A Google 2014-ben tette kvázi kötelezővé a https protokoll használatát, a keresőóriás ettől kezdve a keresési találatok rendezése során előnyben részesíti azokat a site-okat, amelyek titkosított kapcsolatot használnak. Tény, hogy a vállalat döntése a teljes webes világra nagy hatással volt, hiszen szinte tényleg egyik napról a másikra eltűntek a sima http kapcsolatot használó weboldalak. Azonban egy valami nem változott: a DNS lekéréseket a böngészők ezután sem titkosították.
Mit jelentett ez a gyakorlatban? Ha beírtad a böngészőbe a pcwplus.hu webcímet, akkor - például - az internetszolgáltatód tudta, hogy https kapcsolaton keresztül a pcwplus.hu weboldalt böngészed. Egészen 2020-ig kellett várni arra, hogy a DNS lekérések titkosítására szolgáló DNS over HTTPS funkció a böngészőkben alapértelmezett esetben is bekapcsolva legyen; a Chrome esetében például ez a váltás a 83-as verzió bevezetéskor történt meg. Ez viszont még mindig kevés az üdvösséghez, hiszen nemcsak a böngésző, hanem a Windows alá telepített más alkalmazások is hozzáférnek az internethez. Kézenfekvő tehát, ha inkább a Windowst állítod be a DNS-lekérések titkosítására! A Windows 11 ugyanis támogatja ezt a funkciót, de alapértelmezett beállítás szerint nem használja.
Sőt, érdemes még egy lépcsővel tovább menni, és rögtön a routerben (is) beállítani ezt a funkciót - persze ez csak akkor működőképes alternatíva, ha a router támogatja ezt a szolgáltatást - mert ebben az esetben nemcsak a PC, hanem valamennyi, a hálózatra csatlakozó eszköz által indított DNS-lekérés is titkosított lesz (megfelelő eszközbeállítások esetén), kezdve a tévétől a mosógépen át a legutolsó Wi-Fi-s okoskapcsolóig.
Egy cél, de két eset
Hogy ne tévedj el a sokféle beállítás között, először is érdemes tisztázni, hogyan kapcsolódnak az eszközök (és a szoftverek) az interneten keresztül másik számítógéphez. Ehhez - értelemszerűen - meg kell találni a másik eszközt az interneten keresztül, erre pedig az IP-cím segítségével van lehetőség. Amikor beírod, hogy pcwplus.hu, akkor a böngésző a beállított DNS-kiszolgálótól kérdezi le a pcwplus.hu domainhez tartozó IP-címet; majd amikor megkapja 185.187.73.2-t válaszként, már fel tudja venni a kapcsolatot a weboldalt kiszolgáló szerverrel.
A böngésző - és végső soron bármely, a rendszerben működő szoftver - a hálózati beállítások alapján éri el a DNS-kiszolgálót. És itt lesz kicsit trükkös a dolog.
1. Alapesetben az internetszolgáltató ad egy eszközt, amely modemként és Wi-Fi routerként is működik; a készülék automatikusan lekéri a DNS-kiszolgáló címét (ami általában a szolgáltató sajátja), így alapesetben minden, a hálózatra csatlakozó eszköz ezt a kiszolgálót fogja használni. Modemje válogatja, hogy van-e lehetőség a titkosítás bekapcsolására - de tekintettel arra, hogy a szolgáltatói eszközök jellemzően fapadosak, ne lepődj meg, ha ez az opció hiányzik.
2. A szolgáltatói eszközt átállíthatod modem üzemmódba, és használhatsz saját routert is. A helyzet ugyanaz: minden, a hálózatra csatlakozó eszköz a routeren keresztül, a router beállításai alapján fogja a DNS-kéréseket bonyolítani. A routerek többsége a WAN-porton keresztül szintén képes arra, hogy automatikusan lekérje a DNS-kiszolgáló címét, alapesetben tehát ez még mindig az internetszolgáltató sajátja lesz.
