Mã hoá DNS là gì, và tại sao nên dùng mã hoá DNS?

Mã hoá DNS hay DNS encrypt là một tuỳ chọn mới trong bảo mật phân giải tên miền, mục đích chính là giúp tránh bị nghe lén và phòng chống các hình thức tấn công DNS. Mã hoá DNS thực tế đã có từ nhiều năm, tuy nhiên các hệ điều hành mới hiện nay mới bắt đầu được hỗ trợ chính thức. Nếu hệ điều hành của bạn đang có Mã hoá DNS, thì hãy kích hoạt nó lên để sử dụng. Trong một vài tình huống mã hoá DNS là nguyên nhân gây ra mất kết nối internet do bạn sử dụng một DNS Server không hỗ trợ mã hoá DNS, hãy kiểm tra lại mụ

MÃ HOÁ DNS LÀ GÌ?

Windows 10 bản build từ 19628 và Window 11 có một tính năng mới gọi là DNS over HTTPS, với tính năng này bạn có thể sử dụng duyệt web thông qua DNS được mã hóa nhằm tăng cường an ninh, bảo mật khi sử dụng internet.
Đối với DNS không mã hoá, việc thực hiện tấn công nghe lén có thể xảy ra, đồng thời các hình thức tấn công vào DNS dẫn đến các vấn đề an toàn thông tin rất nghiêm trọng, ví dụ người dùng có thể bị dẫn dụ vào một trang web giả mạo mà không hề hay biết do DNS đã bị tấn công và phân giải sai địa chỉ IP. Bản thân các nhà cung cấp dịch vụ internet (ISP) cũng có thể theo dõi các hoạt động của người dùng internet*
Đó là lúc DNS over HTTPS bắt đầu hoạt động và ngăn chặn tất cả những vấn đề này.

*  Theo dõi ISP là hoạt động mà qua đó ISP ghi lại thông tin về các hoạt động và kết nối trực tuyến của bạn. Điều đó có nghĩa là mọi thứ từ lịch sử tìm kiếm đến các cuộc trò chuyện qua email của bạn đều được nhà cung cấp dịch vụ Internet theo dõi và ghi lại.

MÃ HOÁ DNS ĐỂ LÀM GÌ?

Nói đơn giản, Khi bạn đang sử dụng trình duyệt trực tuyến và truy cập vào một trang web,  máy tính của bạn sẽ giao tiếp với máy chủ DNS (hệ thống tên miền) để lấy địa chỉ IP của trang web.

Khi dữ liệu bạn thông qua DNS như vậy có thể được giám sát bởi ISP, hoặc thậm chí bị nghe lén các dữ liệu này nhưng nếu bạn sử dụng DNS over HTTPS (DoH), tra cứu đó sẽ được mã hóa và không thể bị theo dõi từ bên ngoài.

Mã hoá DNS

“Đối với phân giải thông thường qua cổng 53, thông tin phân giải tên miền sang địa chỉ IP có thể hiển thị một cách rõ ràng”

Mã hoá DNS

Và đây là DNS với encrypt được truy vấn thông qua cổng 853, toàn bộ phần trả lời từ DNS sẽ được mã hoá.”

CẤU HÌNH MÃ HOÁ DNS NHƯ THẾ NÀO ?

Cấu hình trên Window 10.

Các trình duyệt web như Google Chrome và Mozilla Firefox đã hỗ trợ lớp bảo mật bổ sung này và Windows 10 hiện đã hỗ trợ DoH nguyên bản kể từ phiên bản 19628 sử dụng Registry và kể từ phiên bản 20185 sử dụng ứng dụng Cài đặt có sẵn thông qua chanel Dev.

Hướng dẫn cài đặt theo từng bước sau đây:

Mở  Setting 
Chọn vào Network & Internet
Chọn vào Status
Dưới phần Network Status chọn vào Properties
Dưới phần DNS Settings, chọn phần Edit

Chọn vào Manual, Chọn vào IPv4.

Trong phần “DNS Preferred” và “DNS Alternate”, hãy chỉ định địa chỉ IP DoH chính và phụ từ một trong các dịch vụ được hỗ trợ:

  • Cloudflare:
  • 1.1.1.1
  • 1.0.0.1
  • Google:
  • 8.8.8.8
  • 8.8.4.4
  • OpenDNS (Cisco): 
  • 208.67.222.222  
  • 208.67.220.220
  • Quad9:
  • 9.9.9.9
  • 149.112.112.112

Ở phần  “Preferred DNS” và chọn tùy chọn Encrypted only (DNS qua HTTPS), nhưng bạn cũng  có thể chọn các tùy chọn mã hóa khác, bao gồm:

Unencrypted only: Truyền tất cả lưu lượng DNS mà không cần mã hóa.

Encrypted only (DNS qua HTTPS): Truyền tất cả lưu lượng DNS có mã hóa ( recommended ).

Encrypted preferred, unencrypted allowed: Truyền lưu lượng DNS được mã hóa, nhưng nó cho phép gửi các truy vấn mà không cần mã hóa.

    Chọn SaveBadge 8 outline

Nếu thành công sẽ có ký tự (Encrypted) cuối địa chỉ DNS.

Một số lệnh kiểm tra cấu hình DNS-over-HTTPS  trong Windows 11, bạn có thể sử dụng:

Using netsh:

  

netsh dns show encryption

Using PowerShell:

  

Get-DnsClientDohServerAddress

Microsoft cũng cho phép quản trị viên tạo định nghĩa máy chủ DoH của riêng họ bằng các lệnh sau:

Using netsh:

  

netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no

Using PowerShell:

  

Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True

Cấu hình Trên Windows 11

Mã hoá DNS

Vào Setting > Network & Internet > Advanced network setting > Chọn Card mạng đang sử dụng và chọn tiếp View additional propertices. 

Sau đó tuỳ chỉnh DNS encrypt trong phần DNS encryption. Các tuỳ chọn của DNS encryption bao gồm:

Unencrypted only: Không dùng DNS encrypt (Như DNS trước đây)

Encrypted only (DNS over HTTPS): Luôn sử dụng DNS encrypt (Bảo mật cao nhất)

Encrypted preferred, unencrypted allowed: Ưu tiên mã hoá DNS trước, vẫn chấp nhận DNS không mã hoá (Chế độ trộn).

Với MAC OS hãy xem thêm Mã hoá DNS ở Link này!

Xem thêm các bài viết khác về bảo mật của chúng tôi!

HTT

Add a Comment

Your email address will not be published.