Konfigurišite siguran DNS sa DoH i DoT korak po korak

Ako postajete sve više zabrinuti Ko može vidjeti vaš DNS, koje zapise mogu manipulirati i kako osigurati vaše uređajeDoH (DNS preko HTTPS-a) i DoT (DNS preko TLS-a) su dvije tehnologije o kojima apsolutno morate znati. Nisu magične i ne čine vas anonimnim, ali značajno podižu ljestvicu u poređenju s klasičnim DNS-om s običnim tekstom koji i dalje koristi većina rutera i sistema.

Posljednjih godina, desetine vodiča, suprotstavljenih mišljenja, pa čak i vjerskih ratova između Doktrine heroja (DoH) i Doktrine Tore (DoT) postale su popularne. Ovdje ćete pronaći organizirani pregled. Šta svaki protokol zapravo štiti, koje nedostatke imaju i kako ih konfigurirati na ruterima, mobilnim telefonima, računarima i vlastitim serverima? i u kojim scenarijima ima smisla koristiti jedno ili drugo bez davanja nemogućih obećanja.

Šta su DoH i DoT i zašto je tradicionalni DNS problem?

Klasični DNS funkcioniše, generalno govoreći, kao Internetski telefonski imenik koji prevodi imena domena u IP adreseProblem je što je dizajniran u eri kada su prioritet bili brzina i mala težina, a ne privatnost ili integritet. Zato većina zahtjeva i dalje ide preko UDP-a (a ponekad i TCP-a) na portu 53, bez enkripcije ili zaštite integriteta.

Ovo znači to bilo koji akter na putu između vašeg uređaja i DNS servera (Vaš provajder, Wi-Fi hotela, napadač na otvorenoj mreži ili zlonamjerni korporativni proxy) mogu vidjeti kojim domenama pristupate, profilirati vaše pregledavanje ili čak ubaciti lažne odgovore. Tehnike kao što su Trovanje DNS keša DNS spoofing se sastoji upravo od iskorištavanja ovog nedostatka zaštite za slanje manipuliranih zapisa i preusmjeravanje na lažne web stranice, phishing kampanje ili stranice pune oglasa.

Radi pojačanja sigurnosti, stvoren je DNSSECDNSSEC kriptografski potpisuje zone i omogućava vam da potvrdite autentičnost primljenog odgovora. Međutim, DNSSEC ne šifrira kanal: sadržaj poruke ostaje čitljiv svima koji mogu prisluškivati ​​promet. Tu na scenu stupaju druge metode. DNS preko HTTPS-a (DoH) i DNS preko TLS-a (DoT), koji se fokusiraju na zaštitu komunikacijske veze između klijenta i resolvera.

Oba standarda enkapsuliraju DNS upite unutar šifrirani TLS tunelKod DoH-a, ovaj tunel putuje unutar normalne HTTPS sesije, obično preko porta 443. Kod DoT-a, TLS tunel se koristi posebno za DNS, obično preko porta 853. U oba slučaja, cilj je isti: spriječiti bilo koga na ruti da lako prisluškuje ili mijenja DNS upite i odgovore.

Tehničke razlike između DoH i DoT

Iako je svrha dva protokola slična, način na koji su integrirani u mrežu i sisteme znatno se razlikuje. DoT je definisan u RFC 7858 i koristi namjensku TLS vezu preko TCP-a, osluškujući prema zadanim postavkama na portu 853. Klijent i server pregovaraju o standardnoj TLS sesiji, obično autentificirajući server pomoću X.509 (PKIX) certifikata povezanih s nazivom domene, kako je detaljno opisano u RFC 8310.

U DoT-u se jasno razlikuju dva načina rada: strogi režim i oportunistički režimU striktnom načinu rada, klijent zahtijeva da TLS veza bude ispravno uspostavljena i da je certifikat servera važeći i da odgovara očekivanom imenu; ako bilo šta ne uspije, rješavanje se zaustavlja i nema "povratka" na nešifrirani DNS. U oportunističkom načinu rada, klijent prvo pokušava koristiti DoT i, ako to ne uspije, Vraća se na port 53 u običnom tekstu.davanje prioriteta dostupnosti nad privatnošću.

