DNS-Over-HTTPS란 무엇이며 장치(또는 브라우저)에서 활성화하는 방법

범주: 가이드

문제를 제거하기 위해 도구를 사용해보십시오

운영 체제를 선택하십시오 투영 프로그램을 선택하십시오 (선택적으로)

당신의 문제를 설명하십시오

DNS-over-HTTPS(보안 DNS)는 클라이언트 컴퓨터와 DNS 서버 간의 통신을 암호화하여 웹 브라우징을 안전하게 만드는 것을 목표로 하는 신기술입니다.

이 새로운 인터넷 표준은 널리 채택되고 있습니다. 채택 목록에는 Windows 10(버전 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera 및 Vivaldi가 포함됩니다.

이 기사에서는 DNS-over-HTTPS의 장단점과 장치에서 이 프로토콜을 활성화하는 방법에 대해 설명합니다.

또한 장치에 DoH가 활성화되어 있는지 테스트하는 방법에 대해서도 설명합니다.

DNS-over-HTTPS 및 작동 방식에 대한 간단한 설명

DoH(DNS-over-HTTPS)는 컴퓨터와 DNS 서버 간의 DNS 쿼리를 암호화하기 위한 프로토콜입니다. 2018년 10월에 처음 도입되었습니다( IETF RFC 8484 ) 사용자 보안 및 개인 정보 보호 향상을 목표로 합니다.

기존 DNS 서버는 통신에 DNS 포트 53을 사용하는 반면 DNS-over-HTTPS는 HTTPS 포트 443을 사용하여 클라이언트와 안전하게 통신합니다.

DoH는 보안 프로토콜이지만 ISP가 귀하의 요청을 추적하는 것을 막지는 않습니다. 스푸핑, 메시지 가로채기(man-in-the-middle) 공격 등과 같은 문제를 방지하기 위해 컴퓨터와 ISP 간의 DNS 쿼리 데이터를 암호화하기만 하면 됩니다.

간단한 예를 들어 이것을 이해합시다.

DNS 작동 방식은 다음과 같습니다.

도메인 이름 techtics.com을 열고 브라우저를 사용하여 요청하려는 경우.
브라우저는 시스템에 구성된 DNS 서버(예: 1.1.1.1)로 요청을 보냅니다.
DNS recursive resolver(1.1.1.1)는 최상위 도메인(TLD)의 루트 서버(여기서는 .com)로 이동하여 itechtics.com의 이름 서버를 요청합니다.
그러면 DNS 서버(1.1.1.1)가 itechtics.com의 네임서버로 이동하여 itechtics.com DNS 이름의 IP 주소를 묻습니다.
DNS 서버(1.1.1.1)는 이 정보를 브라우저로 전달하고 브라우저는 itechtics.com에 연결하고 서버로부터 응답을 받습니다.

컴퓨터에서 DNS 서버, TLD DNS 서버, 이름 서버, 웹사이트 및 그 반대로의 이 모든 통신은 간단한 문자 메시지의 형태로 이루어집니다.

즉, 누구나 웹 트래픽을 모니터링하고 어떤 웹사이트를 여는지 쉽게 알 수 있습니다.

DNS-over-HTTPS는 컴퓨터와 DNS 서버 간의 모든 통신을 암호화하여 보안을 강화하고 메시지 가로채기(man-in-the-middle) 및 기타 스푸핑 공격에 덜 취약합니다.

이것을 시각적인 예를 통해 이해해 봅시다:

DNS 클라이언트가 DoH를 사용하지 않고 DNS 서버로 DNS 쿼리를 보낼 때:

HTTPS를 통한 DNS가 활성화되지 않음

DoH 클라이언트가 DoH 프로토콜을 사용하여 DNS 트래픽을 DoH 활성화된 DNS 서버로 보내는 경우:

HTTPS를 통한 DNS 사용

여기에서 클라이언트에서 서버로의 DNS 트래픽이 암호화되어 있고 클라이언트가 무엇을 요청했는지 아무도 모릅니다. 서버의 DNS 응답도 암호화됩니다.

DNS-over-HTTPS의 장단점

DNS-over-HTTPS는 기존 DNS 시스템을 천천히 대체하지만 고유한 장점과 잠재적인 문제가 있습니다. 여기에서 그 중 일부에 대해 논의해 보겠습니다.

DoH는 사용자의 완전한 개인 정보를 가능하게 하지 않습니다.