3. A hálózatra csatlakozó eszközök a saját beállításaik alapján férnek hozzá az internethez; a legtöbb készülék alapesetben viszont úgy van konfigurálva, hogy minden IP-címet (saját IP-cím, átjáró és DNS-kiszolgáló) automatikusan kap meg a routertől - a gyakorlatban ez azt jelenti, hogy a DNS-kiszolgáló a csatlakozó eszközök számára maga a router lesz, így annak beállításai az irányadók. Nézzünk egy példát:
Tegyük fel, hogy a szolgáltató által üzemeltetett DNS-kiszolgáló IP-címe 11.22.33.44; ezt az adatot a router automatikusan lekéri és be is állítja magának. A router belső IP-címe 192.168.0.1; minden csatlakozó eszköz, amely automatikusan konfigurálja magát, a 192.168.0.1 IP-címet fogja beállítani DNS-kiszolgálóként. Vagyis a gyakorlatban az történik, hogy az eszköz a routertől kéri le a DNS-t, a router pedig a szolgáltatótól. Ha ilyenkor a router beállításainál a DNS-t módosítod 11.22.33.55-re, onnantól kezdve minden csatlakozó eszköz ettől a szolgáltatótól kapja majd az adatokat.
A Windowsban, és sok más eszköznél lehetőség van azonban arra is, hogy a DNS-t manuálisan állítsd be. Ilyenkor a fenti példa érvényét veszíti, teljesen mindegy, hogy a router milyen DNS-kiszolgálóhoz kapcsolódik, a Windows nem rajta keresztül, hanem a beállított adatok alapján közvetlenül a DNS-szolgáltatótól kéri le az adatokat. Bár jobbnak tűnhet az automatikus beállítás, egy notebook esetében nem feltétlenül az, mert így nyilvános hálózatra csatlakozva máris ugrott a titkosított kapcsolat!
Hogy a helyzet még bonyolultabb legyen, akár szoftverszinten is be lehet állítani DNS-t - erre lehetőséget adnak többek között a böngészők is. Azaz végső soron az alábbi struktúra rajzolódik ki, amikor egy szoftver vagy egy eszköz DNS-adatokat kér le:
1. saját szoftverben lévő DNS-beállítások esetén csatlakozik a DNS-kiszolgálóhoz, egyébként az operációs rendszeren keresztül kapja az adatokat
2. az operációs rendszer saját DNS-beállítások esetén közvetlenül csatlakozik a kiszolgálóhoz, egyébként a routeren keresztül kapja az adatokat
3. a router saját DNS-beállítások esetén csatlakozik a kiszolgálóhoz, egyébként az internetszolgáltatótól kapja az adatokat.
A több beállítás mindig jobb
Ha tehát szeretnéd, hogy a DNS-lekérések is titkosított kapcsolaton keresztül legyenek kiszolgálva, akkor általánosságban a legjobban azzal jársz, ha a routerben saját magad állítod be a DNS-kiszolgálót, emellett pedig gondoskodsz arról is, hogy az operációs rendszerben és a szoftverekben is konfigurálva legyen ez az opció.
Router beállítása
Lépj be a router kezelőfelületére, majd keresd meg a DNS-beállításokat - ez legtöbbször a Network / Internet menüpontban található. Először is módosítani kell a DNS-t az alábbi szolgáltatók egyikére; az elsődleges és másodlagos kiszolgálót is állítsd be!
IPv4 címek esetén használd az alábbi beállításokat:
Google Primary: 8.8.8.8
Google Secondary: 8.8.4.4
Cloudflare Primary: 1.1.1.1
Cloudflare Secondary: 1.0.0.1
Quad9 Primary: 9.9.9.9
Quad9 Secondary: 149.112.112.112
IPv6 címek esetén használd az alábbi beállításokat:
Google Primary: 2001:4860:4860::8888
Google Secondary: 2001:4860:4860::8844
Cloudflare Primary: 2606:4700:4700::1111
Cloudflare Secondary: 2606:4700:4700::1001
Quad9 Primary: 2620:fe::fe
Quad9 Secondary: 2620:fe::9
Ha megvagy, keresd meg a DNS over HTTPS beállítást, és kapcsold be, majd állítsd be ugyanazt a szolgáltatót, mint amelyiket választottad. Előfordulhat, hogy a routered nem támogatja mondjuk a Quad9-et, ebben az esetben fentebb sem lehet a DNS-kiszolgáló a Quad9!
