Anpassad DNS: fördelar, risker och hur man väljer rätt

  • DNS-servern påverkar direkt din integritet, säkerhet och surfhastighet.
  • Anpassade DNS-inställningar låter dig blockera hot och reklam, men de kräver mer ansvar och korrekt konfiguration.
  • Att välja pålitliga leverantörer och implementera åtgärder som DNSSEC och kryptering minskar riskerna för förfalskning och cacheförgiftning.
  • Offentliga, privata och VPN-DNS-servrar erbjuder olika nivåer av kontroll; det är klokt att fundera över vem du litar på med dina frågor.
Daniel Terrasa

12 minuter

Anpassad DNS: Fördelar och risker

Om du använder ett VPN (se vår VPN-teknisk support på WindowsOm du ofta experimenterar med nätverksinställningar har du förmodligen sett alternativ som Leverantörsspecifik DNS, integrerad upplösning, offentlig DNS från Google eller Cloudflare, Handshake eller anpassad DNS som Pi-holeVid första anblicken verkar det som bara en annan inställning, men valet av DNS-server har en allvarlig inverkan på din integritet, säkerhet, prestanda och till och med vilka webbplatser du kan besöka.

I vår dagliga användning brukar vi lämna inställningarna som de är: DNS från internetleverantören eller VPN-leverantören körs redanAtt byta till anpassad DNS (till exempel genom att konfigurera en Pi-hole hemma eller använda en tjänst som Control-D) kan dock ge dig mycket mer kontroll över din surfning, på bekostnad av att ta vissa risker och ansvar. Det är värt att förstå vad DNS gör och vilka fördelar och nackdelar varje alternativ har.

Vad är DNS och varför är det så viktigt?

Domännamnssystemet (DNS) är internets "telefonbok"Den översätter adresser som är läsbara av människor (som xataka.com eller kaspersky.com) till numeriska IP-adresser som datorer förstår. Utan denna automatiska översättning skulle du inte kunna surfa på internet genom att skriva domännamn; du skulle behöva komma ihåg långa siffror för varje webbplats.

Din internetleverantör (ISP) förser dig vanligtvis med en router med vissa förkonfigurerade DNS-servrar som kontrolleras av operatören självVarje gång du skriver en webbadress frågar din enhet DNS-servrarna efter motsvarande IP-adress. Detta är avgörande inte bara för att webbplatsen ska laddas, utan avgör också vem som kan se dina frågor och vem som kan blockera eller manipulera dessa förfrågningar.

Namnmatchningsprocessen involverar flera typer av servrar: a rekursiv lösare som tar emot din frågaRotservrarna, toppdomänservrarna (TLD) (som .com eller .net) och auktoritativa domänservrar returnerar slutligen rätt IP-adress. I många fall cachas en del av denna information för att snabba upp framtida frågor.

När du anger en domän i webbläsaren försöker systemet först hitta den från lokala cacher (dator, operativsystem, resolver)Om den inte finns där, går frågan till den rekursiva resolvern, sedan till rotservrarna, sedan till toppnivådomänservrarna och slutligen till de auktoritativa servrar som returnerar den slutliga IP-adressen. Allt detta sker på millisekunder, men varje hopp är en potentiell attackyta eller kontrollpunkt.

En viktig detalj är att som standard Traditionell DNS innehåller inte krypteringDet här innebär att både din internetleverantör och alla mellanhänder med åtkomst till din trafik kan se vilka domäner du besöker, även om de inte kan se det exakta innehållet på sidorna om du använder HTTPS. Denna design gör det enklare att censurera, spåra och attackera om systemet inte är ordentligt säkrat.

DNS-server och integritet

Vad vet personen som kontrollerar DNS om dig?

Varje DNS-förfrågan du gör lämnar ett spår. DNS-serverns ägare kan se vilken IP-adress du frågar från och vilka domäner du försöker komma åt.Med det enkla dataparet (IP + domän + tid) kan en mycket förfinad profil av dina surfvanor redan byggas upp.

Tjänster som Google Public DNS säger det öppet: De lagrar din IP-adress tillfälligt (till exempel 24–48 timmar) och lagrar permanent annan "anonymiserad" användningsdata.Med det kan de sammanställa statistik, förbättra tjänsten… och, när det gäller reklambaserade företag, berika sin segmentering även om de lovar att inte direkt koppla den till dig.

