Mikrotik DoH configuratie voor meer veiligheid en privatie

Deze Mikrotik DoH configuratie zal wel iedereen aanspreken. Dit omdat de DNS over https-configuratie bijdraagt tot een veiliger internet gebruik. Waarom? Laat me dit even toelichten. Traditionele DNS aanvragen en DNS antwoorden worden zonder versleuteling verzonden. En dit kan via UDP en het TCP-protocol. Hierdoor zijn de DNS aanvragen en antwoorden nog steeds zichtbaar op het internet. Met andere woorden zie je door dit DNS verkeer naar welke website je surft. Maar dit is nog niet alles.
Neem hier nog eens bij dat DNS kan worden misbruikt door kwaadwilligen. DNS spoofing is er één van. Hiermee kan bijvoorbeeld een website worden omgeleid naar een valse website om dan gegevens te gaan ontfutselen. Dit kan je uiteraard missen als de pest. 

Welk doel heeft de DNS-server op het internet

DNS-servers hebben als doel de host namen te vertalen naar IP-adressen en omgekeerd IP-adressen vertalen naar host namen. Dit met behulp van een lijst.
Je kan deze lijst vergelijken met een telefoonboek waar de namen en telefoonnummers staan op gelijst. Dit gebeurt op de UDP en TCP-poort 53. Er is één groot nadeel dat deze in platte tekst wordt verzonden wat onze privatie aantast. En zoals al aangehaald kan dit DNS-verkeer misbruikt worden. Dit is terug een stap naar meer veiligheid op je router en netwerk. Meer lezen over de Mikrotik beveiliging dit kan je hier lezen. 

DoH of DNS over HTTPS brengt wat meer privatie en veiligheid

De Mikrotik DoH configuratie zal erbij toedragen dat alle DNS verkeer verstuurt gaat worden in een versleutelde omgeving. Dit is een zeer groot pluspunt omdat de DNS aanvragen niet meer kunnen worden uitgelezen. Maar ook omdat DNS niet meer kan worden misbruikt zodat de gebruiker niet meer kan worden misleid. 
DNS over HTTPS maakt een versleutelde verbinding tussen de Mikrotik router en de DNS-server en dit door middel van een SSL of TLS encryptie. Dit wil zeggen dat iedere DNS communicatie versleuteld wordt door verzonden. Dit resulteert in meer privatie en veiligheid. 

Mikrotik DoH configuratie in de praktijk 

Eens je de basis configuratie van de Mikrotik router onder de knie hebt kan je zeker deze Mikrotik DNS over https-configuratie tot een goed einde brengen. Het is dus de bedoeling dat alle DNS aanvragen en antwoorden niet meer verlopen via de UDP/TCP poort 53 maar via de https-poort 443. Daarom moet eerst en vooral gezorgd worden dat alle DNS-servers worden verwijderd op de router. Maar vooraleer je dit doet moet je eerst de nodige certificaten gaan downloaden. De commando's geef ik mee in deze blogpost. Bekijk de onderstaande video en voer deze Mikrotik DoH configuratie stap voor stap uit. Indien je RouterOS v7 installeert heeft dit geen enkele invloed op deze DoH configuratie. Wat wel gewijzigd is aan RouterOS v7 kan je hier lezen.

Met deze commando's en URL's wil ik je helpen om de Mikrotik DoH configuratie tot een goed einde te brengen. Je kan deze gebruiken door deze gewoon te kopiëren en te plakken in het new terminal venster van de Mikrotik router. De URL geef je in bij DNS -> static. Wat ik je ook wil meegeven is een lijst met DNS-providers.

Een belangrijk nadeel van DNS over HTTPS

Daar de DNS-queries versleuteld zijn door DoH vormt dit een serieus probleem voor de netwerkbeheerders. Ook beveiligingssoftware kunnen hun werk niet doen zoals het hoort. Het is dan ook niet aangewezen om als bedrijf DoH te configureren op het netwerk. Ook DNS gerelateerde blokkades kunnen niet meer worden uitgevoerd. Veel malware scanners worden hierdoor nutteloos. Op deze manier is DNS over HTTPS meer een plaag dan een zegen. Dit wilde ik ook even kwijt.
De screenshot die ik heb gemaakt kan je helemaal doorlezen op security.nl. De meningen hierover zijn uiteenlopend. Ik laat de beslissing of je DNS over HTTPS gebruikt aan jou over.