Настройка интернет-подключения на компьютере или смартфоне в большинстве случаев автоматизирована, и разбираться в ней не надо. Но есть одна деталь, которая стоит внимания, — выбор DNS и его режима работы. Если уделить этому немного времени, можно защититься от кибератак, шпионажа со стороны провайдера, нежелательного для детей контента и даже рекламы. Что же такое, например, Private DNS?
DNS и его недостатки
Расшифровка DNS — Domain Name Service, сервис (служба) доменных имен. Он нужен, чтобы переводить удобные для нашего восприятия адреса в Интернете (доменные имена, например, kaspersky.ru) в цифровые IP-адреса, которыми оперируют компьютеры в Сети (185.85.15.34). Практически каждый запрос в Интернете начинается с того, что компьютер обращается к серверу DNS за переводом введенного имени сайта в его IP-адрес. Почти всегда для этого используется DNS-сервер вашего интернет-провайдера, причем запрос к нему не зашифрован и не подписан. Из-за этой незащищенности возникает много побочных эффектов.
Провайдер всегда знает, какие сайты вы посещаете, и может использовать это для показа вам таргетированной рекламы.
Провайдеру легко подменить IP-адрес в своем ответе, показав совсем не тот сайт, который вы хотели увидеть. Вы наверняка сталкивались с этим, подключаясь к бесплатному Wi-Fi в отеле, кафе или аэропорту, — первым делом вместо любого запрошенного вами сайта вылезает страница с авторизацией или рекламой.
Ту же технологию могут применять и злоумышленники, способные контролировать сеть Wi-Fi, к которой вы подключились. Они подсовывают жертвам фальшивые сайты, на которых распространяются вредоносные программы или воруется информация о банковских картах.
Правда, подмена адресов в DNS-ответах может использоваться и во благо — например, в сервисах родительского контроля, выдающих сайт-заглушку при попытке посетить «нежелательные» сайты. Однако эта технология недостаточно точна и блокирует сайты целиком — например, весь youtube.com, а не конкретные «плохие» страницы.
Пользоваться DNS-сервером своего провайдера вовсе не обязательно. Существуют общедоступные DNS-серверы с хорошей репутацией, например от Cloudflare (1.1.1.1) или Google (8.8.8.8), их можно указать в настройках Интернета и избавиться от части проблем, описанных выше.
Есть и DNS-серверы с дополнительными функциями — например, блокирующие доступ к рекламным серверам: они убирают рекламу не только в браузере, но и в других приложениях. Для этого достаточно в настройках Wi-Fi компьютера или смартфона указать адрес соответствующего «фильтрующего» DNS-сервера.
К сожалению, простая замена адреса DNS на 1.1.1.1 или 8.8.8.8 не решает проблем конфиденциальности: провайдер или злоумышленник, контролирующий сеть, может «подсматривать» в DNS-запросы, вмешиваться в них или блокировать доступ к сторонним DNS.
Private DNS и Secure DNS
Крупные корпорации или энтузиасты могут запустить собственный DNS-сервер и применять на нем любые правила обработки запросов. Собственно, Private DNS в строгом смысле — это не сервер повышенной конфиденциальности, а просто частный, непубличный сервер. На практике Private DNS нередко запускают на базе защищенных DNS-протоколов. Настройка Private DNS в Android 9 и выше должна бы называться Secure DNS, чтобы точнее передавать ее суть.
Безопасный DNS (Secure DNS) — это несколько конкурирующих протоколов, отличающихся от обычного DNS наличием шифрования. Это DNS over HTTPS (DoH), DNS over TLS (DoT) и DNSCrypt. Они отличаются протоколами связи и портами, через которые проходят DNS-запросы. О том, какой из них лучше, а какой хуже, до сих пор идут споры. Правда, порой провайдеры блокируют доступ к сторонним DNS, и в этом случае наивысшие шансы обойти блокировку имеет протокол DoH, поскольку его сложнее отфильтровать. Но вникать в тонкости Secure DNS не обязательно, главное, чтобы ваш смартфон, компьютер или браузер поддерживал хотя бы один из указанных протоколов и был DNS-сервер, который можно использовать с этими протоколами.
Дефицита бесплатных безопасных серверов нет — крупные операторы интернет-инфраструктуры (Cloudflare, Google и другие) поддерживают общедоступные DNS (1.1.1.1, 8.8.8.8), к которым можно подключиться как по незащищенному DNS, так и по DoH/DoT. Поэтому ваша задача сводится к тому, чтобы включить этот безопасный доступ.
А если уже есть VPN?
Безопасный DNS и VPN — взаимодополняющие технологии. Даже если вы включили VPN, запросы имен сайтов могут идти по незашифрованному DNS-каналу, тогда все вышеописанные риски остаются. Некоторые коммерческие VPN-сервисы включают в стандартный профиль подключения свой зашифрованный DNS или предлагают одновременное включение своего VPN и стороннего безопасного DNS через приложение. Это не общепринятая практика, поэтому стоит перечитать информацию своего VPN-провайдера или задать вопрос техподдержке. Если безопасный DNS не предлагается, его можно включить дополнительно к VPN по инструкции ниже.
По материалам Касперский