Egyedi DNS: előnyök, kockázatok és a megfelelő kiválasztás módja

  • A DNS-kiszolgáló közvetlenül befolyásolja az adatvédelmet, a biztonságot és a böngészési sebességet.
  • Az egyéni DNS-beállítások lehetővé teszik a fenyegetések és a hirdetések blokkolását, de nagyobb felelősséget és megfelelő konfigurációt igényelnek.
  • A megbízható szolgáltatók kiválasztása és az olyan intézkedések bevezetése, mint a DNSSEC és a titkosítás, csökkenti a hamisítás és a gyorsítótár-mérgezés kockázatát.
  • A nyilvános, privát és VPN DNS-kiszolgálók különböző szintű felügyeletet kínálnak; érdemes megfontolni, hogy kinek bízza meg a lekérdezéseit.
Daniel Terrasa

12 perc

Egyéni DNS: Előnyök és kockázatok

Ha VPN-t használ (lásd a VPN technikai támogatás Windows rendszerenHa gyakran babrálsz a hálózati beállításokkal, valószínűleg láttál már olyan lehetőségeket, mint a Szolgáltatóspecifikus DNS, integrált felbontás, nyilvános DNS a Google-tól vagy a Cloudflare-től, Handshake, vagy egyéni DNS, mint például a Pi-holeElső pillantásra úgy tűnik, mintha csak egy újabb beállítás lenne, de a DNS-kiszolgáló megválasztása komoly hatással van az adatvédelemre, a biztonságra, a teljesítményre, sőt még arra is, hogy mely webhelyeket látogathatja.

A mindennapi használat során általában a beállításokat úgy hagyjuk, ahogy vannak: Az internetszolgáltató vagy VPN-szolgáltató DNS-szolgáltatása már futAzonban az egyéni DNS-re való áttérés (például egy Pi-hole otthoni beállítása vagy egy olyan szolgáltatás használata, mint a Control-D) sokkal nagyobb kontrollt biztosíthat a böngészés felett, bizonyos kockázatok és felelősségvállalás árán. Érdemes megérteni, hogy mit csinál a DNS, és milyen előnyei és hátrányai vannak az egyes alternatíváknak.

Mi a DNS és miért olyan fontos?

A Domain Name System (DNS) az internet „telefonkönyve”.Az ember által olvasható címeket (mint például a xataka.com vagy a kaspersky.com) numerikus IP-címekké alakítja, amelyeket a számítógépek megértenek. Enélkül az automatikus fordítás nélkül nem tudna böngészni az interneten domainnevek begépelésével; hosszú számokat kellene megjegyeznie minden weboldalhoz.

Az internetszolgáltatód (ISP) általában egy routert biztosít, amely valamilyen funkcióval rendelkezik. előre konfigurált DNS-kiszolgálók, amelyeket maga az üzemeltető vezérelMinden alkalommal, amikor beír egy webcímet, az eszköz lekérdezi a DNS-kiszolgálókat a megfelelő IP-cím megtalálásához. Ez nemcsak a weboldal betöltése szempontjából kulcsfontosságú, hanem azt is meghatározza, hogy kik láthatják a lekérdezéseidet, és kik blokkolhatják vagy manipulálhatják ezeket a kéréseket.

A névfeloldási folyamat többféle szervert foglal magában: a rekurzív megoldó, amely fogadja a lekérdezésedetA gyökérszerverek, a legfelső szintű domain (TLD) szerverek (például .com vagy .net) és a mérvadó domain szerverek végső soron a helyes IP-címet adják vissza. Sok esetben ezen információk egy részét gyorsítótárba helyezik a jövőbeli lekérdezések felgyorsítása érdekében.

Amikor beír egy domaint a böngészőbe, a rendszer először megpróbálja feloldani azt a következőből: helyi gyorsítótárak (számítógép, operációs rendszer, feloldó)Ha nincs ott, a lekérdezés a rekurzív feloldóhoz, majd a gyökérszerverekhez, majd a TLD-szerverekhez, végül pedig a mérvadó szerverekhez jut, amelyek visszaadják a végső IP-címet. Mindez ezredmásodpercek alatt történik, de minden ugrás potenciális támadási felület vagy ellenőrzési pont.