DoH는 사용자 개인 정보 보호 및 보안의 다음으로 큰 역할을 하고 있지만 제 생각에는 개인 정보가 아닌 사용자 보안에만 초점을 맞추고 있습니다.

이 프로토콜이 어떻게 작동하는지 안다면 DoH가 ISP가 사용자 DNS 요청을 추적하는 것을 막지 못한다는 것을 알게 될 것입니다.

다른 공용 DNS 공급자를 사용하고 있기 때문에 ISP가 DNS를 사용하여 추적할 수 없는 경우에도 추적을 위해 ISP에 열려 있는 많은 데이터 요소가 있습니다. 예를 들어, SNI(서버 이름 표시) 필드 그리고 OCSP(온라인 인증서 상태 프로토콜) 연결 등.

더 많은 개인 정보를 보호하려면 DNS-over-TLS(DoT), DNSCurve, DNSCrypt 등과 같은 다른 기술을 확인해야 합니다.

DoH는 HTTP 쿼리에 적용되지 않습니다.

SSL을 사용하여 작동하지 않는 웹사이트를 여는 경우 DoH 서버는 Do53이라고도 하는 레거시 DNS 기술(DNS-over-HTTP)로 대체됩니다.

그러나 모든 곳에서 보안 통신을 사용하는 경우 DoH는 베어메탈의 오래되고 안전하지 않은 DNS 기술을 사용하는 것보다 확실히 낫습니다.

모든 DNS 서버가 DoH를 지원하는 것은 아닙니다.

DNS-over-HTTPS를 지원하려면 업그레이드해야 하는 레거시 DNS 서버가 많이 있습니다. 이것은 널리 채택되기까지 오랜 시간이 걸릴 것입니다.

이 프로토콜이 대부분의 DNS 서버에서 지원될 때까지 대부분의 사용자는 대규모 조직에서 제공하는 공용 DNS 서버를 사용해야 합니다.

이는 대부분의 DNS 데이터가 전 세계의 몇 가지 중앙 집중식 위치에서 수집되기 때문에 더 많은 개인 정보 보호 문제로 이어질 것입니다.

DoH 조기 채택의 또 다른 단점은 글로벌 DNS 서버가 다운되면 이름 확인을 위해 서버를 사용하는 대부분의 사용자가 중단된다는 것입니다.

DoH는 기업의 골칫거리가 될 것입니다.

DoH는 보안을 개선하지만 직원 활동을 모니터링하고 도구를 사용하여 웹의 NSFW(작업에 안전하지 않음) 부분을 차단하는 기업 및 조직에게는 골칫거리가 될 것입니다.

네트워크 및 시스템 관리자는 새로운 프로토콜에 대처하는 데 어려움을 겪을 것입니다.

DNS-over-HTTPS를 사용하면 검색 속도가 느려집니까?

레거시 Do53 프로토콜에 대해 성능을 테스트할 때 DoH의 두 가지 측면을 찾아야 합니다.

이름 확인 성능
웹페이지 로딩 성능

이름 확인 성능은 DNS 서버가 방문하려는 웹사이트의 필수 서버 IP 주소를 제공하는 데 걸리는 시간을 계산하는 데 사용하는 메트릭입니다.

웹페이지 로딩 성능은 DNS-over-HTTPS 프로토콜을 사용하여 인터넷을 탐색할 때 속도가 느려지는지 여부를 나타내는 실제 측정항목입니다.

이 두 테스트는 모두 samknows에 의해 수행되었으며 최종 결과는 DNS-over-HTTPS와 레거시 Do53 프로토콜 간의 성능 차이가 무시할 수 있다는 것입니다.

당신은 읽을 수 있습니다 samknows의 통계로 완전한 성능 사례 연구 .

다음은 위에서 정의한 각 측정항목에 대한 요약 표입니다. (이미지를 클릭하시면 크게 보실 수 있습니다)

이름 확인 성능 테스트 DoH 대 Do53 ISP 성능 표

DoH 대 Do53 ISP 성능 표

웹페이지 로딩 성능 테스트 DoH 대 Do53 웹 페이지 로딩 성능

DoH 대 Do53 웹 페이지 로딩 성능

Windows 10에서 DNS-over-HTTPS를 활성화 또는 비활성화하는 방법

Windows 10 버전 2004는 기본적으로 DNS-over-HTTPS가 활성화된 상태로 제공됩니다. 따라서 다음 버전의 Windows 10이 출시되고 최신 버전으로 업그레이드하면 DoH를 수동으로 활성화할 필요가 없습니다.

