Протоколы DNS over TLS и DNS over HTTPS для шифрования DNS-запросов

Как известно, протокол DNS (Domain Name System, система доменных имён) не шифрует запросы  и данные передаются в открытом виде. DNS-трафик уязвим перед злоумышленниками, т.к. появляется возможность "подслушать" канал связи и перехватить незащищенные персональные данные. Интернет-провайдеры могут осуществлять наблюдение за трафиком и собирать данные о том, какие сайты вы посещаете.

Для безопасности DNS-трафика были реализованы специальные протоколы DNS over TLS (DNS поверх TLS, DoT, RFC7858) и DNS over HTTPS (DNS поверх HTTPS, DoH, RFC8484). Их основная задача - зашифровать DNS-трафик для предотвращения перехвата и обеспечения дополнительной конфиденциальности и безопасности. В данной статье мы не будем подробно останавливаться на теории. Информацию о том как работают DoT и DoH вы найдете на следующих страницах:

Список публичных DNS-сервисов с поддержкой DoT/DoH:


Начиная с версии KeeneticOS 3.00 была добавлена поддержка протоколов DNS over TLS и DNS over HTTPS. Включив один из них, DNS-трафик от роутера будет передаваться в зашифрованном виде через Интернет.

Для установки последней бета-версии KeeneticOS воспользуйтесь инструкцией "Обновление ПО интернет-центра до бета-версии".

NOTE: Важно! При включении протокола DoT/DoH все DNS-запросы будут направляться на указанный при настройке адрес сервера. Полученные ранее DNS-сервера от вашего интернет-провайдера и прописанные вручную DNS-сервера использоваться не будут.

Если включен один из интернет-фильтров AdGuard DNS, Яндекс.DNS или SkyDNS, то все DNS-запросы будут направляться на указанный адрес сервиса с назначенным профилем зарегистрированному устройству в домашней сети. При назначении профиля "Без фильтрации" все запросы будет направляться через включенные протоколы DoT/DoH.

Если вы хотите пользоваться только DNS over TLS, то достаточно будет удалить компонент "DNS-over-HTTPS proxy". Аналогично и с DNS over HTTPS, нужно удалить компонент "DNS-over-TLS".

Покажем пример настройки через веб-конфигуратор. Будем использовать бесплатный DNS-сервис компании Cloudflare, поддерживающий работу по протоколам DoT/DoH.

Для работы протокола DoT/DoH нужно в интернет-центре предварительно установить соответствующий компонент системы "DNS-over-TLS proxy" или "DNS-over-HTTPS proxy". Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

dot.png

Для дальнейшей настройки перейдите на страницу веб-конфигуратора "Интернет-фильтр".

DNS-over-TLS

dot-01.png

Нажмите кнопку "Добавить сервер DNS-over-TLS". Появятся поля для заполнения определенных параметров. Укажите адрес сервера DNS (в нашем примере это 1.1.1.1:853 и 1.0.0.1:853), доменное имя TLS (в нашем примере это cloudflare-dns.com) и при необходимости интерфейс подключения (по умолчанию установлено значение "Любое").

dot-03.png

Например:

dot-04.png

DNS-over-HTTPS

doh-01.png

Нажмите кнопку "Добавить сервер DNS-over-HTTPS". Появятся поля для заполнения определенных параметров. Укажите имя сервера DNS (в нашем примере это https://cloudflare-dns.com/dns-query?ct=application/dns-json), формат, используемый сервисом DNS - JSON (установлен по умолчанию) или DNS message (в нашем примере https://dns.google/dns-query), и при необходимости укажите интерфейс подключения (по умолчанию установлено значение "Любое").

doh-02.png

Например:

doh-json.png

doh-dnsm.png

TIP: Примечание: Если в настройках роутера одновременно указаны несколько серверов DNS over TLS и DNS over HTTPS, приоритет будет у тех серверов, кто быстрее отвечает на DNS-запросы.

Проверка

Убедиться, что после настройки DoT/DoH используется шифрование DNS-запросов можно на странице: https://www.cloudflare.com/ssl/encrypted-sni/

Нажмите "Check My Browser" для запуска проверки.

dot-check-01.png

При корректной настройке DoT/DoH тест должен завершиться успешно для "Secure DNS", "DNSSEC" и "TLS 1.3".

dot-check-02.png

Для запуска повторного тестирования нажмите "Run the test again".

TIP: Совет: Если вы не хотите вручную настраивать работу проколов DoT/DoH, просто включите интернет-фильтр AdGuard DNS. В этом случае вам не потребуется выполнять дополнительную настройку. При включении AdGuard DNS автоматически включится поддержка DoT/DoH, но только в том случае если в интернет-центре установлены компоненты системы для поддержки DoT/DoH, иначе интернет-фильтр не будет использовать указанные протоколы шифрования.
Проверить поддержку DoT/DoH можно через интерфейс командной строки (CLI) роутера, выполнив команду show adguard-dns availability:

(config)> show adguard-dns availability
        available: yes
            port: 53
    doh-supported: yes
    doh-available: yes
    dot-supported: yes
    dot-available: yes

При включенном AdGuard DNS не проходит проверка состояния работы сервиса на страницах https://adguard.com/ru/adguard-dns/overview.html и https://adguard.com/ru/test.html
Это связано с тем, что при включенных интернет-фильтрах по умолчанию включается блокировка транзитного DoT/DoH, чтобы избежать утечки DNS-запросов. 

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 11 из 11

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.