Paano i-encrypt ang iyong DNS nang hindi hinahawakan ang iyong router gamit ang DNS sa HTTPS

Ini-encrypt ng DoH ang mga query sa DNS gamit ang HTTPS (port 443), pinapahusay ang privacy at pinipigilan ang pakikialam.
Maaari itong i-activate sa mga browser at system (kasama ang Windows Server 2022) nang hindi nakadepende sa router.
Pagganap na katulad ng klasikong DNS; kinumpleto ng DNSSEC upang patunayan ang mga tugon.
Mga sikat na server ng DoH (Cloudflare, Google, Quad9) at ang kakayahang magdagdag o mag-set up ng sarili mong solver.

¿Paano i-encrypt ang iyong DNS nang hindi hinahawakan ang iyong router gamit ang DNS sa HTTPS? Kung nag-aalala ka kung sino ang makakakita sa mga website na iyong kinokonekta, I-encrypt ang mga query sa Domain Name System gamit ang DNS sa HTTPS Ito ay isa sa mga pinakamadaling paraan upang madagdagan ang iyong privacy nang hindi kinakailangang makipag-away sa iyong router. Sa DoH, ang tagasalin na nagko-convert ng mga domain sa mga IP address ay huminto sa paglalakbay sa malinaw at dumaan sa isang HTTPS tunnel.

Sa gabay na ito ay makikita mo, sa direktang wika at walang masyadong jargon, Ano nga ba ang DoH, kung paano ito naiiba sa ibang mga opsyon tulad ng DoT, kung paano ito i-enable sa mga browser at operating system (kabilang ang Windows Server 2022), kung paano i-verify na ito ay aktwal na gumagana, mga sinusuportahang server, at, kung matapang ka, kahit na kung paano i-set up ang iyong sariling DoH resolver. lahat, nang hindi hinahawakan ang router…maliban sa isang opsyonal na seksyon para sa mga gustong i-configure ito sa isang MikroTik.

Ano ang DNS over HTTPS (DoH) at kung bakit mahalaga sa iyo

Kapag nag-type ka sa isang domain (halimbawa, Xataka.com) tatanungin ng computer ang isang DNS resolver kung ano ang IP nito; Karaniwang nasa plain text ang prosesong ito At sinuman sa iyong network, iyong Internet provider, o mga intermediate na device ay maaaring mag-snoop o magmanipula nito. Ito ang esensya ng classic na DNS: mabilis, nasa lahat ng dako... at transparent sa mga third party.

Dito pumapasok ang DoH: Inililipat nito ang mga tanong at sagot sa DNS na iyon sa parehong naka-encrypt na channel na ginagamit ng secure na web (HTTPS, port 443)Ang resulta ay hindi na sila naglalakbay "sa bukas," na binabawasan ang posibilidad ng paniniktik, pag-hijack ng query, at ilang partikular na pag-atake ng man-in-the-middle. Higit pa rito, sa maraming pagsubok hindi lumalala ang latency at maaari pang mapabuti salamat sa mga pag-optimize ng transportasyon.

Ang isang pangunahing bentahe ay iyon Maaaring paganahin ang DoH sa antas ng aplikasyon o sistema, kaya hindi mo na kailangang umasa sa iyong carrier o router para paganahin ang anuman. Iyon ay, maaari mong protektahan ang iyong sarili "mula sa browser out," nang hindi hinahawakan ang anumang kagamitan sa network.

Mahalagang makilala ang DoH sa DoT (DNS sa TLS): Ini-encrypt ng DoT ang DNS sa port 853 direkta sa TLS, habang isinasama ito ng DoH sa HTTP(S). Ang DoT ay mas simple sa teorya, ngunit Ito ay mas malamang na ma-block ng mga firewall na pinutol ang mga hindi karaniwang port; Ang DoH, sa pamamagitan ng paggamit ng 443, ay mas mahusay na iniiwasan ang mga paghihigpit na ito at pinipigilan ang mga sapilitang "pushback" na pag-atake sa hindi naka-encrypt na DNS.