Tredjeparts-DNS-leverantörer som är mer fokuserade på integritet, såsom Cloudflare eller Quad9, marknadsför sig själva genom att påstå att De loggar inte din IP-adress permanent, de minimerar loggar och de säljer inte data till annonsörer.Men det är värt att komma ihåg att tekniskt De har samma befogenhet som vilken annan DNS-servrare som helst att se dina frågor: förtroendet beror på deras policy, transparens och oberoende granskningar.

Dessutom är DNS en gemensam kontrollpunkt för myndigheter och operatörer. Många webbplatsblockeringar tillämpas helt enkelt... neka upplösning av vissa domäner i den officiella DNS:en för landet eller företaget. Genom att ändra din DNS kan du ofta kringgå denna grundläggande censur, även om andra blockeringstekniker kan kombineras i mycket restriktiva miljöer.

Det är viktigt att förstå det Att använda alternativ DNS döljer inte din IP-adress och ersätter inte ett VPNEn gratis offentlig DNS fungerar inte som ett virtuellt privat nätverk: webbplatsen du besöker kommer fortfarande att se din riktiga IP-adress, och din internetleverantör kommer fortfarande att kunna se vilka IP-adresser du ansluter till, även om de inte kan se domänen lika tydligt om du använder vissa moderna tekniker. DNS är ett lager av integritet och säkerhet, men det är inte en komplett lösning.

Internetleverantörs-DNS, VPN-DNS eller anpassad DNS: typiska alternativ

Många VPN-leverantörer erbjuder flera DNS-konfigurationer: Använd din egen DNS, en integrerad resolver, Handshake, underhåll extern DNS (Google, Cloudflare, etc.) eller definiera anpassad DNS, som ett hem-Pi-hole.Varje alternativ har olika konsekvenser.

När du lämnar inställningarna på "hans egenAll din DNS-trafik hanteras via servrar som kontrolleras av den VPN-tjänsten. Detta har fördelen att frågorna rör sig inom den krypterade tunneln, vilket döljer DNS-förfrågningar från din internetleverantör och minskar DNS-läckor, men du litar helt på VPN-leverantören, som kan se vilka domäner du använder medan VPN-tjänsten är aktiv.

Om du väljer att använda extern DNS, t.ex. Google (8.8.8.8), Cloudflare (1.1.1.1) eller andraDu kan få snabbare säkerhet och lite extra skydd beroende på vilken tjänst du väljer. Men utan VPN skickas dina frågor fortfarande direkt till dessa sökmotorer, och du delar din domänhistorik med ett stort företag vars intressen kanske inte överensstämmer med din integritet.

Alternativet "Befintlig DNSOm du aktiverar "Använd system-DNS" i VPN-tjänsten behålls dina befintliga DNS-inställningar. Detta är praktiskt, men det kan leda till DNS-läckor om VPN-klienten inte tvingar fram användningen av sina egna resolvers eller krypterar dessa frågor. Med andra ord kanske du tror att allt går via VPN-tjänsten, men dina domänförfrågningar går fortfarande till din internetleverantör.

mycket Anpassad DNS (Till exempel att peka mot en Pi-hole eller din egen molnserver) ger dig maximal kontroll: du bestämmer vad som loggas, vad som blockeras och hur det filtreras. Du blir dock då ansvarig för dess säkerhet, tillgänglighet och underhåll, och om du exponerar det slarvigt på internet kan det bli en inkörsport för attacker.

google dns

Fördelar med att använda anpassad DNS (Pi-hole, Control D och andra)

Konfigurera en anpassad DNS, antingen med en Pi-hole på ditt lokala nätverk, din egen server med DNSSEC eller en hanterad tjänst som Control-DDet erbjuder ett antal fördelar jämfört med att använda internetleverantörens standard-DNS eller till och med några generiska offentliga.

Den första stora fördelen är möjligheten att blockera hot vid källanEn modern DNS med uppdaterade blocklistor kan förhindra att din enhet identifierar domäner som är kopplade till skadlig kod, nätfiske, kryptokapning eller skadlig reklam. Eftersom det "dåliga" domännamnet inte kan översättas till en IP-adress upprättas helt enkelt inte anslutningen.