그러나 Windows 10 Insider Preview를 사용하는 경우 다음 방법을 사용하여 DoH를 수동으로 활성화해야 합니다.

Windows 레지스트리 사용

이동 실행 -> regedit . 그러면 Windows 레지스트리 편집기가 열립니다.
다음 레지스트리 키를 엽니다.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
를 마우스 오른쪽 버튼으로 클릭 매개변수 폴더를 선택하고 새로 만들기 -> DWORD(32비트) 값.
이름을 붙이다 EnableAutoDoh .
EnableAutoDoh 항목의 값을 다음으로 설정하십시오. 2 .

변경 사항을 적용하려면 컴퓨터를 다시 시작해야 합니다.

이 변경 사항은 DNS-over-HTTPS를 지원하는 DNS 서버를 사용하는 경우에만 적용됩니다. 아래에서 찾을 수 있습니다 DoH를 지원하는 공용 DNS 공급자 목록 .

버전 1909 및 1903을 포함한 이전 버전의 Windows 10은 기본적으로 DoH를 지원하지 않습니다.

그룹 정책 사용

이 섹션은 나중에 사용할 수 있도록 보관해 둡니다. 현재로서는 DNS-over-HTTPS에 대한 그룹 정책 규칙이 없습니다. Microsoft에서 Windows 10 버전 2004에서 사용할 수 있게 되면 단계를 작성하겠습니다.

PowerShell 사용(명령줄)

이 섹션은 나중에 사용할 수 있도록 보관해 둡니다. Microsoft가 명령줄을 사용하여 DoH를 활성화하거나 비활성화하는 방법을 제공하는 경우 여기에 단계를 나열합니다.

브라우저에서 DNS-over-HTTPS를 활성화 또는 비활성화하는 방법

일부 응용 프로그램은 시스템 구성 DNS 서버 우회를 지원하고 대신 DNS-over-HTTPS를 사용합니다. 거의 모든 최신 브라우저는 이미 DoH를 지원하거나 가까운 장래에 프로토콜을 지원할 것입니다.

Google 크롬에서 DNS-over-HTTPS 활성화

Chrome을 열고 다음 URL로 이동합니다.
chrome://settings/security
아래에 고급 보안 , 토글 보안 DNS 사용 .
보안 DNS를 활성화하면 두 가지 옵션이 있습니다.
- 현재 서비스 제공업체와
- Google의 추천 서비스 제공업체를 통해

당신은 당신에게 맞는 것을 선택할 수 있습니다. 두 번째 옵션은 시스템의 DNS 설정을 무시합니다.

Chrome에서 보안 DNS 사용

DoH를 비활성화하려면 간단히 토글 보안 DNS 사용 설정 끄다 .

Mozilla Firefox에서 DNS-over-HTTPS 활성화

Firefox를 열고 다음 URL로 이동합니다.
about:preferences
아래에 일반 , 이동 네트워크 설정 그리고 설정 단추. 또는 단순히 그리고 키보드 키를 눌러 설정을 엽니다.
맨 아래로 스크롤하고 확인하다 HTTPS를 통한 DNS 활성화 .
드롭다운에서 원하는 보안 DNS 서버를 선택할 수 있습니다.

Microsoft Edge에서 DNS-over-HTTPS 활성화

Microsoft Edge를 열고 다음 URL로 이동합니다.
edge://flags/#dns-over-https
선택하다 활성화됨 옆에 있는 드롭다운에서 보안 DNS 조회 .
변경 사항을 적용하려면 브라우저를 다시 시작하십시오.

Opera 브라우저에서 DNS-over-HTTPS 활성화

Opera 브라우저를 열고 설정(Alt + P)으로 이동합니다.
확장하다 고급의 왼쪽 메뉴에서.
시스템에서 토글 시스템의 DNS 설정 대신 DNS-over-HTTPS 사용 .
변경 사항을 적용하려면 브라우저를 다시 시작하십시오.

Opera의 내장 VPN 서비스를 비활성화할 때까지 보안 DNS 설정이 적용되지 않았습니다. Opera에서 DoH를 활성화하는 데 문제가 있는 경우 VPN을 비활성화해 보십시오.

