Mỗi thiết bị và ứng dụng chúng ta sử dụng khi kết nối Internet đều cần DNS để định tuyến dữ liệu. Chúng ta đặt niềm tin rất lớn vào các trình duyệt của mình với một lượng thông tin cá nhân khổng lồ. Mặc dù ngày nay phần lớn dữ liệu này đã được mã hóa, nhưng trừ khi bạn đã thiết lập DNS riêng tư, các bản ghi DNS của bạn vẫn được gửi dưới dạng văn bản thuần túy. Ngay cả VPN của bạn cũng có thể rò rỉ dữ liệu DNS nếu nó không mã hóa hoặc không gửi chúng qua một kênh mã hóa, và điều đó có nghĩa là dữ liệu của bạn có thể đang bị ai đó theo dõi.
Ở giai đoạn phát triển hiện tại của Internet, việc giả định rằng mọi thứ bạn gửi ra khỏi mạng gia đình đều đang bị theo dõi (hoặc ít nhất là ai đó đang cố gắng theo dõi) đã trở nên đơn giản hơn. Bất cứ điều gì được gửi mà không mã hóa đều có thể bị đọc, phân loại và lưu trữ cho mục đích giám sát, thu thập dữ liệu hoặc thậm chí là các cuộc tấn công độc hại trong tương lai. Nếu bạn vẫn nghĩ rằng mình quá nhỏ bé để bị nhắm mục tiêu, hãy suy nghĩ lại và chuẩn bị mã hóa mọi thứ bạn có thể, bao gồm cả các yêu cầu DNS của bạn.
Beelink Me Mini NAS trên bàn làm việc, biểu tượng cho giải pháp tự host DNS
Quyền Riêng Tư Của Người Dùng Phải Là Mặc Định, Không Phải Ngoại Lệ
Bảo vệ dữ liệu, giảm thiểu quảng cáo mục tiêu và các cuộc tấn công DNS đều là những tính năng đáng giá
Kiến trúc mạng hiện đại đang chuyển dịch sang mô hình Zero-Trust (Không Tin Cậy), trong đó cả sự tin cậy và quyền riêng tư đều là mặc định, sau đó các quy tắc được thêm vào để cho phép giao tiếp khi cần thiết. Đây là một sự thay đổi hoàn toàn trong tư duy, và trong khi nó bảo vệ các công ty khỏi bị tấn công, nó cũng bảo vệ dữ liệu cá nhân của người dùng bằng các quy trình tương tự. Điều này là do nó không chỉ ngăn chặn kẻ tấn công nhìn thấy dữ liệu đang truyền tải mà còn ngăn chặn các nhà cung cấp dịch vụ Internet (ISP), các mối đe dọa nội bộ như quản trị viên “ác ý” và bất kỳ ai khác theo dõi hoạt động duyệt web của bạn.
Tuy nhiên, trong khi dữ liệu duyệt web, bản sao lưu và các dữ liệu nhận dạng cá nhân khác (hầu hết) đã được mã hóa ngày nay, thì điều đó không đúng với các yêu cầu DNS. Theo APNIC, chỉ 35% các yêu cầu DNS trên thế giới được xác thực bởi DNSSEC, một giao thức được thiết kế để tránh các cuộc tấn công MitM (Man-in-the-Middle) chống lại hệ thống DNS. SSL chủ yếu bảo vệ dữ liệu duyệt web, nhưng nó không bảo vệ email. Nếu không có DNSSEC, kẻ tấn công có thể giả mạo các bản ghi MX cần thiết cho việc định tuyến email và chặn email trước khi sao chép và chuyển tiếp chúng đến máy chủ dự định.
Mọi thứ khá phức tạp, nhưng bạn có thể đóng góp một phần bằng cách chọn một dịch vụ DNS có hỗ trợ mã hóa. Đó có thể là DNS-over-HTTPS (DoH), DNS-over-TLS (DoT) hoặc DNSCrypt, cùng với hỗ trợ DNSSEC để bạn có thể tin tưởng vào kết quả nhận được. Điều này giúp loại bỏ các vấn đề MitM, ví dụ như khi ISP của bạn “hữu ích” thay đổi trang web bạn thấy để bảo vệ bạn khỏi nội dung mà họ cho là nên bị kiểm duyệt.
Đặt gánh nặng bật DNS riêng tư lên người dùng là sai lầm
Bất cứ điều gì liên quan đến bảo mật đều cần được thiết lập làm mặc định; nếu không, hầu hết mọi người sẽ không sử dụng nó. Ngay cả việc giáo dục người dùng về quy tắc mật khẩu và tại sao việc sử dụng cùng một mật khẩu cho tất cả các tài khoản trực tuyến là một ý tưởng tồi cũng đã đủ khó khăn. Và đó là đối với một thứ bảo vệ chi tiết ngân hàng, với lợi ích có thể nhìn thấy ngay lập tức.