Sa privacy: Ang paggamit ng HTTPS ay hindi nagpapahiwatig ng cookies o pagsubaybay sa DoH; ang mga pamantayan ay malinaw na nagpapayo laban sa paggamit nito Sa kontekstong ito, binabawasan din ng TLS 1.3 ang pangangailangang i-restart ang mga session, na pinapaliit ang mga ugnayan. At kung nag-aalala ka tungkol sa pagganap, ang HTTP/3 sa QUIC ay maaaring magbigay ng mga karagdagang pagpapabuti sa pamamagitan ng pag-multiply ng mga query nang hindi nagba-block.

Paano gumagana ang DNS, karaniwang mga panganib, at kung saan nababagay ang DoH

Karaniwang natututo ng operating system kung aling solver ang gagamitin sa pamamagitan ng DHCP; Sa bahay karaniwan mong ginagamit ang mga ISP, sa opisina, ang corporate network. Kapag hindi naka-encrypt ang komunikasyong ito (UDP/TCP 53), sinuman sa iyong Wi-Fi o sa ruta ay makakakita ng mga na-query na domain, makakapag-inject ng mga pekeng tugon, o ma-redirect ka sa mga paghahanap kapag wala ang domain, tulad ng ginagawa ng ilang operator.

Ang isang tipikal na pagsusuri ng trapiko ay nagpapakita ng mga port, pinagmulan/destinasyon IP, at ang domain mismo ay nalutas; Hindi lamang nito inilalantad ang mga gawi sa pagba-browse, pinapadali din nitong iugnay ang mga kasunod na koneksyon, halimbawa, sa mga address sa Twitter o katulad nito, at hinuhusgahan kung aling mga eksaktong pahina ang iyong binisita.

Sa DoT, napupunta ang DNS message sa TLS sa port 853; kasama ang DoH, ang DNS query ay naka-encapsulated sa isang karaniwang kahilingan sa HTTPS, na nagbibigay-daan din sa paggamit nito ng mga web application sa pamamagitan ng mga browser API. Ang parehong mekanismo ay nagbabahagi ng parehong pundasyon: pagpapatunay ng server na may isang sertipiko at isang end-to-end na naka-encrypt na channel.

Eksklusibong nilalaman - Mag-click Dito Paano basahin ang mga mensahe ng Telegram nang hindi nakikita

Ang problema sa mga bagong port ay karaniwan para sa hinaharangan ng ilang network ang 853, na naghihikayat sa software na "bumalik" sa hindi naka-encrypt na DNS. Pinapapahina ito ng DoH sa pamamagitan ng paggamit ng 443, na karaniwan para sa web. Umiiral din ang DNS/QUIC bilang isa pang maaasahang opsyon, bagama't nangangailangan ito ng bukas na UDP at hindi palaging available.

Kahit na kapag nag-encrypt ng transportasyon, mag-ingat sa isang nuance: Kung nagsisinungaling ang solver, hindi ito itatama ng cipher.Para sa layuning ito, umiiral ang DNSSEC, na nagbibigay-daan para sa pagpapatunay ng integridad ng tugon, kahit na ang pag-aampon nito ay hindi laganap at sinira ng ilang tagapamagitan ang paggana nito. Gayunpaman, pinipigilan ng DoH ang mga third party sa daan mula sa pagmamasid o pakikialam sa iyong mga tanong.

I-activate ito nang hindi hinahawakan ang router: mga browser at system

Ang pinakasimpleng paraan upang makapagsimula ay ang paganahin ang DoH sa iyong browser o operating system. Ito ay kung paano mo pinoprotektahan ang mga query mula sa iyong koponan nang hindi nakadepende sa firmware ng router.

Google Chrome

Sa kasalukuyang mga bersyon maaari kang pumunta sa chrome://settings/security at, sa ilalim ng "Gumamit ng secure na DNS", buhayin ang opsyon at piliin ang provider (iyong kasalukuyang provider kung sinusuportahan nila ang DoH o isa mula sa listahan ng Google gaya ng Cloudflare o Google DNS).

