Ако користите VPN (погледајте наше Техничка подршка за VPN на Windows-уАко често мењате мрежна подешавања, вероватно сте видели опције попут ДНС специфичан за провајдера, интегрисано решавање, јавни ДНС од Гугла или Клаудфлеара, Хандшејк или прилагођени ДНС као што је Пи-холеНа први поглед делује као само још једно подешавање, али избор DNS сервера има озбиљан утицај на вашу приватност, безбедност, перформансе, па чак и које веб странице можете да посећујете.
У свакодневној употреби, обично остављамо подешавања каква јесу: DNS од интернет провајдера или VPN провајдера је већ покренутМеђутим, прелазак на прилагођени DNS (на пример, подешавање Pi-hole-а код куће или коришћење услуге као што је Control-D) може вам дати много већу контролу над прегледањем, по цену преузимања одређених ризика и одговорности. Вреди разумети шта DNS ради и које предности и мане има свака алтернатива.
Шта је DNS и зашто је толико важан?
Систем имена домена (DNS) је „телефонски именик“ интернетаПреводи адресе читљиве људима (као што су xataka.com или kaspersky.com) у нумеричке IP адресе које рачунари разумеју. Без овог аутоматског превођења, не бисте могли да претражујете интернет куцањем имена домена; морали бисте да памтите дугачке бројеве за сваку веб страницу.
Ваш интернет провајдер (ISP) вам обично пружа рутер са неким унапред конфигурисани DNS сервери које контролише сам оператерСваки пут када укуцате веб адресу, ваш уређај упитује DNS сервере да би пронашао одговарајућу IP адресу. Ово је кључно не само за учитавање веб странице, већ и одређује ко може да види ваше упите и ко може да блокира или манипулише тим захтевима.
Процес разрешавања имена укључује неколико врста сервера: а рекурзивни решавач који прима ваш упитКоренски сервери, сервери домена највишег нивоа (TLD) (као што су .com или .net) и ауторитативни сервери домена на крају враћају исправну IP адресу. У многим случајевима, неке од ових информација се кеширају како би се убрзали будући упити.
Када унесете домен у прегледач, систем прво покушава да га разреши из локални кешови (рачунар, оперативни систем, резолвер)Ако није тамо, упит путује до рекурзивног резолвера, затим до коренских сервера, па до TLD сервера и коначно до ауторитативних сервера који враћају коначну IP адресу. Све се ово дешава у милисекундама, али сваки скок је потенцијална површина за напад или тачка контроле.
Један критичан детаљ је да, по подразумеваним подешавањима, Традиционални DNS не укључује шифровањеТо значи да и ваш интернет провајдер и сваки посредник са приступом вашем саобраћају могу да виде које домене посећујете, иако не могу да виде тачан садржај страница ако користите HTTPS. Овакав дизајн олакшава цензурисање, праћење и нападе ако систем није правилно обезбеђен.
Шта особа која контролише DNS зна о вама?
Сваки DNS захтев који направите оставља траг. Власник DNS сервера може да види са које IP адресе шаљете упите и којим доменима покушавате да приступите.Са тим једноставним паром података (ИП + домен + време) већ се може изградити веома прецизан профил ваших навика прегледања.
Сервиси попут Google Public DNS-а то отворено кажу: Они привремено чувају вашу ИП адресу (на пример, 24-48 сати) и трајно чувају друге „анонимизоване“ податке о коришћењуПомоћу тога могу да састављају статистику, побољшају услугу… и, у случају компанија заснованих на оглашавању, обогате своју сегментацију чак и ако обећавају да је неће директно повезати са вама.
Провајдери DNS-а треће стране који су више фокусирани на приватност, као што су Cloudflare или Quad9, рекламирају се тврдећи да Они не бележе трајно вашу ИП адресу, минимизирају логове и не продају податке оглашивачима.Али вреди запамтити да технички Имају исту моћ као и било који други DNS сервер да виде ваше упите: поверење зависи од њихове политике, транспарентности и независних ревизија.
