Настраиваем DNS over HTTPS (DoH) в Windows 10

Поддержка протокола DNS over HTTPS (DoH) появилась в последнем билде Windows 10 2004 (May 2020 Update). Начиная с этой версии, Windows 10 может выполнять разрешение имен через HTTPS с помощью встроенного клиента DoH. В этой статье мы расскажем для чего нужен протокол DNS over HTTPS, как его включить и использовать в Windows 10.

Когда ваш компьютер обращается к серверу DNS для разрешения имен, этот обмен данными происходит в открытом виде. Злоумышленник может подслушать ваш трафик, определить какие ресурсы вы посещали, или манипулировать DNS трафиком по типу main-in-the-middle. Протокол DNS over HTTPS предполагает усиление защиты приватности данных пользователей за счет шифрования всех DNS запросов. Протокол DoH инкапсулирует запросы DNS в HTTPS трафик и отправляет из DNS серверу (нужен специальный DNS сервер с поддержкой DoH).

В Windows 10 2004 пока нет параметра групповой политики или опции в графическом интерфейсе для включения DNS-over-HTTPS. Пока можно включить DoH только через реестр:

1. Запустите regedit.exe ;
2. Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameter;
3. Создайте DWORD параметр с именем EnableAutoDoh и значением 2;

Затем нужно изменить настройки DNS вашего сетевого подключения. Нужно указать DNS сервера с поддержкой DNS over HTTPS. Пока далеко не все DNS сервера поддерживают DoH. В таблице ниже перечислен список общедоступных DNS с поддержкой DNS over HTTPS.

Провайдер	IP адреса DNS серверов с поддержкой DNS over HTTPS
Cloudflare	1.1.1.1, 1.0.0.1
Google	8.8.8.8, 8.8.4.4
Quad9	9.9.9.9, 149.112.112.112

Откройте панель настройки сети — Control Panel -> Network and Internet -> Network and Sharing Center (или ncpa.cpl ). Затем в свойствах сетевого адаптера измените текущие адреса DNS серверов на адреса DNS серверов с поддержкой DoH.

$PhysAdapter = Get-NetAdapter -Physical
$PhysAdapter | Get-DnsClientServerAddress -AddressFamily IPv4 | Set-DnsClientServerAddress -ServerAddresses ‘8.8.8.8’, ‘1.1.1.1’

Теперь клиент DNS начинает использовать для разрешения имен протокол HTTPS по порту 443 вместо обычного 53 порта.

С помощью утилиты захвата сетевого трафика PktMon.exe (о которой мы говорили ранее) вы можете проверить, что с компьютера теперь не отправляются DNS запросы по порту 53.

Удалите все текущие фильтры Packet Monitor:

pktmon filter remove

Создайте новый фильтр для классического DNS порт 53:

pktmon filter add -p 53

Запустите мониторинг трафика в реальном времени (трафик выводится в консоль):

pktmon start —etw -p 0 -l real-time

Если вы правильно настроили DNS over HTTPS, то трафик по порту 53 должен отсутствовать (на скриншоте ниже показан вывод в консоль при отключённом DoH и при включенном).

DNS over HTTPS за последний год реализован во всех популярных браузерах (Google Chrome, Mozilla Firefox, Microsoft Edge, Opera). В каждом из этих браузеров вы можете включить поддержку DoH. Таком образом все DNS запросы от браузера будут шифроваться (DNS трафик других приложений по прежнему будет идти в открытом текстовом виде).

Больше все проблем технологии DNS over HTTPS и DNS over TLS создадут администраторам корпоративных сетей, которым станет сложнее блокировать доступн к внешним ресурсам из внутренних сетей. Также не понятно, что парирует делать Роскомнадзор, чья методика глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI) перестанет работать при переходе протокола DNS на рельсы шифрованного https.

YogaDNS: Настройка DNS over HTTPS, DNSCrypt и правил обработки DNS запросов в Windows

YogaDNS — это DNS клиент, который перехватывает DNS-запросы на системном уровне и позволяет обрабатывать их через определенные пользователем DNS-серверы с использованием заданных протоколов и гибких правил.

