ווי אזוי צו ענקריפטן אייער DNS אָן צו רירן אייער ראַוטער מיט DoH: א פולשטענדיקער גייד

¿ווי אזוי צו ענקריפטן אייער DNS אָן צו רירן אייער ראַוטער ניצנדיק DNS איבער HTTPS? אויב איר זארגט זיך וועגן ווער קען זען צו וועלכע וועבזייטלעך איר פארבינדט זיך, פֿאַרשליסן דאָמעין נאָמען סיסטעם פֿראַגעס מיט DNS איבער HTTPS דאָס איז איינער פֿון די גרינגסטע וועגן צו פֿאַרגרעסערן אייער פּריוואַטקייט אָן זיך צו דאַרפֿן צו קריגן מיט אייער ראַוטער. מיט DoH, דער איבערזעצער וואָס קאָנווערטירט דאָמעינען צו IP אַדרעסן הערט אויף צו רייזן אָן קיין פּראָבלעם און גייט דורך אַן HTTPS טונעל.

אין דעם פירער וועט איר געפֿינען, אין דירעקטער שפּראַך און אָן צו פֿיל זשאַרגאָן, וואָס פּונקט איז DoH, ווי עס איז אַנדערש פֿון אַנדערע אָפּציעס ווי DoT, ווי אזוי עס צו אקטיוויזירן אין בראַוזערס און אָפּערירן סיסטעמען (אַרייַנגערעכנט Windows Server 2022), ווי אזוי צו באַשטעטיקן אַז עס אַרבעט טאַקע, געשטיצטע סערווערס, און, אויב איר פילט זיך מוטיק, אפילו ווי אזוי צו שטעלן אויף אייער אייגענעם DoH רעזאָלוווער. אַלץ, אָן אָנרירן דעם ראַוטער...אחוץ אן אפציאנאלן סעקציע פאר די וואס ווילן עס יא קאנפיגורירן אויף א מיקראטיק.

וואָס איז DNS איבער HTTPS (DoH) און פארוואס עס קען אייך אינטערעסירן

ווען איר טייפט אריין א דאמעין (למשל, Xataka.com) פרעגט דער קאמפיוטער א DNS רעזאלוווער וואס זיין IP איז; דעם פּראָצעס איז געוויינטלעך אין פּשוטן טעקסט און יעדער אויף אייער נעץ, אייער אינטערנעט פראוויידער, אדער צווישן-דעווייסעס קען עס שפיאנירן אדער מאניפולירן. דאס איז די עסענץ פון קלאסישן DNS: שנעל, אומעטום... און דורכזעיק פאר דריטע פארטייען.

דאָ קומט אַרײַן DoH: עס באוועגט די DNS פראגעס און ענטפֿערס צו דעם זעלבן ענקריפּטעד קאַנאַל געניצט דורך די זיכער וועב (HTTPS, פּאָרט 443)דער רעזולטאַט איז אַז זיי רייזן מער נישט "אין דער אָפענער וועלט," וואָס רעדוצירט די מעגלעכקייט פון שפּיאָנאַזש, פֿראַגע כיידזשעקינג, און געוויסע מענטש-אין-דער-מיטלען אַטאַקעס. דערצו, אין פילע טעסטן די לעיטענסי ווערט נישט באמערקבאר ערגער און קען אפילו פֿאַרבעסערט ווערן דאַנק טראַנספּאָרט אָפּטימיזאַציעס.

Una ventaja clave es que DoH קען זיין ענייבאַלד אויף דער אַפּלאַקיישאַן אָדער סיסטעם מדרגה, אַזוי איר דאַרפֿט זיך נישט פֿאַרלאָזן אויף אייער טרעגער אָדער ראַוטער צו אַקטיוויזירן עפּעס. דאָס הייסט, איר קענט זיך באַשיצן "פֿון דעם בלעטערער אַרויס," אָן אָנרירן קיין נעץ עקוויפּמענט.

