Як зашифрувати DNS, не торкаючись маршрутизатора за допомогою DoH: повний посібник

¿Як зашифрувати DNS, не торкаючись маршрутизатора, використовуючи DNS через HTTPS? Якщо вас турбує, хто може бачити, до яких вебсайтів ви підключаєтесь, Шифрування запитів до системи доменних імен за допомогою DNS через HTTPS Це один із найпростіших способів підвищити вашу конфіденційність, не борючись із маршрутизатором. Завдяки DoH транслятор, який перетворює домени на IP-адреси, припиняє передавання у відкритому вигляді та проходить через тунель HTTPS.

У цьому посібнику ви знайдете, прямою мовою та без зайвого жаргону, Що таке DoH, чим він відрізняється від інших варіантів, таких як DoT, як увімкнути його в браузерах та операційних системах (включно з Windows Server 2022), як перевірити його справжню роботу, підтримувані сервери та, якщо ви відчуваєте сміливість, навіть як налаштувати власний DoH-резолвер. Все, не торкаючись маршрутизатора…за винятком додаткового розділу для тих, хто хоче налаштувати його на MikroTik.

Що таке DNS поверх HTTPS (DoH) і чому це може вас цікавити

Коли ви вводите ім'я домену (наприклад, Xataka.com), комп'ютер запитує у DNS-резолвера його IP-адресу; Цей процес зазвичай відбувається у вигляді простого тексту І будь-хто у вашій мережі, ваш інтернет-провайдер або проміжні пристрої можуть стежити за ним або маніпулювати ним. У цьому суть класичного DNS: швидкий, повсюдний… і прозорий для третіх сторін.

Ось тут і з'являється DoH: Він переміщує ці DNS-запитання та відповіді на той самий зашифрований канал, що використовується захищеною мережею (HTTPS, порт 443).Результатом є те, що вони більше не подорожують «у відкритому просторі», що зменшує можливість шпигунства, захоплення запитів та певних атак типу «людина посередник». Крім того, у багатьох тестах латентність помітно не погіршується і навіть може бути покращений завдяки оптимізації транспорту.

Ключовою перевагою є те, що DoH можна ввімкнути на рівні програми або системи, тож вам не потрібно покладатися на свого оператора чи маршрутизатора, щоб щось увімкнути. Тобто ви можете захистити себе «від браузера», не торкаючись жодного мережевого обладнання.

Важливо розрізняти DoH та DoT (DNS поверх TLS): DoT шифрує DNS на порту 853 безпосередньо через TLS, тоді як DoH інтегрує його в HTTP(S). DoT простіший теоретично, але Більша ймовірність блокування брандмауерами що обрізають незвичайні порти; DoH, використовуючи 443, краще обходить ці обмеження та запобігає примусовим атакам «зворотного відстеження» до незашифрованого DNS.

Щодо конфіденційності: використання HTTPS не передбачає використання файлів cookie чи відстеження в DoH; стандарти прямо не рекомендують його використання У цьому контексті TLS 1.3 також зменшує потребу в перезапуску сеансів, мінімізуючи кореляції. А якщо вас турбує продуктивність, HTTP/3 поверх QUIC може забезпечити додаткові покращення шляхом мультиплексування запитів без блокування.

Як працює DNS, поширені ризики та де місце DoH

Операційна система зазвичай дізнається, який резолвер використовувати, через DHCP; Вдома ви зазвичай користуєтеся послугами інтернет-провайдерів., в офісі, корпоративній мережі. Коли цей зв’язок не зашифрований (UDP/TCP 53), будь-хто у вашій мережі Wi-Fi або на маршруті може бачити запитувані домени, вставляти фальшиві відповіді або перенаправляти вас на пошукові запити, коли домену не існує, як це роблять деякі оператори.

Типовий аналіз трафіку показує порти, IP-адреси джерела/призначення та сам домен, що був визначений; Це не лише розкриває звички перегляду веб-сторінок, це також спрощує співвіднесення наступних з’єднань, наприклад, з адресами Twitter чи подібними сервісами, та визначення того, які саме сторінки ви відвідали.

У DoT DNS-повідомлення передається всередині TLS через порт 853; у DoH, DNS-запит інкапсульовано у стандартний HTTPS-запит, що також дозволяє його використання веб-застосунками через API браузера. Обидва механізми мають однакову основу: автентифікацію сервера за допомогою сертифіката та канал із наскрізним шифруванням.

Проблема з новими портами полягає в тому, що вони є поширеною деякі мережі блокують 853, що спонукає програмне забезпечення «повертатися» до незашифрованого DNS. DoH пом’якшує це, використовуючи 443, що є поширеним для Інтернету. DNS/QUIC також існує як ще один перспективний варіант, хоча він вимагає відкритого UDP і не завжди доступний.