Apple đã có một số bước đi đúng hướng với Private Relay, nhưng nó chỉ mã hóa các yêu cầu DNS được gửi bởi Safari trong khi thực tế nó nên mã hóa mọi yêu cầu DNS được gửi bởi bất kỳ ứng dụng, trình duyệt hoặc cài đặt hệ thống nào trên thiết bị Apple. Nó cũng chỉ khả dụng với gói đăng ký iCloud+, đặt lợi nhuận lên trên quyền riêng tư.
Giao diện cài đặt DNS tùy chỉnh trên macOS, với trường nhập địa chỉ máy chủ DNS công cộng của Google
Mã hóa DNS Là Hoàn Toàn Khả Thi (Với Một Chút Nỗ Lực)
Các thiết bị phổ biến đều có hỗ trợ gốc, và luôn có giải pháp với router
Cho dù bạn sử dụng Android, iOS, Windows, Linux hay macOS, ở giai đoạn này, tất cả đều nên hỗ trợ DoH hoặc DoT một cách tự nhiên. Nếu không, bạn vẫn có những lựa chọn khác. Các router dành cho người tiêu dùng đang ngày càng hỗ trợ tốt hơn DNS mã hóa, và luôn có các tùy chọn như Firewalla và OPNsense. Việc làm cho router của bạn sử dụng DNS mã hóa là một thực hành tốt, nhưng hãy đảm bảo bạn cài đặt router sử dụng 127.0.0.1 cho các truy vấn DNS của riêng nó, nếu không một số truy vấn có thể vẫn được gửi dưới dạng văn bản thuần túy.
Đối với thiết bị di động, bạn có thể thiết lập DNS riêng tư trong ứng dụng cài đặt. Các máy chủ DNS này đều hỗ trợ DNS-over-TLS, được Android hỗ trợ:
- dns.quad9.net
- dns.adguard.com
- doh.mullvad.net
- adblock.doh.mullvad.net
- p2.freedns.controld.com
- 1dot1dot1dot1.cloudflare-dns.com
- security-filter-dns.cleanbrowsing.org
- one.one.one.one
Đối với iOS, bạn sẽ phải tạo một cấu hình bằng các máy chủ DNS trên (từ Safari trên iPhone của bạn), tải xuống cấu hình và cài đặt nó. Bạn cũng có thể sử dụng NextDNS, AdguardDNS hoặc các nhà cung cấp khác hỗ trợ DNS mã hóa và cung cấp ứng dụng hoặc cấu hình iOS để cài đặt. Windows, macOS và Linux đều hỗ trợ sử dụng DNS mã hóa từ trang cài đặt mạng, và chỉ mất một phút để thiết lập.
Một số thiết bị có thể không hỗ trợ cài đặt DNS tùy chỉnh
Ngay cả khi hầu hết các thiết bị chính đều hỗ trợ DNS-over-HTTPS hoặc DNS-over-TLS, không phải mọi thiết bị bạn sở hữu đều cho phép bạn thay đổi cài đặt DNS. Các thiết bị IoT thường có DNS được mã hóa cứng hoặc sử dụng các cài đặt DNS mặc định trong router của bạn. Để khiến chúng sử dụng DNS mã hóa, bạn sẽ cần phải tự thiết lập máy chủ DNS riêng làm trình phân giải DNS duy nhất trong router của bạn, hoặc bạn có thể chọn giải pháp “hạt nhân” là chặn các thiết bị IoT của mình truy cập Internet.
Tôi hiểu rằng tùy chọn cuối cùng không phải lúc nào cũng khả thi, nhưng nếu hầu hết chúng bị chặn, hồ sơ rủi ro của bạn sẽ giảm đáng kể. Sẽ luôn có một số thiết bị nhà thông minh khó định tuyến yêu cầu DNS hoặc yêu cầu kết nối Internet để hoạt động, nhưng có lẽ khi nhiều thiết bị tương thích Matter hơn ra thị trường, vấn đề này sẽ ít nghiêm trọng hơn.
Bảng điều khiển quản trị web của AdGuard Home, minh họa khả năng tự host máy chủ DNS
DNS Riêng Tư Giúp Tất Cả Chúng Ta An Toàn Hơn Trực Tuyến
Trình duyệt Arc đang mở trên MacBook kết nối với màn hình ngoài, minh họa việc duyệt web an toàn và quyền riêng tư trực tuyến
DNS riêng tư chỉ là một phần của phương trình bảo mật và quyền riêng tư trực tuyến. Thói quen duyệt web tốt, luôn cảnh giác và sử dụng trình duyệt tập trung vào quyền riêng tư đều góp phần vào bức tranh tổng thể. Thực tế đáng buồn là các công ty đã tìm ra cách kiếm tiền từ mọi dạng dữ liệu, ngay cả các yêu cầu DNS, và họ sử dụng tất cả để phục vụ quảng cáo nhắm mục tiêu. Vị trí của bạn cũng có thể được xác định dựa trên các máy chủ DNS được sử dụng và thời gian phản hồi, và tất cả đều cung cấp cho một cỗ máy khổng lồ nhằm khai thác giá trị từ dữ liệu đáng lẽ phải là riêng tư.