עס איז וויכטיג צו אונטערשיידן DoH פון DoT (DNS איבער TLS): DoT ענקריפּטירט DNS אויף פּאָרט 853 גלייך איבער TLS, בשעת DoH אינטעגרירט עס אין HTTP(S). DoT איז פּשוטער אין טעאָריע, אָבער עס איז מער מסתּמא צו זיין בלאָקירט דורך פיירוואַלז וואָס שניידן נישט-געוויינטלעכע פּאָרטן; דאָה, דורך ניצן 443, אַרומגייט בעסער די באַגרענעצונגען און פאַרהיט געצוואונגענע "פּושבאַק" אַטאַקעס צו נישט-ענקריפּטעד דנס.

וועגן פּריוואַטקייט: ניצן HTTPS מיינט נישט קיכלעך אָדער טראַקינג אין DoH; די סטאַנדאַרדן רעקאָמענדירן אויסדריקליך קעגן זיין באַניץ אין דעם קאנטעקסט, רעדוצירט TLS 1.3 אויך די נויטווענדיקייט צו ריסטאַרטן סעסיעס, מינימיזירנדיק קאָרעלאַציעס. און אויב איר זארגט זיך וועגן פאָרשטעלונג, קען HTTP/3 איבער QUIC צושטעלן נאָך פֿאַרבעסערונגען דורך מולטיפּלעקסירן פֿראַגעס אָן בלאָקירן.

ווי DNS אַרבעט, געוויינטלעכע ריזיקעס, און וואו DoH פּאַסט אַרײַן

די אָפּערייטינג סיסטעם לערנט זיך נאָרמאַלערווייַז וועלכע רעזאָלוווער צו נוצן דורך DHCP; אין שטוב ניצט איר געוויינטלעך די אינטערנעט סערוויס סערוויס (ISP), אין אפיס, די קארפאראטיווע נעץ. ווען די קאמוניקאציע איז נישט פארשליסלט (UDP/TCP 53), קען יעדער אויף אייער Wi-Fi אדער אויפן רוט זען געפרעגטע דאמעינען, אריינשפריצן פאלשע ענטפערס, אדער אייך איבערפירן צו זוכענישן ווען די דאמעין עקזיסטירט נישט, ווי געוויסע אפעראטארן טוען.

א טיפישע טראַפיק אַנאַליז אַנטפּלעקט פּאָרטן, מקור/דעסטאַניישאַן IPs, און די דאָמעין זיך רעזאָלווירט; דאָס ניט נאָר ענטפּלעקט בראַוזינג געוווינהייטן, עס מאכט עס אויך גרינגער צו פארבינדן ווייטערדיגע פארבינדונגען, למשל, צו טוויטער אדרעסן אדער ענליכע זאכן, און אויסרעכענען וועלכע גענויע בלעטער איר האט באזוכט.

מיט DoT, גייט די DNS מעסעדזש אינעווייניק TLS אויף פּאָרט 853; מיט DoH, די DNS אָנפֿרעג איז פֿאַרשלאָסן אין אַ נאָרמאַל HTTPS בקשה, וואָס אויך ערמעגליכט זיין באַניץ דורך וועב אַפּליקאַציעס דורך בראַוזער APIs. ביידע מעכאַניזמען טיילן די זעלבע יסוד: סערווער אויטענטיפיקאַציע מיט אַ סערטיפיקאַט און אַן ענד-צו-ענד ענקריפּטעד קאַנאַל.

די פראבלעם מיט נייע פארטן איז אז עס איז געווענליך פאר עטלעכע נעטוואָרקס בלאָקירן 853, וואָס מוטיגט ווייכווארג צו "צוריקגיין" צו נישט-פאַרשליסלטן DNS. די דאָק פֿאַרמינדערט דאָס דורך ניצן 443, וואָס איז געוויינטלעך פֿאַרן וועב. DNS/QUIC עקזיסטירט אויך ווי אַן אַנדער פֿאַרשפּרעכנדיקע אָפּציע, כאָטש עס פֿאָדערט אָפֿענע UDP און איז נישט שטענדיק פֿאַראַן.

אפילו ווען איר ענקריפּטירט טראַנספּאָרט, זייט פֿאָרזיכטיק מיט איין נואַנס: אויב דער רעזאָלוטאָר ליגט, קאָריגירט עס נישט דער ציפֿער.פֿאַר דעם צוועק עקזיסטירט DNSSEC, וואָס דערמעגלעכט וואַלידאַציע פֿון ענטפֿער אינטעגריטעט, כאָטש זײַן אָננעמונג איז נישט ווײַט פֿאַרשפּרייט און עטלעכע פֿאַרמיטלער ברעכן זײַן פֿונקציאָנאַליטעט. אַפֿילו אַזוי, פֿאַרהיט DoH דריטע פּאַרטייען אויפֿן וועג פֿון שפּיאָנירן אָדער מאַניפּולירן מיט אײַערע פֿראַגעס.

