Tag: OpenNameserver

Πρωτόκολλα DoH, DoT, DoQ, DNSCrypt

DNS

Γενικά

Τα πρωτόκολλα κρυπτογράφησης των αιτημάτων DNS επιβάλλεται να τα χρησιμοποιούμε πάντοτε στην περιήγηση μας στο διαδίκτυο τόσο από τους επιτραπέζιους και φορητούς υπολογιστές (laptops) όσο και από τα κινητά ή τα tablets μας. Χωρίς την χρήση τους είμαστε ευάλωτοι στην ανεξέλεγκτη “διαρροή” ευαίσθητων πληροφοριών χωρίς την συγκατάθεση μας, από τρίτους φορείς (!) όπως οι πάροχοι πρόσβασης στο ίντερνετ (OTE, Vodafone, Nova, κλπ), διαφημιστικές εταιρείες αλλά και από κακόβουλους hackers. Ας δούμε ένα πολύ απλό παράδειγμα: έστω ότι γράφουμε σε μια μηχανή αναζήτησης “αγορά μεταχειρισμένου αυτοκινήτου”. Αυτό είναι ένα DNS αίτημα που θα σταλεί από τον υπολογιστή ή το κινητό μας στην μηχανή αναζήτησης και η οποία στη συνέχεια θα μας απαντήσει που μπορούμε να αντλήσουμε τις κατάλληλες πληροφορίες. Πριν όμως το συγκεκριμένο αυτό DNS αίτημα (“αγορά μεταχειρισμένου αυτοκινήτου”) φτάσει στη μηχανή αναζήτησης, θα περάσει υποχρεωτικά λόγω της δομής του διαδικτύου πρώτα από τους DNS servers του παρόχου πρόσβασης μας στο ίντερνετ λχ Otenet, Vodafone, Wind ως απλό κείμενο που μπορεί εύκολα να διαβαστεί και να αποθηκευτεί στην βάση δεδομένων και πιθανόν να διαμοιραστεί σε τρίτους με βάση την πολιτική απορρήτου που τηρεί. Ομοίως μπορεί να μεσολαβούν – και στην πράξη αυτό συμβαίνει – πολλοί άλλοι τρίτοι φορείς στη διαδρομή του dns αιτήματος μέχρι τον τελικό του προορισμό, οι οποίοι δεν γίνονται αντιληπτοί και “βλέπουν” / καταγράφουν το αίτημα μας αφού δεν είναι κρυπτογραφημένο και μπορούν να το χρησιμοποιήσουν ή και να το παραποιήσουν για δικούς τους σκοπούς! Εδώ έρχεται η σπουδαιότητα των πρωτοκόλλων κρυπτογράφησης, τα οποία πρώτα κρυπτογραφούν το αίτημα μας (δηλαδή το κάνουν ακατάληπτο για ανάγνωση) και στη συνέχεια διαβιβάζεται παραπέρα οπότε πρακτικά είναι μια “άχρηστη” πληροφορία για ολα τα παρεμβαλλόμενα τρίτα μέρη! Από την άλλη οφείλουμε να γνωρίζουμε ότι οι “τρίτοι φορείς” εξακολουθούν να βλέπουν σε ποιο site είμαστε κάθε φορά και σε συνδυασμό με άλλες τεχνικές παραβίασης (cookies, trackers, etc) μπορούν να αντλήσουν αρκετές πληροφορίες για τις “συνήθειες” μας…

Τα πιο γνωστά πρωτόκολλα κρυπτογράφησης είναι τα: DNS over HTTPS (DoH), DNS over TLS (DoT), DNS over Quic (DoQ) και το DNSCrypt. Όλα είναι αρκετά καλά και εύκολα στη χρήση και στην παραμετροποίηση τους.

Για τους “αδαείς” χρήστες του διαδικτύου (δηλαδή οι περισσότεροι από εμάς) υπάρχουν “έτοιμες” λύσεις! Απλά επιλέγουμε έναν αξιόπιστο Public DNS Server (βλέπε το σχετικό άρθρο μας) και στις περισσότερες περιπτώσεις είμαστε έτοιμοι και “καλυμμένοι”! | επίσης υπάρχουν έτοιμες εφαρμογές για κινητά και tablets πχ από την Quad9

Πληροφορίες για τα πρωτόκολλα

  • Για τα DoH και DoT, ξεκινήστε από τα σχετικά άρθρα της WebSecurity Lab και της Cloudflare.
  • Για το DoQ, διαβάστε σχετικά στο APNIC ή στο AdGuard-DNS.
  • Για το DNSCrypt ξεκινήστε από τον ομώνυμο μη κερδοσκοπικό οργανισμό δημιουργίας του, DNSCrypt που παρέχει και έτοιμες εφαρμογές εγκατάστασης (!).