Denna "förebyggande" metod förutser vad ett traditionellt antivirusprogram skulle göra, vilket vanligtvis reagerar. när hotet redan är på gång i ditt systemMed en filtrerande DNS kommer du helt enkelt aldrig i kontakt med kända farliga domäner, vilket kraftigt minskar risken för hemdatorer och framför allt för företagsnätverk med många användare.

För det andra kan användning av en väloptimerad anpassad DNS förbättra prestandan. blockera annonser, spårare och onödiga resurser (och till exempel ta bort annonser på din Smart TVSidor laddas snabbare, antalet externa förfrågningar minskar och bandbreddsförbrukningen minskar. På blygsamma anslutningar eller nätverk med många anslutna enheter kan skillnaden vara mycket märkbar.

En annan viktig fördel är förbättrad integritet (se vår viktiga tips om integritet onlineLösningar som Pi-hole eller integritetsfokuserade tjänster kan förhindra att spårare och reklamföretag samlar in din surfaktivitet genom skript och spårningsdomäner. Även om det inte är ett universalmedel, minskar det avsevärt de ständiga "tipsen" till dussintals annonsnätverk när du surfar på internet.

Slutligen erbjuder många anpassade DNS-servrar som Control D en relativt enkel installation med filtreringsmallar (t.ex. blockera vuxna, spel, sociala nätverk etc.) och alternativ för att integrera tjänsten i storskaliga implementeringar med hjälp av RMM eller MDM i företag. Detta förenklar möjligheten att ge det lagret av säkerhet och kontroll till dussintals eller hundratals enheter.

Risker och nackdelar med anpassad DNS

Den andra sidan av myntet är att en anpassad DNS också introducerar nya misslyckanden och ansvarsområdenDet första är uppenbart: om din DNS-server går ner, blir överbelastad eller om du konfigurerar den felaktigt kan du lämna hela ditt nätverk utan synbar internetåtkomst, eftersom webbplatser slutar fungera trots att din anslutning fungerar.

Om du litar på en okänd eller tvivelaktig DNS-serverRisken mångdubblas. En skadlig eller komprometterad DNS-server kan manipulera dina förfrågningar för att omdirigera dig till falska webbplatser (nätfiske), installera skadlig kod eller fånga upp känslig information. DNS-cacheförgiftning eller DNS-serverkapning är tekniker som ofta används av angripare för att omdirigera trafik till webbplatser de kontrollerar.

Dessutom kanske en anpassad DNS inte har samma skyddsåtgärder mot DDoS- eller infrastrukturattacker än de större leverantörerna. En överbelastningsattack mot din resolver kan störa namnmatchningen för alla användare som är beroende av den. Därför, om du konfigurerar din egen DNS för ett företag eller en kritisk tjänst, är det lämpligt att distribuera den med redundans och på ett robust nätverk.

En annan viktig punkt är att om du inte implementerar åtgärder som DNSSEC eller säkra konfigurationer kan din server bli komprometterad. sårbar för cache-förgiftningsattackerI dessa fall lurar en brottsling den som använder lösningen att tro att ett legitimt domännamn faktiskt pekar på IP-adressen till en bedräglig server. Från och med då kommer alla användare som frågar domänen att få den manipulerade adressen tills cachen rensas.

Slutligen kan en mycket aggressiv DNS-filtrering av annonser, spårare eller innehållskategorier orsaka falska positiva resultat och att bryta legitima funktionerWebbplatser som inte laddas korrekt, tjänster som slutar fungera eller säkerhetsuppdateringar som aldrig kommer eftersom deras domäner är blockerade. Att justera listorna korrekt och granska loggarna är viktigt.