Содержание

Установка программы YogaDNS

Поддерживаемые операционные системы

• Microsoft Windows 7
• Microsoft Windows 8
• Microsoft Windows 8.1
• Microsoft Windows 10
• Microsoft Windows Server 2012
• Microsoft Windows Server 2016
• Microsoft Windows Server 2019

Поддерживаемые протоколы

• Стандартный DNS
• DNSCrypt
• DNS over HTTPS
• Анонимный DNS
• DNSSEC
• IPv4 и IPv6

Установка

• Запустить файл инсталляции программы YogaDNS
• В окне приветствия нажать кнопку Next
• Принять лицензионное соглашение, установив радиокнопку I accept the agreement и нажать кнопку Next
• Указать директорию для установки программы

Рис.1 Установка программы YogaDNS

В следующем диалоговом окне можно выставить следующие значения для программы:

• Start YogaDNS automatically on Windows startup – автоматический запуск программы YogaDNS при старте ОС MS Windows
• Check for product updates on YogaDNS startup – проверка обновлений при запуске программы YogaDNS
• Create a desktop shortcut – создать ярлык на рабочем столе

Рис.2 Установка программы YogaDNS

В следующем диалоговом окне нажать кнопку Install и по окончании установки программы нажать кнопку Finish.

Рис.3 Установка программы YogaDNS

Настройка программы YogaDNS во взаимодействии с DNS сервером Comss.one с использованием протокола DNS over HTTPS

При первом запуске программы YogaDNS в окне мастера первого запуска можно выбрать определенный сценарий. Данное окно можно запустить в любое время, выбрав в главном меню Configuration > First Start Wizard

Рис.4 Открытие мастера первого запуска

Мастер упрощает процесс настройки программы при добавлении определенных DNS серверов, указанных в окне First Start Wizard, в этом случае настройки (выбор протокола, указание IP адреса, порта и др.) происходят в автоматическом режиме. Достаточно в окне мастера первого запуска выбрать DNS сервер и в дальнейшем правило по умолчанию будет задействовано для выбранного DNS сервера.

Также в окне мастера доступна опция Import servers from the web, test and select, которая позволяет импортировать DNS сервера. Импорт DNS серверов рассмотрен ниже.

Можно начать с пустой конфигурации, оставив радиокнопку по умолчанию Start with an empty configuration. All queries will be unaltered и нажать Next. В любом случае, если Вы начнете с пустой конфигурации, необходимо будет вручную добавлять определенный сервер DNS.

Рис.5 Мастер первого запуска

Если в программе YogaDNS не прописаны DNS-сервера, все DNS-запросы игнорируются.

Рис.6 Журнал YogaDNS

После того, как была выбрана пустая конфигурация, в появившемся окне будет предложено добавить DNS – сервера и настроить правила.

Рис.7 Мастер первого запуска

Для добавления определенного DNS – сервера необходимо в главном меню выбрать Configuration > DNS Servers. Также данное окно можно открыть, кликнув ПКМ по иконке программы YogaDNS в системном трее и выбрав DNS Servers.

Рис.8 Добавление DNS сервера

В открывшемся окне DNS Servers необходимо нажать кнопку Add, чтобы добавить нужный (-е) DNS – сервер (-ы).

Рис.9 Добавление DNS сервера

В примере ниже рассмотрен вариант добавления DNS сервера Comss.one DNS с использованием протокола DNS over HTTPS. Доступные параметры зависят от выбранного протокола.

• User friendly name – произвольное имя, которое необходимо задать для дальнейшего обращения к данному серверу с последующей настройкой правил и просмотра детализированной информации в журнале.
• IP address and optional port – IP – адрес и порт (при необходимости) используемого DNS – сервера.
• Protocol – в раскрывающемся списке в зависимости от DNS сервера можно выбрать используемый протокол.

Протокол шифрования трафика DNS over HTTPS (DoH) предназначен для улучшения конфиденциальности, безопасности и надежности подключения DNS.

Для протокола DNS over HTTPS обязательно указывается URL, ниже указаны следующие параметры для связи с Comss.one DNS

• User friendly name – Comss.one DNS
• IP address and optional port – 93.115.24.204 (может быть указан другой адрес)
• Protocol – DNS over HTTPS
• URL – https://dns.comss.one/dns-query

Для проверки корректности настроек и отображения времени отклика (RTT — roundtrip time) нажать кнопку Check. RTT определяет задержку, с которой приходит ответ на запросы от удаленного сервера. Если приходится выбирать один из нескольких серверов, выбор падает на сервер с наименьшим показателем RTT.

