Routeringizga DoH bilan tegmasdan DNS-ni qanday shifrlash mumkin: To'liq qo'llanma

¿HTTPS orqali DNS-dan foydalanib, routeringizga tegmasdan DNS-ni qanday shifrlash mumkin? Agar siz qaysi veb-saytlarga ulanganingizni kim ko'rishi mumkinligidan xavotirda bo'lsangiz, Domen nomi tizimi so'rovlarini HTTPS orqali DNS bilan shifrlash Bu marshrutizator bilan jang qilmasdan maxfiyligingizni oshirishning eng oson usullaridan biridir. DoH bilan domenlarni IP manzillarga o'zgartiruvchi tarjimon aniq sayohatni to'xtatadi va HTTPS tunnelidan o'tadi.

Ushbu qo'llanmada siz to'g'ridan-to'g'ri tilda va ortiqcha jargonsiz, DoH aniq nima, u DoT kabi boshqa variantlardan qanday farq qiladi, uni brauzerlar va operatsion tizimlarda (jumladan, Windows Server 2022) qanday yoqish mumkin, uning amalda ishlayotganini qanday tekshirish, qo‘llab-quvvatlanadigan serverlar va agar o‘zingizni jasoratli his qilsangiz, hatto o‘zingizning DoH resolveringizni qanday sozlashingiz mumkin. Hamma narsa, routerga tegmasdan... MikroTik-da uni sozlashni istaganlar uchun ixtiyoriy bo'lim bundan mustasno.

HTTPS (DoH) orqali DNS nima va nima uchun bu sizga g'amxo'rlik qilishi mumkin

Domenni kiritganingizda (masalan, Xataka.com) kompyuter DNS-resolerdan uning IP nima ekanligini so'raydi; Bu jarayon odatda oddiy matnda Tarmog'ingizdagi, Internet-provayderingiz yoki oraliq qurilmalaringizdagi har bir kishi uni kuzatishi yoki boshqarishi mumkin. Bu klassik DNS-ning mohiyati: tez, hamma joyda… va uchinchi tomonlar uchun shaffof.

Bu erda DoH keladi: U ushbu DNS savollari va javoblarini xavfsiz veb tomonidan ishlatiladigan bir xil shifrlangan kanalga o'tkazadi (HTTPS, port 443)Natijada, ular endi "ochiq joylarda" sayohat qilishmaydi, bu josuslik, so'rovlarni o'g'irlash va o'rtadagi odam hujumlari ehtimolini kamaytiradi. Bundan tashqari, ko'plab testlarda kechikish sezilarli darajada yomonlashmaydi va hatto transportni optimallashtirish tufayli yaxshilash mumkin.

Asosiy afzallik shundaki, DoH ilova yoki tizim darajasida yoqilishi mumkin, shuning uchun biror narsani yoqish uchun operatoringiz yoki routeringizga ishonishingiz shart emas. Ya'ni, hech qanday tarmoq uskunasiga tegmasdan o'zingizni "brauzerdan tashqaridan" himoya qilishingiz mumkin.

DoH ni DoT (DNS over TLS) dan farqlash muhim: DoT 853-portda DNS-ni shifrlaydi to'g'ridan-to'g'ri TLS orqali, DoH esa uni HTTP(S) bilan birlashtiradi. DoT nazariy jihatdan sodda, ammo Bu xavfsizlik devorlari tomonidan bloklanishi ehtimoli ko'proq noodatiy portlarni kesib tashlaydigan; DoH, 443-dan foydalanib, ushbu cheklovlarni yaxshiroq chetlab o'tadi va shifrlanmagan DNS-ga majburiy "pushback" hujumlarini oldini oladi.

Maxfiylik haqida: HTTPSdan foydalanish Cookie-fayllar yoki DoH-da kuzatuvni anglatmaydi; standartlar uni ishlatishni to'g'ridan-to'g'ri tavsiya qiladi Shu nuqtai nazardan, TLS 1.3 korrelyatsiyalarni minimallashtirib, seanslarni qayta boshlash zaruratini ham kamaytiradi. Agar unumdorlik haqida qayg‘urayotgan bo‘lsangiz, QUIC orqali HTTP/3 so‘rovlarni blokirovka qilmasdan multiplekslash orqali qo‘shimcha yaxshilanishlarni ta’minlaydi.