אַקטיווירן עס אָן אָנרירן דעם ראַוטער: בראַוזערז און סיסטעמען

דער גרינגסטער וועג צו אָנהייבן איז צו אַקטיוויזירן DoH אין אייער בלעטערער אָדער אָפּערייטינג סיסטעם. אַזוי באַהיט איר פֿראַגעס פֿון אייער מאַנשאַפֿט אָן צו אָפענגען אויף די ראַוטער פירמווער.

גוגל קראָום

אין די היינטיגע ווערסיעס קענט איר גיין צו chrome://settings/security און, אונטער "ניצן זיכערע DNS", אַקטיווירן די אָפּציע און קלייַבן דעם פּראַוויידער (דיין איצטיקער פּראַוויידער אויב זיי שטיצן DoH אדער איינער פון גוגל'ס ליסטע ווי Cloudflare אדער Google DNS).

אין פריערדיגע ווערסיעס, האט Chrome געפֿינט אַן עקספּערימענטאַלן סוויטש: טיפּ chrome://flags/#dns-over-https, זוכט פֿאַר "זיכערע DNS זוכונגען" און טוישן עס פון פעליקייט צו ענייבאַלדריסטאַרט דיין בלעטערער צו צולייגן די ענדערונגען.

Microsoft Edge (Chromium)

קראָומיום-באַזירט עדזש כולל אַ ענלעכע אָפּציע. אויב איר דאַרפט עס, גייט צו edge://flags/#dns-over-https, געפינט "זיכערע DNS זוכונגען" און אַקטיווירן עס אין ענייבאַלדאין מאָדערנע ווערסיעס, איז אַקטיוואַציע אויך בנימצא אין אייערע פּריוואַטקייט סעטטינגס.

מאָזיללאַ פייערפאָקס

עפֿנט דאָס מעניו (אויבן רעכטס) > סעטטינגס > אַלגעמיין > סקראָל אַראָפּ צו "נעטוואָרק סעטטינגס", צאַפּן אויף קאָנפיגוראַציע און מארקירן "אַקטיווירן DNS איבער HTTPSאיר קענט אויסקלויבן פון פּראַוויידערז ווי קלאודפלער אָדער נעקסטדי-ען-עס.

אויב איר ווילט בעסער פיינע קאנטראל, אין about:config צופּאַסן network.trr.mode: 2 (אפּאָרטוניסט) ניצט DoH און מאַכט אַ פאַלבעק אויב נישט פֿאַראַן; 3 (שטרענג) מאַנדאַטן פון דאָה און פיילז אויב עס איז נישטא קיין שטיצע. מיט סטריקטן מאָד, דעפינירט א בוטסטראַפּ רעזאָלווער ווי network.trr.bootstrapAddress=1.1.1.1.

אָפּערע

זינט ווערסיע 65, האט אָפּעראַ אַן אָפּציע צו אַקטיווירן DoH מיט 1.1.1.1עס קומט דיפאָלט אויסגעלאָשן און אַרבעט אין אַפּאָרטוניסטישן מאָדע: אויב 1.1.1.1:443 רעאַגירט, וועט עס נוצן DoH; אַנדערש, פאַלט עס צוריק צום נישט-פאַרשליסלטן רעזאָלווער.

ווינדאָוס 10/11: אויטאָדעטעקט (AutoDoH) און רעגיסטרי

ווינדאָוס קען אויטאָמאַטיש אַקטיווירן DoH מיט געוויסע באַקאַנטע רעזאָלווערס. אין עלטערע ווערסיעס, דו קענסט צווינגען די אויפפירונג פֿון דער רעגיסטרי: לויפֿן regedit און גיי צו HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

שאַפֿן אַ DWORD (32-ביט) מיטן נאָמען EnableAutoDoh מיט ווערט 2 y ריסטאַרט דעם קאָמפּיוטערדאָס אַרבעט אויב איר ניצט DNS סערווערס וואָס שטיצן DoH.

