Pokud používáte VPN (viz naše Technická podpora VPN ve WindowsPokud si často hrajete s nastavením sítě, pravděpodobně jste viděli možnosti jako DNS specifický pro poskytovatele, integrované rozlišení, veřejný DNS od Googlu nebo Cloudflare, Handshake nebo vlastní DNS jako Pi-holeNa první pohled se to může zdát jako další nastavení, ale volba DNS serveru má vážný dopad na vaše soukromí, zabezpečení, výkon a dokonce i na to, které webové stránky můžete navštívit.
V našem každodenním používání obvykle necháváme nastavení tak, jak je: DNS od poskytovatele internetových služeb nebo VPN je již spuštěnýPřechod na vlastní DNS (například nastavením Pi-hole doma nebo používáním služby jako Control-D) vám však může poskytnout mnohem větší kontrolu nad prohlížením, ale za cenu převzetí určitých rizik a odpovědností. Stojí za to pochopit, co DNS dělá a jaké výhody a nevýhody má každá alternativa.
Co je DNS a proč je tak důležité?
Systém doménových jmen (DNS) je „telefonní seznam“ internetu.Překládá lidsky čitelné adresy (jako je xataka.com nebo kaspersky.com) na číselné IP adresy, kterým počítače rozumí. Bez tohoto automatického překladu byste nemohli procházet internet zadáváním názvů domén; museli byste si pamatovat dlouhá čísla pro každou webovou stránku.
Váš poskytovatel internetových služeb (ISP) vám obvykle dodává router s některými předkonfigurované DNS servery spravované samotným operátoremPokaždé, když zadáte webovou adresu, vaše zařízení se dotazuje DNS serverů, aby našlo odpovídající IP adresu. To je klíčové nejen pro načtení webových stránek, ale také určuje, kdo vaše dotazy uvidí a kdo je může blokovat nebo manipulovat.
Proces rozlišení jmen zahrnuje několik typů serverů: a rekurzivní řešič, který přijímá váš dotazKořenové servery, servery domén nejvyšší úrovně (TLD) (například .com nebo .net) a autoritativní doménové servery nakonec vrátí správnou IP adresu. V mnoha případech se některé z těchto informací ukládají do mezipaměti, aby se urychlily budoucí dotazy.
Když do prohlížeče zadáte doménu, systém se ji nejprve pokusí rozpoznat z lokální mezipaměti (počítač, operační systém, resolver)Pokud tam není, dotaz putuje k rekurzivnímu resolveru, poté ke kořenovým serverům, dále k serverům TLD a nakonec k autoritativním serverům, které vracejí finální IP adresu. To vše se děje v milisekundách, ale každý skok je potenciální útočnou plochou nebo kontrolním bodem.
Jedním kritickým detailem je, že ve výchozím nastavení Tradiční DNS nezahrnuje šifrováníTo znamená, že jak váš poskytovatel internetových služeb, tak jakýkoli zprostředkovatel s přístupem k vašemu provozu vidí, které domény navštěvujete, i když nemohou vidět přesný obsah stránek, pokud používáte HTTPS. Tato konstrukce usnadňuje cenzuru, sledování a útoky, pokud systém není řádně zabezpečen.
Co o vás ví osoba, která ovládá DNS?
Každý DNS požadavek, který provedete, zanechá stopu. Vlastník DNS serveru vidí, ze které IP adresy se dotazujete a ke kterým doménám se pokoušíte přistupovat.S touto jednoduchou dvojicí dat (IP + doména + čas) lze již vytvořit velmi propracovaný profil vašich prohlížecích návyků.
Služby jako Google Public DNS to otevřeně říkají: Dočasně ukládají vaši IP adresu (například 24–48 hodin) a trvale ukládají další „anonymizovaná“ data o užívání.Díky tomu mohou sestavovat statistiky, zlepšovat služby… a v případě společností zaměřených na reklamu obohatit svou segmentaci, i když slíbí, že ji s vámi přímo nebudou spojovat.
Poskytovatelé DNS třetích stran, kteří se více zaměřují na soukromí, jako například Cloudflare nebo Quad9, se inzerují tvrzením, že Neukládají trvale vaši IP adresu, minimalizují počet protokolů a neprodávají data inzerentům.Ale stojí za to si to připomenout technicky Mají stejnou moc jako kterýkoli jiný DNS server vidět vaše dotazy: důvěra závisí na jejich zásadách, transparentnosti a nezávislých auditech.
