Hướng dẫn cấu hình DoT và DoH trên firewall Fortigate

DNS over TLS (DoT) và DNS over HTTPS (DoH) là 2 giao thức được sử dụng để bảo mật cho các truy vấn DNS. Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình DoT và DoH trên các dòng Firewall Fortigate. Để hiểu thêm về DoT và DoH, các bạn có thể tham khảo bài viết: DoH và DoT là gì? Khi nào thì sử dụng DoH và DoT.

Nội dung

Cấu hình DoT và DoH cho Firewall DNS Local
- Cấu hình trên giao diện web
- Cấu hình trong CLI
Cấu hình DoH trên DNS Server
- Enable DoH trên giao diện web
- Cấu hình DoH trên CLI

Note: trước khi cấu hình DoT và DoH, các bạn phải đảm bảo các DNS Server được sử dụng hỗ trợ các tính năng. Nếu DNS Server không hỗ trợ DoT và DoH, server sẽ drop các truy vấn DNS. Hiện nay thì các DNS của Cloudflare, Google... đều đã hỗ trợ DoT và DoH.

DoT và DoH trên Fortigate hỗ trợ DNS Local cho các lưu lượng DNS nội bộ hoặc DNS Server để lắng nghe các các yêu cầu DoT và DoH.

Cấu hình DoT và DoH cho Firewall DNS Local

Cấu hình trên giao diện web

Để cấu hình DNS cho nội bộ Firewall trên giao diện web, các bạn truy cập vào menu Network > DNS.

DNS Servers: chọn Specify để nhập các DNS tùy chọn.
Primary DNS Server: Nhập DNS sẽ sử dụng chính để truy vấn.
Secondary DNS Server: nhập DNS backup trong trường hợp DNS chính không kết nối được.
Tích chọn TLS (TCP/853) để bật DNS over TLS (DoT).
Tích chọn HTTPS (TCP/443) để bật DNS over HTTPS (DoH).
Các bạn có thể import các SSL Certificate để sử dụng.

cấu hình DOT và DOH cho local DNS trên firewall

Cấu hình trong CLI

Để cấu hình trong CLI, các bạn có thể truy cập vào CLI Console trong giao diện web, TELNET hoặc SSH vào firewall. Protocol cleartext là DNS thông thường sử dụng port TCP/UDP 53, còn DoT và DoH các bạn bật theo nhu cầu.

CNTTShop-FW # config system dns
CNTTShop-FW (dns) # set primary 8.8.8.8
CNTTShop-FW (dns) # set secondary 1.1.1.1
CNTTShop-FW (dns) # set protocol cleartext dot doh
CNTTShop-FW (dns) # end

Cấu hình DoH trên DNS Server

Enable DoH trên giao diện web

Để cấu hình DoT và DoH khi Fortigate hoạt động như 1 DNS Server lắng nghe các truy vấn DNS, các bạn vào menu Network > DNS Servers, nhấn Create New trong mục DNS Service on Interface.

Trong cửa sổ New DNS Service, các bạn cấu hình thông số cho DNS Server:

Interface: chọn cổng được sử dụng để xử lý các truy vấn DNS.
Mode: chọn mode phù hợp với thiết kế mạng.
DNS Filter: các bạn có thể tích enable và chọn các DNS Filter Profile, phần này là tùy chọn. Các bạn có thể cấu hình DNS Filter Profile trong menu Security Profiles > DNS Filter.
Tích chọn DNS over HTTPS. Tuy nhiên DoH sử dụng port 443 TCP nên có thể sẽ bị trùng lặp với port HTTPS trên interface. Các bạn có thể đổi port cho HTTPS nếu cần.

bật DNS over HTTPS

Cấu hình DoH trên CLI

Trên giao diện dòng lệnh, các bạn set doh enable để bật DoH, còn dnsfilter-profile là tùy chọn.

CNTTShop-FW # config system dns-server
CNTTShop-FW (dns-server) # edit "port1"
CNTTShop-FW (port1) # set dnsfilter-profile "default"
CNTTShop-FW (port1) # set doh enable
CNTTShop-FW (dns) # end

Ok như vậy là mình đã hướng dẫn các bạn cấu hình DoT và DoH trên firewall Fortigate. Nếu các bạn có góp ý hay thắc mắc nào, hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).