Egy kritikus részlet, hogy alapértelmezés szerint A hagyományos DNS nem tartalmaz titkosítástEz azt jelenti, hogy mind az internetszolgáltatód, mind a forgalmadhoz hozzáférő közvetítők láthatják, hogy mely domaineket látogatod, bár nem láthatják az oldalak pontos tartalmát, ha HTTPS-t használsz. Ez a kialakítás megkönnyíti a cenzúrázást, a nyomon követést és a támadásokat, ha a rendszer nincs megfelelően biztosítva.

DNS-kiszolgáló és adatvédelem

Mit tud rólad az, aki a DNS-t kezeli?

Minden DNS-kérés nyomot hagy. A DNS-kiszolgáló tulajdonosa láthatja, hogy melyik IP-címről kezdeményez lekérdezést, és mely domainekhez próbál hozzáférni.Ezzel az egyszerű adatpárral (IP + domain + idő) máris felépíthető a böngészési szokásaid nagyon finomított profilja.

Olyan szolgáltatások, mint a Google Public DNS, nyíltan kimondják: Ideiglenesen tárolják az IP-címedet (például 24-48 órán keresztül), és véglegesen tárolnak más „anonimizált” használati adatokat.Ezáltal statisztikákat tudnak készíteni, javítani a szolgáltatást… és – reklámalapú vállalatok esetében – gazdagítani a szegmentációjukat, még akkor is, ha ígéretet tesznek arra, hogy nem hozzád kötik közvetlenül.

Az adatvédelemre jobban összpontosító harmadik féltől származó DNS-szolgáltatók, mint például a Cloudflare vagy a Quad9, azzal hirdetik magukat, hogy Nem naplózzák véglegesen az IP-címedet, minimalizálják a naplókat, és nem adnak el adatokat hirdetőknek.De érdemes megjegyezni, hogy technikailag Ugyanolyan jogosultsággal rendelkeznek a lekérdezéseid megtekintésére, mint bármely más DNS-kiszolgáló: a bizalom a szabályzatuktól, az átláthatóságuktól és a független auditoktól függ.

Továbbá a DNS egy közös ellenőrzőpont a kormányok és az üzemeltetők számára. Sok weboldalblokkolót egyszerűen alkalmaznak... bizonyos domainek feloldásának megtagadása a hivatalos DNS-ben az ország vagy a vállalat DNS-címének módosításával gyakran megkerülhető ez az alapvető cenzúra, bár nagyon korlátozó környezetekben más blokkoló technikák is alkalmazhatók.

Ennek megértése elengedhetetlen Az alternatív DNS használata nem rejti el az IP-címét, és nem helyettesíti a VPN-tEgy ingyenes nyilvános DNS nem működik virtuális magánhálózatként: a meglátogatott webhely továbbra is látni fogja a valódi IP-címedet, és az internetszolgáltatód továbbra is látni fogja, hogy melyik IP-címekhez csatlakozol, még akkor is, ha bizonyos modern technológiák használata esetén nem látják olyan tisztán a domaint. A DNS az adatvédelem és a biztonság egyik rétege, de nem teljes megoldás.

Internetszolgáltató DNS, VPN DNS vagy egyéni DNS: tipikus lehetőségek

Sok VPN-szolgáltató számos DNS-konfigurációt kínál: Használj saját DNS-t, integrált DNS-feloldót, Handshake-et, tarts karban külső DNS-t (Google, Cloudflare stb.), vagy definiálj egyéni DNS-t, például egy otthoni Pi-hole-t.Minden opciónak más következményei vannak.

Amikor a beállításokat „a sajátjaAz összes DNS-forgalmadat az adott VPN által vezérelt szervereken keresztül bonyolítják le. Ennek az az előnye, hogy a lekérdezések a titkosított alagúton belül haladnak, elrejtve a DNS-kéréseket az internetszolgáltatód elől és csökkentve a DNS-szivárgásokat, de te minden bizalmadat a VPN-szolgáltatóba helyezed, aki láthatja, hogy mely domainekhez férsz hozzá, amíg a VPN aktív.