Sa mga nakaraang bersyon, nag-alok ang Chrome ng pang-eksperimentong switch: uri chrome://flags/#dns-over-https, hanapin ang “Secure DNS lookups” at baguhin ito mula sa Default patungo sa Pinagana. I-restart ang iyong browser upang ilapat ang mga pagbabago.

Microsoft Edge (Chromium)

Kasama sa Chromium-based Edge ang isang katulad na opsyon. Kung kailangan mo, pumunta sa edge://flags/#dns-over-https, hanapin ang “Secure DNS lookups” at paganahin ito sa PinaganaSa mga modernong bersyon, available din ang pag-activate sa iyong mga setting ng privacy.

Mozilla Firefox

Buksan ang menu (kanang tuktok) > Mga Setting > Pangkalahatan > mag-scroll pababa sa “Mga Setting ng Network”, i-tap ang configuration at markahan ang "Paganahin ang DNS sa HTTPS”. Maaari kang pumili mula sa mga provider tulad ng Cloudflare o NextDNS.

Kung mas gusto mo ang mahusay na kontrol, sa about:config inaayos network.trr.mode: 2 (oportunista) ay gumagamit ng DoH at gumagawa ng fallback kung hindi magagamit; 3 (mahigpit) na mandato ng DoH at mabibigo kung walang suporta. Sa mahigpit na mode, tukuyin ang isang bootstrap solver bilang network.trr.bootstrapAddress=1.1.1.1.

Opera

Mula noong bersyon 65, may kasamang opsyon ang Opera na paganahin ang DoH sa 1.1.1.1. Ito ay hindi pinagana bilang default at gumagana sa oportunistikong mode: kung 1.1.1.1:443 ang tumugon, gagamitin nito ang DoH; kung hindi, ito ay bumabalik sa hindi naka-encrypt na solver.

Windows 10/11: Autodetect (AutoDoH) at Registry

Maaaring awtomatikong paganahin ng Windows ang DoH sa ilang kilalang mga solver. Sa mga lumang bersyon, pwede mong pilitin ang ugali mula sa Registry: run regedit at pumunta sa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Gumawa ng DWORD (32-bit) na tinatawag EnableAutoDoh nang may katapangan 2 y i-restart ang computerGumagana ito kung gumagamit ka ng mga DNS server na sumusuporta sa DoH.

Windows Server 2022: DNS client na may katutubong DoH

Ang built-in na DNS client sa Windows Server 2022 ay sumusuporta sa DoH. Magagamit mo lamang ang DoH sa mga server na nasa kanilang listahan ng "Kilalang DoH". o idagdag mo ang iyong sarili. Upang i-configure ito mula sa graphical na interface:

Buksan ang Mga Setting ng Windows > Network at Internet.
Ipasok Ethernet at piliin ang iyong interface.
Sa screen ng network, mag-scroll pababa sa Ang pagsasaayos ng DNS at pindutin I-edit ang.
Piliin ang "Manual" upang tukuyin ang mga ginustong at kahaliling mga server.
Kung ang mga address na iyon ay nasa kilalang listahan ng DoH, ito ay paganahin “Preferred DNS Encryption” na may tatlong pagpipilian:
- Encryption lamang (DNS sa HTTPS): Pilitin ang DoH; kung hindi sinusuportahan ng server ang DoH, walang magiging resolusyon.
- Mas gusto ang pag-encrypt, payagan ang hindi naka-encrypt: Sinusubukan ang DoH at kung nabigo ito, babalik sa hindi naka-encrypt na classic na DNS.
- Hindi naka-encrypt lang: Gumagamit ng tradisyonal na plaintext DNS.
I-save para ilapat ang mga pagbabago.

Maaari mo ring itanong at i-extend ang listahan ng mga kilalang solver ng DoH gamit ang PowerShell. Upang makita ang kasalukuyang listahan:

Get-DNSClientDohServerAddress

Upang magrehistro ng bagong kilalang server ng DoH gamit ang iyong template, gamitin ang:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Tandaan na ang cmdlet Set-DNSClientServerAddress hindi kinokontrol ang sarili ang paggamit ng DoH; nakadepende ang pag-encrypt kung ang mga address na iyon ay nasa talahanayan ng mga kilalang server ng DoH. Kasalukuyan mong hindi mako-configure ang DoH para sa Windows Server 2022 DNS client mula sa Windows Admin Center o sa sconfig.cmd.