비발디 브라우저에서 DNS-over-HTTPS 활성화

Vivaldi 브라우저를 열고 다음 URL로 이동합니다.
vivaldi://flags/#dns-over-https
선택하다 활성화됨 옆에 있는 드롭다운에서 보안 DNS 조회 .
변경 사항을 적용하려면 브라우저를 다시 시작하십시오.

Android에서 DNS-over-HTTPS를 활성화하는 방법

Android 9 Pie는 DoH 설정을 지원합니다. 아래 단계에 따라 Android 휴대전화에서 DoH를 활성화할 수 있습니다.

이동 설정 → 네트워크 및 인터넷 → 고급 → 사설 DNS .
이 옵션을 자동으로 설정하거나 보안 DNS 공급자를 직접 지정할 수 있습니다.

휴대전화에서 이러한 설정을 찾을 수 없는 경우 다음 단계를 따르세요.

QuickShortcutMaker 앱 다운로드 및 열기 Google Play 스토어에서.
설정으로 이동하여 다음을 탭합니다.
com.android.settings.Settings$NetworkDashboardActivity

그러면 보안 DNS 옵션을 찾을 수 있는 네트워크 설정 페이지로 바로 이동합니다.

DNS-over-HTTPS를 사용 중인지 어떻게 확인합니까?

장치 또는 브라우저에 대해 DoH가 제대로 활성화되었는지 확인하는 두 가지 방법이 있습니다.

이것을 확인하는 가장 쉬운 방법은 다음으로 이동하는 것입니다. 이 Cloudflare 브라우징 경험 확인 페이지 . 클릭 내 브라우저 확인 단추.

보안 DNS에서 DoH를 사용하는 경우 다음 메시지가 표시됩니다.|_+_|

DoH를 사용하지 않는 경우 다음 메시지가 표시됩니다.|_+_|

Windows 10 버전 2004는 포트 53 패킷을 실시간으로 모니터링하는 방법도 제공합니다. 이것은 시스템이 DNS-over-HTTPS를 사용하는지 아니면 레거시 Do53을 사용하는지 알려줍니다.

관리자 권한으로 PowerShell을 엽니다.
다음 명령을 실행합니다.
pktmon filter remove
이렇게 하면 활성 필터가 모두 제거됩니다(있는 경우).
pktmon filter add -p 53
이렇게 하면 모니터링 및 기록할 포트 53이 추가됩니다.
pktmon start --etw -m real-time
이것은 포트 53의 실시간 모니터링으로 시작됩니다.

목록에 많은 트래픽이 표시되면 DoH 대신 레거시 Do53이 사용되고 있음을 의미합니다.

위에서 언급한 명령은 Windows 10 버전 2004에서만 작동합니다. 그렇지 않으면 다음 오류가 표시됩니다. 알 수 없는 매개변수 '실시간'

DoH를 지원하는 이름 서버 목록

다음은 DNS-over-HTTPS를 지원하는 DNS 서비스 공급자 목록입니다.

공급자	호스트 이름	IP 주소
애드가드	dns.adguard.com	176,103,130,132 176,103,130,134
애드가드	dns-family.adguard.com	176,103,130,132 176,103,130,134
클린 브라우징	family-filter-dns.cleanbrowsing.org	185,228,168,168 185,228,169,168
클린 브라우징	Adult-filter-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
클라우드플레어	하나.하나.하나.하나 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
클라우드플레어	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
클라우드플레어	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
다음DNS	dns.nextdns.io	45.90.28.0 45.90.30.0
오픈DNS	dns.opendns.com	208.67.222.222 208.67.220.220
오픈DNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
오픈DNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
쿼드9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

DNS-over-HTTPS가 웹을 보다 안전하게 만들고 웹 전체에 균일하게 구현해야 하지만(예: HTTPS의 경우) 이 프로토콜은 시스템 관리자에게 악몽을 줄 것입니다.

시스템 관리자는 사내 DNS 서버가 DoH를 사용할 수 있도록 하는 동시에 공용 DNS 서비스를 차단하는 방법을 찾아야 합니다. 이는 조직 전체에서 현재 모니터링 장비 및 제한 정책을 활성 상태로 유지하기 위해 수행해야 합니다.

기사에서 놓친 것이 있으면 아래 의견에 알려주십시오. 기사가 마음에 들었고 새로운 사실을 알게 되었다면 친구 및 소셜 미디어에 공유하고 뉴스레터를 구독하십시오.