DNS isteklerinin şifrelenmesi için DNS-over-TLS ve DNS-over-HTTPS proxy sunucuları
Bildiğimiz gibi, DNS (Alan Adı Sistemi) protokolü istekleri şifrelemez ve veriler açık bir şekilde iletilir. DNS trafiği, iletişim kanalında 'dinleme' ve korumasız kişisel verileri ele geçirme fırsatı olduğu için siber suçlulara karşı savunmasızdır. İSS'ler trafiği izleyebilir ve hangi siteleri ziyaret ettiğiniz hakkında veri toplayabilir.
Özel DNS protokol uzantıları, DNS over TLS (DNS over TLS veya DoT, RFC7858 ) ve DNS over HTTPS (DNS over HTTPS veya DoH, RFC8484 ), DNS trafiğinin güvenliğini sağlamak için geliştirilmiştir. Bunların temel amacı, DNS trafiğini şifrelemek, müdahaleyi önlemek ve ek gizlilik ve güvenlik sağlamaktır. Bu makalede teoriyi ayrıntılı olarak ele almayacağız. DoT ve DoH'un nasıl çalıştığına dair bilgiler aşağıdaki sayfalarda bulunabilir:
https://en.wikipedia.org/wiki/DNS_over_TLS
https://en.wikipedia.org/wiki/DNS_over_HTTPS
https://www.cloudflare.com/learning/dns/dns-over-tls
https://adguard.com/en/blog/adguard-dns-announcement.html
Ayrıca DoT/DoH'u destekleyen genel DNS hizmetlerinin listeleri de mevcuttur:
https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Public+Resolvers
https://github.com/curl/curl/wiki/DNS-over-HTTPS
https://kb.adguard.com/en/general/dns-providers
KeeneticOS, 3.1 sürümünden başlayarak DNS over TLS ve DNS over HTTPS protokollerini destekler. Aşağıda, varsayılan olarak yönlendirici üzerinden gönderilen DNS trafiğinizi şifrelemeniz için size rehberlik edeceğiz.
Önemli! DoT/DoH protokolü etkinleştirildiğinde, gelen tüm DNS sorguları yapılandırma sırasında belirtilen sunucu adresine gönderilir. İSS'nizden alınan DNS sunucuları ve/veya manuel olarak kaydedilen DNS sunucuları kullanılmaz.
AdGuard DNS veya Cloudflare İnternet güvenlik hizmetleri etkinleştirildiğinde, yalnızca filtre profilini kullanmak üzere kayıtlı olmayan cihazlardan (yani, 'Filtreleme yok' profili kullanan cihazlardan) gelen DNS sorguları şifreli bir bağlantı üzerinden belirtilen DoT/DoH sunucularına gönderilir.
Yalnızca TLS üzerinden DNS kullanmak istiyorsanız, 'DNS-over-HTTPS proxy' bileşeni kaldırılmalıdır. HTTPS üzerinden DNS için de aynı şekilde, 'DNS-over-TLS' bileşenini kaldırın.
Web arayüzü üzerinden yapılandırmanın bir örneğini gösterelim . DoT/DoH protokollerini destekleyen Cloudflare'in ücretsiz DNS servisini kullanacağız .
DoT/DoH protokolünün çalışması için sistem bileşenleri: 'DNS-over-TLS proxy' ve 'DNS-over-HTTPS proxy'nin kurulması gerekir. Lütfen 'Yönetim - Sistem ayarları' bölümündeki 'Bileşen seçenekleri' düğmesine tıklayarak 'Sistem bileşeni seçenekleri' menüsünü açın ve kurulum için gerekli bileşenleri işaretleyin.
Daha sonra 'Ağ Kuralları' menü bölümünün altındaki 'İnternet Güvenliği' sayfasındaki kuruluma geçin. 'DNS Yapılandırması' sekmesine gidin.
DNS-over-TLS
Sayfanın alt kısmında bulunan 'Sunucu ekle' bağlantısına tıklayın.