Штавише, DNS је заједничка контролна тачка за владе и оператере. Многи блокови веб локација се једноставно примењују... ускраћивање решавања одређених домена у званичном DNS-у земље или компаније. Променом DNS-а често можете заобићи ову основну цензуру, мада се у веома рестриктивним окружењима могу комбиновати и друге технике блокирања.
То је битно разумети Коришћење алтернативног ДНС-а не скрива вашу ИП адресу нити замењује ВПНБесплатан јавни DNS не функционише као виртуелна приватна мрежа: веб локација коју посећујете ће и даље видети вашу праву IP адресу, а ваш интернет провајдер ће и даље моћи да види на које IP адресе се повезујете, чак и ако не могу тако јасно да виде домен ако користите одређене модерне технологије. DNS је слој приватности и безбедности, али није комплетно решење.
DNS провајдера интернетских услуга, DNS ВПН-а или прилагођени DNS: типичне опције
Многи VPN провајдери нуде неколико DNS конфигурација: Користите сопствени DNS, интегрисани резолвер, Handshake, одржавајте екстерни DNS (Google, Cloudflare, итд.) или дефинишите прилагођени DNS, као што је кућни Pi-holeСвака опција има различите импликације.
Када оставите подешавања на „његов сопствениСав ваш DNS саобраћај се решава преко сервера које контролише тај VPN. Ово има предност јер упити путују унутар шифрованог тунела, скривајући DNS захтеве од вашег интернет провајдера и смањујући цурење DNS података, али ви полажете своје поверење у VPN провајдера, који може да види којим доменима приступате док је VPN активан.
Ако одлучите да користите екстерни ДНС, као што је Гугл (8.8.8.8), Клаудфлејр (1.1.1.1) или другиМожете добити брзину и додатну заштиту у зависности од услуге коју одаберете. Међутим, без VPN-а, ваши упити ће и даље бити послати директно тим разрешивачима, а ви ћете делити историју свог домена са великом компанијом чији интереси можда нису у складу са вашом приватношћу.
Опција "Постојећи ДНСОмогућавањем опције „Користи системски DNS“ у VPN-у задржавате постојећа DNS подешавања. Ово је згодно, али може довести до цурења DNS података ако VPN клијент не приморава на коришћење сопствених резолвера или не шифрује те упите. Другим речима, можда мислите да све иде преко VPN-а, али ваши захтеви за доменом и даље иду вашем интернет провајдеру.
Л Прилагођени ДНС (На пример, показивање на Pi-hole или ваш сопствени cloud сервер) вам даје максималну контролу: ви одлучујете шта се евидентира, шта се блокира и како се филтрира. Међутим, тада постајете одговорни за његову безбедност, доступност и одржавање, а ако га непажљиво изложите на интернету, може постати капија за нападе.
Предности коришћења прилагођеног DNS-а (Pi-hole, Control D и други)
Подесите прилагођени DNS, било помоћу Пи-холе на вашој локалној мрежи, ваш сопствени сервер са DNSSEC-ом или управљана услуга попут Control-DНуди добар број предности у односу на коришћење подразумеваног ДНС-а провајдера интернетских услуга или чак неких генеричких јавних.
Прва велика предност је могућност да блокирати претње на изворуМодерни DNS са ажурираним листама блокирања може спречити ваш уређај да разреши домене повезане са злонамерним софтвером, фишингом, крипто-џекингом или злонамерним оглашавањем. Пошто се „лоше“ име домена не може претворити у IP адресу, веза једноставно није успостављена.
Овај „превентивни“ приступ предвиђа шта би традиционални антивирус урадио, који обично реагује. када је претња већ у току у вашем системуСа филтрирајућим DNS-ом, једноставно никада не долазите у контакт са познатим опасним доменима, што знатно смањује ризик за кућне рачунаре и, пре свега, за пословне мреже са много корисника.