Patakaran ng Grupo sa Windows Server 2022

May tinatawag na direktiba "I-configure ang DNS sa HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Kapag pinagana, maaari mong piliin ang:

Payagan ang DoH: Gamitin ang DoH kung sinusuportahan ito ng server; kung hindi, hindi naka-encrypt ang query.
Ipagbawal ang DoH: hindi kailanman gumagamit ng DoH.
Kinakailangan ang DoH: pinipilit ang DoH; kung walang suporta, mabibigo ang resolusyon.

Eksklusibong nilalaman - Mag-click Dito Pinakamahusay na mga tagapamahala ng password upang protektahan at tandaan ang lahat ng mayroon ka

Mahalaga: Huwag paganahin ang “Require DoH” sa mga computer na sinalihan ng domainUmaasa ang Active Directory sa DNS, at ang tungkulin ng DNS Server ng Windows Server ay hindi sumusuporta sa mga query sa DoH. Kung kailangan mong i-secure ang trapiko ng DNS sa loob ng isang AD environment, isaalang-alang ang paggamit Mga panuntunan ng IPsec sa pagitan ng mga kliyente at mga internal na solver.

Kung interesado kang mag-redirect ng mga partikular na domain sa mga partikular na solver, maaari mong gamitin ang NRPT (Name Resolution Policy Table). Kung ang destinasyong server ay nasa kilalang listahan ng DoH, mga konsultasyon na iyon dadaan sa DoH.

Android, iOS at Linux

Sa Android 9 at mas mataas, ang opsyon Pribadong DNS nagbibigay-daan sa DoT (hindi DoH) na may dalawang mode: “Awtomatiko” (oportunistiko, kumukuha ng solver ng network) at “Mahigpit” (dapat kang tumukoy ng hostname na napatunayan ng certificate; hindi sinusuportahan ang mga direktang IP).

Sa iOS at Android, ang app 1.1.1.1 Binibigyang-daan ng Cloudflare ang DoH o DoT sa mahigpit na mode gamit ang VPN API upang ma-intercept ang mga hindi naka-encrypt na kahilingan at ipasa ang mga ito sa pamamagitan ng isang secure na channel.

Sa Linux, nalutas ng systemd sumusuporta sa DoT mula noong systemd 239. Ito ay hindi pinagana bilang default; nag-aalok ito ng oportunistikong mode nang walang pagpapatunay ng mga sertipiko at mahigpit na mode (mula noong 243) na may CA validation ngunit walang SNI o pag-verify ng pangalan, na nagpapahina sa modelo ng tiwala laban sa mga umaatake sa kalsada.

Sa Linux, macOS, o Windows, maaari kang pumili ng isang mahigpit na mode na tulad ng kliyente ng DoH cloudflared proxy-dns (bilang default ay gumagamit ito ng 1.1.1.1, bagaman maaari mong tukuyin ang mga upstream mga alternatibo).

Mga Kilalang DoH Server (Windows) at kung paano magdagdag ng higit pa

Kasama sa Windows Server ang isang listahan ng mga solver na kilalang sumusuporta sa DoH. Maaari mong suriin ito gamit ang PowerShell at magdagdag ng mga bagong entry kung kailangan mo.

Ito ang mga kilalang mga server ng DoH out of the box:

May-ari ng Server	Mga IP address ng DNS server
CloudFlare	1.1.1.1 1.0.0.1 2606: 4700: 4700 :: 1111 2606: 4700: 4700 :: 1001
Google	8.8.8.8 8.8.4.4 2001: 4860: 4860 :: 8888 2001: 4860: 4860 :: 8844
Quad9	9.9.9.9 149.112.112.112 2620: fe fe :: 2620: fe:: fe: 9

Sa tingnan ang listahan, patakbuhin:

Get-DNSClientDohServerAddress

Sa magdagdag ng bagong solver ng DoH kasama ang template nito, isa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Kung namamahala ka ng maraming namespace, papayagan ka ng NRPT pamahalaan ang mga partikular na domain sa isang partikular na solver na sumusuporta sa DoH.