ווינדאָוס סערווער 2022: DNS קליענט מיט געבוירענער DoH

דער איינגעבויטער DNS קליענט אין Windows Server 2022 שטיצט DoH. איר וועט נאָר קענען נוצן DoH מיט סערווערס וואָס זענען אויף זייער "באַקאַנט DoH" רשימה. אדער אז איר לייגט צו אליין. צו קאנפיגורירן עס פון די גראפישע אינטערפייס:

1. עפֿנט ווינדאָוס סעטטינגס > נעץ און אינטערנעט.
2. אַרייַן Ethernet און קלייַבט אייער אינטערפֿייס.
3. אויף דעם נעץ עקראַן, סקראָל אַראָפּ צו Configuración de DNS און דריקן רעדאַקטירן.
4. אויסקלייבן "מאַנואַל" צו דעפינירן בילכער און אַלטערנאַטיווע סערווערס.
5. אויב יענע אַדרעסן זענען אויף דער באַקאַנטער DoH ליסטע, וועט עס זיין ענייבאַלד "בילכער DNS ענקריפּשאַן" מיט דריי אָפּציעס:
   • נאָר פֿאַרשליסונג (DNS איבער HTTPS)צווינגען DoH; אויב דער סערווער שטיצט נישט DoH, וועט נישט זיין קיין רעזאלוציע.
   • בעפֿאָרצוגן ענקריפּשאַן, ערלויבן נישט-ענקריפּטעדפרובירט DoH און אויב עס פאלט דורך, פאלט עס צוריק צו נישט-פארשליסלט קלאסיש DNS.
   • נאָר נישט פֿאַרשליסלטעניצט טראדיציאנעלע פשוטע טעקסט DNS.
6. ראַטעווען צו צולייגן ענדערונגען.

איר קענט אויך פרעגן און פארברייטערן די ליסטע פון ​​באקאנטע DoH רעזאלוווערס ניצנדיק PowerShell. צו זען די איצטיקע ליסטע:

Get-DNSClientDohServerAddress

צו רעגיסטרירן א נייעם באקאנטן DoH סערווער מיט אייער טעמפלאט, ניצט:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

באַמערק אז די cmdlet Set-DNSClientServerAddress קאָנטראָלירט זיך נישט די נוצן פון DoH; ענקריפּשאַן דעפּענדס אויף צי די אַדרעסן זענען אין דער טאַבעלע פון ​​באַקאַנטע DoH סערווערס. איר קענט איצט נישט קאָנפיגורירן DoH פֿאַר די Windows Server 2022 DNS קליענט פֿון Windows Admin Center אָדער מיט sconfig.cmd.

גרופע פּאָליטיק אין ווינדאָוז סערווער 2022

עס איז דא אן אנווייזונג גערופן "קאָנפֿיגורירן DNS איבער HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSווען עס איז אַקטיוויזירט, קענט איר אויסקלײַבן:

• ערלויבן DoHניצט DoH אויב דער סערווער שטיצט עס; אַנדערש, פרעגט אָן קיין פֿאַרשליסלונג.
• פארבאט דאהניצט קיינמאָל נישט DoH.
• פארלאנגען DoHצווינגט DoH; אויב נישטא קיין שטיצע, פאלט די רעזאלוציע דורך.

וויכטיג: נישט אַקטיווירן "פארלאנגט DoH" אויף קאָמפּיוטערס וואָס זענען פארבונדן מיט אַ דאָמעיןאַקטיוו דירעקטאָרי פֿאַרלאָזט זיך אויף DNS, און די Windows Server DNS סערווער ראָלע שטיצט נישט DoH פֿראַגעס. אויב איר דאַרפֿט זיכערן DNS טראַפֿיק אין אַן AD סביבה, באַטראַכט צו נוצן IPsec כּללים צווישן קליענטן און אינערלעכע רעזאָלוטאָרן.

אויב איר זענט אינטערעסירט אין רידערעקטן ספּעציפֿישע דאָמעינען צו ספּעציפֿישע רעזאָלווערס, קענט איר נוצן די NRPT (נאָמען רעזאָלוציע פּאָליטיק טיש)אויב דער ציל סערווער איז אויף דער באקאנטער DoH ליסטע, יענע קאָנסולטאַציעס וועט אַרומפאָרן דורך DoH.

