Os melhores servidores DNS para navegação segura

0
252

[ad_1]

Corbin Davenport / geek instrucional

Seu roteador faz solicitações de DNS enquanto você navega na web. No entanto, por padrão, seu ISP vê todas as suas pesquisas e endereços na web. Você pode alterar as configurações de DNS para aumentar a segurança e a privacidade.

O que é um servidor DNS?

Um servidor DNS (Dynamic Name System) é um serviço que converte automaticamente endereços da Web legíveis por humanos em endereços IP. Isso é importante porque, em sua casa e na Internet, cada dispositivo de rede possui um endereço IP. Usar endereços IP como humanos seria tedioso. Mesmo que pudéssemos nos lembrar deles, nós os escreveríamos errado. É por isso que o Sistema de Nomes de Domínio foi criado.

Quando você tenta se conectar a um site, seu roteador verifica se os detalhes desse site estão em seu cache. Caso contrário, ele faz uma solicitação de DNS enviando o nome de domínio do site para um servidor DNS. O servidor DNS procura o nome de domínio, encontra o endereço IP e o envia de volta ao seu roteador para que ele tente se conectar ao servidor da Web que hospeda o site.

Na verdade, é mais complicado. Por padrão, o servidor DNS ao qual seu roteador se conecta é um servidor DNS precursor fornecido por seu provedor de serviços de Internet.

Se o servidor-pai não salvar os detalhes do site em seu próprio cache, ele enviará uma solicitação para um servidor de nome raiz DNS. O servidor de nomes raiz responde ao servidor pai com uma lista de servidores de domínio de nível superior que podem lidar com o domínio de nível superior (.COM, .INFO, .ORG, etc.) do site solicitado. O servidor-pai repete sua solicitação para um dos servidores de domínio de nível superior nessa lista.

O servidor de domínio de nível superior responde com o nome de um servidor de nomes DNS autorizado que realmente contém os detalhes do domínio. O servidor precursor então faz sua solicitação mais uma vez, ao servidor de nomes autorizado, para finalmente obter o endereço IP.

Em nosso exemplo, a pessoa estava tentando acessar um site, mas o mesmo vale para qualquer recurso da Web identificado por um nome de domínio, como um servidor de e-mail.

DNS, segurança e privacidade

Usar o servidor DNS padrão do seu ISP tem implicações para privacidade e segurança.

Os dados nas solicitações de DNS não são criptografados, mesmo que alguns dos metadados anexados sejam. Um ataque man-in-the-middle ou funcionário intrometido do seu ISP pode facilmente expor e revisar sua atividade online. Isso já é ruim o suficiente, mas usar o servidor DNS de um ISP também pode enfraquecer sua segurança.

Alguns dos ataques cibernéticos mais comuns com foco em DNS incluem:

  • Negação de serviço distribuída: isso cria uma enxurrada de solicitações falsas que sobrecarregam o servidor DNS, tornando-o incapaz de atender a solicitações genuínas.
  • Falsificação/envenenamento de DNS: Isso cria respostas DNS falsas e maliciosas nas quais seu roteador age. Os cibercriminosos podem enviar usuários para sites fraudulentos em vez de sites genuínos. Podem ser sites de phishing que coletam credenciais de login.
  • sequestro de DNS: o malware infecta seu computador e altera as configurações e o comportamento de TCP/IP para que as solicitações de DNS sejam redirecionadas para os servidores DNS fraudulentos dos cibercriminosos. Eles redirecionam as solicitações da web para phishing ou outros sites maliciosos.
  • sequestro de domínio: Esta é uma forma mais rara de ataque. Isso requer a alteração dos detalhes nos sistemas do registrador de domínio, para que os detalhes armazenados de um site legítimo apontem para um site falso.

Não há segurança real no DNS padrão. Tudo o que você pode fazer é verificar se a resposta de um servidor downstream vem do mesmo endereço IP para o qual a solicitação foi enviada. É algo, mas não é exaustivo.

As Extensões de Segurança do Sistema de Nomes de Domínio, ou DNSSEC, foram desenvolvidas para adicionar assinaturas digitais às solicitações de DNS. Isso permite que os servidores DNS verifiquem se os dados recebidos são definitivamente provenientes de onde afirmam estar. Se chama autenticação de origem de dados. Além disso, o receptor pode verificar se os dados não foram modificados durante o trânsito. Se chama proteção de integridade de dados.

DNS sobre HTTPS, DoH, é um novo protocolo que criptografa solicitações de DNS e tráfego entre servidores. No entanto, as solicitações de DNS armazenadas em cache e registradas não são criptografadas. Eles são criptografados apenas em trânsito. E, claro, a maioria dos ISPs registra tudo o que pode e nem todos suportam DNSSEC e DoH.

RELACIONADO: O guia definitivo para alterar seu servidor DNS

Os servidores DNS públicos serão mais privados, mais seguros e mais rápidos do que a oferta padrão do seu ISP. Aqui estão cinco dos melhores servidores DNS que recomendamos:

Iniciar DNS aberto

  • DNS primário: 208.67.222.222
  • DNS secundário: 208.67.220.220

A Cisco comprou o OpenDNS em 2015. A parte “Abrir” significa que ele aceita solicitações de DNS de qualquer lugar. Não tem nada a ver com código aberto. O OpenDNS tem níveis pagos e gratuitos.

