Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов

Как известно, протокол DNS (Domain Name System, система доменных имён) не шифрует запросы и данные передаются в открытом виде. DNS-трафик уязвим перед злоумышленниками, т.к. появляется возможность "подслушать" канал связи и перехватить незащищенные персональные данные.

Для безопасности DNS-трафика были реализованы специальные протоколы DNS over TLS (DNS поверх TLS, DoT, RFC7858) и DNS over HTTPS (DNS поверх HTTPS, DoH, RFC8484). Их основная задача - зашифровать DNS-трафик для предотвращения перехвата и обеспечения дополнительной конфиденциальности и безопасности. В данной статье мы не будем подробно останавливаться на теории. Информацию о том как работают DoT и DoH вы найдете на следующих страницах:

Список публичных DNS-сервисов с поддержкой DoT/DoH:


Начиная с версии KeeneticOS 3.00 была добавлена поддержка протоколов DNS over TLS и DNS over HTTPS. Включив один из них, DNS-трафик от роутера будет передаваться в зашифрованном виде через Интернет.

NOTE: Важно! При включении протокола DoT/DoH все DNS-запросы будут направляться на указанный при настройке адрес сервера. Полученные ранее DNS-серверы от вашего интернет-провайдера и прописанные вручную DNS-серверы использоваться не будут.

Если включен один из интернет-фильтров AdGuard DNS, Яндекс.DNS или SkyDNS, то все DNS-запросы будут направляться на указанный адрес сервиса с назначенным профилем зарегистрированному устройству в домашней сети. При назначении профиля "Без фильтрации" все запросы будут направляться через включенные протоколы DoT/DoH.

Если вы хотите пользоваться только DNS over TLS, то достаточно будет удалить компонент "DNS-over-HTTPS proxy". Аналогично и с DNS over HTTPS, нужно удалить компонент "DNS-over-TLS".

Покажем пример настройки через веб-конфигуратор. Будем использовать бесплатный DNS-сервис компании Яндекс, поддерживающий работу по протоколам DoT/DoH.

Для работы протокола DoT/DoH нужно в интернет-центре предварительно установить соответствующий компонент системы "Прокси-сервер DNS-over-TLS" или "Прокси-сервер DNS-over-HTTPS". Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

dot.png

Для дальнейшей настройки перейдите на страницу веб-конфигуратора "Интернет-фильтр" на вкладку "Настройка DNS".

DNS-over-TLS

В разделе "Профили DNS" нажмите "Добавить сервер".

dot-add-server.png

Появятся поля для заполнения определенных параметров. В поле Тип сервера укажите значение DNS-over-TLS, в поле Адрес сервера DNS (в нашем примере это 77.88.8.8 и 77.88.8.1), Доменное имя TLS (в нашем примере это common.dot.dns.yandex.net) и при необходимости интерфейс подключения (по умолчанию установлено значение "Любое").

Например:

dot-add-server-01.png

dot-add-server-02.png

TIP: Справка: В поле "Адрес сервера DNS" можно указать IP-адрес сервера (77.88.8.8) или доменное имя FQDN (common.dot.dns.yandex.net), а также допускается адрес с указанием TLS-порта, например 77.88.8.8:853 или common.dot.dns.yandex.net:853 (дописывать TLS-порт необязательно, т.к. система автоматически подставляет 853-й порт).

Например:

dot-add-server-03.png

Важно! Для стабильной работы DNS-резолвинга необходимо указывать несколько DoT/DoH-серверов одновременно, и лучше от разных DNS-служб. Например:

Адрес сервера DNS Доменное имя TLS
77.88.8.8 common.dot.dns.yandex.net
77.88.8.1 common.dot.dns.yandex.net
8.8.8.8 dns.google
8.8.4.4 dns.google
1.1.1.1 cloudflare-dns.com
1.0.0.1 cloudflare-dns.com
9.9.9.9 dns.quad9.net
94.140.14.14 dns.adguard-dns.com
94.140.15.15 dns.adguard-dns.com
comss.dns.controld.com comss.dns.controld.com


DNS-over-HTTPS

В разделе "Профили DNS" нажмите "Добавить сервер".

