DNS-серверы могут использоваться не только для того, чтобы переводить доменные имена в IP-адреса. Часто они применяются для фильтрации сайтов по спискам, для противодействия вредоносным сайтам, а иногда — и для обхода некоторых ограничений. Ниже расскажем о том, что такое безопасные DNS-серверы и какие функциональные возможности они предлагают.
- Введение
- Что такое DNS?
- Обзор популярных безопасных DNS-серверов
- 3.1. Cisco Umbrella
- 3.2. Cloudflare
- 3.3. DNSFilter
- 3.4. Google Public DNS
- 3.5. Neustar UltraDNS Public
- 3.6. Quad9
- 3.7. SkyDNS
- 3.8. Яндекс.DNS
- Как выбрать DNS-сервер?
- Как установить адреса DNS-серверов
- Выводы
Введение
Каждый день мы для различных целей посещаем большое количество сайтов в интернете, будь то профессиональные, обучающие, развлекательные или другие ресурсы. При этом следует проявлять бдительность, потому что одной из самых распространённых угроз безопасности, с которой может столкнуться любой человек, являются вредоносные сайты. Ежедневно злоумышленники создают большое количество таких сайтов для заражения вирусами, краж, вымогательства и прочего.
На вредоносных сайтах могут размещаться баннеры, при нажатии на которые загружается опасное содержимое. Поэтому, например, поиск в интернете нужного «софта» может закончиться загрузкой и установкой вредоносной или заражённой программы, начиная от простых вирусов и заканчивая шифровальщиками. Большую «популярность» имеют фишинговые сайты, выдающие себя за легитимные с целью заполучить пароли от различных ресурсов, данные банковских карт и др. Серьёзную опасность представляют сайты, не требующие никакого взаимодействия с пользователем кроме самого факта обращения к ним. Такие сайты содержат сценарии (скрипты), которые автоматически исполняются на стороне клиента, то есть на вашем компьютере или мобильном телефоне, и результатом их выполнения является установка шпионских программ, ботов, шифровальщиков. Угрозу также представляют сайты с запрещённым контентом: порнография, наркотики, терроризм. Стоит отметить, что они тоже нередко могут нанести вред всё теми же вирусами.
Одной из простых и доступных мер для защиты от вредоносных сайтов является использование безопасных DNS-серверов.
Что такое DNS?
Служба DNS (Domain Name System) является одной из основных для работы в интернете, она сопоставляет цифровой IP-адрес каждого ресурса, сложно воспринимаемый и плохо запоминаемый человеком, удобному буквенному доменному имени (173.194.73.139 → google.com). Часто её сравнивают со справочником телефонных номеров. Служба DNS работает по принципу иерархии: за каждую зону в интернете отвечает свой DNS-сервер (причём не один), который знает все имена в своей зоне, и если у него запрашивается неизвестный ресурс, он перенаправляет запрос на вышестоящий сервер. Каждый раз, когда вы ищете в любом поисковике интересующий вас ресурс, запрос направляется к вашему DNS-серверу. Он найдёт нужный сайт, в какой бы точке интернета тот ни находился.
Оградить вас от вредоносных ресурсов и ваших детей от нежелательного контента призваны безопасные DNS-серверы. Основной идеей здесь является постоянное отслеживание вредоносных и нежелательных сайтов, составление чёрных списков и ограничение доступа. Использование безопасных DNS-серверов увеличивает конфиденциальность ваших запросов (данные хранятся определённый промежуток времени, а затем удаляются); кроме того, некоторые сервисы осуществляют блокировку рекламы. Такие DNS-серверы могут стать хорошей заменой серверов вашего провайдера.
Обзор популярных безопасных DNS-серверов
Cisco Umbrella
В 2015 году компания Cisco купила безопасный DNS-сервис OpenDNS, создав на его базе решение Cisco Umbrella. Это — не просто безопасный DNS, а комплекс для защиты от угроз из интернета, включающий в себя также межсетевой экран, веб-прокси с возможностью анализа файлов в изолированной виртуальной среде, инструменты для проведения расследований. Сервис располагается в облаке и ориентирован на корпоративных клиентов. Управление им осуществляется на веб-странице Cisco Umbrella. На корпоративном DNS-сервере настраивается перенаправление DNS на IP-адреса 208.67.222.222 и 208.67.220.220, и далее на странице Cisco Umbrella добавляется сеть компании-клиента. Политики для клиентов содержат большое количество настроек: выбор категорий сайтов и контента на них для блокировки, блокировка в зависимости от используемого приложения, а также блокировка по конкретным именам доменов. Остальные функции в рамках нашей темы описывать не будем. Cisco Umbrella занимает 3-е место по производительности в рейтинге независимого сервиса по мониторингу DNS-серверов DNSPerf.
Cloudflare
Сервис создан в 2018 году одноимённой компанией, является полностью бесплатным. Есть несколько режимов работы, которые определяются в зависимости от установленного вами IP-адреса, принадлежащего компании Cloudflare. Адрес 1.1.1.1 — основной, DNS-фильтрация не выполняется, вы получаете надёжный и быстрый сервис. Второй режим работы — семейный: при указании в качестве DNS-серверов IP-адресов 1.1.1.2 / 1.0.0.2 осуществляется блокировка вредоносных ресурсов. Если вы хотите ещё и ограничить контент для взрослых, то установите адреса 1.1.1.3 / 1.0.0.3. Сервис поддерживает DNSSEC, а значит, злоумышленники не смогут перенаправить вас на поддельные веб-страницы. На сайте сервиса прописано, что компания Cloudflare не продаёт пользовательские данные рекламным компаниям; ваши запросы будут храниться на сервере в течение 24 часов. DNSPerf оценивает Cloudflare как самый быстрый публичный DNS-сервис в мире.
