Server proxy DoH e DoT per la crittografia delle richieste DNS
Come sappiamo, il protocollo DNS (Domain Name System) non crittografa le richieste e i dati vengono trasmessi apertamente. Il traffico DNS è vulnerabile ai criminali informatici in quanto vi è l'opportunità di 'intercettare' il canale di comunicazione e i dati personali non protetti. Gli ISP possono monitorare il traffico e raccogliere dati sui siti visitati.
Le estensioni speciali del protocollo DNS, DNS over TLS (DNS over TLS, o DoT, RFC7858) e DNS over HTTPS (DNS over HTTPS, o DoH, RFC8484) sono sviluppate per garantire la sicurezza del traffico DNS. Il loro scopo principale è quello di crittografare il traffico DNS per prevenire l'intercettazione e fornire ulteriore privacy e sicurezza. In questo articolo non tratteremo la teoria in dettaglio. Informazioni sul funzionamento di DoT e DoH sono disponibili nelle seguenti pagine:
Esistono anche elenchi di servizi DNS pubblici che supportano DoT/DoH:
A partire dalla versione 3.0, KeeneticOS supporta i protocolli DNS over TLS e DNS over HTTPS. Di seguito sono riportate le istruzioni per crittografare il traffico DNS, inviato tramite il router, per impostazione predefinita.
Importante
Quando il protocollo DoT/DoH è abilitato, tutte le query DNS in entrata verranno inviate all'indirizzo del server specificato durante la configurazione. I server DNS ricevuti dal tuo ISP e/o i server DNS registrati manualmente non verranno utilizzati.
Quando i servizi di sicurezza Internet AdGuard DNS o Cloudflare sono abilitati, solo le query DNS provenienti da dispositivi non registrati per utilizzare il profilo di filtro (cioè da dispositivi che utilizzano un profilo Senza filtro) verranno inviate ai server DoT/DoH specificati tramite una connessione crittografata.
Se si desidera utilizzare solo DNS over TLS, è necessario rimuovere il componente Proxy DNS-over-HTTPS. Lo stesso vale per DNS over HTTPS, rimuovere il componente DNS-over-TLS.
Mostriamo un esempio di configurazione tramite l'interfaccia web. Utilizzeremo il servizio DNS gratuito di Cloudflare, che supporta i protocolli DoT/DoH.
Per il corretto funzionamento del protocollo DoT/DoH, è necessario installare i componenti di sistema: Proxy DNS-over-TLS e Proxy DNS-over-HTTPS. Aprire il menu Opzioni dei componenti di sistema facendo clic sul pulsante Opzioni dei componenti nella sezione Gestione - Impostazioni di sistema e selezionare i componenti richiesti per l'installazione.
Procedere quindi con la configurazione nella pagina Sicurezza Internet nella sezione del menu Regole di rete. Passare alla scheda Configurazione DNS.
DNS-over-TLS
Fare clic sul link Aggiungi server in fondo alla pagina.
Appariranno i campi per l'inserimento dei parametri del server. Specificare l'Indirizzo server DNS (nel nostro esempio 1.1.1.1 e 1.0.0.1), il Nome di dominio TLS (nel nostro esempio cloudflare-dns.com) e, se necessario, l'Interfaccia di connessione (l'impostazione predefinita è Qualsiasi interfaccia).
Per esempio:
Nel campo 'Indirizzo server DNS', è consentito specificare il nome di dominio FQDN, ad esempio:
Suggerimento
Nel campo Indirizzo server DNS è possibile specificare l'indirizzo IP del server (8.8.8.8) o il nome di dominio FQDN (dns.google), nonché l'indirizzo con la porta TLS, ad esempio 8.8.8.8:853 o dns.google:853 (non è necessario aggiungere la porta TLS, poiché il sistema sostituisce automaticamente la porta 853).
Importante
Per un funzionamento stabile della risoluzione DNS, è necessario specificare più server DoT/DoH contemporaneamente, preferibilmente da servizi DNS diversi. Per esempio:
Indirizzo server DNS | Nome di dominio TLS |
|---|---|
8.8.8.8 | dns.google |
8.8.4.4 | dns.google |
1.1.1.1 | cloudflare-dns.com |
1.0.0.1 | cloudflare-dns.com |
9.9.9.9 | dns.quad9.net |
94.140.14.14 | dns.adguard-dns.com |
94.140.15.15 | dns.adguard-dns.com |
DNS-over-HTTPS
Fare clic sul collegamento Aggiungi server nella parte inferiore della scheda Configurazione DNS.
