Seu roteador faz solicitações de DNS enquanto você navega na web. Por padrão, porém, seu ISP vê todas as suas pesquisas e endereços da web. Você pode alterar suas configurações de DNS para aumentar a segurança e a privacidade.
Índice
O que é um servidor DNS?
Um servidor DNS (Dynamic Name System) é um serviço que traduz automaticamente endereços da web legíveis por humanos em endereços IP . Isso é importante porque, em sua casa e na internet, cada dispositivo de rede possui um endereço IP. Usar endereços IP como seres humanos seria entediante. Mesmo que pudéssemos lembrá-los, nós os digitaríamos incorretamente. É por isso que o Sistema de Nomes de Domínio foi criado.
Quando você tenta se conectar a um site, seu roteador verifica se os detalhes desse site estão no cache. Caso contrário, ele faz uma solicitação de DNS enviando o nome de domínio do site para um servidor DNS. O servidor DNS procura o nome de domínio, encontra o endereço IP e o envia de volta ao seu roteador para que ele possa tentar se conectar ao servidor web que hospeda o site.
Na realidade, é mais complicado. Por padrão, o servidor DNS ao qual seu roteador se conecta é um servidor precursor de DNS fornecido pelo seu provedor de serviços de Internet.
Se o servidor precursor não mantiver os detalhes do site em seu próprio cache, ele enviará uma solicitação a um servidor de nomes raiz DNS. O servidor de nomes raiz responde ao servidor precursor com uma lista de servidores de domínio de nível superior que podem lidar com o domínio de nível superior (.COM, .INFO, .ORG e assim por diante) do site solicitado. O servidor precursor repete sua solicitação para um dos servidores de domínio de nível superior dessa lista.
O servidor de domínio de nível superior responde com o nome de um servidor de nomes DNS autoritativo que realmente contém os detalhes do domínio. O servidor precursor então faz sua solicitação mais uma vez, ao servidor de nomes autoritativo, para finalmente obter o endereço IP.
No nosso exemplo, a pessoa estava tentando acessar um site, mas o mesmo vale para qualquer recurso da web identificado por um nome de domínio, como um servidor de e-mail.
DNS, segurança e privacidade
Usar o servidor DNS padrão do seu ISP tem implicações para privacidade e segurança.
Os dados nas solicitações DNS não são criptografados, mesmo que alguns dos metadados anexados sejam. Um ataque man-in-the-middle ou um funcionário intrometido do seu ISP pode expor e revisar sua atividade online com muita facilidade. Isso já é ruim, mas usar o servidor DNS de um ISP também pode enfraquecer sua segurança.
Alguns dos ataques cibernéticos centrados em DNS mais comuns são:
- Negação de serviço distribuída : Isso cria uma enxurrada de solicitações falsas que sobrecarregam o servidor DNS, impossibilitando-o de atender solicitações genuínas.
- Falsificação/envenenamento de DNS : isso cria respostas DNS falsas e maliciosas nas quais seu roteador atua. Os cibercriminosos podem enviar os usuários para sites fraudulentos em vez de sites genuínos. Podem ser sites de phishing que coletam credenciais de login.
- Sequestro de DNS : o malware infecta seu computador e altera as configurações e o comportamento do TCP/IP para que as solicitações de DNS sejam redirecionadas para os servidores DNS fraudulentos dos cibercriminosos. Eles redirecionam solicitações da web para sites de phishing ou outros sites maliciosos.
- Sequestro de Domínio : Esta é uma forma mais rara de ataque. Requer a alteração dos detalhes nos sistemas do registrador de domínio, para que os detalhes armazenados de um site legítimo sejam direcionados para um site falso .
Não há segurança real no DNS padrão. Tudo o que pode fazer é verificar se a resposta de um servidor downstream vem do mesmo endereço IP para o qual a solicitação foi enviada. É alguma coisa, mas dificilmente é completo.
As Extensões de Segurança do Sistema de Nomes de Domínio , ou DNSSEC, foram desenvolvidas para adicionar assinaturas digitais a solicitações de DNS. Isso permite que os servidores DNS verifiquem se os dados que recebem definitivamente vêm de onde afirmam vir. Isso é chamado de autenticação de origem de dados. Além disso, o receptor pode verificar se os dados não foram modificados em trânsito. Isso é chamado de proteção de integridade de dados.
DNS sobre HTTPS , DoH, é um novo protocolo que criptografa solicitações de DNS e tráfego entre servidores. No entanto, as solicitações DNS registradas e armazenadas em cache não são criptografadas. Eles são criptografados apenas em trânsito. E, claro, a maioria dos ISPs registra tudo o que pode e nem todos oferecem suporte a DNSSEC e DoH.
Os melhores servidores DNS para navegação segura
Os servidores DNS públicos serão mais privados, mais seguros e mais rápidos do que a oferta padrão do seu ISP. Aqui estão cinco dos melhores servidores DNS que recomendamos:
Página inicial do OpenDNS
- DNS primário : 208.67.222.222
- DNS secundário : 208.67.220.220
O OpenDNS foi comprado pela Cisco em 2015. A parte “Aberta” significa que aceita solicitações de DNS de qualquer lugar. Não tem nada a ver com código aberto . OpenDNS tem níveis pagos e gratuitos.
A Cisco construiu seu nome com base em produtos e know-how de rede de ponta. A Cisco sabe tanto sobre redes e roteamento de tráfego quanto qualquer empresa do planeta. Tem presença global e oferece um serviço DNS sólido.
