Vlastné DNS: výhody, riziká a ako si ich správne vybrať

  • DNS server priamo ovplyvňuje vaše súkromie, bezpečnosť a rýchlosť prehliadania.
  • Vlastné nastavenia DNS vám umožňujú blokovať hrozby a reklamu, ale vyžadujú si väčšiu zodpovednosť a správnu konfiguráciu.
  • Výber spoľahlivých poskytovateľov a implementácia opatrení, ako je DNSSEC a šifrovanie, znižuje riziko spoofingu a otravy vyrovnávacej pamäte.
  • Verejné, súkromné ​​a VPN DNS servery ponúkajú rôzne úrovne kontroly, preto je rozumné zvážiť, komu zveríte svoje požiadavky.
Daniel Terrasa

12 minút

Vlastný DNS: Výhody a riziká

Ak používate VPN (pozrite si naše Technická podpora VPN vo WindowseAk často upravujete sieťové nastavenia, pravdepodobne ste už videli možnosti ako DNS špecifický pre poskytovateľa, integrované rozlíšenie, verejný DNS od spoločnosti Google alebo Cloudflare, Handshake alebo vlastný DNS ako Pi-holeNa prvý pohľad sa to zdá ako ďalšie nastavenie, ale výber DNS servera má vážny vplyv na vaše súkromie, bezpečnosť, výkon a dokonca aj na to, ktoré webové stránky môžete navštíviť.

Pri každodennom používaní zvyčajne nechávame nastavenia tak, ako sú: DNS od poskytovateľa internetových služieb alebo VPN je už spustenýPrechod na vlastný DNS (napríklad nastavenie Pi-hole doma alebo používanie služby ako Control-D) vám však môže poskytnúť oveľa väčšiu kontrolu nad prehliadaním, ale za cenu prevzatia určitých rizík a zodpovedností. Stojí za to pochopiť, čo DNS robí a aké výhody a nevýhody má každá alternatíva.

Čo je DNS a prečo je taký dôležitý?

Systém doménových mien (DNS) je „telefónny zoznam“ internetuPrekladá adresy čitateľné človekom (ako napríklad xataka.com alebo kaspersky.com) na číselné IP adresy, ktorým počítače rozumejú. Bez tohto automatického prekladu by ste nemohli prehliadať internet zadávaním názvov domén; museli by ste si pamätať dlhé čísla pre každú webovú stránku.

Váš poskytovateľ internetových služieb (ISP) vám zvyčajne poskytuje smerovač s niektorými predkonfigurované DNS servery ovládané samotným operátoromVždy, keď zadáte webovú adresu, vaše zariadenie odošle dotaz na DNS servery, aby našlo zodpovedajúcu IP adresu. To je kľúčové nielen pre načítanie webovej stránky, ale aj pre to, kto môže vidieť vaše dopyty a kto ich môže blokovať alebo manipulovať.

Proces rozlišovania mien zahŕňa niekoľko typov serverov: a rekurzívny riešiteľ, ktorý prijíma váš dopytKoreňové servery, servery domén najvyššej úrovne (TLD) (ako napríklad .com alebo .net) a autoritatívne doménové servery nakoniec vrátia správnu IP adresu. V mnohých prípadoch sa niektoré z týchto informácií ukladajú do vyrovnávacej pamäte, aby sa urýchlili budúce dotazy.

Keď do prehliadača zadáte doménu, systém sa ju najprv pokúsi rozlíšiť z lokálne vyrovnávacie pamäte (počítač, operačný systém, resolver)Ak tam nie je, dopyt putuje k rekurzívnemu resolveru, potom ku koreňovým serverom, potom k serverom TLD a nakoniec k autoritatívnym serverom, ktoré vracajú konečnú IP adresu. Toto všetko sa deje v milisekundách, ale každý skok je potenciálnou útočnou plochou alebo kontrolným bodom.