Standard ostavlja aspekte kao što su upravljanje i opoziv certifikata, integracija s pouzdanim certifikacijskim tijelima i korištenje lista opozvanih certifikata (CRL) u rukama DNS provajdera. To podrazumijeva da Ne postoji jedinstveni receptSvaki javni servis (Cloudflare, Google, Quad9, CleanBrowsing, itd.) implementira ove detalje na svoj način.

Sa druge strane, DoH je definiran u RFC 8484 i prenosi DNS upite unutar HTTP zahtjeva preko HTTPS-a. Umjesto komunikacije s portom 53 servera koristeći UDP ili TCP, klijent konstruira HTTP GET ili POST zahtjev prema određenom URL-u (na primjer, https://dns.google/dns-query o https://cloudflare-dns.com/dns-queryi prima odgovor u enkapsuliranom DNS formatu. TTL se može odrediti ponovnom upotrebom zaglavlja Kontrola keša, na prilično domišljat način.

Iz perspektive mreže, DoH promet je jednostavno standardni HTTPS promet preko porta 443nerazlučiv od ostalih osim ako se sadržaj temeljito ne pregleda. To ga čini vrlo otpornim na selektivno blokiranje, ali također pretvara DoH u noćna mora za neke korporativne sigurnosne timove, koji vide kako se njihova mogućnost praćenja i filtriranja DNS-a zaobilazi šifriranim tunelom preglednika.

Prave prednosti i mane DoH i DoT

Glavna prednost oba protokola je u tome što Osiguravate vezu između vašeg uređaja i DNS resolvera.Ovo značajno smanjuje mogućnost pasivnog špijuniranja lokalne mreže, otežava napade manipulacije odgovorom (na primjer, na WiFi-ju na aerodromima ili u kafićima) i znatno komplicira tehnike poput napada "čovjek u sredini" od strane posrednika.

U slučaju DoT-a, dodatne prednosti su jasne: korištenjem namjenski i lako prepoznatljivi portAdministratoru je lako da ga dozvoli ili blokira na nivou zaštitnog zida (firewall), evidentira statistiku i primjenjuje mrežne politike bez pregleda TLS sadržaja. Nadalje, njegova implementacija na sistemima ili ruterima serverskog tipa je prilično jednostavna, jer zahtijeva samo dodavanje TLS podrške DNS servisu i osluškivanje na portu 853.

Kontra, Latencija se može neznatno povećati Što se tiče nešifriranog DNS-a, ovo posebno važi ako se uspostavi mnogo novih veza ili ako se koristi striktni način rada s potpunom validacijom certifikata. Nadalje, u striktnom načinu rada, ako DoT server ne odgovori ili je certifikat nevažeći, zahtjevi se ne šalju ponovo preko nesigurnog kanala; oni jednostavno ne uspijevaju. Ovo može iznenaditi korisnike koji očekuju da će sve "uvijek raditi".

DoH dijeli gotovo iste kriptografske prednosti, ali dodaje jednu važnu nijansu: budući da radi preko HTTPS-a, Bolje prodire kroz visoko restriktivne mreže. gdje je port 853 sistematski blokiran. Istovremeno, miješa DNS rezolucije s ostatkom web prometa, što otežava zadatke poput centraliziranog filtriranja ili analize prijetnji od strane korporativnih sigurnosnih timova.

Jedan zajednički nedostatak za oba je taj što Oni ne eliminišu problem povjerenja, oni ga samo zamenjuju.Prestajete vjerovati DNS-u ili ruteru vašeg internet provajdera i umjesto toga se oslanjate na odabrani DoH/DoT resolver. Taj server i dalje vidi sve domene koje pretražujete, vrijeme i frekvenciju, te ih može povezati s vašom IP adresom. Zato je ključno pregledati politiku privatnosti vašeg provajdera (Google, Cloudflare, Quad9, CleanBrowsing, RocksDNS, itd.) i ne pretpostavljati da "šifriranje" znači "apsolutnu privatnost".

DoH, DoT i DNSSEC: kako se uklapaju

Sasvim je uobičajeno da se pobrka šta svaka tehnologija radi. DNSSEC, DoH i DoT nisu rivali, već komplementarni slojevi.DNSSEC osigurava da DNS podaci nisu mijenjani od izvorne zone do resolvera, koristeći digitalne potpise. Međutim, ne štiti kanal: bilo ko i dalje može vidjeti sadržaj upita i odgovora.