Навіть під час шифрування транспорту будьте обережні з одним нюансом: Якщо розшифровувач бреше, шифр цього не виправляє.Для цього існує DNSSEC, який дозволяє перевіряти цілісність відповідей, хоча його впровадження не є поширеним, і деякі посередники порушують його функціональність. Незважаючи на це, DoH запобігає третім сторонам відстежувати або втручатися у ваші запити.

Активуйте його, не торкаючись роутера: браузери та системи

Найпростіший спосіб розпочати роботу – це ввімкнути DoH у вашому браузері або операційній системі. Ось як ви захищаєте запити від своєї команди незалежно від прошивки маршрутизатора.

Google Chrome

У поточних версіях ви можете перейти до chrome://settings/security і в розділі «Використовувати безпечний DNS» активуйте опцію та виберіть постачальника (ваш поточний провайдер, якщо він підтримує DoH, або один зі списку Google, наприклад, Cloudflare або Google DNS).

У попередніх версіях Chrome пропонував експериментальний перемикач: введіть chrome://flags/#dns-over-https, знайдіть «Безпечні пошуки DNS» та змінити його з «За замовчуванням» на «Увімкнено»Перезапустіть браузер, щоб застосувати зміни.

Microsoft Edge (Chromium)

Edge на базі Chromium містить аналогічну опцію. Якщо вона вам потрібна, перейдіть за посиланням edge://flags/#dns-over-https, знайдіть розділ «Безпечні пошуки DNS» та увімкніть це в розділі "Увімкнено"У сучасних версіях активація також доступна в налаштуваннях конфіденційності.

Mozilla Firefox

Відкрийте меню (угорі праворуч) > Налаштування > Загальні > прокрутіть униз до «Налаштування мережі», натисніть на конфігурація і позначте «Увімкнути DNS через HTTPSВи можете вибрати одного з таких постачальників, як Cloudflare або NextDNS.

Якщо ви віддаєте перевагу точному контролю, в about:config регулює network.trr.mode: 2 (опортуніст) використовує DoH та робить резервний варіант якщо недоступний; 3 (суворі) вимоги Міністерства охорони здоров'я і не вдається, якщо немає підтримки. У суворому режимі визначте bootstrap-резольвер як network.trr.bootstrapAddress=1.1.1.1.

Opera

Починаючи з версії 65, Opera містить опцію увімкнути DoH за допомогою версії 1.1.1.1За замовчуванням він вимкнений і працює в опортуністичному режимі: якщо 1.1.1.1:443 відповідає, він використовуватиме DoH; інакше він повертається до незашифрованого резолвера.

Windows 10/11: Автовизначення (AutoDoH) та реєстр

Windows може автоматично вмикати DoH з певними відомими резолверами. У старіших версіях, ви можете форсувати поведінку з реєстру: запустити regedit і перейти до HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Створіть DWORD (32-бітний) з назвою EnableAutoDoh з відвагою 2 y перезавантажте комп'ютерЦе працює, якщо ви використовуєте DNS-сервери, що підтримують DoH.

Windows Server 2022: DNS-клієнт із вбудованим DoH

Вбудований DNS-клієнт у Windows Server 2022 підтримує DoH. Ви зможете використовувати DoH лише з серверами, які знаходяться у списку «Відомі DoH». або які ви додаєте самі. Щоб налаштувати його з графічного інтерфейсу:

1. Відкрийте параметри Windows > Мережа та Інтернет.
2. Введіть Ethernet та виберіть свій інтерфейс.
3. На екрані мережі прокрутіть униз до Конфігурація DNS і натисніть Редагувати.
4. Виберіть «Вручну», щоб визначити бажані та альтернативні сервери.
5. Якщо ці адреси є у відомому списку DoH, його буде ввімкнено. «Бажане шифрування DNS» з трьома варіантами:
   • Тільки шифрування (DNS через HTTPS): Примусово використовувати DoH; якщо сервер не підтримує DoH, роздільної здатності не буде.
   • Надавати перевагу шифруванню, дозволяти незашифровані: Здійснює спробу DoH, і якщо вона не вдається, повертається до незашифрованого класичного DNS.
   • Тільки незашифрованіВикористовує традиційний DNS у відкритому тексті.
6. Зберегти, щоб застосувати зміни.