Sunucu parametrelerini doldurmak için alanlar görünecektir. DNS sunucu adresini (örneğimizde 1.1.1.1 ve 1.0.0.1), TLS alan adını (örneğimizde cloudflare-dns.com) ve gerekirse bağlantı arayüzünü belirtin (varsayılan ayar 'Herhangi bir arayüz'dür).
Örneğin:
'DNS sunucu adresi' alanında, örneğin FQDN alan adını belirtmenize izin verilir:
Önemli! Kararlı DNS çözümlemesi için, tercihen farklı DNS hizmetlerinden birden fazla DoT/DoH sunucusunu aynı anda belirtmek gerekir. Örneğin:
DNS-üzerinden-HTTPS
'DNS Yapılandırması' sekmesinin altındaki 'Sunucu ekle' bağlantısına tıklayın.
Belirli parametrelerin doldurulacağı alanlar görünecektir. 'DNS sunucu türü' alanında 'DNS-over-HTTPS' belirtin, 'DNS sunucu adresi' alanında DNS sunucusunun adını belirtin ve gerekirse bağlantı arayüzünü belirtin (varsayılan ayar 'Herhangi bir arayüz'dür). Bu sorgular DNS ileti biçimini kullanır . Örneğimizde https://cloudflare-dns.com/dns-query ve https://dns.comss.one/dns-query sunucuları eklenir.
Örneğin:
Not: Yönlendirici ayarlarında birden fazla DNS-over-TLS ve/veya DNS-over-HTTPS sunucusu belirtildiğinde, sistem çözücüsü bunları ölçülen yanıt süresindeki öncelik sırasına göre kullanır.
Keenetic yönlendiricilerde en fazla 8 DoT/DoH sunucusu kullanılabilir.
Ayarları kontrol etme
Cloudflare hizmeti ayrıca doğrulama sayfaları da sağlar. Tarayıcı güvenliğini kontrol etmek için https://www.cloudflare.com/ssl/encrypted-sni/ adresinde özel bir web sayfası açalım .
DNS sorgu işleme testini başlatmak için o sayfadaki 'Tarayıcımı Kontrol Et' butonuna tıklayın.
Yukarıdaki ayarlar doğru şekilde yapılandırılırsa, test 'Güvenli DNS', 'DNSSEC' ve 'TLS 1.3' için başarıyla tamamlanmalıdır. DoT/DoH ve tarayıcı güvenlik kontrollerinin doğru çıktısı, ISP/operatör ağındaki DoT/DoH sunucularının/adreslerinin kullanılabilirliğine bağlıdır.
Önemli! Bu makale Cloudflare hizmeti için bir DoT/DoH kontrolüne örnek göstermektedir. https://www.cloudflare.com/ssl/encrypted-sni/ adresindeki kontrol , diğer DNS hizmetlerini kullanırsanız başarısız olabilir. Ayrıca Keenetic ev ağınızın DHCP ayarlarında herhangi bir DNS adresi belirttiyseniz de başarısız olur. Çünkü o zaman Keenetic'e bağlı cihazlar bu DNS sunucularıyla doğrudan iletişim kuracak ve DoT/DoH yapılandırılmış Keenetic ile iletişim kurmayacaktır.
Testi tekrarlamak için lütfen sayfadaki 'Testi tekrar çalıştır' butonuna basınız.
Test başarısız olursa, üçüncü taraf DNS sunucularının daha önce Windows, Linux ve macOS'taki ağ bağdaştırıcısının IP ayarlarında atanmış olması mümkündür. Bu durumda, tüm DNS istekleri üçüncü taraf DNS aracılığıyla işlenecek ve DoT/DoH çalışmayacaktır. Daha önce belirtilen üçüncü taraf DNS adreslerini kaldırın ve yeniden test edin.
Ayrıca, farklı hizmetlerden birden fazla DoT/DoH adresi belirtirseniz, denetimin sonucunun şu anda hangi sunucunun öncelikli olduğuna bağlı olduğunu unutmayın. Örneğin, belirtilen DoH sunucusu DNS ileti biçiminde https://dns.google/dns-query ise, 'Güvenli DNS' denetimi başarısız olacaktır.
