Os melhores servidores DNS para navegação segura

Um close do modem Technicolor E31T2V1 da Spectrum Internet

Seu roteador faz solicitações de DNS enquanto você navega na web. Por padrão, porém, seu ISP vê todas as suas pesquisas e endereços da web. Você pode alterar suas configurações de DNS para aumentar a segurança e a privacidade.

O que é um servidor DNS?

Um servidor DNS (Dynamic Name System)  é um serviço que traduz automaticamente endereços da web legíveis por humanos em endereços IP . Isso é importante porque, em sua casa e na internet, cada dispositivo de rede possui um endereço IP. Usar endereços IP como seres humanos seria entediante. Mesmo que pudéssemos lembrá-los, nós os digitaríamos incorretamente. É por isso que o Sistema de Nomes de Domínio foi criado.

Quando você tenta se conectar a um site, seu roteador verifica se os detalhes desse site estão no cache. Caso contrário, ele faz uma solicitação de DNS enviando o nome de domínio do site para um servidor DNS. O servidor DNS procura o nome de domínio, encontra o endereço IP e o envia de volta ao seu roteador para que ele possa tentar se conectar ao servidor web que hospeda o site.

Na realidade, é mais complicado. Por padrão, o servidor DNS ao qual seu roteador se conecta é um servidor precursor de DNS fornecido pelo seu provedor de serviços de Internet.

Se o servidor precursor não mantiver os detalhes do site em seu próprio cache, ele enviará uma solicitação a um servidor de nomes raiz DNS. O servidor de nomes raiz responde ao servidor precursor com uma lista de servidores de domínio de nível superior que podem lidar com o domínio de nível superior (.COM, .INFO, .ORG e assim por diante) do site solicitado. O servidor precursor repete sua solicitação para um dos servidores de domínio de nível superior dessa lista.

O servidor de domínio de nível superior responde com o nome de um servidor de nomes DNS autoritativo que realmente contém os detalhes do domínio. O servidor precursor então faz sua solicitação mais uma vez, ao servidor de nomes autoritativo, para finalmente obter o endereço IP.

No nosso exemplo, a pessoa estava tentando acessar um site, mas o mesmo vale para qualquer recurso da web identificado por um nome de domínio, como um servidor de e-mail.

DNS, segurança e privacidade

Usar o servidor DNS padrão do seu ISP tem implicações para privacidade e segurança.

Os dados nas solicitações DNS não são criptografados, mesmo que alguns dos metadados anexados sejam. Um  ataque man-in-the-middle  ou um funcionário intrometido do seu ISP pode expor e revisar sua atividade online com muita facilidade. Isso já é ruim, mas usar o servidor DNS de um ISP também pode enfraquecer sua segurança.

Recomendado:  Como fechar várias guias ao mesmo tempo no Safari no iPhone

Alguns dos ataques cibernéticos centrados em DNS mais comuns são:

  • Negação de serviço distribuída : Isso cria uma enxurrada de solicitações falsas que sobrecarregam o servidor DNS, impossibilitando-o de atender solicitações genuínas.
  • Falsificação/envenenamento de DNS : isso cria respostas DNS falsas e maliciosas nas quais seu roteador atua. Os cibercriminosos podem enviar os usuários para sites fraudulentos em vez de sites genuínos. Podem ser sites de phishing que coletam credenciais de login.
  • Sequestro de DNS : o malware infecta seu computador e altera as configurações e o comportamento do TCP/IP para que as solicitações de DNS sejam redirecionadas para os servidores DNS fraudulentos dos cibercriminosos. Eles redirecionam solicitações da web para sites de phishing ou outros sites maliciosos.
  • Sequestro de Domínio : Esta é uma forma mais rara de ataque. Requer a alteração dos detalhes nos sistemas do registrador de domínio, para que os detalhes armazenados de um site legítimo sejam direcionados para um site falso .

