MikroTik DoH, настройка DNS over HTTPS

Руководство посвящено настройке защищённого разрешения DNS-имён на оборудовании MikroTik через протокол DNS over HTTPS (DoH). Рассмотрено подключение к публичным серверам Cloudflare DNS с импортом SSL-сертификатов из терминала.

DNS over HTTPS (DoH) реализует передачу запросов DNS поверх HTTPS-сеансов. Подход предотвращает перехват и изменение DNS-трафика, тем самым повышая конфиденциальность и стойкость к атакам «man-in-the-middle». Спецификация опубликована IETF в RFC 8484 (октябрь 2018), а практические испытания выполняются Google и Mozilla с марта 2018 года.

В дополнение к безопасности протокол ориентирован на снижение задержек разрешения имён. Измерения показали, что ответные времена DNS-серверов провайдеров часто оказываются высокими; при загрузке современных веб-страниц задержка усугубляется множественными запросами к разным доменам. Использование DoH помогает нивелировать этот эффект.

РЕКОМЕНДАЦИЯ

Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Разница между обычным DNS и DoH

DNS выполняет функцию «телефонного справочника» Интернета: резолверы соотносят удобочитаемые доменные имена с машинными IP-адресами. Обмен DNS-запросами и ответами по умолчанию осуществляется в открытом виде через UDP, что позволяет промежуточным сетям, провайдерам и другим наблюдателям считывать содержимое пакетов. Даже при загрузке сайтов по HTTPS исходный DNS-запрос остаётся открытым.

Отсутствие шифрования снижает уровень конфиденциальности, осложняет обеспечение безопасности и, в отдельных случаях, затрагивает права человека. Публичность DNS-трафика упрощает внедрение цензурных механизмов на государственном уровне и облегчает анализ пользовательской активности злоумышленниками.

Передача обычных DNS-запросов без шифрования сопоставима с пересылкой открыток: любой узел на маршруте способен прочитать сообщение, поэтому отправка конфиденциальных сведений в таком формате считается небезопасной.

Стандарты DNS over TLS и DNS over HTTPS предлагают зашифровать открытый DNS-трафик, исключив возможность его анализа со стороны злоумышленников, рекламных сетей и интернет-провайдеров. В предложенной аналогии шифрование превращает открытки в письма, запечатанные в конверты, что обеспечивает приватность содержимого при доставке.

Настройка MikroTik DoH

Начиная со стабильной версии 6.47 MikroTik поддерживает DNS over HTTPS (DoH).

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""

Указать использование DoH Server

Перейдем в IP→DNS

/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes

Указать MikroTik в качестве DNS сервера

/ip dhcp-server network
add address=192.168.7.0/24 dns-server=192.168.7.1 gateway=192.168.7.1 netmask=24

Отключение динамических DNS серверов в MikroTik

В профилях соединений DHCP Client, PPPoE Client и LTE по умолчанию активирован параметр Use Peer DNS; полученные от провайдера адреса серверов автоматически заносятся в раздел IP → DNS RouterOS. Чтобы исключить динамическую подмену записей, параметр Use Peer DNS следует отключить в настройках каждого упомянутого подключения.

Отключение динамического DNS для DHCP клиента

Отключение динамического DNS для PPPOE соединения

РЕКОМЕНДАЦИЯ

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.