doh-add-server.png

Появятся поля для заполнения определенных параметров. В поле Тип сервера укажите значение DNS-over-HTTPS, в поле Адрес сервера DNS укажите имя сервера DNS и при необходимости укажите интерфейс подключения (по умолчанию установлено значение "Любое"). Данные запросы используют формат DNS message. В нашем примере добавлены серверы https://common.dot.dns.yandex.net/dns-query и https://dns.comss.one/dns-query

Например:

doh-add-server-01.png

doh-add-server-02.png

TIP: Примечание: Если в настройках роутера одновременно указаны несколько серверов DNS over TLS и DNS over HTTPS, приоритет будет у тех серверов, кто быстрее отвечает на DNS-запросы.
В Keenetic можно использовать не более 8 серверов DoT/DoH.

Проверка

После настройки DoT/DoH работу DNS-резолвинга можно проверить через онлайн-сервис

dot-doh-dnsleak.png

В нашем примере DNS-запросы идут через серверы Yandex (Яндекс).

TIP: Примечание:

1. Если вы не хотите вручную настраивать работу проколов DoT/DoH, просто включите интернет-фильтр AdGuard DNS или Cloudflare DNS. В этом случае вам не потребуется выполнять дополнительную настройку. При включении AdGuard DNS или Cloudflare DNS автоматически включится поддержка DoT/DoH, но только в том случае если в интернет-центре установлены компоненты системы для поддержки DoT/DoH, иначе интернет-фильтр не будет использовать указанные протоколы шифрования.
Проверить поддержку DoT/DoH можно через интерфейс командной строки (CLI) роутера, выполнив команду show adguard-dns availability (до версии KeeneticOS 3.7) или show cloudflare-dns availability (до версии KeeneticOS 3.7).
При включенном AdGuard DNS и Cloudflare DNS не проходит проверка состояния работы сервиса на страницах https://adguard.com/ru/test.html и https://1.1.1.1/help
Это связано с тем, что при включенных интернет-фильтрах по умолчанию включается блокировка транзитного DoT/DoH, чтобы избежать утечки DNS-запросов.

2. Когда в Keenetic вручную указаны прокси-серверы DoT/DoH и включен один из интернет-фильтров Adguard DNS, Cloudflare DNS, SkyDNS или Яндекс.DNS, то резолвинг внутренних системных доменов и проверка Интернета проходит сначала через DNS-прокси, т.е. через DNS-адреса, которые указаны вручную.

3. Для исключения перехвата DNS-запроса нужно указать домен в параметрах добавления DNS-сервера. Например:

dns-domain.png

4. Проверку использования DNS-запросов для службы Cloudflare можно выполнить на странице  https://www.cloudflare.com/ssl/encrypted-sni/
Нажмите "Check My Browser" для запуска проверки.

dot-check-01.png

При корректной настройке DoT/DoH тест должен завершиться успешно для "Secure DNS", "DNSSEC" и "TLS 1.3". Корректный вывод проверки работы DoT/DoH и безопасности браузера зависит от доступности DoT/DoH серверов/адресов в сети провайдера/оператора.

dot-check-02.png

Важно! Показан пример проверки работы DoT/DoH для сервиса Cloudflare. При использовании других DNS-сервисов, проверка на сайте https://www.cloudflare.com/ssl/encrypted-sni/ может не проходить. Не пройдет она и в случае, если в настройках DHCP домашней сети Keenetic были указаны какие-либо адреса DNS. Ведь тогда подключенные к Keenetic устройства будут обращаться напрямую к этим DNS-серверам, а не к Keenetic с настроенными DoT/DoH.
Для запуска повторного тестирования нажмите "Run the test again".
Если тест не прошел, возможно ранее были прописаны сторонние DNS-серверы в IP-настройках сетевого адаптера в операционной системе Windows, Linux, macOS. В этом случае все DNS-запросы будут обрабатываться через сторонние DNS и работать DoT/DoH не будет. Удалите ранее указанные адреса сторонних DNS и повторите тест.
Также имейте ввиду, если вы указали несколько DoT/DoH-адресов, от разных сервисов, результат проверки зависит от того, какой сервер в настоящий момент в приоритете. Например, если указан DoH-сервер https://dns.google/dns-query в формате DNS message, то проверку "Secure DNS" он не проходит.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 453 из 508