Ви також можете запитувати та розширювати список відомих DoH-резолверів за допомогою PowerShell. Щоб переглянути поточний список:

Get-DNSClientDohServerAddress

Щоб зареєструвати новий відомий DoH-сервер за допомогою вашого шаблону, використовуйте:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Зверніть увагу, що командлет Set-DNSClientServerAddress не контролює себе використання DoH; шифрування залежить від того, чи є ці адреси в таблиці відомих серверів DoH. Наразі ви не можете налаштувати DoH для DNS-клієнта Windows Server 2022 з Центру адміністрування Windows або за допомогою sconfig.cmd.

Групова політика у Windows Server 2022

Існує директива, яка називається «Налаштування DNS через HTTPS (DoH)» en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Коли ввімкнено, ви можете вибрати:

• Дозволити DoHВикористовуйте DoH, якщо сервер його підтримує; інакше запитуйте незашифрованим.
• Заборона DoHніколи не використовує DoH.
• Вимагати DoH: примусове виконання DoH; якщо немає підтримки, роздільна здатність не вдається.

Важливо: Не вмикайте функцію «Вимагати DoH» на комп’ютерах, приєднаних до домену.Active Directory покладається на DNS, а роль DNS-сервера Windows Server не підтримує запити DoH. Якщо вам потрібно захистити DNS-трафік у середовищі AD, розгляньте можливість використання Правила IPsec між клієнтами та внутрішніми резолверами.

Якщо вас цікавить перенаправлення певних доменів на певні резолвери, ви можете скористатися NRPT (Таблиця політики розв'язання імен)Якщо цільовий сервер знаходиться у відомому списку DoH, ці консультації подорожуватиме через DoH.

Android, iOS та Linux

На Android 9 та вище, опція Приватний DNS дозволяє DoT (не DoH) з двома режимами: «Автоматичний» (опортуністичний, використовує мережевий резолвер) та «Суворий» (потрібно вказати ім'я хоста, підтверджене сертифікатом; прямі IP-адреси не підтримуються).

На iOS та Android, додаток 1.1.1.1 Cloudflare дозволяє DoH або DoT у суворому режимі за допомогою VPN API перехоплювати незашифровані запити та пересилати їх через захищений канал.

У Linux вирішено в системі підтримує DoT, починаючи з systemd 239. За замовчуванням він вимкнений; пропонує опортуністичний режим без перевірки сертифікатів та суворий режим (починаючи з 243) з перевіркою CA, але без перевірки SNI або імені, що послаблює модель довіри проти нападників на дорозі.

У Linux, macOS або Windows ви можете вибрати клієнт DoH у суворому режимі, такий як cloudflared proxy-dns (за замовчуванням використовується версія 1.1.1.1, хоча ви можете визначити основні потоки альтернативи).

Відомі DoH-сервери (Windows) та як додати більше

Windows Server містить список резолверів, які, як відомо, підтримують DoH. Ви можете перевірити це за допомогою PowerShell та додайте нові записи, якщо потрібно.

Такі відомі DoH-сервери з коробки:

Власник сервера	IP-адреси DNS-серверів
Cloudflare	1.1.1.1 1.0.0.1 2606: 4700: 4700 :: 1111 2606: 4700: 4700 :: 1001
Google	8.8.8.8 8.8.4.4 2001: 4860: 4860 :: 8888 2001: 4860: 4860 :: 8844
Quad9	9.9.9.9 149.112.112.112 2620: Fe Fe :: 2620: fe: fe: 9

в див. список, запустити:

Get-DNSClientDohServerAddress

в додати новий DoH-резольвер з його шаблоном, використовує:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Якщо ви керуєте кількома просторами імен, NRPT дозволить вам керувати певними доменами до певного резолвера, який підтримує DoH.

Як перевірити, чи активний DoH

У браузерах відвідайте https://1.1.1.1/helpтам ви побачите, чи ваш трафік використовує DoH з версією 1.1.1.1 чи ні. Це швидкий тест, щоб побачити, в якому ви стані.

У Windows 10 (версія 2004) ви можете відстежувати класичний DNS-трафік (порт 53) за допомогою pktmon з привілейованої консолі:

pktmon filter add -p 53
pktmon start --etw -m real-time

Якщо на 53-му з'являється постійний потік пакетів, дуже ймовірно, що Ви все ще використовуєте незашифрований DNSПам’ятайте: параметр --etw -m real-time вимагає версії 2004; у попередніх версіях ви побачите помилку «невідомий параметр».

Додатково: налаштуйте його на роутері (MikroTik)

Якщо ви бажаєте централізувати шифрування на маршрутизаторі, ви можете легко ввімкнути DoH на пристроях MikroTik. Спочатку імпортуйте кореневий центр сертифікації який буде підписаний сервером, до якого ви підключитеся. Для Cloudflare ви можете завантажити DigiCertGlobalRootCA.crt.pem.

