DoH dengan Mikrotik

 Pendahuluan

Disclaimer: Penulis membagikan informasi ini untuk tujuan edukasi, segala tindakan yang melanggar etika dan hukum berada sepenuhnya di tanggung jawab pembaca yang mencoba dan melakukan.

    DNS yang berfungsi mentranslasi sebuah alamat website menjadi IP Address merupakan hal terpenting dalam bagian dari jaringan internet. Namun jika diperhatikan, traffic DNS pada umumnya yang menggunakan port 53 tidak dienkripsi sedangkan di masa sekarang traffic yang tidak terenkripsi sudah dirasa sangat tidak aman.

Gambar 1. Contoh traffic DNS pada umumnya yang tidak terenkripsi pada port 53.

Hal ini membuat traffic DNS rentan untuk diketahui oleh pihak lain ataupun dimodifikasi oleh pihak yang tidak bertanggung jawab. Selain itu, DNS yang tidak terenkripsi dimanfaatkan oleh beberapa pihak ISP untuk melakukan pengalihan traffic agar pelanggan tidak mengunjungi situs tersebut (dibaca: diblokir/pengendalian konten/internet positif). Hal ini dilakukan oleh ISP dengan memaksa pelanggan menggunakan DNS server mereka yang telah diatur sedemikian rupa sehingga semua website yang masuk dalam daftar blokir akan dialihkan ke sebuah alamat peringatan/informasi pemblokiran.

Gambar 2. Alur DNS Request

Gambar 3. Halaman reddit yang tidak bisa diakses.

Gambar 4. DNS replies/response dari ISP yang mengalihkan reddit ke halaman blokir/safeplace.

Gambar 5. Salah satu contoh web informasi blokir ISP

Oleh karena itu, dibuatlah standar DoH (DNS over HTTPS) oleh IETF melalui publikasi RFC 8484. Hal ini dibuat untuk mengenkripsi / membungkus traffic DNS dengan traffic HTTPS melalui protokol UDP sehingga traffic tidak bisa dilihat oleh pihak ke 3 yang meningkatkan keamanan serta privasi user internet.

Mikrotik, bisa dengan mudah diatur untuk menggunakan DoH. Maka dari itu, penulis akan mengimplementasikan DoH pada Mikrotik untuk digunakan pada jaringan lokal penulis agar dapat mengakses website yang diblokir oleh ISP serta membuat DNS traffic terenkripsi melalui protokol HTTPS.

Pembahasan


    Seting dimulai dengan mengakses router mikrotik, ada beberapa hal yang perlu dirubah yaitu:
  1. Konfigurasi DNS pada mikrotik
  2. Flushing Cache DNS pada Mikrotik dan Perangkat Client
  3. Validasi keaktifan fitur DoH pada Mikrotik dan Perangkat Client

Gambar 6. Topologi percobaan.


Cek konfigurasi pada bagian IP > DNS, pada perangkat mikrotik penulis terdapat dynamic server DNS yang telah diisi secara otomatis karena perangkat mikrotik penulis memiliki posisi sebagai DHCP Client sehingga perlu kita hapus dynamic server DNS tersebut agar dapat menggunakan alamat DNS yang ingin kita atur. Hal ini bisa dilakukan dengan cara IP > DHCP Client lalu hilangkan ceklis pada "Use Peer DNS"

Gambar 7. DNS Setting default


Gambar 8. DHCP Client configuration

Kemudian, pada bagian Gambar 7. (Konfigurasi DNS) akan hilang dynamic server karena sudah dilakukan proses seperti Gambar 8. Mulai dari tahap ini, pembaca bisa memilih DoH preferensi masing-masing. Penulis pada kesempatan ini akan menggunakan WARP DNS yang beralamat 1.1.1[.]1 dan 1.0.0[.]1 dengan konfigurasi DoH yang telah disediakan.

Gambar 9. Konfigurasi DoH

Untuk WARP DoH sendiri, pada bagian konfigurasi DNS (Gambar 7) alamat server diisi dengan alamat 1.1.1[.]1 atau 1.0.0[.]1 dengan bagian Use DoH Server diisi "https://cloudflare-dns.com/dns-query". Kemudian tambahkan juga alamat server tersebut ke bagian static (opsional). Langkah selanjutnya adalah menghapus cache DNS dengan cara IP > DNS > Cache > Flush Cache. Lakukan juga (flush dns) pada perangkat client. Jika sudah, maka perangkat client perlu melakukan kembali DHCP agar konfigurasi DNS pada perangkat client juga diperbarui secara otomatis dengan konfigurasi mikrotik.