Υπόψη ότι αρκετοί από τους public dns servers όπως η Quad9 ή η Cloudflare, παρέχουν την δυνατότητα επιλογής ποιο πρωτόκολλο θέλουμε να χρησιμοποιήσουμε κάθε φορά.

Χρήση των πρωτοκόλλων χωρίς επιλογή κάποιας εφαρμογής public dns server

Μπορούμε να χρησιμοποιήσουμε τα παραπάνω πρωτόκολλα κρυπτογράφησης των DNS αιτημάτων μας, χωρίς υποχρεωτικά να χρησιμοποιήσουμε όλο το προσφερόμενο πακέτο εγκατάστασης των πιο δημοφιλών public dns servers ή να επιλέξουμε κάποιον άλλο φορέα που εμείς εμπιστευόμαστε! Για παράδειγμα αν θέλουμε να χρησιμοποιήσουμε τα DoH ή DoT της StormyCloud (μη κερδοσκοπικός φορέας) κάνουμε τις εξής ρυθμίσεις: Αν χρησιμοποιούμε σαν πρόγραμμα περιήγησης τον Firefox (συνιστάται, μη κερδοσκοπικός browser) σε Windows, πηγαίνουμε στις Ρυθμίσεις – Εργαλεία (Tools) > Απόρρητο και Ασφάλεια (Privacy and Security) >  επιλέγουμε DNS over HTTPS > Μέγιστη Προστασία > και από το νέο μενού επιλογών του, επιλέγουμε Custom > βάζουμε την εγγραφή https://dns.stormycloud.org/dns-query και είμαστε έτοιμοι! Σχεδόν με τον ίδιο τρόπο γίνεται και στους άλλους browsers Chrome, Edge πάντοτε από τις Ρυθμίσεις > Απόρρητο και Ασφάλεια > Ασφάλεια > Προχωρημένα > Επιλογή DNS provider > Custom > και βάζουμε την τιμή που θέλουμε πχ https://dns.stormycloud.org/dns-query. Πάντως καλό είναι να αποφεύγουμε τους Edge και Chrome γιατί χορηγούνται και ελέγχονται από τις πολυεθνικές Microsoft και Google που δεν διακρίνονται και τόσο για τον σεβασμό του προσωπικού απορρήτου και της ανωνυμίας… (θα υπάρξει σχετικό άρθρο για τα προγράμματα περιήγησης στο ίντερνετ).

Παράθεση ορισμένων DoH και DoT από μη κερδοσκοπικούς DNS πάροχους:

  • StormyCloud: DoH https://dns.stormycloud.org/dns-query | DoT dns.stormycloud.org:853
  • DNS0.EU: DoH https://dns0.eu/ | DoT/DoQ dns0.eu
  • OpenNameserver: DoH (DE) https://ns1.opennameserver.org/dns-query ή (NO) https://ns4.opennameserver.org/dns-query
  • UncensoredDNS: DoH https://anycast.uncensoreddns.org/dns-query ή https://unicast.uncensoreddns.org/dns-query | DoT anycast.uncensoreddns.org:853 ή unicast.uncensoreddns.org:853

Παρατηρήσεις και Συμπεράσματα

1. Θεωρείται αδιανόητο να μην χρησιμοποιούμε κάποιο πρωτόκολλο κρυπτογράφησης στην καθημερινή μας περιήγηση στο ίντερνετ και στα μέσα κοινωνικής δικτύωσης και να γινόμαστε έτσι εύκολη λεία άντλησης των προσωπικών μας δεδομένων από τρίτους “αόρατους” φορείς!