Jedným kritickým detailom je, že štandardne Tradičný DNS nezahŕňa šifrovanieTo znamená, že váš poskytovateľ internetových služieb aj akýkoľvek sprostredkovateľ s prístupom k vašej prevádzke vidia, ktoré domény navštevujete, hoci nevidia presný obsah stránok, ak používate HTTPS. Táto konštrukcia uľahčuje cenzuru, sledovanie a útoky, ak systém nie je správne zabezpečený.

DNS server a súkromie

Čo o vás vie osoba, ktorá riadi DNS?

Každá DNS požiadavka, ktorú vykonáte, zanecháva stopu. Vlastník DNS servera môže vidieť, z ktorej IP adresy odosielate dotazy a ku ktorým doménam sa pokúšate získať prístup.S touto jednoduchou dvojicou údajov (IP + doména + čas) je možné vytvoriť veľmi precízny profil vašich prehliadacích návykov.

Služby ako Google Public DNS to otvorene hovoria: Dočasne ukladajú vašu IP adresu (napríklad 24 – 48 hodín) a trvalo ukladajú ďalšie „anonymizované“ údaje o používaní.Vďaka tomu môžu zostavovať štatistiky, zlepšovať služby… a v prípade spoločností zameraných na reklamu obohatiť svoju segmentáciu, aj keď sľúbia, že ju s vami priamo nespájajú.

Poskytovatelia DNS tretích strán, ktorí sa viac zameriavajú na súkromie, ako napríklad Cloudflare alebo Quad9, sa propagujú tvrdením, že Nezaznamenávajú vašu IP adresu natrvalo, minimalizujú protokoly a nepredávajú údaje inzerentom.Ale stojí za to si to pamätať technicky Majú rovnakú právomoc vidieť vaše dotazy ako ktorýkoľvek iný DNS server: dôvera závisí od ich politiky, transparentnosti a nezávislých auditov.

Okrem toho je DNS spoločným kontrolným bodom pre vlády a prevádzkovateľov. Mnoho blokov webových stránok sa jednoducho aplikuje... zamietnutie rozpoznávania určitých domén v oficiálnom DNS krajiny alebo spoločnosti. Zmenou DNS môžete často obísť túto základnú cenzúru, hoci vo veľmi obmedzujúcich prostrediach sa môžu kombinovať aj iné techniky blokovania.

Je nevyhnutné tomu porozumieť Používanie alternatívneho DNS neskryje vašu IP adresu ani nenahradí VPNBezplatný verejný DNS nefunguje ako virtuálna súkromná sieť: webová stránka, ktorú navštívite, bude stále vidieť vašu skutočnú IP adresu a váš poskytovateľ internetových služieb bude stále schopný vidieť, ku ktorým IP adresám sa pripájate, aj keď doménu nevidí tak jasne, ak používate určité moderné technológie. DNS je vrstvou súkromia a zabezpečenia, ale nie je to kompletné riešenie.

DNS poskytovateľa internetových služieb, DNS VPN alebo vlastný DNS: typické možnosti

Mnoho poskytovateľov VPN ponúka niekoľko konfigurácií DNS: Používajte vlastný DNS, integrovaný resolver, Handshake, spravujte externý DNS (Google, Cloudflare atď.) alebo definujte vlastný DNS, napríklad domáci Pi-hole.Každá možnosť má iné dôsledky.

Keď ponecháte nastavenia na „jeho vlastnýVšetka vaša DNS prevádzka je riešená cez servery ovládané touto VPN. To má výhodu v tom, že požiadavky prechádzajú v rámci šifrovaného tunela, čím sa skrývajú požiadavky DNS od vášho poskytovateľa internetových služieb a znižujú sa úniky DNS, ale vy úplne dôverujete poskytovateľovi VPN, ktorý vidí, ku ktorým doménam pristupujete, kým je VPN aktívna.