DNS qanday ishlaydi, umumiy xavflar va DoH qayerga mos keladi

Operatsion tizim odatda DHCP orqali qaysi resolverdan foydalanishni o'rganadi; Uyda siz odatda internet provayderlaridan foydalanasiz, ofisda, korporativ tarmoq. Bu aloqa shifrlanmagan bo‘lsa (UDP/TCP 53), Wi-Fi tarmog‘idagi yoki marshrutdagi har kim so‘ralgan domenlarni ko‘rishi, soxta javoblar kiritishi yoki ba’zi operatorlar kabi domen mavjud bo‘lmaganda sizni qidirishga yo‘naltirishi mumkin.

Oddiy trafik tahlili portlarni, manba/maqsad IP manzillarini va domenning o'zi hal qilinganligini ko'rsatadi; Bu nafaqat ko'rish odatlarini ochib beradi, shuningdek, keyingi ulanishlarni, masalan, Twitter manzillari yoki shunga o'xshashlar bilan bog'lashni osonlashtiradi va qaysi sahifalarga tashrif buyurganingizni aniqlaydi.

DoT bilan DNS xabari 853-portdagi TLS ichiga kiradi; DoH bilan, DNS so'rovi standart HTTPS so'roviga kiritilgan, bu brauzer API-lari orqali veb-ilovalar tomonidan ham foydalanish imkonini beradi. Ikkala mexanizm ham bir xil asosga ega: sertifikat bilan server autentifikatsiyasi va oxirigacha shifrlangan kanal.

Yangi portlar bilan bog'liq muammo shundaki, u keng tarqalgan ba'zi tarmoqlar 853 ni bloklaydi, dasturiy ta'minotni shifrlanmagan DNS-ga "orqaga tushish" ga undash. DoH buni Internet uchun keng tarqalgan 443 yordamida yumshatadi. Boshqa istiqbolli variant sifatida DNS/QUIC ham mavjud, garchi u ochiq UDP ni talab qiladi va har doim ham mavjud emas.

Transportni shifrlashda ham bitta nuancedan ehtiyot bo'ling: Agar hal qiluvchi yolg'on gapirsa, shifr uni tuzatmaydi.Shu maqsadda DNSSEC mavjud bo'lib, bu javobning yaxlitligini tekshirishga imkon beradi, garchi uni qabul qilish keng tarqalmagan va ba'zi vositachilar uning funksionalligini buzgan. Shunga qaramay, DoH uchinchi tomonlarning so'rovlaringizni o'g'irlash yoki buzishiga yo'l qo'ymaydi.

Routerga tegmasdan uni faollashtiring: brauzerlar va tizimlar

Ishni boshlashning eng oddiy usuli - bu brauzer yoki operatsion tizimingizda DoH-ni yoqish. Jamoangizdan so'rovlarni shunday himoya qilasiz yo'riqnoma proshivkasiga bog'liq holda.

Google Chrome

Joriy versiyalarda siz borishingiz mumkin chrome://settings/security va "Xavfsiz DNS dan foydalanish" ostida opsiyani faollashtiring va provayderni tanlang (sizning joriy provayderingiz DoH-ni qo'llab-quvvatlasa yoki Google ro'yxatidagi Cloudflare yoki Google DNS kabilardan birini qo'llab-quvvatlasa).

Oldingi versiyalarda Chrome eksperimental kalitni taklif qildi: turi chrome://flags/#dns-over-https, "Xavfsiz DNS qidiruvlari" ni qidiring va uni Standartdan Yoqilganga o'zgartiring. O'zgarishlarni qo'llash uchun brauzeringizni qayta ishga tushiring.