Рис.10 Добавление DNS сервера

После проверки нажать кнопку ОК.

Настройка правил обработки DNS запросов

После добавления первого сервера DNS, в окне Rules можно увидеть, что для добавленного DNS сервера правило назначено по умолчанию.

Правила являются неотъемлемой частью YogaDNS. Правила позволяют указать DNS-сервер, который будет использоваться для запроса разрешения на основе имени хоста. Можно также заблокировать, обойти запрос или принудительно выполнить его через выбранный сетевой интерфейс.

Возможно настроить определенные правила для разных DNS серверов. В приведенном примере описана задача при использовании двух DNS серверов от COMSS и Google с назначением разных правил для разрешения определенных имен хостов через выбранные DNS-серверы.

Открыть в главном меню Configuration > Rules

Чтобы добавить новое правило, необходимо нажать кнопку Add

Рис.11 Настройка правил

Предположим, необходимо сайт YogaDNS открывать с использованием Google Public DNS, а остальные сайты открывать с использованием Comss.one DNS.

В открывшемся окне Rule необходимо:

• В поле Name прописать произвольное название для правила.
• В поле Hostname указать сайт или сайты, которые необходимо открывать с использованием выбранного DNS. Можно использовать точку с запятой или новую строку в качестве разделителя.
• В раскрывающемся списке Action выбрать действие Process.
• В раскрывающемся списке DNS Server выбрать DNS сервер (в данном примере выбран заранее добавленный DNS сервер Google DoH).
• Нажать ОК.

Рис.12 Настройка правил

Рис.13 Настройка правил

Проверить результат при выходе на указанный ресурс можно в журнале сообщений.

Рис.14 Проверка результата в журнале YogaDNS

После необходимых настроек главное окно программы YogaDNS можно закрыть, процесс работы не прекратится, пока программа не будет закрыта через контекстное меню иконки Yoga DNS, расположенной в системной трее и выбора команды exit, либо другими мерами.

Рис.15 Завершение работы программы YogaDNS

Для того, чтобы программа YogaDNS запускалась автоматически при старте ОС Windows (вход пользователя), необходимо в главном меню программы выбрать File > Autostart

Рис.16 Настройка автоматического запуска программы

Импорт DNS сервера на примере Comss.one с использованием протокола DNSCrypt

Для упрощения процесса первоначальных настроек DNS серверов в программе реализована возможность импортировать настройки DNS серверов.

В главном меню программы выбрать Configuration > DNS Servers

В окне DNS Servers выбрать Get from the web…

Рис.17 Импорт DNS серверов

В открывшемся окне Import Settings нажать кнопку Load для выбора DNS сервера

Рис.18 Импорт DNS серверов

В окне Import servers from the web можно выбрать DNS сервер (-ы), установив флажок в соответствующем чекбоксе и нажать кнопку Import Marked.

В данном примере выбран DNS сервер Comss.one DNS с использованием протокола DNSCrypt.

Рис.19 Импорт DNS серверов

Рис.20 Результат импорта настроек DNS сервера

Как включить DNS over HTTPS в инсайдерских сборках Windows 10

DNS over HTTPS (DoH) позволяет улучшить приватность, безопасность и надежность соединения за счет шифрования DNS запросов, которые обычно передаются в текстовом виде.

DNS over HTTPS в последнее время стал очень популярным. В браузерах Google Chrome, Mozilla Firefox, Microsoft Edge и Opera уже реализована поддержка этого стандарта. Поддержка DoH в приложениях, в частности в браузерах, означает, что DNS-запросы, инициируемые программой, зашифровываются. Однако, запросы от других браузеров, которые не поддерживают DNS over HTTPS, будут совершаться в открытом текстовом виде.

Microsoft собирается это изменить, внедрив поддержку DNS over HTTPS в операционную систему Windows 10. В инсайдерской сборке Windows 10 Build 19628 была добавлена начальная поддержка DNS over HTTPS, а в Windows 10 Build 20185 (Dev) появилась возможность настраивать шифрование DNS over HTTPS в приложении «Параметры». После успешного тестирования технология станет доступна в стабильных сборках ОС.