2. Η χρήση των προαναφερόμενων πρωτοκόλλων απλά προσθέτει ένα επίπεδο ασφάλειας και σχετικής ανωνυμίας και δεν είναι άτρωτα! Υπάρχουν τρόποι παράκαμψης τους από τους ενδιαφερόμενους “φορείς υποκλοπής” για την άντληση των προσωπικών μας πληροφοριών αλλά σίγουρα η χρήση των DoH, DoT, DoQ, DNSCrypt κάνει το έργο τους πολύ πιο δύσκολο και επίπονο…

3. Η χρήση τους ούτε υποκαθιστά ούτε συγκρίνεται στην ασφάλεια και στο απόρρητο που μας παρέχει ένα εικονικό ιδιωτικό δίκτυο (VPN) από έναν αξιόπιστο φορέα! Επίσης μη κάνουμε το λάθος να χρησιμοποιούμε και τα δυο ταυτόχρονα γιατί “εξουδετερώνονται” σε μεγάλο βαθμό τα πλεονεκτήματα ενός VPN προγράμματος! Έτσι πριν χρησιμοποιήσουμε το VPN, πρέπει υποχρεωτικά να απενεργοποιήσουμε την χρήση των public dns servers / χρήση DNS πρωτοκόλλων (αν βέβαια είστε προχωρημένος χρήστης, μπορείτε με την σωστή παραμετροποίηση να χρησιμοποιήσετε και τα δύο…)

Τελευταία ενημέρωση: 10/12/2024

10/12/2024 Add Comment

Χρήση των public DNS servers

anonymous browsing

Χρήση των Public DNS Servers

Οι διεθνείς public dns servers (δημόσιοι dns εξυπηρετητές) είχαν και έχουν ακόμα παγκόσμια δημοτικότητα κυρίως στο ότι είναι ταχύτεροι από τους εγχώριους των παρόχων επικοινωνιών. Στην Ελλάδα παρότι δεν υπάρχουν επίσημα στοιχεία, δεν είναι τόσο δημοφιλείς και το μεγαλύτερο ποσοστό επισκεπτών ή χρηστών του ίντερνετ αγνοεί την ύπαρξη τους και κατά κανόνα αφήνει εξ’ ορισμού τον πάροχο τους (OTE, Vodafone, Nova, κλπ) να χρησιμοποιεί τους δικούς του servers για την αναζήτηση πληροφοριών στο ίντερνετ και σχεδόν κανένας δεν διαβάζει ή αποδέχεται σιωπηλά την όρους χρήσης και την πολιτική απορρήτου τους με ότι αυτό σημαίνει κυρίως ως προς την ανωνυμία μας! Δεν αποτελεί εξαίρεση το γεγονός ότι ένα μεγάλο μέρος των πληροφοριών που αντλούν από εμάς, διοχετεύονται σε τρίτους φορείς κυρίως σε διαφημιστικές εταιρείες με το πρόσχημα της “εξατομίκευσης” της μελλοντικής μας άντλησης πληροφοριών. Αυτό όμως μπορεί να ισχύει και για τους public dns servers οι οποίοι συγκεντρώνουν ένα τεράστιο πλήθος δεδομένων και η πολιτική απορρήτου τους μπορεί να μην είναι σταθερή (να αλλάζει περιοδικά) ή συγκεχυμένη για τον μη ειδικό χρήστη…

Οι πιο γνωστοί Public DNS Servers είναι της Google, της Cloudflare και της NextDNS οι οποίοι είναι όντως τάχιστοι (συχνά περισσότερο από εκείνους του παρόχου σας αν αφορά επισκέψεις σε μακρινούς ιστότοπους), δωρεάν στις βασικές τους εκδόσεις και συχνά έχουν κάποιες καλές επιλογές περιορισμού ανεπιθύμητων διαφημιστικών ιχνηλατών και αποκλεισμού παραπλανητικών ιστοσελίδων ή αθόρυβης εγκατάστασης κακόβουλου λογισμικού. Το μεγάλο πρόβλημα που προκύπτει όμως με τους – προηγούμενα – αναφερόμενους αλλά και της πλειοψηφίας των παγκόσμιων παρόχων δημόσιου DNS είναι ότι δεν εξασφαλίζουν την ανωνυμία σας!

