Как включить шифрование DNS-over-HTTPS в Windows 11

2021-07-14 8798 комментарии
Microsoft добавила в Windows 11 поддержку протокола DNS-over-HTTPS, который позволяет зашифровать DNS-запросы для обхода цензуры и отслеживания активности

При подключении к любому сайту ваш компьютер сначала запрашивает у сервера доменных имен (DNS) IP-адрес целевого хоста. Исторически, данные запросы выполнялись в простом текстовом виде, что создавало высокие риски отслеживания со стороны интернет-провайдера или государственных структур. Технология DNS-over-HTTPS (DoH) позволяет вашему компьютеру выполнять эти DNS-запросы через зашифрованное HTTPS-соединение.

В некоторых странах правительство блокирует доступ к определенным сайтам за счет отслеживания DNS-трафика. В таких случаях DoH позволяет обходить цензуру, предотвращать спуфинг-атаки и повысить уровень конфиденциальности.

Браузеры на основе Chromium, такие как Google Chrome и Microsoft Edge, а также Mozilla Firefox, уже добавили поддержку DNS-over-HTTPS. Тем не менее, безопасный протокол используется только в браузере, а не в других приложениях, запущенных на компьютере.

Вот почему важно иметь поддержку DoH на уровне операционной системы — тогда все DNS-запросы будут зашифрованы.

Содержание

Windows 11 поддерживает DNS-over-HTTPS. Как включить нативный DoH-клиент

Microsoft впервые представила поддержку DNS-over-HTTPS в предварительной сборке Windows 10 Insider Preview build 20185, но несколько сборок спустя технология была отключена.

В Windows 11 Microsoft снова включила функцию DoH в инсайдерской сборке Windows 11 Build 22000.51 (Dev). Протестировать ее можно, перейдя в меню:

Для Ethernet подключения:

Параметры > Сеть & Интернет > Ethernet > Назначение DNS-сервера > Изменить

Для беспроводной сети:

Параметры > Сеть & Интернет > Wi-Fi > Свойства [название_беспроводной_сети] > Назначение DNS-сервера > Изменить

Если на устройстве указаны DNS-серверы, которые поддерживают DNS-over-HTTPS, то вы увидите параметр «Шифрование DNS», в котором можно выбрать DoH. Доступны следующие варианты:

  • Только незашифрованные — использование стандартного DNS без шифрования.
  • Только зашифрованные (DNS поверх HTTPS) — использование только DoH.
  • Зашифрованный предпочтительно, незашифрованный — попытаться использовать DoH, в случае недоступности вернуться к стандартному DNS без шифрования.

В настоящее время Microsoft заявляет, что следующие DNS-серверы поддерживают DoH и могут автоматически использоваться функцией Windows 11 DNS-over-HTTPS:

  • Cloudflare: DNS-серверы 1.1.1.1 и 1.0.0.1
  • Google: DNS-серверы 8.8.8.8 и 8.8.4.4
  • Quad9: DNS-серверы 9.9.9.9 и 149.112.112.112

Чтобы посмотреть текущие настройки DNS-over-HTTPS в Windows 11 можно использовать следующие команды:

Используем netsh:

netsh dns show encryption

Используем PowerShell:

Get-DnsClientDohServerAddress

Администраторы могут указать собственные DNS-сервера с поддержкой DoH с помощью следующих команд:

Используем netsh:

netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no

Используем PowerShell:

Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True 

Microsoft уточняет, что вариант с автоматическим определением DoH для настроенного DNS-сервера был бы предпочтительным, но мог вызвать повышенные риски для конфиденциальности.

В новом сообщении блога Томми Дженсен, менеджер программ группы Windows Core Networking пояснил:

Для пользователей и администраторов было бы проще, если бы мы разрешили серверу DoH определять свой IP-адрес путем обработки доменного имени. Однако мы решили не допускать этого. Данный подход будет означать, что до того, как мы сможем установить DoH-соединение, мы должны сначала отправить простой текстовый DNS-запрос для начальной загрузки.

Это означает, что узел на сетевом пути может злонамеренно изменить или заблокировать запрос имени сервера DoH. Сейчас единственный способ избежать этого - заранее сообщить Windows о сопоставлении IP-адресов и шаблонов DoH.

В будущем Microsoft планирует узнавать о новых конфигурациях сервера DoH с DNS-сервера, используя технологии обнаружения назначенных преобразователей (Discovery of Designated Resolvers, DDR) и обнаружения назначенных в сети преобразователей (Discovery of Network-designated Resolvers, DNR), которые были предложены группе IETF ADD WG.

Как управлять DoH с помощью групповых политик

Microsoft также добавила возможность управлять настройками DNS-over-HTTPS в Windows 11 с помощью групповых политик.

В Windows 11 Microsoft представила политику Настройка разрешения имен DNS поверх HTTPS (DOH) в разделе Конфигурация компьютера > Административные шаблоны > Сеть > DNS-клиент.

Эта политика позволяет настроить использование стандартного незашифрованного DNS, предпочтение DoH или требование DoH.

Как проверить работу DNS over HTTPS в Windows 11

Теперь, когда Windows 11 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика – DNS трафик с вашего устройства больше не должен регистрироваться в обычном текстовом виде. Вы можете сделать проверку с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.

Откройте Командную строку или PowerShell от имени администратора (можно использовать Windows Terminal). Запустите следующую команду, чтобы сбросить все фильтры пакетов сетевого трафика, которые мог использовать PacketMon:

pktmon filter remove

Выполните следующую команду, чтобы добавить фильтр пакетов для порта 53, который использует классический DNS (и который теперь не должен пропускать трафик, так как мы используем только DNS over HTTPS).

pktmon filter add -p 53

Выполните следующую команду, чтобы начать регистрацию трафика в реальном времени. В командной строке должны выводиться все пакеты порта 53. Если ваше устройство настроено только на использование DoH-серверов, то команда не покажет никаких значений.

pktmon start --etw -m real-time

DNS over HTTPS в инсайдерских сборках Windows 11

Добавление Comss.one DNS в качестве DNS over HTTPS сервера в Windows 11

Если вы хотите протестировать DNS over HTTPS серверы, которые Microsoft еще не добавила в список первоначальной поддержки, например, DoH-сервер вашего провайдера, вы можете добавить его в список вручную, используя командную строку. Сначала определите IP-адреса и шаблон DoH URI для сервера, который вы хотите использовать.

Например, чтобы настроить DoH-сервер Comss.one DNS, добавьте IP-адреса сервиса, выполнив следующие команды от имени администратора:

netsh dns add encryption server=93.115.24.204 dohtemplate=https://dns.comss.one/dns-query
netsh dns add encryption server=93.115.24.205 dohtemplate=https://dns.comss.one/dns-query

Вы можете проверить, что шаблон был применен к указанному DoH-серверу. Для этого выполните следующие команды, которые должны вывести шаблон, используемый для конкретного добавленного IP-адреса:

netsh dns show encryption server=93.115.24.204
netsh dns show encryption server=93.115.24.205

Comss.one DNS

Теперь, если настроить Windows 11 на использование IP-адресов Comss.one DNS (93.115.24.204 и 93.115.24.205) в приложении «Параметры», вам будет доступна опция шифрования DNS over HTTPS:

Comss.one Secure DNS

Выполните проверку работы добавленного DoH-сервера.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?