Microsoft Edge (Chromium)

Chromium-ga asoslangan Edge shunga o'xshash variantni o'z ichiga oladi. Agar kerak bo'lsa, o'ting edge://flags/#dns-over-https, "Xavfsiz DNS qidiruvlari" ni toping va uni Enabled-da yoqingZamonaviy versiyalarda faollashtirish maxfiylik sozlamalarida ham mavjud.

Mozilla Firefox

Menyuni oching (yuqori o‘ng) > Sozlamalar > Umumiy > “Tarmoq sozlamalari” ga o‘ting, ustiga bosing. Konfiguratsiya va belgilang "HTTPS orqali DNS-ni yoqing”. Siz Cloudflare yoki NextDNS kabi provayderlardan tanlashingiz mumkin.

Agar siz nozik nazoratni afzal ko'rsangiz, ichida about:config sozlash network.trr.mode: 2 (opportunist) DoH dan foydalanadi va orqaga qaytishni amalga oshiradi agar mavjud bo'lmasa; 3 (qat'iy) mandatlar DoH va qo'llab-quvvatlash bo'lmasa, muvaffaqiyatsiz bo'ladi. Qattiq rejimda bootstrap resolverni quyidagicha belgilang network.trr.bootstrapAddress=1.1.1.1.

Opera

65-versiyadan boshlab, Opera uchun imkoniyat mavjud 1.1.1.1 bilan DoHni yoqing. U sukut bo'yicha o'chirilgan va opportunistik rejimda ishlaydi: agar 1.1.1.1:443 javob bersa, u DoH dan foydalanadi; aks holda, u shifrlanmagan hal qiluvchiga qaytadi.

Windows 10/11: Avtomatik aniqlash (AutoDoH) va ro'yxatga olish

Windows ma'lum ma'lum rezolyutorlar bilan DoHni avtomatik ravishda yoqishi mumkin. Eski versiyalarda, xatti-harakatni majburlashingiz mumkin Ro'yxatga olish kitobidan: ishga tushirish regedit va boring HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

deb nomlangan DWORD (32-bit) yarating EnableAutoDoh qiymat bilan 2 y Kompyuterni qayta ishga tushiringAgar siz DoH-ni qo'llab-quvvatlaydigan DNS serverlaridan foydalansangiz, bu ishlaydi.

Windows Server 2022: mahalliy DoH bilan DNS mijozi

Windows Server 2022 da o'rnatilgan DNS mijozi DoH-ni qo'llab-quvvatlaydi. Siz DoH-dan faqat "Ma'lum DoH" ro'yxatidagi serverlar bilan foydalana olasiz. yoki o'zingizni qo'shishingiz mumkin. Uni grafik interfeysdan sozlash uchun:

1. Windows sozlamalari >-ni oching Tarmoq va Internet.
2. Kirish Ethernet va interfeysingizni tanlang.
3. Tarmoq ekranida pastga aylantiring DNS sozlamalari va bosing Tahrirlash.
4. Afzal va muqobil serverlarni aniqlash uchun "Qo'lda" ni tanlang.
5. Agar ushbu manzillar ma'lum DoH ro'yxatida bo'lsa, u yoqiladi “Afzal DNS shifrlash” uchta variant bilan:
   • Faqat shifrlash (HTTPS orqali DNS): Force DoH; agar server DoH ni qo'llab-quvvatlamasa, hech qanday ruxsat bo'lmaydi.
   • Shifrlashni afzal ko'ring, shifrlanmaganiga ruxsat bering: DoH ga urinishadi va agar u muvaffaqiyatsiz bo'lsa, shifrlanmagan klassik DNS ga qaytadi.
   • Faqat shifrlanmagan: An'anaviy ochiq matnli DNS dan foydalanadi.
6. O'zgarishlarni qo'llash uchun saqlang.