DNS je navíc společným kontrolním bodem pro vlády a provozovatele. Mnoho bloků webových stránek se jednoduše aplikuje... odmítnutí rozpoznávání určitých domén v oficiálním DNS země nebo společnosti. Změnou DNS můžete často obejít tuto základní cenzuru, i když ve velmi omezujících prostředích lze kombinovat i jiné blokovací techniky.
Je nezbytné tomu porozumět Použití alternativního DNS neskrývá vaši IP adresu ani nenahrazuje VPNBezplatný veřejný DNS nefunguje jako virtuální privátní síť: webová stránka, kterou navštívíte, stále uvidí vaši skutečnou IP adresu a váš poskytovatel internetových služeb bude stále schopen vidět, ke kterým IP adresám se připojujete, i když doménu nevidí tak jasně, pokud používáte určité moderní technologie. DNS je vrstvou soukromí a zabezpečení, ale není to kompletní řešení.
DNS poskytovatele internetových služeb, DNS VPN nebo vlastní DNS: typické možnosti
Mnoho poskytovatelů VPN nabízí několik konfigurací DNS: Používejte vlastní DNS, integrovaný resolver, Handshake, spravujte externí DNS (Google, Cloudflare atd.) nebo definujte vlastní DNS, například domácí Pi-hole.Každá možnost má jiné důsledky.
Když ponecháte nastavení na „jeho vlastníVeškerý váš DNS provoz je řešen přes servery ovládané touto VPN. To má tu výhodu, že dotazy putují v šifrovaném tunelu, čímž se skryjí DNS požadavky od vašeho poskytovatele internetových služeb a sníží se úniky DNS, ale vy plně důvěřujete poskytovateli VPN, který vidí, ke kterým doménám přistupujete, když je VPN aktivní.
Pokud se rozhodnete použít externí DNS, jako např. Google (8.8.8.8), Cloudflare (1.1.1.1) nebo jinéV závislosti na zvolené službě můžete získat rychlost a dodatečnou ochranu. Bez VPN však budou vaše dotazy stále odesílány přímo těmto serverům a vy budete sdílet historii své domény s velkou společností, jejíž zájmy nemusí být v souladu s vaším soukromím.
Možnost „Stávající DNSPovolení možnosti „Používat systémové DNS“ ve VPN zachová vaše stávající nastavení DNS. To je pohodlné, ale může to vést k únikům DNS, pokud klient VPN nevynutí použití vlastních resolverů nebo nezašifruje tyto dotazy. Jinými slovy, můžete si myslet, že vše prochází přes VPN, ale vaše požadavky na doménu stále jdou k vašemu poskytovateli internetových služeb.
L Vlastní DNS (Například odkaz na Pi-hole nebo váš vlastní cloudový server) vám dává maximální kontrolu: vy rozhodujete o tom, co se bude protokolovat, co se bude blokovat a jak se to bude filtrovat. Poté se však stáváte zodpovědnými za jeho bezpečnost, dostupnost a údržbu a pokud jej neopatrně vystavíte na internetu, může se stát branou pro útoky.
Výhody používání vlastních DNS (Pi-hole, Control D a další)
Nastavte si vlastní DNS, buď pomocí Pi-hole ve vaší lokální síti, váš vlastní server s DNSSEC nebo spravovaná služba jako Control-DNabízí řadu výhod oproti používání výchozího DNS serveru poskytovatele internetových služeb nebo dokonce některých obecných veřejných DNS serverů.
První velkou výhodou je možnost blokovat hrozby u zdrojeModerní DNS s aktuálními seznamy blokovaných adres může vašemu zařízení zabránit v rozpoznávání domén spojených s malwarem, phishingem, kryptojackingem nebo škodlivou reklamou. Protože „špatný“ název domény nelze přeložit na IP adresu, spojení se jednoduše nenaváže.