Ak sa rozhodnete použiť externý DNS, ako napr. Google (8.8.8.8), Cloudflare (1.1.1.1) alebo inéV závislosti od zvolenej služby môžete získať rýchlosť a dodatočnú ochranu. Bez VPN však budú vaše dopyty stále odosielané priamo týmto riešiteľom a históriu svojej domény budete zdieľať s veľkou spoločnosťou, ktorej záujmy nemusia byť v súlade s vaším súkromím.

Možnosť „Existujúci DNSPovolenie možnosti „Použiť systémový DNS“ vo VPN zachová vaše existujúce nastavenia DNS. Je to pohodlné, ale môže to viesť k únikom DNS, ak klient VPN nevynúti použitie vlastných resolverov alebo nezašifruje tieto dotazy. Inými slovami, môžete si myslieť, že všetko prechádza cez VPN, ale vaše požiadavky na doménu stále smerujú k vášmu poskytovateľovi internetových služieb.

undefined Vlastný DNS (Napríklad, odkazovanie na Pi-hole alebo váš vlastný cloudový server) vám dáva maximálnu kontrolu: vy rozhodujete o tom, čo sa bude zaznamenávať, čo sa bude blokovať a ako sa to bude filtrovať. Potom sa však stávate zodpovednými za jeho bezpečnosť, dostupnosť a údržbu a ak ho neopatrne vystavíte na internete, môže sa stať bránou pre útoky.

google dns

Výhody používania vlastného DNS (Pi-hole, Control D a ďalšie)

Nastavte si vlastný DNS, buď pomocou Pi-hole vo vašej lokálnej sieti, váš vlastný server s DNSSEC alebo spravovaná služba ako Control-DPonúka množstvo výhod oproti používaniu predvoleného DNS servera poskytovateľa internetových služieb alebo dokonca niektorých všeobecných verejných DNS serverov.

Prvou hlavnou výhodou je možnosť blokovať hrozby pri zdrojiModerný DNS s aktuálnymi zoznamami blokovaných položiek môže zabrániť vášmu zariadeniu v rozpoznaní domén spojených so škodlivým softvérom, phishingom, kryptojackingom alebo škodlivou reklamou. Keďže „zlý“ názov domény nemožno preložiť na IP adresu, pripojenie sa jednoducho nenadviaže.

Tento „preventívny“ prístup predvída, čo by urobil tradičný antivírus, ktorý zvyčajne reaguje. keď je hrozba už vo vašom systéme aktívnaS filtrujúcim DNS sa jednoducho nikdy nestretnete so známymi nebezpečnými doménami, čo výrazne znižuje riziko pre domáce počítače a predovšetkým pre firemné siete s mnohými používateľmi.

Po druhé, použitie dobre optimalizovaného vlastného DNS môže zlepšiť výkon. blokovať reklamy, sledovacie nástroje a nepotrebné zdroje (a napríklad, odstráňte reklamy zo svojho Smart TVStránky sa načítavajú rýchlejšie, počet externých požiadaviek sa znižuje a spotreba šírky pásma sa znižuje. Pri slabom pripojení alebo sieťach s mnohými pripojenými zariadeniami môže byť rozdiel veľmi badateľný.

Ďalšou kľúčovou výhodou je zvýšené súkromie (pozri naše základné tipy na ochranu súkromia onlineRiešenia ako Pi-hole alebo služby zamerané na súkromie môžu zabrániť sledovacím zariadeniam a reklamným spoločnostiam v zhromažďovaní informácií o aktivite prehliadania prostredníctvom skriptov a sledovacích domén. Hoci to nie je univerzálny liek, výrazne to znižuje neustále „upozorňovanie“ na desiatky reklamných sietí počas prehliadania internetu.

Nakoniec, mnoho vlastných DNS serverov, ako napríklad Control D, ponúka relatívne jednoduché nastavenie s filtrovacími šablónami (napr. blokovanie dospelých, hier, sociálnych sietí atď.) a možnosti integrácie služby do rozsiahlych nasadení pomocou RMM alebo MDM v podnikoch. To zjednodušuje prenos tejto vrstvy zabezpečenia a kontroly na desiatky alebo stovky zariadení.