Нативная поддержка DNS over HTTPS в Windows 10

Убедитесь, что ваша учетная запись Microsoft является частью Программы предварительной оценки Windows 10. Если вы знаете, что уже являетесь инсайдером Windows, убедитесь, что находитесь на канале обновления Dev и перейдите к настройке DNS over HTTPS. Если нет, то следуйте нашим инструкциям, чтобы получить последнюю версию сборки Windows 10 Insider Preview на Канале Dev.

После этого запустите Центр обновления Windows, установите последнюю доступную сборку и убедитесь, что вы используете Windows 10 Build 20185 или выше. Для проверки версии Windows 10 запустите окно команды Выполнить (Win+R) и введите команду winver .

Как включить нативный DoH-клиент в Windows 10

Как только вы узнаете, что у вашей версии Windows 10 есть поддержка нативного DoH-клиента, вы сможете включить шифрование DNS over HTTPS в приложении «Параметры». Для этого выполните следующие действия:

• Для Ethernet-соединений: Перейдите в меню Параметры > Сеть и Интернет > Состояние. Щелкните Свойства, затем выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне.
• Для Wi-Fi-подключений: Перейдите в Перейдите в меню Параметры > Сеть и Интернет» > Wi-Fi. Щелкните ссылку «Свойства адаптера», затем выберите выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне. В настоящее время вы не увидите опции шифрования, если перейдете на страницу свойств отдельной сети.

Для настройки шифрования DNS–запросов доступны следующие опции в выпадающем меню Предпочтительное шифрование DNS:

• Только незашифрованные
• Только зашифрованные (DNS поверх HTTPS)
• Зашифрованный предпочтительный, незашифрованный

Чтобы разблокировать выпадающее меню и выбрать использование шифрования DNS over HTTPS, вы должны добавить IP-адрес, указанный ниже в таблице. В данный момент Microsoft поддерживает только безопасные серверы Cloudflare DNS, Google Public DNS и Quad9 DNS:

Провайдер	IP-адреса серверов
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Примечание

Если вы хотите использовать другие DoH-серверы, которые Microsoft еще не поддерживает, вы можете настроить IP-адрес для распознавания в качестве DoH-сервера с помощью команды netsh по данной инструкции.

Убедитесь, что шифрование включено, посмотрев на применяемые DNS-серверы в свойствах сети – вы должны увидеть, что используемые серверы помечены как (зашифровано).

Как проверить работу DNS over HTTPS в Windows 10

Теперь, когда Windows 10 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика – DNS трафик с вашего устройства больше не должен регистрироваться в обычном текстовом виде. Вы можете сделать проверку с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.

Откройте Командную строку или PowerShell от имени администратора. Запустите следующую команду, чтобы сбросить все фильтры пакетов сетевого трафика, которые мог использовать PacketMon:

Выполните следующую команду, чтобы добавить фильтр пакетов для порта 53, который использует классический DNS (и который теперь не должен пропускать трафик, так как мы используем только DNS over HTTPS).

Выполните следующую команду, чтобы начать регистрацию трафика в реальном времени. В командной строке должны выводиться все пакеты порта 53. Если ваше устройство настроено только на использование DoH-серверов, то команда не покажет никаких значений.

Добавление Comss.one DNS в качестве DNS over HTTPS сервера в Windows 10

Если вы хотите протестировать DNS over HTTPS серверы, которые Microsoft еще не добавила в список первоначальной поддержки, например, DoH-сервер вашего провайдера, вы можете добавить его в список вручную, используя командную строку. Сначала определите IP-адреса и шаблон DoH URI для сервера, который вы хотите использовать.

Например, чтобы настроить DoH-сервер Comss.one DNS, добавьте IP-адреса сервиса, выполнив следующие команды от имени администратора:

Вы можете проверить, что шаблон был применен к указанному DoH-серверу. Для этого выполните следующие команды, которые должны вывести шаблон, используемый для конкретного добавленного IP-адреса:

Теперь, если настроить Windows 10 на использование IP-адресов Comss.one DNS (93.115.24.204 и 93.115.24.205) в приложении «Параметры», вам будет доступна опция шифрования DNS over HTTPS:

Выполните проверку работы добавленного DoH-сервера.