Tento „preventivní“ přístup předvídá, co by udělal tradiční antivirus, který obvykle reaguje. když hrozba ve vašem systému již probíháS filtrujícím DNS se prostě nikdy nedostanete do kontaktu se známými nebezpečnými doménami, což výrazně snižuje riziko pro domácí počítače a především pro firemní sítě s mnoha uživateli.
Za druhé, použití dobře optimalizovaného vlastního DNS může zlepšit výkon. blokovat reklamy, trackery a nepotřebné zdroje (a například odstranit reklamy na vaší Smart TVStránky se načítají rychleji, počet externích požadavků se snižuje a spotřeba šířky pásma klesá. U slabších připojení nebo sítí s mnoha připojenými zařízeními může být rozdíl velmi znatelný.
Další klíčovou výhodou je zvýšené soukromí (viz naše základní tipy pro ochranu osobních údajů na internetuŘešení jako Pi-hole nebo služby zaměřené na soukromí mohou zabránit sledovacím zařízením a reklamním společnostem ve shromažďování informací o vaší prohlížené aktivitě prostřednictvím skriptů a sledovacích domén. I když to není univerzální řešení, výrazně to snižuje neustálé „tipování“ desítkám reklamních sítí při procházení internetu.
A konečně, mnoho vlastních DNS serverů, jako je Control D, nabízí relativně jednoduché nastavení s filtrovacími šablonami (např. blokování dospělých, her, sociálních sítí atd.) a možnosti integrace služby do rozsáhlých nasazení pomocí RMM nebo MDM v podnicích. To zjednodušuje přenos této vrstvy zabezpečení a kontroly na desítky nebo stovky zařízení.
Rizika a nevýhody vlastního DNS
Druhou stranou mince je, že vlastní DNS také zavádí nové body selhání a zodpovědnostiPrvní je zřejmý: pokud váš DNS server selže, bude přetížen nebo jej nesprávně nakonfigurujete, můžete nechat celou síť bez zjevného přístupu k internetu, protože webové stránky se přestanou načítat, i když vaše připojení funguje.
Pokud důvěřujete neznámý nebo pochybný DNS serverRiziko se násobí. Škodlivý nebo napadený DNS server může manipulovat s vašimi požadavky a přesměrovat vás na falešné webové stránky (phishing), instalovat malware nebo zachytit citlivé informace. Útok na DNS cache neboli únos DNS serveru jsou techniky, které útočníci často používají k přesměrování provozu na weby, které ovládají.
Vlastní DNS navíc nemusí mít stejná ochranná opatření proti DDoS útokům nebo útokům na infrastrukturu než hlavní poskytovatelé. Útok typu denial-of-service (DSS) na váš resolver může znemožnit překlad jmen všem uživatelům, kteří jsou na něm závislí. Pokud si tedy pro firmu nebo kritickou službu nastavujete vlastní DNS, je vhodné jej nasadit s redundancí a v robustní síti.
Dalším kritickým bodem je, že pokud neimplementujete opatření, jako je DNSSEC nebo zabezpečené konfigurace, může být váš server ohrožen. zranitelné vůči útokům na poisoning mezipamětiV těchto případech zločinec oklame resolver, aby uvěřil, že legitimní doménové jméno ve skutečnosti odkazuje na IP adresu podvodného serveru. Od té doby budou všichni uživatelé, kteří se na doménu dotazují, dostávat zmanipulovanou adresu, dokud nebude mezipaměť vymazána.
A konečně, velmi agresivní filtrování DNS reklam, trackerů nebo kategorií obsahu může způsobit falešně pozitivní výsledky a narušení legitimních funkcíWebové stránky, které se nenačítají správně, služby, které přestanou fungovat, nebo bezpečnostní aktualizace, které nikdy nedorazí, protože jejich domény jsou blokovány. Správná úprava seznamů a kontrola protokolů je nezbytná.
Specifické hrozby související s DNS a jak je zmírnit
Protože je infrastruktura DNS tak kritická, je cílem různých útoků. Mezi nejčastější patří:
- DDoS útoky (distribuované odmítnutí služby) proti DNS serverům webových stránek nebo poskytovatele. Bombardováním serveru škodlivým provozem zahlcují jeho zdroje a legitimní požadavky již nejsou zpracovávány, což způsobuje, že webové stránky po dobu útoku „zmizí“ z internetu.