Друго, коришћење добро оптимизованог прилагођеног DNS-а може побољшати перформансе. блокирајте огласе, пратиоце и непотребне ресурсе (и, на пример, уклоните огласе на свом Смарт ТВ-уСтранице се брже учитавају, број спољних захтева се смањује, а потрошња пропусног опсега се смањује. На скромним везама или мрежама са много повезаних уређаја, разлика може бити веома приметна.
Још једна кључна предност је побољшана приватност (погледајте наше основни савети за приватност на мрежиРешења попут Pi-hole-а или услуга усмерених на приватност могу спречите пратиоце и рекламне компаније да прикупљају податке о вашој активности прегледања путем скрипти и домена за праћење. Иако није лек за све, значајно смањује сталне „дојаве“ десетинама рекламних мрежа док прегледате интернет.
Коначно, многи прилагођени ДНС сервери попут Control D нуде релативно једноставно подешавање, са шаблонима за филтрирање (нпр. блокирање одраслих, игара, друштвених мрежа итд.) и опције за интеграцију услуге у велика имплементирања коришћењем RMM-а или MDM-а у предузећима. Ово поједностављује доношење тог слоја безбедности и контроле на десетине или стотине уређаја.
Ризици и мане прилагођеног DNS-а
Друга страна медаље је да прилагођени ДНС такође уводи нове тачке неуспеха и одговорностиПрво је очигледно: ако ваш ДНС сервер откаже, преоптерети се или га погрешно конфигуришете, можете оставити целу мрежу без видљивог приступа интернету, јер ће веб странице престати да се учитавају чак и ако ваша веза ради.
Ако верујете непознати или сумњиви DNS серверРизик се множи. Злонамерни или угрожени DNS сервер може манипулисати вашим захтевима да би вас преусмерио на лажне веб странице (фишинг), инсталирао малвер или пресрео осетљиве информације. Тровање DNS кеша или отмица DNS сервера су технике које нападачи често користе за преусмеравање саобраћаја на сајтове које контролишу.
Поред тога, прилагођени DNS можда нема исте мере заштите од DDoS напада или напада на инфраструктуру него главни провајдери. Напад ускраћивања услуге (denial-of-service) на ваш резолвер може да уништи резолуцију имена за све кориснике који зависе од њега. Стога, ако подесите сопствени DNS за предузеће или критичну услугу, препоручљиво је да га имплементирате са редундантношћу и на робусној мрежи.
Још једна критична тачка је да, ако не имплементирате мере попут DNSSEC-а или безбедних конфигурација, ваш сервер може бити угрожен. рањив на нападе тровања кеш меморијеУ овим случајевима, криминалац вара сервер да поверује да легитимно име домена заправо указује на IP адресу лажног сервера. Од тада ће сви корисници који упућују упит домену добијати манипулисану адресу док се кеш меморија не обрише.
Коначно, веома агресивно DNS филтрирање огласа, пратилаца или категорија садржаја може проузроковати лажно позитивни резултати и кршење легитимних функционалностиВеб странице које се не учитавају исправно, услуге које престају да раде или безбедносна ажурирања која никада не стижу јер су им домени блокирани. Правилно подешавање листа и преглед логова је неопходно.
Специфичне претње везане за DNS и како их ублажити
Пошто је DNS инфраструктура толико критична, она је мета разних напада. Ово су најчешћи:
- DDoS (Дистрибуирано ускраћивање услуге) напади против DNS сервера веб-сајта или провајдера. Бомбардовањем сервера злонамерним саобраћајем, они засићују његове ресурсе и легитимни захтеви се више не обрађују, што узрокује да веб-сајтови „нестану“ са интернета током трајања напада.