Ha külső DNS-t használ, például Google (8.8.8.8), Cloudflare (1.1.1.1) vagy másokA választott szolgáltatástól függően sebességet és némi extra védelmet nyerhetsz. VPN nélkül azonban a lekérdezéseid továbbra is közvetlenül ezekhez a feloldókhoz lesznek küldve, és a domain előzményeidet egy nagyvállalattal osztod meg, amelynek érdekei esetleg nem egyeznek az adatvédelmeddel.

Az opció "Meglévő DNSA VPN-ben a „Rendszer DNS használata” engedélyezése megőrzi a meglévő DNS-beállításokat. Ez kényelmes, de DNS-szivárgásokhoz vezethet, ha a VPN-kliens nem kényszeríti ki a saját DNS-feloldóinak használatát, vagy nem titkosítja ezeket a lekérdezéseket. Más szóval, azt gondolhatod, hogy minden a VPN-en keresztül megy, de a domainkérelmeid továbbra is az internetszolgáltatódhoz érkeznek.

sok Egyéni DNS (Például egy Pi-lyukra vagy a saját felhőszerveredre mutató hivatkozással maximális kontrollt kapsz: te döntöd el, hogy mi kerül naplózásra, mi kerül blokkolásra és hogyan kerül szűrésre. Azonban ezután te leszel a felelős a biztonságáért, elérhetőségéért és karbantartásáért, és ha gondatlanul kiteszed az internetre, az támadások kapujává válhat.

google dns

Az egyéni DNS használatának előnyei (Pi-hole, Control D és mások)

Állítson be egyéni DNS-t, akár egy Pi-lyuk a helyi hálózaton, saját szerver DNSSEC-kel, vagy egy felügyelt szolgáltatás, mint például a Control-DSzámos előnnyel rendelkezik az internetszolgáltató alapértelmezett DNS-ének vagy akár néhány általános nyilvános DNS-nek a használatával szemben.

Az első jelentős előny az a képesség, hogy blokkolja a fenyegetéseket a forrásuknálEgy modern, naprakész tiltólistákkal rendelkező DNS megakadályozhatja, hogy az eszközöd feloldja a rosszindulatú programokkal, adathalászattal, kriptovalutákkal vagy rosszindulatú hirdetésekkel kapcsolatos domaineket. Mivel a „rossz” domainnév nem fordítható le IP-címmé, a kapcsolat egyszerűen nem jön létre.

Ez a „megelőző” megközelítés előre látja, mit tenne egy hagyományos víruskereső, amely általában reagál. amikor a fenyegetés már folyamatban van a rendszeredbenEgy szűrő DNS-sel egyszerűen soha nem kerülsz kapcsolatba ismert veszélyes domainekkel, ami nagymértékben csökkenti a kockázatot az otthoni számítógépek, és mindenekelőtt a sok felhasználóval rendelkező üzleti hálózatok esetében.

Másodszor, egy jól optimalizált egyéni DNS használata javíthatja a teljesítményt. blokkolja a hirdetéseket, a nyomkövetőket és a felesleges erőforrásokat (és például, távolítsa el a hirdetéseket a Smart TV-nAz oldalak gyorsabban töltődnek be, csökken a külső kérések száma és a sávszélesség-fogyasztás is. Szerény kapcsolatokon vagy sok csatlakoztatott eszközzel rendelkező hálózatokon a különbség nagyon is észrevehető lehet.

Egy másik fontos előny a fokozott adatvédelem (lásd a alapvető online adatvédelmi tippekOlyan megoldások, mint a Pi-hole vagy az adatvédelemre összpontosító szolgáltatások, megakadályozhatja, hogy a nyomkövetők és a hirdetőcégek gyűjtsék a böngészési tevékenységeit szkripteken és követődoméneken keresztül. Bár nem csodaszer, jelentősen csökkenti a folyamatos „tippeket” tucatnyi hirdetési hálózathoz, miközben az interneten böngész.

Végül, számos egyéni DNS-kiszolgáló, mint például a Control D, kínál viszonylag egyszerű beállítás, szűrősablonokkal (pl. felnőttek, játékok, közösségi hálózatok blokkolása stb.) valamint a szolgáltatás integrálásának lehetőségei nagyméretű telepítésekbe RMM vagy MDM használatával vállalatoknál. Ez leegyszerűsíti a biztonsági és vezérlési réteg tucatnyi vagy akár több száz eszközre való kiterjesztését.