A Cisco construiu seu nome com conhecimento e produtos de rede de classe mundial. A Cisco sabe tanto sobre rede e roteamento de tráfego quanto qualquer empresa do planeta. Tem presença global e oferece um serviço DNS sólido.

OpenDSN Home suporta DoH e DNSSEC. Ele também vem com filtragem de conteúdo e proteção contra malware/phishing. Você não pode cancelar. Você tem algum controle sobre suas configurações, mas não tanto quanto em um de seus níveis pagos.

Talvez o mais preocupante seja que o OpenDNS registra suas consultas de DNS, seu endereço IP e muito mais, e coloca o que chama de “web beacons” nas páginas que você visitou.

O OpenDNS é rápido e seguro, mas seus problemas de privacidade serão um problema para alguns.

DNS público do Google

  • DNS primário: 8.8.8.8
  • DNS secundário: 8.8.4.4

O DNS público do Google é gratuito para todos, inclusive para uso comercial. É um serviço robusto e confiável com tempos de resposta rápidos. E, claro, você pode ter certeza de que o Google não vai desaparecer.

O Google Public DNS suporta muitos protocolos de pesquisa, incluindo DNS sobre HHTPS, e também suporta DNSSEC. Também inclui alguma proteção contra ataques DDoS.

O único problema com o DNS do Google é o Google. Todo mundo sabe que gera receita coletando dados e usando-os para direcionar a publicidade. Também compartilha os dados, por uma taxa, com terceiros. Portanto, o Google pontua muito em robustez e segurança, mas não tanto em privacidade.

O Google diz que os dados que coleta são anônimos, sem informações de identificação pessoal, portanto, podem não incomodá-lo. Se você já usa produtos do Google como Gmail, Android ou o mecanismo de pesquisa da Web do Google, o Google não aprenderá muito mais sobre você do que já sabe.

Mas, se você preferir não se envolver com a máquina corporativa de “big tech, big data, big brother”, o Google não será para você.

clarão de nuvem

  • DNS primário: 1.1.1.1
  • DNS secundário: 1.0.0.1

A Cloudflare é mais conhecida como provedora de rede de entrega de conteúdo, tráfego de site de compartilhamento de carga em instâncias espelhadas distribuídas e proteção contra ataques DDoS de praticamente qualquer magnitude.

Ele tem o desempenho de DNS mais rápido e se compromete publicamente a nunca registrar seu endereço IP e exclui os registros operacionais a cada 24 horas. Isso é verificado independentemente pela KPMG.

Não inclui filtragem e bloqueio de conteúdo por padrão, mas você pode tê-lo se quiser. Para habilitá-lo, você só precisa usar os servidores DNS primário e secundário alternativos da Cloudflare.

O DNS da Cloudflare pode ser complicado de configurar, e o site da Cloudflare não é o mais intuitivo de navegar. No entanto, uma vez em execução, você está no DNS mais rápido que existe, com o bônus adicional de respeitar sua privacidade.

monitoramento de DNS

  • DNS primário: 84.200.69.80
  • DNS secundário: 84.200.70.40

O DNSWatch diz que oferece suporte à neutralidade da rede e não tenta filtrar nenhum conteúdo com seus servidores DNS. Ele também não registra nenhuma consulta DNS ou histórico do usuário. O DNSWatch nunca compartilhará ou venderá seus dados porque não os coleta.

Ele suporta DNSSEC e DoH, mas qualquer outra coisa como proteção contra sites de phishing ou sites de malware depende de você. Uma coisa que ele promove é a recusa em sequestrar solicitações com falha.

Normalmente, um ISP enviará você para uma página de pesquisa patrocinada se o site que você está tentando acessar não estiver respondendo. Tudo inserido nesse site é registrado pelo seu ISP. O DNSWatch não faz isso, ele mostra a página de conexão ruim padrão do seu navegador.

Quad9

  • DNS primário: 9.9.9.9
  • DNS secundário: 149.112.112.112

Embora a sede da Quad9 esteja na Europa, ela possui 183 clusters de resolução de DNS em 90 países ao redor do mundo. É um serviço grátis. Seus servidores registram dados de transação e desempenho, mas não informações de identificação pessoal. Registra timestamps, protocolos de transporte, domínios solicitados e sua geolocalização, etc.

Por padrão, ele oferece segurança além do DNSSEC e DoH, bloqueando sites maliciosos conhecidos que hospedam malware ou coletam credenciais do usuário. A lista de sites bloqueados é obtida de mais de 20 fontes de inteligência comercial e pública. Ele não filtra ou bloqueia conteúdo, anúncios ou rastreadores da web, apenas sites maliciosos.

Se você não deseja ativar esse bloqueio, pode usar seus endereços IP primário e secundário alternativos.

Em termos de velocidade, o tempo médio de resposta do Quad9 é de 21ms e tem um uptime de 99,94%. O Google e o Cloudflare têm tempos de resposta na região de 10mS, que é onde eles se destacam: velocidade bruta. No entanto, 21mS ainda é extremamente rápido. Em operação normal, você não notará nenhuma diferença entre os dois.

Tente eles; Eles são livres

Como todos esses provedores têm serviços de DNS gratuitos, você pode escolher um e experimentá-lo. Ou tente vários. Temos guias que cobrem uma variedade de plataformas:

Lembre-se de que segurança e privacidade não são iguais e nem todos os provedores de DNS prestam a mesma atenção a eles.

[ad_2]