NextDNS - DNSy na miarę XXI wieku

NextDNS - DNSy na miarę XXI wieku

hejto.pl
Skąd kąkuter wie gdzie i do którego serwera sie odezwać, żeby otworzyć stronę smiesznekotki.pl? Otóż pomaga mu w tym system nazw DNS, który tłumaczy nazwy domen na adresy IP (albo na odwrót, bo jest też reverse DNS i mi sie zawsze myli).
DNSy są hierarchiczne, to znaczy, że zawsze musi być ktoś "wyżej" kto wie, jak Ty nie wiesz. I tak na przykład lokalny DNS na routerze nie wie, to pyta DNSów dostawcy, a ten nie wie, to pyta DNSów krajowych. Nic nie stoi na przeszkodzie jednak żeby skonfigurować urządzenie końcowe tak, by korzystało bezpośrednio z DNSów krajowych omijając to, co wymyśla dostawca. Można skorzystać zawsze z DNSów Googlowskich czyli słynnnych czterech ósemek: 8.8.8.8 i pomocniczego DNS'a Googla: 8.8.4.4.
No ale po co ja o tym wszystkim? Otóż trafiło mi sie ostatnio coś takiego jak NextDNS ( https://nextdns.io/ ), czyli własne DNSy które można dowolnie skonfigurować. No bo co, gdyby system na pytanie "Gdzie jest wypok?" dostawał odpowiedź "Nie wiem"? ( ͡° ͜ʖ ͡°)
NextDNS pozwala na podniesienie bezpieczeństwa DNSów na inny poziom. Od blokowania domen danego TLD (na przykład domen .tk, które są darmowe), przez blokowanie domen śledzących różnych usług (np tracking Windows, Samsung, Xiaomi) , blokowanie danych aplikacji (jak np Tiktok), poprzez filtry CERT Polska czy innych cudów niewidów.
Minusem jest na pewno darmowy limit zapytań czyli 300 tyś na miesiąc ale przecież nikt nie broni miec osobnego konta na komputer, a osobnego na telefon - czególnie z Gmailem, gdzie po plusie mozna generować różne maile
Dodatkowo upierdliwa może być konfiguracja wszystkich urządzeń sieciowych ale pozwala to na nadawanie im nazw i generowanie statystyk per urzadzenie.

Jak widać - mam, korzystam, używam od 2 miesięcy, w tym wspierając "Źródła informacji o zagrożeniach", które korzystają między innymi z listy CERT Polska, więcej o nich tutaj: https://cert.pl/posts/2020/03/ostrzezenia_phishing/ (mają liste pod Adblocki)
Jeżeli ktoś jest zainteresowany to wystarczy https://nextdns.io lub mój reflink w źródłach na dole. Nawet bez rejestracji dostaniemy testową sesję NextDNS'a, a tam instrukcja jak to ustawić sensownie na różnych urządzeniach. Dla Windowsa polecam apkę, bo Windows 11 puszczał u mnie około 30% ruchu bezpiecznym kanałem.

A na sam koniec jako, że jestem uciekinierem i #jebacwykop to można sobie dodać taką śliczną blokadę:

W związku z powyższym - dajcie pioruna
Źródła:
https://pl.wikipedia.org/wiki/Domain_Name_System
https://developers.google.com/speed/public-dns
https://nextdns.io/?from=7f7edn5v (mój reflink jakby ktoś kupił roczną subskrypcję)
https://cert.pl/posts/2020/03/ostrzezenia_phishing/
https://hole.cert.pl/domains/domains_adblock.txt (bezpośrednia lista do adblocka/ublocka od CERT Polska)
I troche tagów: #informatyka #bezpieczenstwo #cyberbezpieczenstwo #technologia #security

Komentarze (8)

Amebcio

IMO następną generacją DNS będzie Ethereum Name Service, oparty na blockchainie. Nie dość że jest niecenzurowalny to jeszcze nie ulega awariom. Przykładem użycia ENS jest słynny mikser kryptowalut TornadoCash na którego nałożono sankcje.


Witryna wciąż jest dostępna na adresie ipfs://tornadocash.eth/ i będzie działać po wsze czasy. (Do otwarcia wymagany jest brave albo opera, do chrome trzeba by kombinować wtyczki)

groovy

a w czym to jest lepsze od bezpłatnego np. DNS-a od Cloudware:

1.1.1.1 - DNS bez śledzenia (podobno)

1.1.1.2 - DNS + blokowanie malware’u

1.1.1.3 - DNS + blokowanie malware’u i pornografii

Kucharskov

@groovy tak jak pisałem, możesz sobie dowolnie go skonfigurować (np blokowanie orlenowej strony ze śmiesznymi obrazkami czy aplikacji Tiktok), masz ciekawy podgląd statystyk. A przy okazji tam jest sugerowany DoH (DNS over HTTPS), który leci kanałem szyfrowanym, nie jak czysty DNS w plaintexcie

Ja np w podglądzie najczesciej odwiedzanych domen zauważyłem, że urządzenie sprawdza mi czesto wpad.home i mogłem zablokować sobie taki adres, żeby lokalnie proxy nie sprawdzało.

groovy

podobne opcje oferuje PiHole. fakt, że są minusy takiego rozwiązania:

  • działa jedynie w sieci lokalnej

  • no i dobrze mieć urządzenie na którym będzie działać 24h/dobę (RaspberryPi, NAS czy coś)


a jakie pingi ma NextDNS? bo jeśli ich serwer stoi np. w Stanach to słabo to widzę

1a18be03-3299-4927-9c64-50e0f885da1e
Kucharskov

@groovy Według ich strony mają serwery w 132 lokalizacjach. Ja po wejściu na https://test.nextdns.io/ widzę, że serwer to "zepto-waw-1", więc chyba nawet coś w Warszawie stoi. Równiez na ich stronie głównej jest tester opóźnienia i dla mnie wyskoczyło 38ms.

Technicznie NextDNS to ciut inny PiHole w internecie

zoon

Polecam zawsze wszystkim bardziej technicznym pihole, raspberry pi pierwszej generacji wystarcza do działania. Teraz słabszym technicznie mogę tą usługę polecać. Dzięki, przyda się.

c281aeb0-c4b4-450b-9b5d-e6cdcc29c52d
Marchew

@Amebcio @groovy @Kucharskov @zoon Pytanie: jak sobie poradzić z urządzeniami które mają wbite DNS'y na sztywno?

Zaloguj się aby komentować