İpucu:
- DoT/DoH'yi manuel olarak yapılandırmak istemiyorsanız, AdGuard DNS veya Cloudflare DNS internet filtresini etkinleştirin. Bu durumda, herhangi bir ek yapılandırma yapmanız gerekmez. AdGuard DNS veya Cloudflare DNS'yi etkinleştirdiğinizde, DoT/DoH desteği otomatik olarak açılır, ancak yalnızca İnternet filtresinde DoT/DoH'yi desteklemek için sistem bileşenleri yüklüyse. Aksi takdirde, İnternet filtresi belirtilen şifreleme protokollerini kullanmaz. DoT/DoH desteğini , show adguard-dns availability veya show cloudflare-dns availability çalıştırarak yönlendiricinin komut satırı arayüzü (CLI)
üzerinden doğrulayabilirsiniz . AdGuard DNS ve Cloudflare DNS etkinleştirildiğinde, https://adguard.com/en/test.html ve https://1.1.1.1/help adreslerindeki hizmet durumu denetimi geçemeyebilir. Bu normaldir ve İnternet filtreleri etkinleştirildiğinde, DNS sorgu sızıntılarını önlemek için varsayılan olarak geçiş DoT/DoH'yi engelleyecek şekilde ayarlanır. 2. DoT/DoH proxy'leri Keenetic'te manuel olarak belirtildiğinde ve internet filtrelerinden biri olan Adguard DNS veya Cloudflare DNS etkinleştirildiğinde, dahili sistem etki alanları ve internet kontrolleri öncelikle DNS proxy'leri, yani manuel olarak belirtilen DNS adresleri aracılığıyla çözülür. 3. Bir DNS sorgusunun ele geçirilmesini önlemek için, bir DNS sunucusu eklerken etki alanını belirtin. Örneğin: 4. https://www.cloudflare.com/ssl/encrypted-sni/ adresini ziyaret ederek Cloudflare hizmeti için DNS sorgularını kontrol edebilirsiniz . Testi çalıştırmak için 'Tarayıcımı Kontrol Et'e tıklayın. DoT/DoH doğru şekilde yapılandırıldıysa, test 'Güvenli DNS', 'DNSSEC' ve 'TLS 1.3' için başarıyla tamamlanmalıdır. DoT/DoH ve tarayıcı güvenlik testinin doğru çıktısı, İSS/mobil operatör ağındaki DoT/DoH sunucularının/adreslerinin kullanılabilirliğine bağlıdır. Önemli! Bu, Cloudflare için DoT/DoH doğrulamasının bir örneğidir. Diğer DNS servislerini kullanıyorsanız, https://www.cloudflare.com/ssl/encrypted-sni/ adresindeki kontrol başarısız olabilir. Ayrıca, Keenetic ev ağının DHCP ayarlarında herhangi bir DNS adresi belirtilmişse de başarısız olur. Bu durumda, Keenetic'e bağlı cihazlar, DoT/DoH yapılandırılmış Keenetic'e değil, doğrudan bu DNS sunucularına hitap edecektir. Testi tekrar çalıştırmak için 'Testi tekrar çalıştır'a tıklayın. Test başarısız olursa, üçüncü taraf DNS sunucularının daha önce Windows, Linux ve macOS işletim sistemlerinde ağ bağdaştırıcısının IP ayarlarında tanımlanmış olması mümkündür. Bu durumda, tüm DNS sorguları üçüncü taraf DNS aracılığıyla işlenecek ve DoT/DoH çalışmayacaktır. Daha önce belirtilen üçüncü taraf DNS adreslerini silin ve testi tekrarlayın.
Ayrıca, farklı hizmetlerden birden fazla DoT/DoH adresi belirtirseniz, testin sonucunun şu anda hangi sunucunun öncelikli olduğuna bağlı olduğunu unutmayın. Örneğin, DNS ileti biçiminde bir DoH sunucusu https://dns.google/dns-query belirtilirse, 'Güvenli DNS' kontrolünde başarısız olur.