DoH i DoT se fokusiraju na nešto drugo: Šifrirajte i autentificirajte transport između klijenta i resolveraOni sami ne provjeravaju da li je zapis onaj koji je objavio vlasnik domene; ono što rade jeste da sprečavaju nekoga "usput" da transparentno čita ili mijenja odgovore. Idealni scenario je korištenje resolvera koji validira DNSSEC i također se povezuje s vašim uređajima koristeći DoH ili DoT.

Ako postavite vlastiti server sa softverom kao što je nevezanSituacija je još bolja. Unbound uključuje DNSSEC omogućen po defaultu u nedavnim instalacijama i može se konfigurirati za komunikaciju s klijentima koristeći DoT. Na taj način, eliminacija posrednikaVaš Raspberry Pi ili lokalni server se direktno povezuje sa DNSSEC-potpisanim root i TLD serverima, pružajući vašoj kućnoj ili poslovnoj mreži šifriranu i validiranu DNS uslugu.

Da biste provjerili da li DNSSEC ispravno radi, postoje specifične testne stranice, kao što su domene koje prikazuju "zeleni ključ" ili koje ispravno reagiraju samo kada je validacija aktivna. Ako nešto nije u redu zbog sistemskih certifikata, u Linux distribucijama je obično dovoljno instalirati ili ažurirati pakete kao što su ca-sertifikati zajedno sa samim Unbound-om.

Konfigurisanje DoH i DoT na ruterima i kućnim mrežama

Ključna stvar za iskorištavanje ovih tehnologija je premještanje konfiguracije na sam ruter, tako da Svi uređaji na mreži imaju koristi bez ikakvih promjena na svakom uređaju pojedinačno.Podrška se znatno razlikuje ovisno o modelu. Na primjer, kod modernih modela poput nekih TP-Link AX serije rutera (AX55 i slični), i DoH i DoT se već mogu aktivirati putem web sučelja.

Kod ovog tipa rutera, nakon prijave u administratorski interfejs, obično se u putanji pojavljuje odjeljak za konfiguraciju Napredno → Mreža → InternetTamo možete odabrati nivo "DNS privatnosti". Ako se ostavi na "Ništa", upiti će se i dalje slati nešifrirani. Ako je odabrano DoT ili DoH, firmver također prikazuje "DNS način rada", koji obično nudi "Zadani način rada" i "Ultra siguran način rada" ili ekvivalent.

Zadani način rada daje prioritet kontinuitetu usluge: Ako DoH/DoT serveri postanu nedostupni, ruter se automatski vraća na nešifrirani DNS. tako da možete ostati povezani. S druge strane, ultra-siguran način rada prekida DNS razrješenje kada šifrirani serveri zakažu, prisiljavajući da nikada ne postoje nesigurni "rezervni načini rada", ali priznajući da biste mogli izgubiti pristup internetu ako vaš DNS provajder ima problem.

Odmah ispod obično ćete pronaći odjeljak Dostupni DoH/DoT serveriOvdje možete odabrati više adresa ili URL-ova odjednom (do tri na mnogim modelima). Pojavit će se uobičajene javne opcije poput Cloudflarea, Googlea i Quad9, kao i specijaliziranije usluge. Nakon odabira željenih opcija, preporučljivo je koristiti funkciju "detect DNS server" kako bi ruter mogao provjeriti povezanost prije spremanja promjena.

Na ruterima koji podržavaju samo DoH (kao što je slučaj s mnogim AC uređajima), konfiguracija je slična, ali jednostavnija: DoH prekidač se aktivira, server se bira s liste i provjerava se status, koji bi trebao izgledati kao povezan nakon što je tunel uspješno uspostavljen.

Privatni DNS na Androidu, iOS-u i drugim sistemima

Na mobilnom terenu, Android je bio jedan od prvih koji je izvorno integrirao DotT.Počevši od Androida 9 (Pie), postoji način rada "Privatni DNS", dostupan iz Postavke → Mreža i internet → Napredno → Privatni DNS. Odabirom načina rada "Naziv hosta provajdera privatnog DNS-a", možete unijeti domene kao što su dns.google o 1dot1dot1dot1.cloudflare-dns.comSistem će zatim slati upite putem DoT-a tim serverima, bez potrebe za dodatnim aplikacijama ili VPN-om.