- ТипоскуаттингОво подразумева регистровање домена који су готово идентични онима познатих брендова, користећи грешке корисника у куцању. Нефилтрирани DNS ће вас преусмерити на ове лажне домене ако их погрешно напишете, а одатле се могу врло убедљиво покренути фишинг напади или крађа акредитива.
- Отмица регистрације домена. Ако нападач угрози ваш налог регистрара домена, може променити DNS записе и усмерити их ка серверима које контролише, потенцијално чак и променити власништво над доменом. Да бисте смањили овај ризик, кључно је користити јаке лозинке, двофакторску аутентификацију и регистраре са робусним безбедносним мерама.
- Тровање ДНС кеша Они иду корак даље. Нападач убацује лажне податке за одређене домене у кеш меморију DNS сервера, тако да се будући упити од неслутећих корисника решавају коришћењем лажне IP адресе. Пошто се прегледач ослања на DNS одговор, корисник може несвесно завршити на лажној копији своје банке или сајту пуном злонамерног софтвера.
Да би се ублажили ови ризици, Препоручује се коришћење DNSSEC-а (DNS безбедносна проширења)Ови системи додају криптографске потписе DNS одговорима како би се осигурало да подаци нису фаулирани. Допуњавање овога шифрованом комуникацијом (DoT, DoH, VPN) и строгим политикама приступа DNS серверима значајно смањује шансе за отмицу или тровање.
Најчешћи јавни и приватни DNS сервери
Поред DNS сервера вашег интернет провајдера или VPN-а, имате широк каталог Бесплатни и отворени DNS сервери које можете ручно конфигурисати на рутеру, рачунару или мобилном уређају. Неки од најпознатијих су:
- ОпенДНС (208.67.222.222 и 208.67.220.220). Једна од најстаријих јавних услуга, сада у власништву компаније Cisco. Нуди плаћене верзије и бесплатну верзију са добром брзином, високом доступношћу, подразумеваним блокирањем фишинг веб-сајтова и опцијама родитељског надзора.
- цлоудфларе (1.1.1.1 и 1.0.0.1). Фокусиран на перформансе и приватност. Обећава да неће користити ваше податке за оглашавање и да неће писати вашу ИП адресу на диск. Обично је веома брзо и једноставно за подешавање, без превише додатних функција.
- Гоогле Публиц ДНС (8.8.8.8 и 8.8.4.4). Дизајниран за мање технички потковане кориснике, са добром документацијом. У замену за ову једноставност коришћења и перформанси, чува анонимне евиденције прегледања и вашу IP адресу ограничено време.
- Цомодо Сецуре ДНС (8.26.56.26 и 8.20.247.20). Усмерен на блокирање опасних сајтова, шпијунског софтвера и домена са прекомерним оглашавањем, ослањајући се на искуство компаније Comodo у области безбедности.
- КуадКСНУМКС (9.9.9.9 и 149.112.112.112). Релативно нов, али фокусиран на блокирање злонамерних домена коришћењем информација о претњама из више извора. Нуди добру равнотежу између безбедности и перформанси.
- Иандек.ДНС (77.88.8.8 и 77.88.8.1). Руска алтернатива, са основним профилима и варијантама „Безбедно“ (77.88.8.88 и 77.88.8.2) за блокирање опасних веб локација и „Породично“ (77.88.8.7 и 77.88.8.3) за филтрирање садржаја за одрасле.
- Јавна листа DNS сервераОгромна база података где можете претраживати бесплатне DNS сервере широм света, филтрирајући по земљи.
Када бирате између напуштања ДНС-а вашег ВПН-а, коришћења јавних сервера или подешавања сопственог Pi-hole-а, кључни фактор је одлучивање коме желите да верујете да види ваше упите у вези са доменом и који ниво контроле вам је потребан над филтрирањем, перформансама и приватношћуРазумевањем предности и ризика сваке опције, много је лакше прилагодити подешавања вашим приоритетима без неочекиваних проблема са безбедношћу или навигацијом.