Paano malalaman kung aktibo ang DoH

Sa mga browser, bisitahin ang https://1.1.1.1/help; doon mo makikita kung ang iyong trapiko ay gumagamit ng DoH may 1.1.1.1 o hindi. Ito ay isang mabilis na pagsubok upang makita kung ano ang status mo.

Sa Windows 10 (bersyon 2004), maaari mong subaybayan para sa klasikong trapiko ng DNS (port 53) gamit ang pktmon mula sa isang privileged console:

pktmon filter add -p 53
pktmon start --etw -m real-time

Kung ang isang patuloy na stream ng mga packet ay lilitaw sa 53, ito ay malamang na iyon gumagamit ka pa rin ng hindi naka-encrypt na DNS. Tandaan: ang parameter --etw -m real-time nangangailangan ng 2004; sa mga naunang bersyon makakakita ka ng error na "hindi kilalang parameter".

Opsyonal: i-configure ito sa router (MikroTik)

Kung mas gusto mong i-centralize ang encryption sa router, madali mong paganahin ang DoH sa MikroTik device. Una, i-import ang root CA na pipirmahan ng server na iyong ikokonekta. Para sa Cloudflare maaari kang mag-download DigiCertGlobalRootCA.crt.pem.

I-upload ang file sa router (sa pamamagitan ng pag-drag nito sa “Files”), at pumunta sa System > Mga Certificate > Import upang isama ito. Pagkatapos, i-configure ang DNS ng router gamit ang Mga URL ng Cloudflare DoHKapag aktibo na, uunahin ng router ang naka-encrypt na koneksyon kaysa sa default na hindi naka-encrypt na DNS.

Eksklusibong nilalaman - Mag-click Dito Paano tanggalin ang antivirus

Para ma-validate na maayos ang lahat, bumisita 1.1.1.1/tulong mula sa isang computer sa likod ng router. Maaari mo ring gawin ang lahat sa pamamagitan ng terminal sa RouterOS kung gusto mo.

Pagganap, karagdagang privacy at mga limitasyon ng diskarte

Pagdating sa bilis, dalawang sukatan ang mahalaga: oras ng paglutas at aktwal na pag-load ng page. Mga independiyenteng pagsubok (tulad ng SamKnows) Napagpasyahan nila na ang pagkakaiba sa pagitan ng DoH at classic DNS (Do53) ay marginal sa parehong larangan; sa pagsasanay, hindi mo dapat mapansin ang anumang kabagalan.

Ini-encrypt ng DoH ang “DNS query,” ngunit marami pang signal sa network. Kahit na itago mo ang DNS, ang isang ISP ay maaaring magpahiwatig ng mga bagay sa pamamagitan ng mga koneksyon sa TLS (hal., SNI sa ilang legacy na sitwasyon) o iba pang mga bakas. Para mapahusay ang privacy, maaari mong i-explore ang DoT, DNSCrypt, DNSCurve, o mga kliyenteng nagpapaliit ng metadata.

Hindi pa lahat ng ecosystem ay sumusuporta sa DoH. Maraming mga legacy na solver ang hindi nag-aalok nito., pinipilit na umasa sa mga pampublikong mapagkukunan (Cloudflare, Google, Quad9, atbp.). Binubuksan nito ang debate sa sentralisasyon: ang pagtutuon ng mga query sa ilang aktor ay nangangailangan ng privacy at mga gastos sa pagtitiwala.

Sa mga kapaligiran ng korporasyon, maaaring sumalungat ang DoH sa mga patakaran sa seguridad na nakabatay sa Pagsubaybay o pag-filter ng DNS (malware, mga kontrol ng magulang, legal na pagsunod). Kasama sa mga solusyon ang MDM/Group Policy para itakda ang isang DoH/DoT resolver sa strict mode, o pinagsama sa mga kontrol sa antas ng application, na mas tumpak kaysa sa pag-block na nakabatay sa domain.