Appariranno i campi per compilare parametri specifici. Nel campo Tipo di server DNS, specificare DNS-over-HTTPS, nel campo Indirizzo server DNS, specificare il nome del server DNS e, se necessario, specificare l'interfaccia di connessione (l'impostazione predefinita è Qualsiasi interfaccia). Queste query utilizzano il formato del messaggio DNS. Nel nostro esempio, vengono aggiunti i server https://cloudflare-dns.com/dns-query e https://dns.comss.one/dns-query.
Per esempio:
Nota
Quando nei parametri del router vengono specificati più server DNS-over-TLS e/o DNS-over-HTTPS, il resolver di sistema li utilizzerà in ordine di priorità in base al tempo di risposta misurato.
Nei router Keenetic è possibile utilizzare un massimo di 8 server DoT/DoH.
Controllo delle impostazioni
Dopo aver impostato DoT/DoH, il funzionamento della risoluzione DNS può essere verificato tramite il servizio online.
Nel nostro esempio, le richieste DNS passano attraverso i server di Google.
Suggerimento
Se non si desidera configurare manualmente DoT/DoH, abilitare il filtro Internet AdGuard DNS o Cloudflare DNS. In questo caso, non sarà necessario eseguire alcuna configurazione aggiuntiva. Quando si abilita AdGuard DNS o Cloudflare DNS, il supporto DoT/DoH si attiverà automaticamente, ma solo se nel filtro Internet sono installati i componenti di sistema per supportare DoT/DoH. In caso contrario, il filtro Internet non utilizzerà i protocolli di crittografia specificati.
È possibile verificare il supporto DoT/DoH tramite l'interfaccia della riga di comando (CLI) del router eseguendo
show adguard-dns availabilityoshow cloudflare-dns availability.Quando AdGuard DNS e Cloudflare DNS sono abilitati, il controllo dello stato del servizio su https://adguard.com/en/test.html e https://1.1.1.1/help potrebbe non essere superato.
Questo è normale e quando i filtri Internet sono abilitati, è impostato per bloccare il transito DoT/DoH per impostazione predefinita per evitare fughe di query DNS.
Quando i proxy DoT/DoH sono specificati manualmente in Keenetic e uno dei filtri Internet, Adguard DNS o Cloudflare DNS, è abilitato, i domini di sistema interni e i controlli Internet vengono risolti prima tramite proxy DNS, ovvero indirizzi DNS specificati manualmente.
Per impedire il dirottamento di una query DNS, è necessario specificare il dominio nelle impostazioni di aggiunta del server DNS. Per esempio:
È possibile controllare le query DNS per il servizio Cloudflare visitando https://www.cloudflare.com/ssl/encrypted-sni/
Fare clic su Controlla il mio browser per eseguire il test.
Se DoT/DoH è configurato correttamente, il test dovrebbe essere completato correttamente per DNS sicuro, DNSSEC e TLS 1.3. L'esito corretto del test di sicurezza del browser e DoT/DoH dipende dalla disponibilità di server/indirizzi DoT/DoH nella rete dell'ISP/operatore di telefonia mobile.
Importante
Questo è un esempio di convalida DoT/DoH per Cloudflare. Se si utilizzano altri servizi DNS, il controllo su https://www.cloudflare.com/ssl/encrypted-sni/ potrebbe non riuscire. Il test fallirà anche se sono stati specificati indirizzi DNS nelle impostazioni DHCP della rete domestica Keenetic. In questo caso, i dispositivi collegati a Keenetic si rivolgeranno direttamente a questi server DNS, e non a Keenetic con DoT/DoH configurato.
Per eseguire nuovamente il test, fare clic su Esegui nuovamente il test.
Se il test fallisce, è possibile che server DNS di terze parti siano stati precedentemente definiti nelle impostazioni IP della scheda di rete nei sistemi operativi Windows, Linux e macOS. In questo caso, tutte le query DNS verranno elaborate tramite DNS di terze parti e DoT/DoH non funzionerà. Eliminare gli indirizzi DNS di terze parti specificati in precedenza e ripetere il test.
Inoltre, tenere presente che se si specificano più indirizzi DoT/DoH di servizi diversi, il risultato del test dipende da quale server ha la priorità in quel momento. Ad esempio, se un server DoH https://dns.google/dns-query è specificato nel formato del messaggio DNS, il controllo DNS sicuro fallisce.