat salajengna, anjeun tiasa mindahkeun énkripsi kana router MikroTik atanapi ngawangun solver anjeun nyalira. koncina nyaeta, Tanpa nyabak router anjeun, anjeun tiasa ngalindungan salah sahiji bagian anu paling digosipkeun ngeunaan lalu lintas anjeun ayeuna..