Windows 10’a HTTPS Üzerinden DNS Desteği Geliyor

Microsoft kısaca DoH olarak bilinen HTTPS üzerinden DNS desteğinin Windows 10’un Insider programı kapsamındaki 19628 build numaralı versiyonunda kullanılabilir olduğunu duyurdu.

DoH protokolünün TLS üzerinden DNS kısaca DoT protokolü ile birlikte kullanılacak şekilde Windows 10’a ekleneceği daha önce 2018 yılında duyurulmuştu. Kısaca açıklamak gerekirse DoH şifrelenmiş HTTPS Bağlantıları üzerinden DNS çözümlenmesi işlemine imkan sağlarken DoT ise DNS sorgularının açık metin şekline iletilmesi yerine, TLS protokolü ile şifrelenmesini sağlıyor.

DoH ve DoT desteği ile birlikte Microsoft, DNS sorgularını şifreleyerek güvenli olmayan web trafiğinde özellikle “DNS Spoofing“ ve benzeri atakara  karşı Windows 10 kullanıcılarını daha güvenli hale getirmeyi amaçlıyor.

Windows Insider programı üyeleri bu özelliği önceden test etme imkanına sahip. Microsoft’un konuyla ilgili bir blog yazısı bulunuyor.

İlgili özelliğin test edilmesi için öncelikli olarak Windows Insider Preview Build 19628 beta sürümüne sahip olmak gerekiyor. DoH özelliği varsayılanda aktif olarak gelmiyor öncelikle ilgili özelliğin aktif hale getirilmesi gerekiyor. Aşağıdaki adımlar izlenerek “DoH Client” özelliği aktif edilebilir.

Kayıt Defteri “Registry Editor” açılarak HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters kayıt anahtarı bulunur. “EnableAutoDoh” ismiyle yeni bir DWORD değeri oluşturularak 2 değeri verilir.

“DoH Client” özelliği aktif edildikten sonra Windows DNS sorgularını şifrelemeye başlayacaktır. Bu özelliği test edebilmek için önce DoT/DoH’u destekleyen genel DNS sunucularından birinin kullanılması gerekmektedir. Windows’un ağ ayarlarında kullanılacak DNS sunucu bilgisi aşağıdaki listede bulunan sunuculardan biri olarak ayarladıktan ilgili özellik test edilebilir.  Windows ağ ayarlarından DNS’in otomatik belirlenmesi seçeneği yerine listede bulunan sunuculardan biri DNS sunucusu olarak belirlenip DNS servisi veya PC’nin kendisi yeniden başlatıldıktan sobra “DoH Client” özelliğinin çalışma durumu test edilebilir.

Server OwnerServer IP addresses
Cloudflare1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad99.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

DoH Özelliğinin Çalışma Durumunun Test Edilmesi

Windows PacketMon aracı kullanılarak 53 no’lu port üzerinden giden trafik kontrol edilerek özelliğin çalışıp çalışmadığı test edilebilir.

Power Shell veya komut istemcisi araçlarından biri kullanılıp aşağıda bulunan komutlar çalıştırılarak önce PacketMon aracının varsayılan ağ trafik filtresi sıfırlanır, daha sonra 53 no’lu port için yeni bir filtre eklenir ve son komutla da gerçek zamanlı ağ trafiği izlenmeye başlanır.

pktmon filter remove
pktmon filter add -p 53
pktmon start –etw -l real-time

Microsoft ayrıca yayımladığı blog yazısında yukarıda belirtilen varsayılan DoH prtokolünü destekleyen listede olmayan farklı DNS sunucularının da nasıl listeye ekleneceğini anlatıyor.

Windows 10 DoH Client pasif
Windows 10 DoH Client Aktif

Mozilla firması 25 Şubat 2020’den itibaren ABD’deki kullanıcıları için DoH desteğini aktif hale getirirken Google ise Chrome 79 versiyonu ile beraber kısıtlı bir şekilde DoH protokolü denemelerine başlamıştı.

Kaynak    

Exit mobile version