DNS, Crypt, ADBlock

В данной статье будет рассмотрен простой и эффективный способ использования безопасного DNS на Windows, бонусом станет опциональная блокировка рекламы. Зачем это всё нам нужно? Разумеется ни для того, чтобы от кого-то прятать свою незаконную деятельность, а чтобы не позволять злоумышленникам перехватывать свои DNS-запросы и, как вариант, видоизменять/перенаправлять/блокировать их (атака «человек посередине»).

Варианты шифрования DNS-запросов:

• DNSCrypt – это клиент-серверное решение (протокол), которое позволяет шифровать DNS-запросы (скорее уже устаревший вариант, видимо скоро канет в лету)
• DoH – DNS over HTTPS (самый популярный)
• DoT – DNS over TLS

На сегодняшний день стало достаточно просто добавить поддержку DNSCrypt в свою систему ¹⁾, в этом нам поможет графическая утилита Simple DNSCrypt. Устанавливаем необходимый дистрибутив и запускаем:

В блоке конфигурации специально отключим фильтрацию журналирующих («Only servers without logging») и фильтрующих («Only servers without filter»), это для того, чтобы позже активировать DNS-сервера с блокировкой рекламных ресурсов.

На вкладке «Resolvers» находим «adguard-dns» и выбираем его. Теперь, помимо того, что наш DNS-трафик зашифрован, он ещё и «режет» рекламу и проверяет на фишинг.

Firefox вообще имеет самостоятельную поддержку (т.е. всё выше описанное можно не делать, если вас устраивает безопасность только внутри браузера) DoH и eSNI. Настраивается она в about:config:

network.security.esni.enabled=true
# работа eSNI пока невозможна без активации следующей опции
network.trr.mode=2
# 0 -  полностью отключает DoH;
# 1 - используется DNS или DoH, в зависимости от того, что быстрее; 
# 2 - используется DoH по умолчанию, а DNS как запасной вариант; 
# 3 - используется только DoH; 
# 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.
# По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri

Результаты проверки после внесенных изменений:

• https://dns.google.com/experimental – google
• https://cloudflare-dns.com/dns-query – cloudflare
• https://dns.quad9.net/dns-query (он же https://9.9.9.9/dns-query) – quad9
• https://dns.adguard.com/dns-query – от AdGuard, бонусом с фильтрацией рекламы

Проверить работу режима DoH можно следующим способом:

• https://1.0.0.1/help – при использовании DoH от CloudFlare покажет корректность настроек
• https://www.cloudflare.com/ssl/encrypted-sni – проверка браузера. Проверит работу безопасного DNS, поддержку DNSSEC, TLS 1.3 и eSNI. При использовании DNS не от CloudFlare немного побухтит, ну и Chrome не умеет eSNI
• https://www.dnsleaktest.com – проверка через какие DNS-сервера идут ваши запросы
  • https://dnscheck.tools
• https://crypto.cloudflare.com/cdn-cgi/trace/ – проверка наличия шифрования