Não há segurança real no DNS padrão. Tudo o que pode fazer é verificar se a resposta de um servidor downstream vem do mesmo endereço IP para o qual a solicitação foi enviada. É alguma coisa, mas dificilmente é completo.

As  Extensões de Segurança do Sistema de Nomes de Domínio , ou DNSSEC, foram desenvolvidas para adicionar assinaturas digitais a solicitações de DNS. Isso permite que os servidores DNS verifiquem se os dados que recebem definitivamente vêm de onde afirmam vir. Isso é chamado de autenticação de origem de dados. Além disso, o receptor pode verificar se os dados não foram modificados em trânsito. Isso é chamado de proteção de integridade de dados.

DNS sobre HTTPS , DoH, é um novo protocolo que criptografa solicitações de DNS e tráfego entre servidores. No entanto, as solicitações DNS registradas e armazenadas em cache não são criptografadas. Eles são criptografados apenas em trânsito. E, claro, a maioria dos ISPs registra tudo o que pode e nem todos oferecem suporte a DNSSEC e DoH.

Os melhores servidores DNS para navegação segura

Os servidores DNS públicos serão mais privados, mais seguros e mais rápidos do que a oferta padrão do seu ISP. Aqui estão cinco dos melhores servidores DNS que recomendamos:

Página inicial do OpenDNS

  • DNS primário : 208.67.222.222
  • DNS secundário : 208.67.220.220

O OpenDNS foi comprado pela Cisco  em 2015. A parte “Aberta” significa que aceita solicitações de DNS de qualquer lugar. Não tem nada a ver com código aberto . OpenDNS tem níveis pagos e gratuitos.

Recomendado:  Como verificar se o Windows 11 está ativado

A Cisco construiu seu nome com base em produtos e know-how de rede de ponta. A Cisco sabe tanto sobre redes e roteamento de tráfego quanto qualquer empresa do planeta. Tem presença global e oferece um serviço DNS sólido.

OpenDSN Home oferece suporte a DoH e DNSSEC. Ele também vem com filtragem de conteúdo e proteção contra malware/phishing. Você não pode optar por não participar. Você tem algum controle sobre suas configurações, mas não tanto quanto em uma de suas camadas pagas.

Talvez o mais preocupante seja o fato de o OpenDNS registrar  suas consultas DNS, seu endereço IP e muito mais , e colocar o que chama de “web beacons” nas páginas que você visitou.

O OpenDNS é rápido e seguro, mas suas preocupações com a privacidade serão um desestímulo para alguns.

DNS público do Google

  • DNS primário : 8.8.8.8
  • DNS secundário : 8.8.4.4

O DNS público do Google  é gratuito para todos, inclusive para uso comercial. É um serviço robusto e confiável com tempos de resposta rápidos. E, claro, você pode ter certeza de que o Google não irá desaparecer.

O DNS público do Google oferece suporte a muitos protocolos de pesquisa, incluindo DNS sobre HHTPS, e também oferece suporte a DNSSEC. Também inclui alguma proteção contra ataques DDoS.

O único problema com o DNS do Google é o Google. Todo mundo sabe que ela gera receita coletando dados e usando-os para direcionar publicidade . Ele também compartilha os dados, mediante pagamento de uma taxa, com terceiros. Portanto, o Google tem uma pontuação alta em robustez e segurança, mas não tanto em privacidade.

O Google afirma que os dados que coleta são anonimizados, sem nenhuma informação de identificação pessoal, então isso pode não incomodá-lo. Se você já usa produtos do Google, como Gmail, Android ou o mecanismo de pesquisa na Web do Google , o Google não aprenderá muito mais sobre você do que já sabe.

Mas, se você preferir não se envolver com a maquinaria corporativa “big tech, big data, big brother”, o Google não será para você.

nuvemflare

  • DNS primário : 1.1.1.1
  • DNS secundário : 1.0.0.1

A Cloudflare é mais conhecida como fornecedora de redes de entrega de conteúdo, que compartilham a carga do tráfego do site em instâncias distribuídas e espelhadas e protegem contra ataques DDoS de praticamente qualquer magnitude.