Shuningdek, PowerShell yordamida ma'lum DoH rezolyutsiyalari ro'yxatini so'rashingiz va kengaytirishingiz mumkin. Joriy ro'yxatni ko'rish uchun:

Get-DNSClientDohServerAddress

Shabloningiz bilan yangi ma'lum DoH serverini ro'yxatdan o'tkazish uchun quyidagilardan foydalaning:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

E'tibor bering, cmdlet Set-DNSClientServerAddress o'zini nazorat qilmaydi DoH dan foydalanish; shifrlash ushbu manzillar ma'lum DoH serverlari jadvalida mavjudligiga bog'liq. Siz hozirda Windows Server 2022 DNS mijozi uchun DoH ni Windows boshqaruv markazidan yoki undan sozlay olmaysiz sconfig.cmd.

Windows Server 2022 da guruh siyosati

deb nomlangan ko'rsatma mavjud "DNS-ni HTTPS (DoH) orqali sozlang" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Yoqilganda siz quyidagilarni tanlashingiz mumkin:

• DoHga ruxsat bering: Agar server uni qo'llab-quvvatlasa, DoH dan foydalaning; aks holda, so'rov shifrlanmagan.
• DoHni taqiqlash: hech qachon DoH ishlatmaydi.
• DoHni talab qiling: kuchlar DoH; qo'llab-quvvatlash bo'lmasa, rezolyutsiya bajarilmaydi.

Muhim: Domenga ulangan kompyuterlarda “DoH talab qilish” funksiyasini yoqmangActive Directory DNS-ga tayanadi va Windows Server DNS Server roli DoH so'rovlarini qo'llab-quvvatlamaydi. Agar siz AD muhitida DNS trafigini himoyalashingiz kerak bo'lsa, undan foydalanishni o'ylab ko'ring IPsec qoidalari mijozlar va ichki hal qiluvchilar o'rtasida.

Agar siz aniq domenlarni aniq rezolyutsiyalarga yo'naltirishni xohlasangiz, foydalanishingiz mumkin NRPT (Nomlarni hal qilish siyosati jadvali). Agar maqsad server ma'lum DoH ro'yxatida bo'lsa, bu maslahatlashuvlar DoH orqali sayohat qiladi.

Android, iOS va Linux

Android 9 va undan yuqori versiyalarida variant DNS privado DoT (DoH emas) ikkita rejimga ruxsat beradi: "Avtomatik" (opportunistik, tarmoqni hal qiluvchini oladi) va "Qat'iy" (siz sertifikat bilan tasdiqlangan xost nomini ko'rsatishingiz kerak; to'g'ridan-to'g'ri IP qo'llab-quvvatlanmaydi).

iOS va Android-da ilova 1.1.1.1 Cloudflare shifrlanmagan so'rovlarni to'xtatish uchun VPN API-dan foydalangan holda qattiq rejimda DoH yoki DoT-ni yoqadi va ularni xavfsiz kanal orqali yuboring.

En Linux, systemd-resolved systemd 239 dan beri DoT ni qo'llab-quvvatlaydi. U sukut bo'yicha o'chirilgan; u sertifikatlarni tasdiqlamasdan opportunistik rejimni va CA tekshiruvi bilan qattiq rejimni (243 yildan beri) taklif qiladi, lekin SNI yoki nom tekshiruvisiz ishonch modelini zaiflashtiradi yo'lda hujumchilarga qarshi.

Linux, macOS yoki Windows-da siz qattiq rejimdagi DoH mijozini tanlashingiz mumkin, masalan cloudflared proxy-dns (sukut bo'yicha u 1.1.1.1 dan foydalanadi, ammo yuqori oqimlarni belgilashingiz mumkin muqobillar).

Ma'lum DoH serverlari (Windows) va boshqalarni qanday qo'shish kerak

Windows Server DoH-ni qo'llab-quvvatlashi ma'lum bo'lgan hal qiluvchilar ro'yxatini o'z ichiga oladi. Siz buni PowerShell yordamida tekshirishingiz mumkin va agar kerak bo'lsa, yangi yozuvlarni qo'shing.