- TyposquattingJde o registraci domén, které jsou téměř identické s doménami známých značek, s využitím překlepů uživatelů. Nefiltrovaný DNS vás přesměruje na tyto falešné domény, pokud je zadáte špatně, a odtud lze velmi přesvědčivě spustit phishingové útoky nebo krádeže přihlašovacích údajů.
- Únos registrace domény. Pokud útočník naruší váš účet registrátora domény, může změnit DNS záznamy a nasměrovat je na servery, které ovládá, a potenciálně dokonce změnit vlastnictví domény. Pro snížení tohoto rizika je zásadní používat silná hesla, dvoufaktorové ověřování a registrátory s robustními bezpečnostními opatřeními.
- Otrava mezipaměti DNS Jdou ještě o krok dál. Útočník vloží do mezipaměti DNS serveru falešné údaje o konkrétních doménách, aby budoucí dotazy od nic netušících uživatelů byly vyřešeny pomocí podvodné IP adresy. Protože se prohlížeč spoléhá na odpověď DNS, může se uživatel nevědomky dostat na falešnou kopii své banky nebo na stránky plné malwaru.
Aby se tato rizika zmírnila, Doporučuje se používat DNSSEC (rozšíření zabezpečení DNS)Tyto systémy přidávají k odpovědím DNS kryptografické podpisy, aby zajistily, že s daty nebyla manipulována. Doplnění šifrované komunikace (DoT, DoH, VPN) a přísných zásad přístupu k DNS serverům výrazně snižuje pravděpodobnost únosu nebo otravy.
Nejběžnější veřejné a privátní DNS servery
Kromě DNS serverů vašeho poskytovatele internetových služeb nebo VPN máte k dispozici široký katalog Bezplatné a otevřené DNS servery které můžete ručně nakonfigurovat na routeru, počítači nebo mobilním zařízení. Mezi nejznámější patří:
- Nechráněný (208.67.222.222 a 208.67.220.220). Jedna z nejstarších veřejných služeb, nyní vlastněná společností Cisco. Nabízí placenou a bezplatnou verzi s dobrou rychlostí, vysokou dostupností, výchozím blokováním phishingových webů a možnostmi rodičovské kontroly.
- Cloudflare (1.1.1.1 a 1.0.0.1). Zaměřeno na výkon a soukromí. Slibuje, že nebude používat vaše data k reklamě a nezapíše vaši IP adresu na disk. Jeho nastavení je obvykle velmi rychlé a snadné, bez příliš mnoha doplňků.
- Google Public DNS (8.8.8.8 a 8.8.4.4). Navrženo pro méně technické uživatele s dobrou dokumentací. Výměnou za toto snadné použití a výkon uchovává anonymizované protokoly prohlížení a vaši IP adresu po omezenou dobu.
- Comodo Secure DNS (8.26.56.26 a 8.20.247.20). Zaměřeno na blokování nebezpečných stránek, spywaru a domén s nadměrnou reklamou, s využitím zkušeností společnosti Comodo v oblasti bezpečnosti.
- Quad9 (9.9.9.9 a 149.112.112.112). Relativně nový, ale zaměřený na blokování škodlivých domén pomocí informací o hrozbách z více zdrojů. Nabízí dobrou rovnováhu mezi zabezpečením a výkonem.
- Yandex. DNS (77.88.8.8 a 77.88.8.1). Ruská alternativa se základními profily a variantami „Bezpečné“ (77.88.8.88 a 77.88.8.2) pro blokování nebezpečných webových stránek a „Rodinná“ (77.88.8.7 a 77.88.8.3) pro filtrování obsahu pro dospělé.
- Seznam veřejných DNS serverůObrovská databáze, kde můžete vyhledávat bezplatné DNS servery po celém světě a filtrovat je podle země.
Při výběru mezi opuštěním DNS vaší VPN, používáním veřejných serverů nebo nastavením vlastního Pi-hole je klíčovým faktorem rozhodnutí. komu chcete svěřit zobrazení dotazů k vaší doméně a jakou úroveň kontroly potřebujete nad filtrováním, výkonem a soukromímPochopením výhod a rizik jednotlivých možností je mnohem snazší upravit nastavení podle vašich priorit bez neočekávaných problémů se zabezpečením nebo navigací.