Ranije verzije Androida nemaju izvornu podršku za DNS preko TLS-a, tako da je jedini praktičan način korištenja DoH-a ili DoT-a putem aplikacije koje djeluju kao lokalni VPN i preusmjeriti zahtjeve na šifrirani resolver (tipičan primjer: Cloudflare aplikacija). Problem je što Android ne dozvoljava istovremenu upotrebu dva VPN profila, tako da ako se već oslanjate na drugi VPN da biste zaobišli geografska ili cenzurna ograničenja, nećete moći kombinovati oba pristupa istovremeno.

U iOS-u (14 i novijim verzijama) Apple se odlučio za konfiguracijski profiliOmogućavanje DoH-a ili DoT-a zahtijeva više od pukog mijenjanja jednog parametra; potrebno je instalirati profil koji definira šifriranog DNS provajdera. Web alati mogu lako generirati ove profile: navedete naziv provajdera, odaberete između "DNS preko HTTPS-a" ili "DNS preko TLS-a" i unesete odgovarajući URL ili host. Zatim preuzmite profil na svoj iPhone ili iPad (po mogućnosti koristeći Safari), idite na Postavke → Općenito → VPN i upravljanje uređajima i instalirajte ga.

U Windowsu, situacija zavisi od verzije. Windows 11 Windows vam sada omogućava izvornu registraciju servera s DNS-om zasnovanim na domeni (DoH) i njihovo povezivanje s mrežnim adapterima. Pomoću alata komandne linije možete dodati IP adresu resolvera zajedno s HTTPS predloškom (na primjer, od provajdera kao što je RocksDNS ili Cloudflare), a zatim konfigurirati te IP adrese kao preferirane i alternativne DNS postavke adaptera. Windows će zatim pokušati koristiti DoH s tim serverima i vratit će se na tradicionalni DNS ako to ne uspije.

U Windowsu 10, izvorna podrška je ograničenija i, osim za vrlo specifične verzije, najpraktičnije rješenje je obično korištenje... aplikacije poput YogaDNS-a ili AdGuarda Ovi alati obrađuju sve sistemske upite prema DoH, DoT ili čak DoQ resolverima. Omogućavaju vam da definirate više provajdera, odaberete prioritete i spriječite druge programe ili sam preglednik da mijenjaju rezoluciju bez vašeg znanja.

Postavite vlastiti DNS pomoću DoT, DoH i Pi-hole

Ako želite ići korak dalje i da ne zavisi od velikih kompanijaVrlo moćna opcija je implementacija vlastitog rekurzivnog DNS servera s alatima poput Unbound-a, obično na Raspberry Pi-ju ili VPS-u, i njegova kombinacija s... Pi-rupa za filtriranje zlonamjernih oglasa, programa za praćenje i domena.

Osnovna ideja je da Pi-rupa djeluje kao DNS server lokalne mreže (i DHCP server ako je ruter provajdera internet usluga vrlo ograničen) i delegirati eksterne upite Unbound-u, koji će obraditi rekurzivno razrješenje i DNSSEC validaciju. Na ovaj način, jedini uređaji ovlašteni za komunikaciju s internetom putem DNS portova bit će vaš Pi-hole ili vaš određeni server, minimizirajući curenje informacija prema eksternim razrješiteljima.

Jedan od najčešćih problema prilikom implementacije Pi-hole-a je taj što mnogi operatorski ruteri... Ne dozvoljavaju konfigurisanje LAN DNS-a koji ukazuje na lokalnu IP adresu.Da biste prevazišli ovo ograničenje, možete slijediti strategiju od četiri koraka: dodijelite statičku IP adresu uređaju koristeći Pi-hole sa samog rutera, onemogućite DHCP uslugu rutera, aktivirajte DHCP server u Pi-hole web interfejsu (koristeći IP adresu rutera kao gateway) i na kraju, ponovo pokrenite uređaje kako bi dobili nove najmove.