Riziká a nevýhody vlastného DNS

Druhou stranou mince je, že vlastný DNS tiež zavádza nové body zlyhania a zodpovednostiPrvý je zrejmý: ak váš DNS server zlyhá, preťaží sa alebo ho nesprávne nakonfigurujete, môžete nechať celú sieť bez zjavného prístupu na internet, pretože webové stránky sa prestanú načítavať, aj keď vaše pripojenie funguje.

Ak dôverujete neznámy alebo pochybný DNS serverRiziko sa znásobuje. Škodlivý alebo napadnutý DNS server môže manipulovať s vašimi požiadavkami a presmerovať vás na falošné webové stránky (phishing), nainštalovať malvér alebo zachytiť citlivé informácie. Útočníci často používajú techniky typu „otrava vyrovnávacej pamäte DNS“ alebo „únos DNS servera“ na presmerovanie návštevnosti na stránky, ktoré kontrolujú.

Okrem toho vlastný DNS nemusí mať rovnaké ochranné opatrenia proti DDoS útokom alebo útokom na infraštruktúru než hlavní poskytovatelia. Útok typu „denial-of-service“ na váš resolver môže znefunkčniť rozlíšenie mien pre všetkých používateľov, ktorí sú na ňom závislí. Preto, ak si nastavujete vlastný DNS pre firmu alebo kritickú službu, je vhodné ho nasadiť s redundanciou a v robustnej sieti.

Ďalším kritickým bodom je, že ak neimplementujete opatrenia ako DNSSEC alebo zabezpečené konfigurácie, váš server môže byť napadnutý. zraniteľné voči útokom na vyrovnávaciu pamäťV týchto prípadoch zločinec oklame prekladač domény, aby uveril, že legitímny názov domény v skutočnosti odkazuje na IP adresu podvodného servera. Odvtedy budú všetci používatelia, ktorí budú vyhľadávať doménu, dostávať zmanipulovanú adresu, kým sa vyrovnávacia pamäť nevymaže.

Nakoniec, veľmi agresívne filtrovanie DNS reklám, sledovacích nástrojov alebo kategórií obsahu môže spôsobiť falošne pozitívne výsledky a narušenie legitímnych funkciíWebové stránky, ktoré sa nenačítavajú správne, služby, ktoré prestanú fungovať, alebo bezpečnostné aktualizácie, ktoré nikdy nedorazia, pretože ich domény sú blokované. Správna úprava zoznamov a kontrola protokolov je nevyhnutná.

Vlastný DNS: Výhody a riziká

Konkrétne hrozby súvisiace s DNS a ako ich zmierniť

Keďže infraštruktúra DNS je taká kritická, je cieľom rôznych útokov. Toto sú tie najbežnejšie:

  • DDoS útoky (Distributed Denial of Service) proti DNS serverom webovej stránky alebo poskytovateľa. Bombardovaním servera škodlivou prevádzkou zahlcujú jeho zdroje a legitímne požiadavky sa už nespracovávajú, čo spôsobuje, že webové stránky počas trvania útoku „zmiznú“ z internetu.
  • preklepyIde o registráciu domén, ktoré sú takmer identické s doménami známych značiek, pričom sa zneužívajú preklepy používateľov. Nefiltrovaný DNS vás presmeruje na tieto falošné domény, ak ich napíšete nesprávne, a odtiaľ sa dajú veľmi presvedčivo spustiť phishingové útoky alebo krádeže prihlasovacích údajov.
  • Únos registrácie domény. Ak útočník ohrozí váš účet registrátora domény, môže zmeniť záznamy DNS a nasmerovať ich na servery, ktoré ovláda, čím môže dokonca zmeniť vlastníctvo domény. Na zníženie tohto rizika je nevyhnutné používať silné heslá, dvojfaktorové overovanie a registrátorov s robustnými bezpečnostnými opatreniami.
  • Otrava vyrovnávacej pamäte DNS Idú ešte o krok ďalej. Útočník vloží do vyrovnávacej pamäte DNS servera falošné údaje o konkrétnych doménach, aby sa budúce dopyty od nič netušiacich používateľov riešili pomocou podvodnej IP adresy. Keďže sa prehliadač spolieha na odpoveď DNS, používateľ môže nevedomky skončiť na falošnej kópii svojej banky alebo na stránke zamorenej škodlivým softvérom.

