DNS over HTTPS (DoH): เพิ่มความปลอดภัย DNS สำหรับองค์กร
DNS over HTTPS (DoH) คือ protocol ที่เข้ารหัส DNS queries ผ่าน HTTPS (port 443) ทำให้ ISP, attacker หรือคนดัก traffic ไม่สามารถเห็นว่า users เข้า website อะไร DNS ปกติส่ง queries เป็น plaintext (port 53) ใครก็ตามที่อยู่ใน path (ISP, WiFi hotspot, attacker) สามารถเห็นและแก้ไข DNS queries ได้
สำหรับองค์กร DoH มีทั้งข้อดีและข้อเสีย ด้านหนึ่งเพิ่มความปลอดภัย แต่อีกด้านทำให้ IT ควบคุม DNS ได้ยากขึ้น (bypass DNS filtering) บทความนี้จะอธิบาย DoH, DoT และวิธีจัดการสำหรับองค์กร
DNS ปกติ vs DoH vs DoT
| คุณสมบัติ | DNS ปกติ | DoH (DNS over HTTPS) | DoT (DNS over TLS) |
|---|---|---|---|
| Port | 53 (UDP/TCP) | 443 (HTTPS) | 853 (TLS) |
| Encryption | ไม่มี (plaintext) | TLS (เหมือน HTTPS) | TLS |
| Privacy | ต่ำ (ISP เห็นทุก query) | สูง | สูง |
| Block ง่าย | ง่าย (block port 53) | ยาก (ปนกับ HTTPS traffic) | ง่าย (block port 853) |
| DNS Filtering | ทำได้ง่าย | ทำได้ยาก (bypass ง่าย) | ทำได้ (block port 853 + force internal DNS) |
ปัญหาของ DNS ปกติ
DNS Spoofing / Cache Poisoning
Attacker สามารถปลอม DNS response ให้ชี้ไปที่ IP ของ malicious server ได้ ตัวอย่าง: user query google.com attacker ตอบด้วย IP ของ phishing site user เข้า phishing site โดยไม่รู้ตัว DoH/DoT ป้องกันได้เพราะ response ถูก encrypted และ authenticated
DNS Snooping
ISP และคนดัก traffic เห็น DNS queries ทั้งหมด รู้ว่า users เข้า website อะไร อาจขาย browsing data หรือ inject ads WiFi hotspot อาจดัก DNS เพื่อ redirect traffic DoH ป้องกันได้เพราะ queries ถูก encrypted ใน HTTPS
DoH สำหรับองค์กร: ข้อดี
เพิ่ม Privacy
DNS queries ถูก encrypt ISP และ attacker ไม่เห็น ป้องกัน DNS spoofing ป้องกัน man-in-the-middle attacks บน DNS ป้องกัน ISP จาก data collection
ป้องกัน DNS-based Attacks
DNS hijacking ที่ WiFi hotspot หรือ compromised router ทำไม่ได้ เพราะ DNS traffic ถูก encrypt end-to-end ถึง DoH resolver
DoH สำหรับองค์กร: ข้อเสีย
Bypass DNS Filtering
ปัญหาใหญ่ที่สุด: ถ้า users ใช้ DoH ไปยัง public resolver (Google 8.8.8.8, Cloudflare 1.1.1.1) จะ bypass DNS filtering ขององค์กร องค์กรที่ใช้ DNS-based content filtering (block malware domains, inappropriate content) จะไม่สามารถ filter ได้ Firefox, Chrome เปิด DoH เป็น default ในบางประเทศ
Visibility ลดลง
IT team ไม่สามารถเห็น DNS queries ของ users (ใช้วิเคราะห์ security incidents) ไม่สามารถ log DNS queries สำหรับ compliance ไม่สามารถ detect malware ที่ใช้ DNS tunneling (ถ้า malware ใช้ DoH)
กลยุทธ์สำหรับองค์กร
Option 1: Internal DoH Resolver
ตั้ง DoH resolver ภายในองค์กร (เช่น Pi-hole + cloudflared, AdGuard Home, Technitium DNS) users ใช้ DoH แต่ไปที่ internal resolver (ไม่ใช่ public) IT ยัง control DNS filtering ได้ + users ได้ encryption ตั้ง Group Policy บังคับให้ browsers ใช้ internal DoH resolver
Option 2: Block External DoH
Block DoH ไปยัง public resolvers: Block known DoH endpoints (dns.google, cloudflare-dns.com, doh.opendns.com) ใน firewall Block port 853 (DoT) Force DNS ผ่าน internal DNS server (DHCP assign internal DNS) ใช้ SSL inspection สำหรับ detect DoH traffic (advanced)
Option 3: Managed DoH (แนะนำ)
ใช้ managed DNS security service ที่รองรับ DoH: Cisco Umbrella, Cloudflare Gateway, Zscaler DNS Security ให้ DoH encryption + DNS filtering + logging + threat protection ในตัวเดียว deploy agent บน endpoints ที่บังคับใช้ managed DoH resolver
ตั้งค่า DoH บน Clients
| Client | วิธีตั้งค่า |
|---|---|
| Windows 11 | Settings → Network → DNS → Encrypted DNS (DoH) ใส่ DoH server |
| Firefox | Settings → Privacy & Security → DNS over HTTPS → Custom provider |
| Chrome | Settings → Privacy → Security → Use secure DNS → Custom provider |
| macOS | System Settings → Network → DNS → ใช้ DNS profile (.mobileconfig) |
| Group Policy | Administrative Templates → DNS Client → Configure DoH |
DNSSEC vs DoH
| คุณสมบัติ | DNSSEC | DoH/DoT |
|---|---|---|
| ป้องกัน | DNS spoofing (data integrity) | DNS snooping (privacy) |
| Encryption | ไม่มี (sign แต่ไม่ encrypt) | มี (encrypt ทั้ง query + response) |
| Privacy | ไม่ช่วย (queries ยัง plaintext) | ช่วย (queries encrypted) |
| แนะนำ | ใช้ร่วมกับ DoH/DoT | ใช้ร่วมกับ DNSSEC |
ใช้ทั้ง DNSSEC + DoH เพื่อ security ที่ครบถ้วน: DNSSEC ป้องกัน data integrity, DoH ป้องกัน privacy
ทิ้งท้าย: DoH เป็นอนาคตของ DNS
DoH กำลังเป็นมาตรฐานใหม่ browsers เปิดใช้เป็น default มากขึ้น องค์กรต้องเตรียมตัว: ตั้ง internal DoH resolver หรือใช้ managed DNS security service อย่าปล่อยให้ users bypass DNS filtering โดยไม่รู้ตัว
อ่านเพิ่มเติมเกี่ยวกับ RADIUS Authentication และ Zero Trust Network ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