Az egyéni DNS kockázatai és hátrányai

Az érem másik oldala, hogy az egyéni DNS bevezeti a következőket is: új kudarcpontok és felelősségekAz első nyilvánvaló: ha a DNS-kiszolgáló leáll, túlterhelődik, vagy helytelenül konfigurálja, akkor az egész hálózatát látszólag internet-hozzáférés nélkül hagyhatja, mivel a webhelyek feloldása leáll, még akkor is, ha a kapcsolat működik.

Ha megbízol egyben ismeretlen vagy gyanús DNS-kiszolgálóA kockázat megsokszorozódik. Egy rosszindulatú vagy feltört DNS-kiszolgáló manipulálhatja a kéréseidet, hogy hamis webhelyekre irányítson át (adathalászat), rosszindulatú programokat telepítsen, vagy bizalmas információkat lopjon el. A DNS-gyorsítótár-mérgezés vagy a DNS-kiszolgáló eltérítése olyan technikák, amelyeket a támadók gyakran alkalmaznak a forgalom átirányítására az általuk ellenőrzött webhelyekre.

Továbbá előfordulhat, hogy egy egyéni DNS nem rendelkezik ugyanazok a védelmi intézkedések a DDoS vagy infrastrukturális támadások ellen mint a nagyobb szolgáltatók. A névfeloldó elleni szolgáltatásmegtagadási támadás az összes tőle függő felhasználó névfeloldását letilthatja. Ezért, ha saját DNS-t állít be egy üzleti vagy kritikus szolgáltatáshoz, célszerű redundanciával és robusztus hálózaton telepíteni.

Egy másik kritikus pont, hogy ha nem alkalmaz olyan intézkedéseket, mint a DNSSEC vagy a biztonságos konfigurációk, a szerver veszélybe kerülhet. sebezhető a gyorsítótár-mérgezési támadásokkal szembenEzekben az esetekben a bűnözők elhitetik a címfeloldóval, hogy egy legitim domainnév valójában egy csalárd szerver IP-címére mutat. Ettől kezdve minden felhasználó, aki lekérdezi a domaint, a manipulált címet kapja, amíg a gyorsítótár ki nem ürül.

Végül, a hirdetések, követők vagy tartalomkategóriák nagyon agresszív DNS-szűrése okozhat téves riasztások és a legitim funkciók megsértéseNem megfelelően betöltődő webhelyek, működésképtelen szolgáltatások, vagy soha meg nem érkező biztonsági frissítések, mert a domainjük blokkolva van. A listák megfelelő módosítása és a naplók áttekintése elengedhetetlen.

Egyéni DNS: Előnyök és kockázatok

A DNS-hez kapcsolódó konkrét fenyegetések és azok enyhítésének módjai

Mivel a DNS-infrastruktúra rendkívül kritikus fontosságú, különféle támadások célpontja. Ezek a leggyakoribbak:

  • DDoS (elosztott szolgáltatásmegtagadási) támadások egy weboldal vagy szolgáltató DNS-szerverei ellen. A szerver rosszindulatú forgalommal történő bombázásával túlterhelik annak erőforrásait, és a jogos kérések feldolgozása megszűnik, aminek következtében a weboldalak a támadás idejére „eltűnnek” az internetről.
  • HelyesírásEz magában foglalja olyan domainek regisztrációját, amelyek szinte megegyeznek ismert márkák domainjeivel, kihasználva a felhasználók elgépeléseit. Egy nem szűrt DNS átirányít ezekre a hamis domainekre, ha elgépeli őket, és onnan indíthatók el nagyon meggyőzően adathalász támadások vagy hitelesítő adatok ellopása.
  • Domain regisztráció eltérítése. Ha egy támadó feltöri a domainregisztrátor fiókját, módosíthatja a DNS-rekordokat, és az általa ellenőrzött szerverekre irányíthatja azokat, akár a domain tulajdonjogát is megváltoztatva. A kockázat csökkentése érdekében elengedhetetlen az erős jelszavak, a kétfaktoros hitelesítés és a robusztus biztonsági intézkedésekkel rendelkező regisztrátorok használata.
  • DNS-gyorsítótár mérgezés Egy lépéssel tovább mennek. A támadó hamis adatokat illeszt be bizonyos domainekre vonatkozóan a DNS-kiszolgáló gyorsítótárába, hogy a gyanútlan felhasználók jövőbeli lekérdezéseit a csalárd IP-cím segítségével oldja meg. Mivel a böngésző a DNS-válaszra támaszkodik, a felhasználó akaratlanul is a bankja hamis másolatára vagy egy kártevővel teli webhelyre kerülhet.