אַנדרויד, יאָס און לינוקס

אויף אַנדרויד 9 און העכער, די אָפּציע פּריוואַטע DNS ערלויבט DoT (נישט DoH) מיט צוויי מאָדעס: "אויטאָמאַטיש" (אפּאָרטוניסטיש, נעמט דעם נעץ רעזאָלוווער) און "סטריקט" (איר מוזט ספּעציפֿיצירן אַ האָסטנאַמע וואָס איז וואַלידירט דורך סערטיפיקאַט; דירעקטע IPs ווערן נישט געשטיצט).

אויף iOS און Android, די אַפּ 1.1.1.1 קלאודפלער ערמעגליכט DoH אדער DoT אין שטרענגן מאָדע ניצנדיק די VPN API צו אפנעמען נישט-פארשליסטע פארלאנגען און שיקט זיי ווייטער דורך א זיכערן קאנאל.

En Linux, systemd-resolved שטיצט DoT זינט systemd 239. עס איז דיאַקטיווירט דורך דיפאָלט; עס אָפפערס אָפּאָרטוניסטיש מאָדע אָן וואַלאַדייטינג סערטיפיקאַץ און שטרענג מאָדע (זינט 243) מיט CA וואַלאַדיישאַן אָבער אָן SNI אָדער נאָמען וועראַפאַקיישאַן, וואָס שוואַכט דעם צוטרוי מאָדעל קעגן אנפאלער אויף דער גאס.

אויף לינוקס, macOS, אדער ווינדאָוס, קענט איר אויסקלײַבן אַ שטרענגן מאָדע DoH קליענט ווי cloudflared proxy-dns (דורך דיפאָלט ניצט עס 1.1.1.1, כאָטש איר קענט דעפינירן אויבערשטע טיילן אַלטערנאַטיוון).

באַקאַנטע DoH סערווערס (Windows) און ווי צו לייגן צו מער

ווינדאָוס סערווער כולל אַ רשימה פון רעזאָלווערס וואָס זענען באַקאַנט צו שטיצן DoH. איר קענט עס קאָנטראָלירן מיט PowerShell און לייג צו נייע איינטראגעס אויב איר דארפט.

דאָס זײַנען די באַקאַנטע DoH סערווערס גלייך פֿון דער קעסטל:

סערווער אייגנטימער	DNS סערווער IP אדרעסן
קלאַודפלער	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
גוגל	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

פֿאַר ver la lista, לויפן:

Get-DNSClientDohServerAddress

פֿאַר לייג צו א נייעם DoH רעזאלוווער מיט זיין מוסטער, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

אויב איר פאַרוואַלטעט קייפל נעמענספּייסאַז, וועט די NRPT אײַך דערלויבן צו פירן ספּעציפֿישע דאָמעינען צו אַ ספּעציפֿישן רעזאָלוווער וואָס שטיצט DoH.

ווי אזוי צו קאָנטראָלירן צי DoH איז אַקטיוו

אין בראַוזערס, באַזוכט https://1.1.1.1/helpדאָרט וועט איר זען אויב אייער טראַפיק ניצט DoH מיט 1.1.1.1 אדער נישט. ס'איז א שנעלע טעסט צו זען אין וואספארא סטאטוס איר זענט.

אין ווינדאָוס 10 (ווערסיע 2004), קענט איר מאָניטאָרירן קלאַסישן DNS טראַפיק (פּאָרט 53) מיט pktmon פֿון אַ פּריווילעגירטער קאָנסאָל:

pktmon filter add -p 53
pktmon start --etw -m real-time

אויב אַ קאָנסטאַנטער שטראָם פון פּאַקעטן דערשיינט אויף די 53, איז עס זייער מסתּמא אַז דו ניצט נאך אלץ נישט-פארשליסטע DNSגעדענקט: דער פּאַראַמעטער --etw -m real-time פארלאנגט 2004; אין פריערע ווערסיעס וועט איר זען א "אומבאַקאַנט פּאַראַמעטער" טעות.

