Windows 10’da HTTPS üzerinden DNS Etkinleştirme

HTTPS üzerinden DNS özelliğini Windows 10 Yapı 19628 ile etkinleştiriyoruz.

Teknoloji gün geçtikçe ilerliyor. Web de bunun birparçası olarak son zamanlarda inanılmaz hızlı bir evrim geçirmeye başladı. Önce HTTP/2 teknolojisine geçiş yaptık, şimdi de HTTP/3 için hazırlıklar tamamlanmak üzere. Bütün bu alanalar hızla ilerlerken DNS konusunda halen daha neredeyse 40 yıllık bir teknolojiyi kullanıyoruz. Nihayet artık bu da değişiyor. 2018’de DNS over HTTPS (DoH) protokolünün tanıtılmasından sonra birçok tarayıcı bu teknolojiye detsek vermeye başladı. Microsoft da nihayet yeni Windows 10 sürümü ile birlikte HTTPS üzerinden DNS özelliğini etkinleştirmemize imkan tanıyor.

DNS Nedir?

En baştan başlayacak olursak DNS’yi açıklamamız gerek. İnternette ziyaret ettiğimiz her bir sitenin bir adı ve bu adın arkasında da IP adresi mevcuttur. Tarayınızın adres satırına Technopat.net yazıp Enter’a bastığınızda bilgisayarınız, bu sitenin IP adresini öğrenmek için DNS sunucusuna bir sorgu yollar. DNS sunucusu da Technopat.net alan adının 104.26.6.166 IP adresinde olduğunu bilgisayarınıza söyler ve böylece tarayıcnız, 104.26.6.166 IP adresinden verileri çekmeye başlar. Sonuç olarak Technopat.net web sitesi karşınıza çıkar.

Öte yandan yaptığınız bu sorgu şifrelenmediğinden dolayı servis sağlayınız girdiğiniz siteleri öğrenebiliyor. Ya da herkese açık bir kablosuz ağa bağlı iseniz ağ trafiğini izleyen üçüncü bir kişi de izyaret ettiğiniz web siteleri hakkında bilgi edinebilir. Hatta ziyaret ettiğiniz site HTTPS protokolünü kullanmıyorsa aradaki veriler dahi okunabilir fakat bu bambaşka bir konu.

DNS over HTTPS (DoH) ile Tanışın

Ekim 2018’de IETF tarafından önerilen bu standart, DNS sorgularının  HTTP/2 ve HTTPS kullanılarak iletilmesini sağlıyor. Bu sayede bilgisayarınız ile DNS suncusu arasındaki iletişim şifrelenmiş oluyor. Şimdiye kadar Firefox, Chrome ve Opera DoH için destek sağlayan ilk tarayıcılar oldu. Microsoft da 13 Mayıs 2020’de Windows 10’un önizleme sürümüne HTTPS üzerinden DNS desteği eklediğini duyurdu.

HTTPS Üzerinde DNS’in Faydası Ne Olacak?

80. porttan iletişim sağlayan klasik HTTP protokolünde sunucu ve istemci arasındaki veri akışında herhangi bir şifreleme bulunmamaktaydı. Somutlaştırarak anlatmak gerekirse, her ne kadar sunucu (erişmek istediğimiz web sitesi) ve istemci (kişisel bilgisayarımız) görece çok katı bir güvenlik katmanına sahip olsa da ağdaki veri akışını takip etme imkanı bulan kötü niyetli üçüncü kişiler mahrem verileri edinme imkanı buluyordu. Hyper Text Transfer Protocol Secure (HTTPS – Güvenli aktarım prokolü) ise sunucu ve istemci arasındaki veri akışını uçtan uca şifreleyen bir teknoloji getirmesiyle bu güvenlik zafiyeti giderilmiş oldu. Gelin adım adım HTTPS üzerinden DNS özelliğini etkinleştirelim.

Adım Adım HTTPS üzerinden DNS Etkinleştirme

Öncelikle bu özelliğin cihazınızın İnternet’e bağlanma şeklini değiştireceğini ve erken bir test aşamasında olduğunu unutmayın! Windows DoH istemcisini çalışırken görmek ve Microsoft’un daha özel bir İnternet deneyimi oluşturmasına yardımcı olmak istiyorsanız, yapmanız gerekenler şunlar:

İlk olarak, Microsoft hesabınızın Windows Insider Programının bir parçası olduğundan emin olun. Zaten bir Windows Insider olduğunuzu biliyorsanız, Fast Ring’de olduğunuzdan emin olun ve Adım 2’ye gidin. Değilse, buraya gidin ve en son Insider Önizleme derlemesini alabilmek için Fast Ring talimatlarını izleyin.

Bu yapıldıktan sonra Windows Update’i çalıştırın, yeniden başlatın ve Build 19628 veya üstünü çalıştırdığınızı doğrulayın. Ayarlar uygulaması -> Sistem -> Hakkında’ya giderek bunu doğrulayabilir ya da winver komutunu kullanabilirsiniz.

Windows kurulumunuzun DoH istemcisinin olduğunu öğrendikten sonra bunu etkinleştirmek gerekiyor:

• Kayıt Defteri Düzenleyicisini açın.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters kayıt defteri anahtarına gidin.
• “EnableAutoDoh” adlı yeni bir DWORD değeri oluşturun.
• Değerini 2 olarak ayarlayın.