Na zmiernenie týchto rizík, Odporúča sa používať DNSSEC (rozšírenia zabezpečenia DNS)Tieto systémy pridávajú k odpovediam DNS kryptografické podpisy, aby sa zabezpečilo, že s údajmi nebola manipulovaná žiadna zmena. Doplnenie šifrovanej komunikácie (DoT, DoH, VPN) a prísnych zásad prístupu k serverom DNS výrazne znižuje riziko únosu alebo otravy.

Najbežnejšie verejné a súkromné ​​DNS servery

Okrem DNS serverov vášho poskytovateľa internetových služieb alebo VPN máte k dispozícii široký katalóg Bezplatné a otvorené DNS servery ktoré môžete manuálne nakonfigurovať na smerovači, počítači alebo mobilnom zariadení. Medzi najznámejšie patria:

  • Nechránený (208.67.222.222 a 208.67.220.220). Jedna z najstarších verejných služieb, v súčasnosti vo vlastníctve spoločnosti Cisco. Ponúka platené verzie a bezplatnú verziu s dobrou rýchlosťou, vysokou dostupnosťou, predvoleným blokovaním phishingových webových stránok a možnosťami rodičovskej kontroly.
  • CloudFlare (1.1.1.1 a 1.0.0.1). Zamerané na výkon a súkromie. Sľubuje, že vaše údaje nebude používať na reklamu a nezapíše vašu IP adresu na disk. Jeho nastavenie je zvyčajne veľmi rýchle a jednoduché, bez príliš veľa doplnkov.
  • Verejné DNS mapu (8.8.8.8 a 8.8.4.4). Určené pre menej technicky zdatných používateľov s dobrou dokumentáciou. Výmenou za túto jednoduchosť používania a výkon si po obmedzenú dobu uchováva anonymizované protokoly prehliadania a vašu IP adresu.
  • Comodo Secure DNS (8.26.56.26 a 8.20.247.20). Zamerané na blokovanie nebezpečných stránok, spyware a domén s nadmernou reklamou, pričom sa opierajú o skúsenosti spoločnosti Comodo v oblasti bezpečnosti.
  • Quad9 (9.9.9.9 a 149.112.112.112). Relatívne nový, ale zameraný na blokovanie škodlivých domén pomocou informácií o hrozbách z viacerých zdrojov. Ponúka dobrú rovnováhu medzi bezpečnosťou a výkonom.
  • Yandex. DNS (77.88.8.8 a 77.88.8.1). Ruská alternatíva so základnými profilmi a variantmi „Bezpečné“ (77.88.8.88 a 77.88.8.2) na blokovanie nebezpečných webových stránok a profilom „Rodina“ (77.88.8.7 a 77.88.8.3) na filtrovanie obsahu pre dospelých.
  • Zoznam verejných DNS serverovObrovská databáza, kde môžete vyhľadávať bezplatné DNS servery po celom svete a filtrovať ich podľa krajiny.

Pri výbere medzi opustením DNS vašej VPN, používaním verejných serverov alebo nastavením vlastnej siete Pi-hole je kľúčovým faktorom rozhodnutie. komu chcete zveriť zobrazenie vašich doménových dopytov a akú úroveň kontroly potrebujete nad filtrovaním, výkonom a súkromímPochopením výhod a rizík každej možnosti je oveľa jednoduchšie prispôsobiť nastavenia vašim prioritám bez neočakávaných problémov so zabezpečením alebo navigáciou.

odstrániť reklamy z inteligentného televízora
Súvisiaci článok:
Sprievodca odstránením reklám z vášho Smart TV