Завантажте файл на роутер (перетягнувши його до «Файлів») та перейдіть до Система > Сертифікати > Імпорт щоб інтегрувати його. Потім налаштуйте DNS маршрутизатора за допомогою URL-адреси DoH CloudflareПісля активації маршрутизатор надаватиме пріоритет зашифрованому з’єднанню над незашифрованим DNS за замовчуванням.

Щоб переконатися, що все гаразд, відвідайте 1.1.1.1/допомога з комп’ютера, розташованого за маршрутизатором. Ви також можете зробити все через термінал у RouterOS, якщо хочете.

Продуктивність, додаткова конфіденційність та обмеження підходу

Коли йдеться про швидкість, важливі два показники: час обробки запиту та фактичне завантаження сторінки. Незалежні тести (такі як SamKnows) Вони роблять висновок, що різниця між DoH та класичним DNS (Do53) є незначною в обох аспектах; на практиці ви не повинні помічати жодної повільності.

DoH шифрує «DNS-запит», але в мережі є й інші сигнали. Навіть якщо ви приховуєте DNS, інтернет-провайдер може робити певні висновки через TLS-з’єднання (наприклад, SNI у деяких застарілих сценаріях) або інші трасування. Для підвищення конфіденційності ви можете скористатися DoT, DNSCrypt, DNSCurve або клієнтами, які мінімізують метадані.

Не всі екосистеми поки що підтримують DoH. Багато застарілих резолверів цього не пропонують., що змушує покладатися на публічні джерела (Cloudflare, Google, Quad9 тощо). Це відкриває дискусію щодо централізації: зосередження запитів на кількох акторах тягне за собою витрати, пов'язані з конфіденційністю та довірою.

У корпоративному середовищі DoH може конфліктувати з політиками безпеки, що базуються на Моніторинг або фільтрація DNS (шкідливе програмне забезпечення, батьківський контроль, дотримання законодавства). Рішення включають MDM/групову політику для встановлення суворого режиму для розпізнавання DoH/DoT або поєднання з контролем на рівні програми, який є точнішим, ніж блокування на основі домену.

DNSSEC доповнює DoH: DoH захищає транспорт; DNSSEC перевіряє відповідьВпровадження відбувається нерівномірно, і деякі проміжні пристрої порушують його, але тенденція позитивна. На шляху від резолверів до авторитетних серверів DNS традиційно залишається незашифрованим; серед великих операторів вже проводяться експерименти з використанням DoT (наприклад, 1.1.1.1 з авторитетними серверами Facebook) для посилення захисту.

Проміжною альтернативою є шифрування лише між маршрутизатор і резольвер, залишаючи з’єднання між пристроями та маршрутизатором незашифрованим. Корисно в захищених дротових мережах, але не рекомендується у відкритих мережах Wi-Fi: інші користувачі можуть шпигувати або маніпулювати цими запитами в локальній мережі.

Створіть власний DoH-резольвер

Якщо ви хочете повної незалежності, ви можете розгорнути власний резолвер. Без зв'язку + Redis (кеш L2) + Nginx – це популярна комбінація для обслуговування URL-адрес DoH та фільтрації доменів за допомогою автоматично оновлюваних списків.

Цей стек ідеально працює на скромному VPS (наприклад одна жила/2 дроти для сім'ї). Існують посібники з готовими інструкціями, як-от цей репозиторій: github.com/ousatov-ua/dns-filtering. Деякі VPS-провайдери пропонують вітальні кредити для нових користувачів, тож ви можете налаштувати пробний період за низькою ціною.

За допомогою вашого приватного резолвера ви можете вибрати джерела фільтрації, визначити політики збереження та уникайте централізації ваших запитів третім сторонам. У свою чергу, ви керуєте безпекою, обслуговуванням та високою доступністю.

Перед завершенням, зауваження щодо актуальності: в Інтернеті опції, меню та назви часто змінюються; деякі старі посібники застаріли (Наприклад, перегляд «прапорців» у Chrome більше не є необхідним у останніх версіях.) Завжди перевіряйте документацію вашого браузера або системи.

Якщо ви дійшли до цього моменту, то вже знаєте, що робить DoH, як це вписується в головоломку з DoT та DNSSEC, і найголовніше, як активувати його прямо зараз на вашому пристрої щоб запобігти передачі DNS у відкритому вигляді. За допомогою кількох кліків у браузері або налаштувань у Windows (навіть на рівні політик у Server 2022) ви отримаєте зашифровані запити; якщо ви хочете підняти все на новий рівень, ви можете перенести шифрування на маршрутизатор MikroTik або створити власний резолвер. Головне в тому, що... Не торкаючись свого маршрутизатора, ви можете захистити одну з найбільш обговорюваних частин вашого трафіку сьогодні..