Gambar 10. Flush DNS pada Windows

Gambar 11. Request DHCP Windows.

Gambar 12. Jika berhasil, maka DNS Server perangkat client
akan berganti ke DNS Server WARP.

Ketika dilakukan uji coba dengan mengunjungi reddit lagi, terlihat bahwa website sudah bisa diakses.

Gambar 13. Tampilan r/indonesia pada reddit.

Ketika dilakukan inspeksi pada wireshark juga, tidak ditemukan DNS request yang secara terbuka/plain pada traffic. Hal ini menandakan bahwa DNS request terhadap perangkat sudah dienkapsulapsi dengan HTTPS traffic.

Gambar 14. Tidak ada request DNS yang terlihat secara plain untuk www[.]reddit[.]com.


Bagaimana ini bisa terjadi? Penulis mengilustrasikan secara sederhana dengan gambar dibawah ini:


Info:
PakAmba[.]com adalah DoH Server yang digunakan
PC adalah perangkat client

Kesimpulan


DoH sangat penting untuk meningkatkan keamanan dan privasi traffic DNS pengguna pada jaringan. ISP yang menggunakan metode pengalihan traffic dengan menginspeksi DNS request pelanggan dapat dikelabui dengan cara ini. DoH membuat traffic DNS yang bersifat plain secara default di port 53 terbungkus dengan protokol lain yaitu HTTPS pada port 443. Dengan cara ini, pelanggan dapat mengunjungi alamat yang biasanya dialihkan ISP karena sudah mengetahui/mendapat alamat IP yang sebenarnya dari tujuan yang diinginkan.

Komentar

Posting Komentar

Postingan populer dari blog ini

OSPF Mikrotik v7

Gambar
 Pendahuluan      Pada saat penulis mendapatkan pelatihan MTCNA dan MTCRE kemarin, rata-rata mikrotik yang digunakan terpasang RouterOS v6 dan v5. Ketika penulis melakukan review terhadap materi dengan langsung implementasi pada perangkat virtual yang dimiliki, ternyata RouterOS v7 terjadi perubahan sedikit terutama pada setup routing OSPF. Pada tulisan ini, penulis akan mencoba mengimplementasikan kembali ilmu yang pernah dipelajari tentang routing OSPF antar perangkat mikrotik di versi RouterOS v7. Pembahasan Penulis melakukan implementasi pada lingkungan virtual GNS3. Topologi diatur seperti gambar dibawah ini: Gambar 1. Topologi pada GNS3 (abaikan cisco di R1 karena penulis masih bingung integrasinya) Semua mikrotik sudah diatur pada konfigurasi dasar (IP, DNS, DHCP Client+Server, NAT). Pada konfigurasi dasar, vPC yang tersambung pada mikrotik masih tidak bisa berkomunikasi satu sama lain karena tidak dibuat routing yang mengarah pada jaringan mereka masing-masin...
Read more »

VRRP di Mikrotik, Redundansi Gateway Jaringan

Gambar
 Pendahuluan      Jika pada  post sebelumnya penulis menyajikan redundansi terhadap routing/link jaringan melalui routing OSPF, maka kali ini penulis akan menunjukkan bagaimana redundansi terhadap perangkat router yang menjadi gateway banyak client. Ketika suatu perangkat router mengalami fail maka otomatis packet dibawah router tidak bisa diteruskan, sehingga diciptakan protokol VRRP (Virtual Router Redundancy Protocol) untuk menanggulangi masalah tersebut. Protokol ini akan menyiapkan suatu perangkat router lain sebagai backup apabila router utama gagal. Perangkat-perangkat dibawahnya tidak perlu mengganti IP Gateway karena dengan protokol ini akan disematkan IP pada interface virtual yang dihandle oleh lebih dari 1 router. Pembahasan     Pada percobaan kali ini, dibuat topologi seperti berikut: Gambar 1 . Topologi jaringan yang akan dipasang VRRP pada GNS3. Keterangan: Jaringan client dan router akan mengambil 10.10.1.0/28 IP untuk interface VRRP a...
Read more »