Lütfen dikkat: burada açıklanan kayıt defteri anahtarları ve değerleri, yalnızca Insider derlemelerinde DoH istemci testini etkinleştirmek içindir. DoH istemcisi genel sürüm derlemelerinde kullanılabilir hale getirildiğinde, DoH’un kayıt defteri yapılandırması desteklenmez.

Windows 10 Insider Preview Build 20185 ile birlikte doğrudan ayarlar üzerinden de DNS over HTTPS açma işlemi gerçekleştirebilirsiniz;

• Başlat logosuna tıklayın > Arama alanına Ayarlar ifadesini girin.
• Ağ ve İnternet ifadesini tıklayın. Bağdaştırıcı seçeneklerini değiştirin ifadesini tıklayın.
• DNS ayarlarını düzenle penceresini Manuel’i seçin.
• 
• Açılan ayar ekranında DoH (DNS over HTTPS) ifadesini seçerek işlemi tamamlayabilirsiniz.

Böylece DNS sunucunuz da uçtan uca şifrelenmiş olacak ve internet deneyiminizi meraklı gözlerin mahremiyetinizi ihlal eden uygulamalarından muhafaza etmiş olacaksınız.

DNS Sunucumuzu Seçelim

Artık DoH istemcisi etkin olduğuna göre, şu sunuculardan birini zaten ayarladıysanız Windows DoH otomatik olarak devreye girecektir:

Windows’u, bu IP adreslerinden herhangi birini Denetim Masası veya Ayarlar uygulaması aracılığıyla DNS sunucusu olarak kullanacak şekilde yapılandırabilirsiniz. DNS hizmeti yeniden başlatıldığında, bağlantı noktası 53 üzerinden klasik DNS yerine bu sunucularla konuşmak için DoH’u kullanmaya başlayacak. DNS hizmetinin yeniden başlatılmasını tetiklemenin en kolay yolu bilgisayarı yeniden başlatmak.

Ayarlar altından DNS sunucusu eklemek için:

• Ayarlar > Ağ ve İnternet > Bağdaştırıcı seçeneklerini değiştir’e gidin.
• DNS sunucusu eklemek istediğiniz bağlantıya sağ tıklayın ve Özellikler’i seçin.
• “Internet Protokolü Sürüm 4 (TCP / IPv4)” veya “Internet Protokolü Sürüm 6 (TCP / IPv6)” seçin ve Özellikler’e tıklayın.
• “Aşağıdaki DNS sunucu adreslerini kullan” radyo düğmesinin seçili olduğundan emin olun ve DNS sunucusu adresini aşağıdaki alanlara ekleyin.

Packetmon ile Doğrulama Zamanı

Artık Windows’u DoH kullanacak şekilde yapılandırdığınıza göre, cihazın düz metin DNS trafiği kullanmadan çalıştığını doğrulayabilmeniz gerekir. Bunu, Windows ile birlikte gelen bir ağ trafik izleyicisi olan Packetmon’u kullanarak yapabilirsiniz.

Yeni bir Komut İstemi veya PowerShell penceresi açarak başlayın. PacketMon’da halihazırda mevcut olabilecek ağ trafiği filtrelerini sıfırlamak için aşağıdaki komutu çalıştırın.

pktmon filter remove

Kklasik DNS’nin kullandığı bağlantı noktası olan 53 numaralı bağlantı noktasına (ve yalnızca DoH kullandığımızdan beri sessiz olması gereken) bir trafik filtresi eklemek için aşağıdaki komutu girin.

pktmon filter add -p 53

Gerçek zamanlı bir trafik günlüğü başlatmak için aşağıdaki komutu çalıştırın. Tüm port 53 paketleri komut satırına yazdırılacaktır. Cihazınız yalnızca DoH sunucularıyla yapılandırıldıysa, burada çok az trafik gösterir veya hiç trafik göstermez.

pktmon start --etw -m real-time

ISS’nizin DoH sunucuları gibi Microsoft’un otomatik tanıtım listesinde bulunmayan bir DoH sunucusunu test etmeye çalışıyorsanız, komut satırını kullanarak manuel olarak listeye ekleyebilirsiniz. İlk olarak, eklemek istediğiniz sunucunun IP adresini ve DoH URI şablonunu belirleyin. Ardından yönetici olarak aşağıdaki komutu çalıştırın:

netsh dns add encryption server=<Sunucunuzun IP Adresi> dohtemplate=<Sunucunuzun-DoH-URI-şablonu>

Belirli bir IP adresi için kullanılan şablonu göstermesi gereken bu komutu çalıştırarak şablonun bilinen DoH sunucu listesine uygulandığını doğrulayabilirsiniz:

netsh dns show encryption server=<Sunucunuzun IP Adresi>

Artık Windows bu IP adresini bir DNS sunucusu olarak kullanacak şekilde yapılandırıldığında, klasik DNS yerine DoH kullanacaktır.

Alternatif Doğrulama: Wireshark

Wireshark aracı ile de denemeler yapabilirsiniz. Sırasıyla HTTP ve HTTPS kullanan sitelere sorgular gönderin ve Wireshark aracıyla ağ bağdaştırıcınızı dinlemeye alın. HTTP kullnan siteye gönderdiğiniz sorguları açık bir şekilde text olarak yakalandığını, HTTPS üzerinden gönderdiğiniz sorguların ise karmaşık metinler olarak kaldığını ve çözülemediğini görmüş olacaksınız.