Ha kész vagy, akkor minden olyan eszköz, amely a hálózatra kapcsolódik, és automatikus DNS-beállításokat használ, a továbbiakban titkosított kapcsolaton keresztül kapja meg a DNS-információkat.
Windows beállítása
A [Win + I] billentyűkombinációval lépj be a Beállításokhoz, majd bal oldalt válaszd a Hálózat és internet részt. Vezetékes kapcsolat esetén nyomj az Ethernetre, majd görgess lefelé, és a DNS-kiszolgáló hozzárendelése felirat mellett nyomd meg a Szerkesztés gombot. A felugró ablakban válaszd a Kézi DNS-t, majd kapcsold be az IPv4 vagy IPv6 opciót, és add meg a szükséges beállításokat. Válassz a fenti szolgáltatók közül, írd be az adatokat a megfelelő mezőbe, majd az elődleges és másodlagos cím alatt is engedélyezd a HTTPS-en keresztüli DNS funkciót a "Bekapcsolva (automatikus sablon)" opció megadásával!
Ha Wi-Fi-n kapcsolódsz a hálózatra, akkor értelemszerűen ugyanezeket a beállításokat kell elvégezni, egy apró csavarral. Alapesetben minden Wi-Fi hálózat saját beállításokat kap, így nem az aktuálisan aktív Wi-Fi hálózat, hanem magának a hardvernek beállítását kell módosítani. Kattints a Wi-Fi-re, majd lent a Hardver tulajdonságaira, és csak ezt követően a DNS-kiszolgáló hozzárendelése opcióra. A további lépések megegyeznek a fent leírtakkal.
Mindkét esetben a sikeres beállítást ellenőrizheted az áttekintő nézetben! Ha megvagy, a továbbiakban minden telepített szoftver, amely nem használ saját beállítást, titkosított kapcsolaton keresztül kapja meg a DNS-információkat.
Szoftverek beállítása
Ha egy szoftver lehetővé teszi a DNS-beállítások módosítását, akkor érdemes ellenőrizni az opciókat, mert előfordulhat, hogy a szoftver megkerüli a Windows beállításokat! DNS-t megadhatsz többek között a böngészőkben is; a pontos menet viszont alkalmazásonként eltérő. A Chrome esetében a keresett opciókat a Beállítások | Adatvédelem és biztonság | Biztonság útvonalon éred el. A Biztonságos DNS használata opciót lefelé görgetve találod meg.
Így ellenőrizd, hogy aktív-e a DNS over HTTPS funkció
Ha szeretnéd ellenőrizni, hogy a DNS lekérések valóban HTTPS-kapcsolaton keresztül érkeznek-e, először is meg kell vizsgálnod az összes fenti beállítást; nézd meg a router, a Windows és a használt szoftver menüjében, hogy milyen DNS-kiszolgáló az aktív. A hierarchia is fontos: a szoftver beállítása felülírja az operációs rendszer és a router beállításait, az operációs rendszeré pedig felülírja a router beállításait!
Ha a Cloudflare, Google vagy a Quad9 DoH-szolgáltatását használod, jó hír, hogy ezeknek a szolgáltatónak van saját tesztoldala, amivel ellenőrizheted, hogy működik-e a titkosítás a DNS-lekérések esetében vagy sem. A Cloudflare esetében itt, a Google esetében itt, a Quad9 esetében pedig itt tudod ellenőrizni a kapcsolat minőségét.
Egy másik lehetséges alternatíva az, ha telepíted a Wiresharkot; a hálózatfigyelő alkalmazásban a DNS-szolgáltató IP-címére kell rákeresned, és megnézni, hogy a TCP és TLS kapcsolatok titkosítottak-e. Amennyiben a kapcsolat 465-ös porton keresztül zajlik, nem pedig az 53-as porton, akkor a DNS-lekérés is titkosított.