אפציאנאל: קאנפיגורירן עס אויפן ראוטער (מיקראטיק)

אויב איר בעפארצוגט צו צענטראליזירן ענקריפּשאַן אויף די ראַוטער, קענט איר לייכט אַקטיווירן DoH אויף MikroTik דעוויסעס. ערשטנס, אימפארטיר די וואָרצל CA וואָס וועט זיין אונטערגעשריבן דורך דעם סערווער צו וועלכן איר וועט זיך פֿאַרבינדן. פֿאַר קלאודפֿלעיר קענט איר אראָפּלאָדן דידזשיסערטגלאבאלרוטסי.אר.טי.פעם.

לאָוד אַרויף די טעקע צו די ראַוטער (דורך שלעפּן עס צו "טעקעס"), און גיין צו סיסטעם > סערטיפיקאטן > אימפארטירן צו עס איינארבעטן. דערנאך, קאנפיגוריר דעם ראוטער'ס DNS מיט די קלאָודפֿלעיר DoH URL'סאַמאָל אַקטיוו, וועט דער ראַוטער געבן פּרייאָריטעט צו דער ענקריפּטעד פֿאַרבינדונג איבער דעם פעליקייט נישט-ענקריפּטעד DNS.

צו באַשטעטיקן אַז אַלץ איז אין אָרדענונג, באַזוכט 1.1.1.1/הילף פֿון אַ קאָמפּיוטער הינטערן ראַוטער. איר קענט אויך טאָן אַלץ דורך טערמינאַל אין RouterOS אויב איר בעסער.

פאָרשטעלונג, נאָך פּריוואַטקייט און לימיטן פון דעם צוגאַנג

ווען עס קומט צו גיכקייט, צוויי מעטריקן זענען וויכטיג: רעזאָלוציע צייט און פאַקטיש בלאַט לאָוד. אומאָפּהענגיקע טעסץ (ווי למשל SamKnows) זיי קומען צום אויספיר אז דער אונטערשייד צווישן DoH און קלאסישן DNS (Do53) איז מארגינאל אויף ביידע פראנטן; אין פראקטיק, זאלט ​​איר נישט באמערקן קיין לאנגזאמקייט.

DoH ענקריפּץ די "DNS קווערי," אבער עס זענען מער סיגנאַלן אויף דער נעץ. אפילו אויב איר באַהאַלט DNS, קען אַן אינטערנעט סערוויס פּראָוויידער אויסרעכענען זאַכן דורך TLS קאַנעקשאַנז (למשל, SNI אין עטלעכע אַלטע סצענאַרן) אָדער אַנדערע טראַסעס. צו פֿאַרבעסערן פּריוואַטקייט, קענט איר אויספאָרשן DoT, DNSCrypt, DNSCurve, אָדער קליענטן וואָס מינימיזירן מעטאַדאַטאַ.

נישט אַלע עקאָסיסטעם שטיצט נאָך DoH. פילע לעגאַסי רעזאָלווערז פאָרשלאָגן דאָס נישט., צווינגען זיך צו פארלאזן אויף עפנטלעכע קוועלער (קלאודפלער, גוגל, קוואד9, א.א.וו.). דאס עפנט די דעבאטע איבער צענטראליזאציע: קאנצענטרירן אנפראגעס אויף א פאר אקטיארן באדייט פריוואטקייט און צוטרוי קאסטן.

אין קאָרפּאָראַטיווע סביבות, קען די דאָקטאָראַט פון געזונט זיך צוזאַמענשטויסן מיט זיכערהייט פּאָליטיקס וואָס זענען באַזירט אויף DNS מאָניטאָרינג אָדער פֿילטערינג (מאַלווער, עלטערן קאָנטראָלן, לעגאַלע קאָנפאָרמאַטי). לייזונגען אַרייַננעמען MDM/גרופּע פּאָליטיק צו שטעלן אַ DoH/DoT רעזאָלוווער צו שטרענג מאָדע, אָדער קאַמביינד מיט אַפּלאַקיישאַן-לעוועל קאָנטראָלן, וואָס זענען מער פּינקטלעך ווי דאָמעין-באזירט בלאָקירן.