Ako kod kuće imate napredne ili "kreativne" korisnike, neki od njih bi mogli ručno konfigurirati eksterne DNS servere (Google, Cloudflare, itd.) na svojim uređajima. Da bi to spriječili, mnogi administratori primjenjuju pravila u firmveru rutera (na primjer, sa DD-WRT) da... potpuno blokiranje odlaznih veza prema portovima 53, 853 i sličnimosim sa Pi-holeove vlastite IP adrese. Stoga, čak i ako neko promijeni svoj lokalni DNS, svi zahtjevi će na kraju proći kroz vaš server.

U slučaju VPS-a, i ako želite da izložite vlastiti DoT servis na portu 853 za povezivanje sa Androida, možete značajno ojačati sigurnost korištenjem TLS certifikati (po mogućnosti važeći, a ne samo samopotpisani)Ograničite dozvoljene raspone u vašem zaštitnom zidu koliko god je to moguće i koristite alate poput Fail2ban za brzo blokiranje IP adresa koje generiraju stalne TLS greške pri rukovanju. To nije savršena zaštita, ali značajno smanjuje površinu napada za ličnu upotrebu.

DoH i DoT u preglednicima: Firefox, Chrome i drugi

Preglednici su prije svega prihvatili DoH jer im omogućava sami kontrolišu DNS rezoluciju bez oslanjanja na postavke operativnog sistema. Mozilla Firefox je bio pionir u ovome: iz svojih mrežnih opcija možete omogućiti DoH i odabrati provajdere poput Cloudflare, NextDNS ili prilagođenog. Kada to učinite, preglednik ignorira DNS konfiguriran na sistemu i direktno se putem HTTPS-a preusmjerava na odabrani server.

Za napredne korisnike, Firefox nudi postavku network.trr.modegdje je definirano ponašanje pouzdanog rekurzivnog rekurzivnog rezolvera (TRR). Vrijednost 0 onemogućava DoH; 1 omogućava Firefoxu da odabere najbržu opciju; 2 koristi DoH, ali se vraća na klasični DNS ako ne uspije; 3 prisiljava sve upite da idu kroz DoH bez vraćanja unatrag; i 5 onemogućava svaki pokušaj korištenja DoH-a. Adresa DoH rezolvera je navedena u network.trr.uri, gdje možete staviti URL-ove poput onih već spomenutih.

Preglednici Google Chrome i Chromium bazirani na njemu uključuju sličnu opciju pod nazivom Sigurni DNSU novijim verzijama, omogućava se u postavkama privatnosti odabirom korištenja sigurnog DNS-a s trenutnim provajderom ili određivanjem novog. Interno, Chrome također može koristiti eksperimentalne zastavice za omogućavanje ili onemogućavanje DoH razrješenja, ali u praksi je grafički meni dovoljan za krajnje korisnike.

Jedan važan aspekt je da ova rezolucija integrirana u preglednik može biti u sukobu sa korporativne politike ili roditeljski nadzor zasnovan na DNS-uAko se zlonamjerni domeni otkriju iz internog resolvera unutar kompanije, a preglednik pokuša zaobići tu infrastrukturu koristeći rukovanje zasnovano na domeni (DoH) na eksterni server, dio sigurnosne strategije postaje neefikasan. Zbog toga mnogi administratori blokiraju DoH na nivou zaštitnog zida ili njime upravljaju putem predložaka i politika u korporativnim preglednicima.

Nadalje, u TLS ekosistemu još uvijek postoji jedan dio koji propušta informacije: SNI (Indikacija naziva servera)...što otkriva ime hosta tokom početnog TLS rukovanja. Čak i sa DNS šifriranjem, posmatrač na mreži i dalje može vidjeti na koji host se povezujete gledajući SNI. Šifrirani SNI mehanizmi se razvijaju kako bi se popunila ova praznina, ali njihovo usvajanje je još uvijek neujednačeno i zahtijeva podršku i od klijenta i od servera.

Ukratko, DoH i DoT nisu čarobni štapić, ali Da, oni predstavljaju jasno poboljšanje u sigurnosti DNS-a i higijeni privatnosti.Odabir pravog provajdera, kombinovanje istog sa DNSSEC-om i, gdje je to moguće, sa vašim vlastitim serverima ili pouzdanim resolverima, uveliko smanjuje izloženost vaše istorije pregledavanja neželjenim posrednicima, održavajući razumnu ravnotežu između kontrole, performansi i operabilnosti na svim vrstama mreža.