OpenDSN Home oferece suporte a DoH e DNSSEC. Ele também vem com filtragem de conteúdo e proteção contra malware/phishing. Você não pode optar por não participar. Você tem algum controle sobre suas configurações, mas não tanto quanto em uma de suas camadas pagas.
Talvez o mais preocupante seja o fato de o OpenDNS registrar suas consultas DNS, seu endereço IP e muito mais , e colocar o que chama de “web beacons” nas páginas que você visitou.
O OpenDNS é rápido e seguro, mas suas preocupações com a privacidade serão um desestímulo para alguns.
DNS público do Google
- DNS primário : 8.8.8.8
- DNS secundário : 8.8.4.4
O DNS público do Google é gratuito para todos, inclusive para uso comercial. É um serviço robusto e confiável com tempos de resposta rápidos. E, claro, você pode ter certeza de que o Google não irá desaparecer.
O DNS público do Google oferece suporte a muitos protocolos de pesquisa, incluindo DNS sobre HHTPS, e também oferece suporte a DNSSEC. Também inclui alguma proteção contra ataques DDoS.
O único problema com o DNS do Google é o Google. Todo mundo sabe que ela gera receita coletando dados e usando-os para direcionar publicidade . Ele também compartilha os dados, mediante pagamento de uma taxa, com terceiros. Portanto, o Google tem uma pontuação alta em robustez e segurança, mas não tanto em privacidade.
O Google afirma que os dados que coleta são anonimizados, sem nenhuma informação de identificação pessoal, então isso pode não incomodá-lo. Se você já usa produtos do Google, como Gmail, Android ou o mecanismo de pesquisa na Web do Google , o Google não aprenderá muito mais sobre você do que já sabe.
Mas, se você preferir não se envolver com a maquinaria corporativa “big tech, big data, big brother”, o Google não será para você.
nuvemflare
- DNS primário : 1.1.1.1
- DNS secundário : 1.0.0.1
A Cloudflare é mais conhecida como fornecedora de redes de entrega de conteúdo, que compartilham a carga do tráfego do site em instâncias distribuídas e espelhadas e protegem contra ataques DDoS de praticamente qualquer magnitude.
Ele tem o desempenho de DNS mais rápido e está publicamente comprometido em nunca registrar seu endereço IP e excluir logs operacionais a cada 24 horas. Isto é verificado de forma independente pela KPMG .
Ele não inclui filtragem e bloqueio de conteúdo por padrão, mas você pode tê-lo se quiser. Para habilitá-lo, você só precisa usar os servidores DNS primários e secundários alternativos da Cloudflare.
O DNS da Cloudflare pode ser complicado de configurar, e o site da Cloudflare não é o mais intuitivo de navegar. Porém, quando estiver em execução, você terá o DNS mais rápido que existe, com a vantagem de respeitar sua privacidade.
DNSWatch
- DNS primário : 84.200.69.80
- DNS secundário : 84.200.70.40
O DNSWatch afirma que oferece suporte à neutralidade da rede e não tenta filtrar nenhum conteúdo com seus servidores DNS. Também não registra consultas DNS ou histórico do usuário. O DNSWatch nunca compartilhará ou venderá seus dados porque não coleta nenhum.
Ele oferece suporte a DNSSEC e DoH, mas qualquer outra coisa, como proteção contra sites de phishing ou sites de malware, fica por sua conta. Uma coisa que promove é a sua recusa em fazer qualquer sequestro de pedidos falhados.
Normalmente, um ISP enviará você para uma página de pesquisa patrocinada se o site que você está tentando acessar não responder. Tudo o que é inserido nesse site é registrado pelo seu ISP. O DNSWatch não faz isso, ele mostra a página padrão de conexão incorreta do seu navegador.
Quad9
- DNS primário : 9.9.9.9
- DNS secundário : 149.112.112.112
Embora a sede da Quad9 esteja na Europa, possui 183 clusters de resolvedores de DNS em 90 países ao redor do mundo. É um serviço gratuito. Seus servidores registram dados de transações e desempenho, mas não informações de identificação pessoal. Ele registra carimbos de data/hora, protocolos de transporte, domínios solicitados e sua geolocalização, e assim por diante.
Por padrão, ele oferece segurança além de DNSSEC e DoH, bloqueando sites maliciosos conhecidos que abrigam malware ou coletam credenciais de usuários. A lista de sites bloqueados foi coletada de mais de 20 fontes de inteligência públicas e comerciais. Ele não filtra nem bloqueia conteúdo, anúncios ou rastreadores da web, apenas sites maliciosos.
Se não quiser que esse bloqueio seja ativado, você pode usar seus endereços IP primários e secundários alternativos.
Em termos de velocidade, o tempo médio de resposta do Quad9 é de 21mS e tem um tempo de atividade de 99,94%. Google e Cloudflare têm tempos de resposta na região de 10mS, que é onde se destacam: velocidade bruta. No entanto, 21mS ainda é incrivelmente rápido. Na operação normal, você não notaria nenhuma diferença entre os dois.
Tente eles; Eles são grátis
Como todos esses provedores oferecem serviços DNS gratuitos, você pode escolher um e experimentá-lo. Ou experimente vários. Temos guias que cobrem uma variedade de plataformas:
- Como alterar seu servidor DNS no Windows 10
- Como alterar seu servidor DNS no Windows 11
- Como alterar seu servidor DNS no Chromebook
- Como alterar seu servidor DNS no Mac
- Como alterar seu servidor DNS no Android
- Como alterar seu servidor DNS no iPhone ou iPad
Lembre-se apenas de que segurança e privacidade não são a mesma coisa e nem sempre recebem a mesma atenção de todos os provedores de DNS.