Κατάλογοι

  • Public Dns Server List (public-dns.info): Διαθέσιμοι public dns servers σε όλο τον κόσμο με παρουσίαση λειτουργικότητας, υποστήριξης DNSSec και άλλες χρήσιμες πληροφορίες Public DNS Server List link (λίστα με ανάλυση τεχνικών χαρακτηριστικών)
  • DNSChecker (dnschecker.org): Διαθέσιμοι public dns servers ανά χώρα link (εκτεταμένη λίστα χωρίς όμως να αναφέρονται τεχνικές πληροφορίες λειτουργικότητας)
  • European Alternatives (european-alternatives.eu): Διαθέσιμοι public dns servers στην Ευρώπη link (λείπουν τεχνικές πληροφορίες και δεν είναι εκτεταμένη)

Μάθετε για τους Public DNS Servers

Ξεκινήστε από τους GG (Geeks for Geeks) link και δείτε τα πλεονεκτήματα και τα μειονεκτήματα από την χρήση τους. Ομοίως διαβάστε το εισαγωγικό άρθρο από τον Mat Oswalt link

Εναλλακτικά προτιμήστε τους παρακάτω (ενδεικτική προσωπική μου λίστα) που εξασφαλίζουν σε μεγαλύτερο βαθμό την ανώνυμη περιήγηση σας:

  • QUAD9 link : παρότι είναι έργο πολυεθνικών κερδοσκοπικών εταιρειών (πχ IBM) με έδρα την Ελβετία, έχει πολύ γρήγορους servers, διατηρεί καλύτερο προφίλ ανωνυμίας από πολλούς ανταγωνιστές του χώρου και έχει αρκετές και δωρεάν επιλογές αποκλεισμού πορνογραφίας (όταν δεν είναι επιθυμητή), κακόβουλων sites, κλπ. Αν την χρησιμοποιήσετε, προτιμήστε τους servers της  με Secured w/ECS: Malware blocking, DNSSEC Validation, link | Διαθέσιμη εφαρμογή και για τα κινητά σας.
  • DNS0.EU link : μη κερδοσκοπικός οργανισμός με έδρα στη Γαλλία, από πρώην μέλη του NextDNS και αρκετά γρήγορους servers  (διαβάστε την πολιτική απορρήτου και υπόψη όμως ότι χρησιμοποιούν τις υπηρεσίες της Google). | εύκολη παραμετροποίηση και για τα κινητά.
  • StormyCloud link : μη κερδοσκοπικός οργανισμός με έδρα τις ΗΠΑ που είναι γνωστός περισσότερο σαν κύριος χορηγός του I2P Services – Invisible Internet Project (εναλλακτικό αποκεντρωμένο δίκτυο επικοινωνίας, θα ασχοληθούμε στο εγγύς μέλλον με αυτά τα δίκτυα γιατί αξίζουν της προσοχής μας και της οικονομικής μας υποστήριξης).
  • OpenNIC link : μη κερδοσκοπικός οργανισμός με κύρια έδρα την Γερμανία (;) που διαθέτει αποκεντρωμένους servers (χάνουν λίγο στην ταχύτητα) με αξιοσημείωτα χαρακτηριστικά που αγγίζουν την επιθυμητή ανωνυμία και προσφέρει την δυνατότητα δημιουργίας αλλά και πρόσβασης σε ιστότοπους που δεν τους βρίσκεις στο επίσημο διαδίκτυο και στις συνήθεις μηχανές αναζήτησης!
  • OpenNameServer link : επίσης μη κερδοσκοπικός οργανισμός με έδρα την Γερμανία που υποστηρίζει και τα πρωτόκολλα της OpenNIC με δυνατά χαρακτηριστικά ασφαλούς ανωνυμίας.
  • * Uncensored DNS link : Αξιέπαινη ατομική μη κερδοσκοπική πρωτοβουλία (που υπάρχει εδώ και 15 χρόνια!) του χομπίστα T. S. Rasmussen από την Δανία, με ξεκάθαρο προφίλ διαφάνειας της πολιτικής απορρήτου. Το μόνο “μειονέκτημα” είναι η πιο αργή σύνδεση των servers σε σχέση με τους προηγούμενους φορείς…

