DNS over TLS (DoT) và DNS over HTTPS (DoH) là 2 giao thức được sử dụng để bảo mật cho các truy vấn DNS. Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình DoT và DoH trên các dòng Firewall Fortigate
Chú ý: trước khi cấu hình DoT và DoH, các bạn phải đảm bảo các DNS Server được sử dụng hỗ trợ các tính năng. Nếu DNS Server không hỗ trợ DoT và DoH, server sẽ drop các truy vấn DNS. Hiện nay thì các DNS của Cloudflare, Google… đều đã hỗ trợ DoT và DoH.
DoT và DoH trên Fortigate hỗ trợ DNS Local cho các lưu lượng DNS nội bộ hoặc DNS Server để lắng nghe các các yêu cầu DoT và DoH.
Mục lục
Cấu hình DoT và DoH cho Firewall DNS Local
Cấu hình trên giao diện web
Để cấu hình DNS cho nội bộ Firewall trên giao diện web, các bạn truy cập vào menu Network > DNS.
- DNS Servers: chọn Specify để nhập các DNS tùy chọn.
- Primary DNS Server: Nhập DNS sẽ sử dụng chính để truy vấn.
- Secondary DNS Server: nhập DNS backup trong trường hợp DNS chính không kết nối được.
- Tích chọn TLS (TCP/853) để bật DNS over TLS (DoT).
- Tích chọn HTTPS (TCP/443) để bật DNS over HTTPS (DoH).
- Các bạn có thể import các SSL Certificate để sử dụng.
Cấu hình trong CLI
Để cấu hình trong CLI, các bạn có thể truy cập vào CLI Console trong giao diện web, TELNET hoặc SSH vào firewall. Protocol cleartext là DNS thông thường sử dụng port TCP/UDP 53, còn DoT và DoH các bạn bật theo nhu cầu.
CNTTShop-FW # config system dns
CNTTShop-FW (dns) # set primary 8.8.8.8
CNTTShop-FW (dns) # set secondary 1.1.1.1
CNTTShop-FW (dns) # set protocol cleartext dot doh
CNTTShop-FW (dns) # endCấu hình DoH trên DNS Server
Enable DoH trên giao diện web
Để cấu hình DoT và DoH khi Fortigate hoạt động như 1 DNS Server lắng nghe các truy vấn DNS, các bạn vào menu Network > DNS Servers, nhấn Create New trong mục DNS Service on Interface.
Trong cửa sổ New DNS Service, các bạn cấu hình thông số cho DNS Server:
- Interface: chọn cổng được sử dụng để xử lý các truy vấn DNS.
- Mode: chọn mode phù hợp với thiết kế mạng.
- DNS Filter: các bạn có thể tích enable và chọn các DNS Filter Profile, phần này là tùy chọn. Các bạn có thể cấu hình DNS Filter Profile trong menu Security Profiles > DNS Filter.
- Tích chọn DNS over HTTPS. Tuy nhiên DoH sử dụng port 443 TCP nên có thể sẽ bị trùng lặp với port HTTPS trên interface. Các bạn có thể đổi port cho HTTPS nếu cần.
Cấu hình DoH trên CLI
Trên giao diện dòng lệnh, các bạn set doh enable để bật DoH, còn dnsfilter-profile là tùy chọn.
CNTTShop-FW # config system dns-server
CNTTShop-FW (dns-server) # edit “port1”
CNTTShop-FW (port1) # set dnsfilter-profile “default”
CNTTShop-FW (port1) # set doh enable
CNTTShop-FW (dns) # endOk như vậy là mình đã hướng dẫn các bạn cấu hình DoT và DoH trên firewall Fortigate. Nếu các bạn có góp ý hay thắc mắc nào, hãy để lại comment để mọi người cùng trao đổi nhé.
Chúc các bạn thành công!