Ang DNSSEC ay umakma sa DoH: Pinoprotektahan ng DoH ang transportasyon; Pinapatunayan ng DNSSEC ang tugonHindi pantay ang pag-ampon, at sinisira ito ng ilang intermediate device, ngunit positibo ang trend. Kasama ang landas sa pagitan ng mga solver at authoritative server, ang DNS ay tradisyonal na nananatiling hindi naka-encrypt; mayroon nang mga eksperimento gamit ang DoT sa mga malalaking operator (hal., 1.1.1.1 kasama ang mga authoritative server ng Facebook) upang mapahusay ang proteksyon.

Ang isang intermediate na alternatibo ay ang pag-encrypt lamang sa pagitan ang router at ang solver, na iniiwan ang koneksyon sa pagitan ng mga device at ng router na hindi naka-encrypt. Kapaki-pakinabang sa mga secure na wired network, ngunit hindi inirerekomenda sa mga bukas na Wi-Fi network: maaaring tiktikan o manipulahin ng ibang mga user ang mga query na ito sa loob ng LAN.

Gumawa ng sarili mong solver ng DoH

Kung gusto mo ng kumpletong kalayaan, maaari mong i-deploy ang iyong sariling solver. Unbound + Redis (L2 cache) + Nginx ay isang sikat na kumbinasyon para sa paghahatid ng mga URL ng DoH at pag-filter ng mga domain na may mga awtomatikong naa-update na listahan.

Ang stack na ito ay gumagana nang perpekto sa isang maliit na VPS (halimbawa, isang core/2 wire para sa isang pamilya). May mga gabay na may handa nang gamitin na mga tagubilin, tulad ng repositoryong ito: github.com/ousatov-ua/dns-filtering. Ang ilang mga provider ng VPS ay nag-aalok ng mga welcome credit para sa mga bagong user, para makapag-set up ka ng trial sa mababang halaga.

Gamit ang iyong pribadong solver, maaari mong piliin ang iyong mga pinagmumulan ng pag-filter, magpasya sa mga patakaran sa pagpapanatili at iwasang isentro ang iyong mga query sa mga ikatlong partido. Bilang kapalit, pinamamahalaan mo ang seguridad, pagpapanatili, at mataas na kakayahang magamit.

Bago isara, isang tala ng bisa: sa Internet, ang mga opsyon, mga menu at mga pangalan ay madalas na nagbabago; ang ilang mga lumang gabay ay luma na (Halimbawa, ang pagdaan sa "mga flag" sa Chrome ay hindi na kailangan sa mga kamakailang bersyon.) Palaging suriin sa iyong browser o dokumentasyon ng system.

Kung naabot mo na ito, alam mo na kung ano ang ginagawa ng DoH, kung paano ito nababagay sa puzzle sa DoT at DNSSEC, at higit sa lahat, kung paano i-activate ito ngayon sa iyong device upang maiwasan ang DNS mula sa paglalakbay sa malinaw. Sa ilang pag-click sa iyong browser o mga pagsasaayos sa Windows (kahit na sa antas ng patakaran sa Server 2022) magkakaroon ka ng mga naka-encrypt na query; kung gusto mong dalhin ang mga bagay sa susunod na antas, maaari mong ilipat ang encryption sa MikroTik router o bumuo ng iyong sariling solver. Ang susi ay, Nang hindi hinawakan ang iyong router, maaari mong protektahan ang isa sa mga pinaka-tsismis-tungkol sa mga bahagi ng iyong trapiko ngayon..

Christian garcia

Mahilig sa teknolohiya mula pa noong bata pa siya. Gustung-gusto kong maging up to date sa sektor at, higit sa lahat, ipaalam ito. Iyon ang dahilan kung bakit ako ay nakatuon sa komunikasyon sa teknolohiya at mga website ng video game sa loob ng maraming taon na ngayon. Makikita mo akong nagsusulat tungkol sa Android, Windows, MacOS, iOS, Nintendo o anumang iba pang nauugnay na paksang naiisip.