DNSSEC קאמפלעמענטירט DoH: DoH באַשיצט דעם טראַנספּאָרט; DNSSEC וואַלידירט די ענטפערדי אדאפטאציע איז נישט גלייך, און עטלעכע צווישן-דעווייסעס ברעכן עס, אבער די טענדענץ איז פאזיטיוו. אויפן וועג צווישן רעזאלווערס און אויטאריטעטיווע סערווערס, בלייבט DNS טראדיציאנעל נישט-ענקריפּטעד; עס זענען שוין דא עקספערימענטן מיט DoT צווישן גרויסע אפעראטארן (למשל, 1.1.1.1 מיט פעיסבוק'ס אויטאריטעטיווע סערווערס) צו פארבעסערן שוץ.

אן אינטערמיטעלער אלטערנאטיוו איז צו ענקריפטירן נאר צווישן דער ראַוטער און דער רעזאָלוווער, לאזנדיג די פארבינדונג צווישן דעווייסעס און דעם ראוטער אומפארשליסלט. נוצלעך אויף זיכערע דראט-נעטווארקס, אבער נישט רעקאמענדירט אויף אפענע Wi-Fi נעטוואָרקס: אנדערע באניצער קענען שפיאנירן אויף אדער מאניפולירן די אנפראגעס אינעם לאן.

מאַכט אייער אייגענעם DoH רעזאָלוטאָר

אויב איר ווילט פולשטענדיקע זעלבשטענדיקייט, קענט איר נוצן אייער אייגענעם רעזאָלוווער. נישט געבונדן + רעדיס (L2 קעש) + נגינקס איז אַ פּאָפּולערע קאָמבינאַציע פֿאַר סערווירן DoH URL'ס און פֿילטערירן דאָמעינען מיט אויטאָמאַטיש אַפּדייטאַבלע ליסטעס.

די סטאַק לויפט פּערפעקט אויף אַ באַשיידענעם VPS (למשל, איין קאָר/2 דראָטן פֿאַר אַ משפּחה). עס זענען דאָ גיידס מיט גרייטע אינסטרוקציעס, ווי צום ביישפּיל דאָס רעפּאָזיטאָרי: github.com/ousatov-ua/dns-filtering. עטלעכע VPS פּראַוויידערז פאָרשלאָגן באַגריסונג קרעדיטן פֿאַר נײַע באַניצער, אַזוי איר קענט אויפֿשטעלן אַ פּראָבע־פּעריאָד מיט אַ נידעריקן פּרייַז.

מיט אייער פּריוואַטן רעזאָלוטאָר, קענט איר אויסקלײַבן אייערע פֿילטערינג קוועלער, באַשליסן ריטענשאַן פּאָליטיק און פֿאַרמײַדט צענטראליזירן אײַערע פֿראַגעס צו דריטע פּאַרטייען. אין אויסטויש, פאַרוואַלטעט איר זיכערהייט, וישאַלט, און הויך אַוויילאַביליטי.

פארן שליסן, א נאטיץ פון גילטיקייט: אויפן אינטערנעט, טוישן זיך אפציעס, מעניוס און נעמען כסדר; עטלעכע אלטע גיידס זענען אלטמאדיש (למשל, דורכגיין "פֿאָנען" אין קראָום איז מער נישט נויטיק אין די לעצטע ווערסיעס.) שטענדיק קאָנטראָלירן מיט דיין בראַוזער אָדער סיסטעם דאָקומענטאַציע.

אויב איר זענט שוין אזוי ווייט אנגעקומען, ווייסט איר שוין וואס DoH טוט, ווי עס פאסט אריין אין דעם פאזל מיט DoT און DNSSEC, און וויכטיגער, ווי אזוי עס צו אקטיוויזירן יעצט אויף דיין דעווייס צו פאַרהיטן DNS פון אַרומפאָרן קלאָר. מיט אַ פּאָר קליקן אין דיין בלעטערער אָדער אַדזשאַסטמאַנץ אין Windows (אפילו אויף די פּאָליטיק מדרגה אין סערווער 2022) וועט איר האָבן ענקריפּטעד פֿראַגעס; אויב איר ווילט נעמען זאכן צו די ווייַטער מדרגה, קענט איר אַריבערפירן די ענקריפּשאַן צו די MikroTik ראַוטער אָדער בויען דיין אייגענעם רעזאָלווער. דער שליסל איז אַז, אָן אָנרירן דיין ראַוטער, קענט איר באַשיצן איינעם פון די מערסט באַרעדטע טיילן פון דיין טראַפיק הייַנט..