Anpassad DNS: Fördelar och risker

Specifika hot relaterade till DNS och hur man minskar dem

Eftersom DNS-infrastrukturen är så kritisk är den ett mål för olika attacker. Dessa är de vanligaste:

  • DDoS-attacker (distribuerade överbelastningsattacker) mot en webbplats eller leverantörs DNS-servrar. Genom att bombardera servern med skadlig trafik mättar de dess resurser och legitima förfrågningar behandlas inte längre, vilket gör att webbplatser "försvinner" från internet under attacken.
  • typosquattingDetta innebär att man registrerar domäner som är nästan identiska med välkända varumärkens, och utnyttjar användarnas stavfel. En ofiltrerad DNS kommer att omdirigera dig till dessa falska domäner om du stavar dem fel, och därifrån kan nätfiskeattacker eller stöld av autentiseringsuppgifter utföras på ett mycket övertygande sätt.
  • Kapning av domänregistrering. Om en angripare komprometterar ditt domänregistrarkonto kan de ändra DNS-posterna och peka dem till servrar de kontrollerar, vilket potentiellt till och med kan ändra domänens ägarskap. För att minska denna risk är det avgörande att använda starka lösenord, tvåfaktorsautentisering och registrarer med robusta säkerhetsåtgärder.
  • DNS-cacheförgiftning De går ett steg längre. Angriparen infogar falska data för specifika domäner i DNS-serverns cache, så att framtida frågor från intet ont anande användare löses med hjälp av den bedrägliga IP-adressen. Eftersom webbläsaren förlitar sig på DNS-svaret kan användaren omedvetet hamna på en falsk kopia av sin bank eller en webbplats full av skadlig kod.

För att minska dessa risker, Det rekommenderas att använda DNSSEC (DNS-säkerhetstillägg)Dessa system lägger till kryptografiska signaturer till DNS-svar för att säkerställa att informationen inte har manipulerats. Genom att komplettera detta med krypterad kommunikation (DoT, DoH, VPN) och strikta policyer för DNS-serveråtkomst minskar risken för kapning eller förgiftning avsevärt.

Vanligaste offentliga och privata DNS-servrar

Utöver din internetleverantörs eller VPN:s DNS-servrar har du en bred katalog av Gratis och öppna DNS-servrar som du kan konfigurera manuellt på din router, dator eller mobila enhet. Några av de mest kända är:

  • Öppen (208.67.222.222 och 208.67.220.220). En av de äldsta offentliga tjänsterna, numera ägd av Cisco. Den erbjuder betalda versioner och en gratisversion med bra hastighet, hög tillgänglighet, standardblockering av nätfiskewebbplatser och föräldrakontrollalternativ.
  • CloudFlare (1.1.1.1 och 1.0.0.1). Fokuserad på prestanda och integritet. Den lovar att inte använda dina data för reklam och att inte skriva din IP-adress till disk. Den är vanligtvis väldigt snabb och enkel att installera, utan för många extrafunktioner.
  • Google Public DNS (8.8.8.8 och 8.8.4.4). Utformad för mindre tekniska användare, med bra dokumentation. I utbyte mot denna användarvänlighet och prestanda lagrar den anonymiserade surfloggar och din IP-adress under en begränsad tid.
  • Comodo Secure DNS (8.26.56.26 och 8.20.247.20). Syftar till att blockera farliga webbplatser, spionprogram och domäner med överdriven reklam, med utgångspunkt i Comodos erfarenhet inom säkerhetsområdet.
  • Quad9 (9.9.9.9 och 149.112.112.112). Relativt nytt, men fokuserat på att blockera skadliga domäner med hjälp av hotinformation från flera källor. Det erbjuder en bra balans mellan säkerhet och prestanda.
  • Yandex. DNS (77.88.8.8 och 77.88.8.1). Ryskt alternativ, med grundläggande profiler och "Säkra" varianter (77.88.8.88 och 77.88.8.2) för att blockera farliga webbplatser och "Familj" (77.88.8.7 och 77.88.8.3) för att filtrera vuxeninnehåll.
  • Lista över offentliga DNS-servrarEn enorm databas där du kan söka efter gratis DNS-servrar över hela världen, filtrerande efter land.

När du väljer mellan att lämna din VPN:s DNS, använda publika servrar eller konfigurera din egen Pi-hole är den viktigaste faktorn att bestämma... vem du vill lita på att de ska se dina domänfrågor och vilken kontrollnivå du behöver över filtrering, prestanda och integritetGenom att förstå fördelarna och riskerna med varje alternativ är det mycket enklare att justera inställningarna efter dina prioriteringar utan oväntade säkerhets- eller navigeringsproblem.

ta bort annonser från smart-TV:n
Relaterad artikel:
Guide för att ta bort annonser från din Smart TV