Ezen kockázatok enyhítése érdekében, Javasolt a DNSSEC (DNS biztonsági kiterjesztések) használata.Ezek a rendszerek kriptográfiai aláírásokat adnak a DNS-válaszokhoz, hogy biztosítsák az adatok manipulálatlanságát. Ezt titkosított kommunikációval (DoT, DoH, VPN) és szigorú DNS-kiszolgáló-hozzáférési szabályzatokkal kiegészítve jelentősen csökken a tárhelyfeltörés vagy a tárhelymérgezés esélye.

Leggyakoribb nyilvános és privát DNS-kiszolgálók

Az internetszolgáltató vagy VPN DNS-kiszolgálói mellett széleskörű katalógus áll rendelkezésére Ingyenes és nyílt DNS-kiszolgálók amelyet manuálisan konfigurálhat az útválasztóján, számítógépén vagy mobileszközén. Néhány a legismertebbek közül:

  • Nyit (208.67.222.222 és 208.67.220.220). Az egyik legrégebbi nyilvános szolgáltatás, amely ma a Cisco tulajdonában van. Fizetős és egy ingyenes verziót is kínál jó sebességgel, magas rendelkezésre állással, az adathalász webhelyek alapértelmezett blokkolásával és szülői felügyeleti lehetőségekkel.
  • CloudFlare (1.1.1.1 és 1.0.0.1). A teljesítményre és az adatvédelemre összpontosít. Ígéretet tesz arra, hogy nem használja fel az adatait hirdetésekre, és nem írja lemezre az IP-címét. Általában nagyon gyors és egyszerű a beállítása, túl sok extra nélkül.
  • Google Public DNS (8.8.8.8 és 8.8.4.4). Kevésbé technikai felhasználók számára készült, megfelelő dokumentációval. A könnyű használatért és teljesítményért cserébe korlátozott ideig megőrzi az anonim böngészési naplókat és az IP-címedet.
  • Comodo Secure DNS (8.26.56.26 és 8.20.247.20). Célja a veszélyes webhelyek, kémprogramok és túlzott reklámokat tartalmazó domainek blokkolása, a Comodo biztonság területén szerzett tapasztalataira támaszkodva.
  • Quad9 (9.9.9.9 és 149.112.112.112). Viszonylag új, de a rosszindulatú domainek blokkolására összpontosít több forrásból származó fenyegetésfelderítés felhasználásával. Jó egyensúlyt kínál a biztonság és a teljesítmény között.
  • Yandex. DNS (77.88.8.8 és 77.88.8.1). Orosz alternatíva, alapprofilokkal és „Biztonságos” változatokkal (77.88.8.88 és 77.88.8.2) a veszélyes webhelyek blokkolására, valamint „Családi” (77.88.8.7 és 77.88.8.3) változatokkal a felnőtt tartalmak szűrésére.
  • Nyilvános DNS-kiszolgálók listájaEgy hatalmas adatbázis, ahol ingyenes DNS-kiszolgálókat kereshet világszerte, országonként szűrve.

Amikor a VPN DNS-ének elhagyása, nyilvános szerverek használata vagy saját Pi-hole beállítása között választasz, a kulcsfontosságú tényező a döntés kinek szeretnéd megadni a domain lekérdezéseid megtekintését, és milyen szintű kontrollra van szükséged a szűrés, a teljesítmény és az adatvédelem felettAz egyes lehetőségek előnyeinek és kockázatainak megértésével sokkal könnyebb a beállításokat a prioritásaidhoz igazítani váratlan biztonsági vagy navigációs problémák nélkül.

Reklámok eltávolítása az okostévéről
Kapcsolódó cikk:
Útmutató a hirdetések eltávolításához az okostévéről