DNS Privacy - XIYO/asuswrt-merlin.ng-kr GitHub Wiki

DNS 개인 정보 보호

384.11에서 도입된 DNS 개인 정보 보호 기능을 통해 보안/암호화된 연결을 사용하여 DNS 쿼리를 더 안전하게 보호할 수 있습니다. 현재는 DNS-over-TLS (또는 DoT로 알려진)만 지원됩니다.## 설정 이 기능은 WAN -> 인터넷 연결 페이지에서 구성할 수 있습니다. 활성화할 때는 반드시 DoT 서버 목록에 최소한 하나의 서버를 입력해야 합니다. 프리셋 드롭다운 메뉴에서 항목을 선택한 다음 아래 목록에 추가 버튼을 클릭하여 테이블에 추가할 수 있습니다. 또한 기존 프리셋에서 제공되지 않는 서버를 추가하려면 목록에 서버 매개변수를 수동으로 입력할 수도 있습니다. 서버는 DoT 프로토콜을 명시적으로 지원해야 하며, ISP에서 제공하는 것과 같은 일반 DNS 서버를 사용할 수 없습니다. 또한 현재는 DoH 및 DNSCrypt 서버를 지원하지 않습니다.

서버 항목 필드 설명:

• 주소: DNS 서버의 IP 주소입니다.
• TLS 포트 (옵션): 사용할 포트 (비워두면 기본값인 853으로 설정됩니다).
• TLS 호스트 이름: 보안 인증서에서 사용되는 TLS 호스트 이름입니다.
• SPKI 지문 (옵션): 인증서의 SHA256 해시입니다 (서버 제공 업체가 이를 요구하는지 확인하거나 비워둡니다).

더 강화된 보안을 위해 DNSSEC도 활성화하고, 서버가 DNSSEC을 지원하는지 확인한 후에 무서운 응답도 검증하도록 설정하는 것이 좋습니다. 그렇지 않으면 이름 해결이 실패할 수 있습니다.

중요: LAN -> DHCP 페이지에서 사용자 정의 DNS 서버를 입력하지 않았는지 확인하십시오. DNS 개인 정보 보호를 사용하려면 DHCP 서버가 클라이언트를 라우터의 DNS 서버로 지정해야 합니다. 마찬가지로 클라이언트는 라우터의 IP 이외의 정적 DNS로 구성되지 않아야 합니다.

중요: IPv6에서 DNS 개인 정보 보호를 사용하려면 IPv6 페이지에서 IPv6 DNS 서버를 라우터의 LAN IPv6 링크 로컬 주소로 설정해야 합니다. 라우터의 LAN IPv6 링크 로컬 주소는 시스템 로그 -> IPv6 탭에서 찾을 수 있습니다. 링크 로컬 주소는 fe80으로 시작합니다.

DoT이 올바르게 사용되고 있는지 확인하기 위해 Entware를 통해 tcpdump를 설치하고 WAN 인터페이스 (일반적으로 eth0)의 포트 53과 853에서 트래픽을 모니터링할 수 있습니다:

tcpdump -i eth0 -p port 853 or 53 -n

이상적으로 포트 53에서는 더 이상 트래픽이 발생하지 않아야 하며, 모든 것이 포트 853로 전송되어야 합니다.

참고: Cloudflare에서 제공하는 인기 있는 DoT/DoH 테스트 사이트에서 현재 제대로 서명된 DNSSEC 호스트 이름을 사용하지 못해 테스트 중에 실패하는 문제가 있습니다. 이로 인해 DoT을 사용 중이라고 올바르게 감지하지 못할 수 있습니다. 이는 설정이 작동하지 않는다는 것을 나타내지 않으며, 이 문제는 향후 Cloudflare에서 해결될 것으로 기대됩니다. 임시로 무서운 레코드의 검증을 비활성화하여 이 문제를 피할 수 있지만, 추후에 이 옵션을 다시 활성화하는 것이 좋습니다.## 작동 방식 활성화하면 라우터로 보내는 모든 DNS 요청이 DNS 개인 정보 보호를 위해 구성한 서버로 리디렉션되어 연결이 암호화됩니다. 로컬 이름 해결에는 영향을 미치지 않으며, dnsmasq는 여전히 완전한 DNSSEC 및 리바인드 보호 서비스를 제공할 수 있습니다.

TLS는 올바르게 구성된 시계가 필요합니다. DNS 개인 정보 보호는 라우터의 시계가 NTP를 통해 올바르게 설정된 후에야 암호화를 사용하지 않습니다.

DNSDirector

DNSDirector는 여전히 이전처럼 작동하며 라우터의 WAN 페이지나 클라이언트 자체에서 사용하는 DNS 구성을 덮어쓰는 역할을 합니다. 클라이언트가 특정 DNS 서버 (예: OpenDNS)를 사용하도록 구성된 경우 해당 클라이언트는 여전히 OpenDNS를 사용하여 DNS 개인 정보 보호 설정을 우회합니다. 이는 또한 DNSDirector를 "라우터" 모드로 구성하여 클라이언트가 LAN에서 수행한 DNS 쿼리 (8.8.8.8과 같이 하드코딩된 DNS 서버와 함께)도 DNS 개인 정보 보호를 사용하도록 강제할 수 있다는 것을 의미합니다.

OpenVPN 클라이언트

이전과 거의 동일하게 작동합니다. "DNS 구성 수락"을 "독점"으로 설정한 OpenVPN 클라이언트는 여전히 VPN 서버에서 제공한 DNS 서버를 사용하여 DNS 개인 정보 보호를 우회합니다. OpenVPN 클라이언트 구성에서 DNS 구성을 "비활성화"로 설정하면 DNS 개인 정보 보호를 사용하도록 할 수 있지만, 일부 VPN 제공업체는 터널 외부로 DNS 쿼리를 보내는 것을 방지하여 정보 유출을 막기 위해 자체 DNS 서버 이외의 DNS 서버 사용을 차단할 수 있습니다. 연결하는 OpenVPN 서버를 신뢰한다면 일반적으로 독점 모드로 설정하는 것이 좋습니다. 이미 VPN 터널을 통해 DNS 쿼리가 암호화되어 있기 때문입니다 (터널을 사용하도록 구성된 모든 클라이언트에 대해).