Ele tem o  desempenho de DNS mais rápido  e está publicamente comprometido em nunca registrar seu endereço IP e excluir logs operacionais a cada 24 horas. Isto é verificado de forma independente pela  KPMG .

Ele não inclui filtragem e bloqueio de conteúdo por padrão, mas você pode tê-lo se quiser. Para habilitá-lo, você só precisa usar os servidores DNS primários e secundários alternativos da Cloudflare.

O DNS da Cloudflare pode ser complicado de configurar, e o site da Cloudflare não é o mais intuitivo de navegar. Porém, quando estiver em execução, você terá o DNS mais rápido que existe, com a vantagem de respeitar sua privacidade.

Recomendado:  O que há de novo no Ubuntu 22.04 LTS 'Jammy Jellyfish'

DNSWatch

  • DNS primário : 84.200.69.80
  • DNS secundário : 84.200.70.40

O DNSWatch afirma que oferece suporte à neutralidade da rede e não tenta filtrar nenhum conteúdo com seus servidores DNS. Também não registra consultas DNS ou histórico do usuário. O DNSWatch nunca compartilhará ou venderá seus dados porque não coleta nenhum.

Ele oferece suporte a DNSSEC e DoH, mas qualquer outra coisa, como proteção contra sites de phishing ou sites de malware, fica por sua conta. Uma coisa que promove é a sua recusa em fazer qualquer sequestro de pedidos falhados.

Normalmente, um ISP enviará você para uma página de pesquisa patrocinada se o site que você está tentando acessar não responder. Tudo o que é inserido nesse site é registrado pelo seu ISP. O DNSWatch não faz isso, ele mostra a página padrão de conexão incorreta do seu navegador.

Quad9

  • DNS primário : 9.9.9.9
  • DNS secundário : 149.112.112.112

Embora a sede da Quad9 esteja na Europa, possui 183 clusters de resolvedores de DNS em 90 países ao redor do mundo. É um serviço gratuito. Seus servidores registram dados de transações e desempenho, mas não informações de identificação pessoal. Ele registra carimbos de data/hora, protocolos de transporte, domínios solicitados e sua geolocalização, e assim por diante.

Por padrão, ele oferece segurança além de DNSSEC e DoH, bloqueando sites maliciosos conhecidos que abrigam malware ou coletam credenciais de usuários. A lista de sites bloqueados foi coletada de mais de 20 fontes de inteligência públicas e comerciais. Ele não filtra nem bloqueia conteúdo, anúncios ou rastreadores da web, apenas sites maliciosos.

Se não quiser que esse bloqueio seja ativado, você pode usar seus endereços IP primários e secundários alternativos.

Em termos de velocidade, o tempo médio de resposta do Quad9 é de 21mS e tem um tempo de atividade de 99,94%. Google e Cloudflare têm tempos de resposta na região de 10mS, que é onde se destacam: velocidade bruta. No entanto, 21mS ainda é incrivelmente rápido. Na operação normal, você não notaria nenhuma diferença entre os dois.

Tente eles; Eles são grátis

Como todos esses provedores oferecem serviços DNS gratuitos, você pode escolher um e experimentá-lo. Ou experimente vários. Temos guias que cobrem uma variedade de plataformas:

  • Como alterar seu servidor DNS no Windows 10
  • Como alterar seu servidor DNS no Windows 11
  • Como alterar seu servidor DNS no Chromebook
  • Como alterar seu servidor DNS no Mac
  • Como alterar seu servidor DNS no Android
  • Como alterar seu servidor DNS no iPhone ou iPad

Lembre-se apenas de que segurança e privacidade não são a mesma coisa e nem sempre recebem a mesma atenção de todos os provedores de DNS.