Bular ma'lum DoH serverlari qutidan tashqarida:

Server egasi	DNS server IP manzillari
Bulutli chaqnash	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Uchun ver la lista, ishga tushirish:

Get-DNSClientDohServerAddress

Uchun shabloniga ega yangi DoH resolverini qo'shing, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Agar siz bir nechta nom maydonini boshqarsangiz, NRPT sizga ruxsat beradi muayyan domenlarni boshqarish DoH ni qo'llab-quvvatlaydigan maxsus rezolyutsiyaga.

DoH faol yoki yo'qligini qanday tekshirish mumkin

Brauzerlarda tashrif buyuring https://1.1.1.1/help; o‘sha yerda ko‘rasiz Sizning trafikingiz DoH dan foydalanmoqda 1.1.1.1 bilan yoki yo'q. Bu qanday holatda ekanligingizni ko'rish uchun tezkor sinov.

Windows 10 (2004-versiya) da siz klassik DNS-trafikni (port 53) kuzatishingiz mumkin. pktmon imtiyozli konsoldan:

pktmon filter add -p 53
pktmon start --etw -m real-time

Agar 53-da doimiy paketlar oqimi paydo bo'lsa, bu juda katta ehtimol siz hali ham shifrlanmagan DNS dan foydalanyapsiz. Esda tuting: parametr --etw -m real-time 2004 yil talab qilinadi; oldingi versiyalarda siz "noma'lum parametr" xatosini ko'rasiz.

Majburiy emas: uni routerda sozlang (MikroTik)

Routerda shifrlashni markazlashtirishni afzal ko'rsangiz, MikroTik qurilmalarida DoH-ni osongina yoqishingiz mumkin. Birinchidan, CA ildizini import qiling siz ulanadigan server tomonidan imzolanadi. Cloudflare uchun yuklab olishingiz mumkin DigiCertGlobalRootCA.crt.pem.

Faylni marshrutizatorga yuklang (uni "Fayllar" ga sudrab) va o'ting Tizim > Sertifikatlar > Import uni kiritish uchun. Keyin routerning DNS-ni sozlang Cloudflare DoH URL manzillariFaollashgandan so'ng, marshrutizator standart shifrlanmagan DNS orqali shifrlangan ulanishga ustunlik beradi.

Hamma narsa tartibda ekanligini tekshirish uchun tashrif buyuring 1.1.1.1/yordam router orqasidagi kompyuterdan. Siz hamma narsani terminal orqali ham qilishingiz mumkin Agar xohlasangiz RouterOS da.

Ishlash, qo'shimcha maxfiylik va yondashuv chegaralari

Tezlik haqida gap ketganda, ikkita ko'rsatkich muhim: ruxsat berish vaqti va sahifaning haqiqiy yuklanishi. Mustaqil testlar (masalan, SamKnows) Ular DoH va klassik DNS (Do53) o'rtasidagi farq har ikki jabhada ham chegaralangan degan xulosaga kelishadi; amalda siz hech qanday sekinlikni sezmasligingiz kerak.

DoH "DNS so'rovi" ni shifrlaydi, lekin tarmoqda ko'proq signallar mavjud. Agar siz DNS-ni yashirsangiz ham, Internet-provayder biror narsani aniqlay oladi TLS ulanishlari (masalan, ba'zi eski stsenariylarda SNI) yoki boshqa izlar orqali. Maxfiylikni oshirish uchun DoT, DNSCrypt, DNSCurve yoki metama'lumotlarni minimallashtiradigan mijozlar bilan tanishishingiz mumkin.

Hali hamma ekotizimlar DoH ni qo'llab-quvvatlamaydi. Ko'pgina eski hal qiluvchilar buni taklif qilmaydi., ommaviy manbalarga tayanishga majburlash (Cloudflare, Google, Quad9 va boshqalar). Bu markazlashtirish bo'yicha munozarani ochadi: so'rovlarni bir nechta ishtirokchilarga qaratish maxfiylik va ishonch xarajatlarini talab qiladi.