Συμπεράσματα και Διευκρινίσεις

  • Οι Public DNS Servers σας εξασφαλίζουν σε αρκετές περιπτώσεις γρηγορότερη πρόσβαση στα διάφορα sites (ιδιαίτερα του εξωτερικού) και συμπληρωματικά μπορεί να σας παρέχουν μια στοιχειώδη ασφάλεια και σχετική ανωνυμία στις επισκέψεις σας όταν συνδυάζονται με άλλα μέτρα προστασίας. Η χρήση τους συστήνεται ιδιαίτερα όταν θέλουμε δωρεάν μια υποτυπώδη προστασία για τα παιδιά μας, για την μικρή μας επιχείρηση ή σε ατομικό επίπεδο (αφού όταν το επιθυμούμε μπορούμε με τις κατάλληλες επιλογές ρυθμίσεων να “φιλτράρουν” και να “μπλοκάρουν” ένα μεγάλο μέρος ανεπιθύμητου περιεχομένου).
    Να θυμάστε ότι η διεύθυνση IP σας, όταν είστε online (είτε στατική είτε δυναμική) που παραχωρείται σε εσάς από τον πάροχο σας (πχ Cosmote, Vodafone, Nova, κλπ) είναι πάντα ορατή από τον ίδιο τον πάροχο σας και από άλλους “απρόσκλητους καλοθελητές”  για αλλότριους σκοπούς, με άλλα λόγια μπορούν να βλέπουν σχεδόν τα πάντα που κάνετε στο ίντερνετ (αναφέρουμε χαρακτηριστικά: εγχώριες ή διεθνείς κρατικές και παρακρατικές υπηρεσίες πληροφοριών, διαφημιστικές εταιρείες και μεγαθήρια πληροφορικής όπως η Microsoft, η Google, το Facebook, TikTok, YouTube, Amazon αλλά και κακόβουλοι hackers, ομάδες δικτυακών οικονομικών απατεώνων, κλπ).
  • Σε καμμιά περίπτωση δεν υποκαθιστούν (με εξαίρεση την ταχύτητα) την χρήση αξιόπιστων VPN εφαρμογών ή άλλων πιο προχωρημένων επιλογών (δίκτυα Tor, I2P, Freenet/Hyphanet) τόσο στην ασφάλεια όσο και στην ανωνυμία κατά την περιήγηση σας στο ίντερνετ! (θα συζητηθούν σε επόμενα άρθρα)
  • Η ασφάλεια και η ανωνυμία στην περιήγηση μας εξαρτάται και από άλλα πολύ σημαντικά μέτρα προστασίας πχ οι ρυθμίσεις του περιηγητή μας (browser) για αποκλεισμό μη επιθυμητών cookies, trackers, κλπ και φυσικά το λειτουργικό σύστημα που χρησιμοποιούμε και την σωστή παραμετροποίηση του, τα οποία θα προσεγγίσουμε σε άλλα άρθρα.
  • Χρυσός κανόνας! Ότι είναι ψηφιακό είναι δυνητικά διαβλητό για το απόρρητο μας! (αυτό βέβαια δεν πρέπει να μας αποθαρρύνει από την καθημερινή χρήση και τις ευκολίες του διαδικτύου).

Συμπλήρωμα (05/12/2024)

Αν σας ενδιαφέρει κυρίως η ταχύτητα και λιγότερο η ανωνυμία σας και δεν επιθυμείτε ή δεν είστε ικανοποιημένοι με κάποιον από τους παραπάνω αναφερόμενους public dns servers, μια απλή και ευέλικτη λύση είναι να προτιμήσετε τους πολύ καλούς anycast recursive dns servers του Grnet από το Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας (ΕΔΥΤΕ Α.Ε. – GRNET), φορέας του Υπουργείου Ψηφιακής Διακυβέρνησης: link | θεωρητικά ως κρατικός φορέας δεν διασπείρει πληροφορίες σε διαφημιστικές εταιρείες (με την παραδοχή εκ μέρους μας ότι οι εκάστοτε διορισμένοι ή μόνιμοι λειτουργοί του είναι φερέγγυοι…)

Διαμόρφωση (ipv4/ipv6):
pdns0.grnet.gr: 62.217.126.164 / 2001:648:2ffc:2204::1
pdns1.grnet.gr: 194.177.210.210 / 2001:648:2ffc:100::210

Συστάσεις:

Αν χρησιμοποιήσετε τους servers της Cloudflare, προτιμήστε τα πακέτα Malware Blocking ή Malware and Adult Content Blocking (Family Protection) link

02/12/2024 Add Comment