Korporativ muhitda DoH ularga asoslangan xavfsizlik siyosatiga zid kelishi mumkin DNS monitoringi yoki filtrlash (zararli dastur, ota-ona nazorati, qonuniy muvofiqlik). Yechimlar DoH/DoT hal qiluvchini qat'iy rejimga o'rnatish uchun MDM/Grup siyosatini o'z ichiga oladi yoki domenga asoslangan blokirovkadan ko'ra aniqroq bo'lgan dastur darajasidagi boshqaruv elementlari bilan birlashtiriladi.

DNSSEC DoH ni to'ldiradi: DoH transportni himoya qiladi; DNSSEC javobni tasdiqlaydiQabul qilish notekis va ba'zi oraliq qurilmalar uni buzadi, ammo tendentsiya ijobiydir. Resolverlar va vakolatli serverlar o'rtasidagi yo'lda DNS an'anaviy ravishda shifrlanmagan bo'lib qoladi; himoyani kuchaytirish uchun yirik operatorlar (masalan, Facebook’ning nufuzli serverlari bilan 1.1.1.1) o‘rtasida allaqachon DoT’dan foydalanish tajribalari mavjud.

Oraliq muqobil - faqat o'rtasida shifrlash marshrutizator va hal qiluvchi, qurilmalar va yo'riqnoma o'rtasidagi aloqani shifrlanmagan holda qoldiring. Xavfsiz simli tarmoqlarda foydali, lekin ochiq Wi-Fi tarmoqlarida tavsiya etilmaydi: boshqa foydalanuvchilar ushbu so'rovlarni LAN ichida josuslik qilishi yoki boshqarishi mumkin.

O'zingizning DoH resolveringizni yarating

Agar siz to'liq mustaqillikka erishmoqchi bo'lsangiz, o'zingizning hal qiluvchi vositangizni o'rnatishingiz mumkin. Bog'lanmagan + Redis (L2 kesh) + Nginx DoH URL manzillariga xizmat ko'rsatish va avtomatik yangilanadigan ro'yxatlar bilan domenlarni filtrlash uchun mashhur kombinatsiyadir.

Ushbu stek oddiy VPS da mukammal ishlaydi (masalan, bitta yadro / 2 sim oila uchun). Ushbu ombor kabi foydalanishga tayyor ko'rsatmalarga ega qo'llanmalar mavjud: github.com/ousatov-ua/dns-filtering. Ba'zi VPS provayderlari xush kelibsiz kreditlarni taklif qilishadi yangi foydalanuvchilar uchun, shuning uchun siz arzon narxlarda sinov versiyasini o'rnatishingiz mumkin.

Shaxsiy hal qiluvchi yordamida siz filtrlash manbalarini tanlashingiz, saqlash siyosatini va so'rovlaringizni markazlashtirishdan saqlaning uchinchi shaxslarga. Buning evaziga siz xavfsizlik, texnik xizmat ko'rsatish va yuqori mavjudligini boshqarasiz.

Yopishdan oldin, amal qilish haqida eslatma: Internetda variantlar, menyular va nomlar tez-tez o'zgarib turadi; ba'zi eski qo'llanmalar eskirgan (Masalan, Chrome brauzerida "bayroqlar" orqali o'tish so'nggi versiyalarda endi kerak emas.) Har doim brauzeringiz yoki tizim hujjatlari bilan tekshiring.

Agar siz shu paytgacha erishgan bo'lsangiz, DoH nima qilishini, DoT va DNSSEC jumboqlariga qanday mos kelishini allaqachon bilasiz va eng muhimi, uni hozir qurilmangizda qanday faollashtirish mumkin DNS-ning aniq harakatlanishini oldini olish uchun. Brauzeringizda bir necha marta bosish yoki Windows tizimidagi sozlashlar (hatto Server 2022 da siyosat darajasida ham) sizda shifrlangan so‘rovlar bo‘ladi; agar siz narsalarni keyingi bosqichga o'tkazmoqchi bo'lsangiz, shifrlashni MikroTik routerga ko'chirishingiz yoki o'zingizning echuvchingizni yaratishingiz mumkin. Asosiysi shundaki, Routeringizga tegmasdan, siz bugungi kunda trafikning eng g'iybat qilinadigan qismlaridan birini himoya qilishingiz mumkin..