DNSFilter
Компания DNSFilter создавала свой сервис с 2015 года на протяжении трёх лет. DNSFilter — полностью платная служба с поддержкой различных функций безопасности. Среди основных — DNSSEC, DNS over TLS (шифрование запросов), классификация сайтов в режиме реального времени, защита от ботнетов и фишинга. Можно пользоваться сервисом дома или на базе своего предприятия с возможностью хранить журналы запросов клиентов и настраивать политики. Адреса серверов DNSFilter — 102.247.36.36 и 103.247.37.37. Цена подписки — от 216 до 1069 долларов США в год, в зависимости от набора функций и вариантов использования. В рейтинге сервиса DNSPerf он занимает 2-е место по скорости.
Google Public DNS
Сервис от всем известной американской корпорации работает с 2009 года. Является бесплатным общедоступным сервисом. Предоставляет ускоренную загрузку веб-страниц благодаря кешированию данных, а также защиту запросов за счёт использования технологий DNS over TLS и DNS over HTTPS. Адреса серверов — 8.8.8.8 и 8.8.4.4. Google прописывает в своих условиях, что данные пользователей будут удаляться в течение 48 часов, а данные о провайдере и местоположении — в течение двух недель. Заявляется о конфиденциальности ваших данных, однако время от времени появляются поводы в этом усомниться. Сервис занимает 6-е место по скорости в рейтинге DNSPerf.
Neustar UltraDNS Public
Бесплатный DNS-сервис от американской компании Neustar. Сервис предлагает несколько серверов с различной степенью фильтрации. Серверы с адресами 64.6.64.6 и 64.6.65.6 предоставляют быстрый и надёжный поиск запрашиваемых ресурсов без блокировок. Блокировка вредоносных, фишинговых, шпионских сайтов выполняется при указании адресов 156.154.70.2 и 156.154.71.2. Если вы хотите ограничить сайты содержащие контент с порнографией, насилием, азартными играми, то установите в качестве DNS-серверов IP-адреса 156.154.70.3 и 156.154.71.3. Сервис находится на пятом месте в рейтинге DNSPerf.
Quad9
Ещё один хороший бесплатный сервис. Внимание здесь уделено не только фильтрации вредоносных ресурсов, но и вашей конфиденциальности. На сайте Quad9 указано, что при использовании этого сервиса ваш IP-адрес никогда не регистрируется на его серверах. Сервис использует как коммерческие, так и общедоступные источники данных по угрозам безопасности. Контентная фильтрация при его работе, впрочем, не осуществляется. Для использования Quad9 нужно задать в настройках DNS IP-адреса 9.9.9.9 и 149.112.112.112. Сервис размещается на 7-й строчке рейтинга DNSPerf.
SkyDNS
Российский облачный сервис контентной фильтрации. Персональные продукты компании направлены на защиту детей в интернете, также они внедрены в большом количестве школ. DNS-сервер блокирует вредоносные ресурсы, а также сайты с платными подписками, порнографией, онлайн-играми и любой другой тематикой, которую вы зададите в настройках (60 категорий). Осуществляется блокировка рекламных баннеров, всплывающих окон и другой рекламы. Можно настроить перенаправление на безопасный поиск, где пользователи найдут информацию, которая не несет вреда (то есть ничего о бомбах, наркотиках и т. д.). Настройка выполняется на сайте SkyDNS, там же можно отслеживать запросы пользователей. IP-адрес этого DNS-сервиса — 193.258.251.251. Стоимость — от 495 рублей в год. Также компания SkyDNS предлагает линейку продуктов для корпоративных заказчиков, они рассчитаны на решение задач предприятий любого масштаба.
Яндекс.DNS
Сервис от всем известной российской компании работает с 2013 года. Полностью бесплатен, имеет три режима работы. Базовый вариант — IP-адреса 77.88.8.8 и 77.88.8.1 — не осуществляет фильтрацию при запросах. Безопасный режим — 77.88.8.88 и 77.88.8.2 — блокирует вредоносные сайты. Третий набор серверов — 77.88.8.7 и 77.88.8.3 — осуществляет контентную фильтрацию материалов для взрослых. Яндекс.DNS замыкает первую десятку рейтинга DNSPerf, но поскольку существует огромное количество сервисов, это в целом говорит о хорошей производительности.
Как выбрать DNS-сервер?
Для выбора DNS-сервиса можно воспользоваться уже упомянутым сервисом DNSPerf.
Рисунок 1. Рейтинг DNSPerf
Выберите регион, в котором вы находитесь, или общие значения по миру, и сервис покажет время отклика DNS-сервисов на запросы, время безотказной работы и качество обслуживания. Качество DNS-сервиса зависит от доступности и количества серверов: например, если сервис имеет четыре сервера и один из них недоступен, то качество будет равно 75 %.
Для определения самого быстрого DNS-сервера конкретно для вашего компьютера можно воспользоваться программой DNS Jumper. При запуске теста «Быстрый DNS» она опросит все доступные серверы и покажет время их отклика.
Рисунок 2. Быстрый тест DNS Jumper
Как установить адреса DNS-серверов
Рассказ о безопасных DNS-серверах был бы неполным без краткой инструкции по настройке для домашних пользователей. Мы покажем нужные действия на примере Windows 10.
В Панели управления Windows, в категории «Сеть и Интернет» понадобится нажать на «Центр управления сетями и общим доступом». В правой верхней части страницы будет доступна ссылка на состояние активного подключения (см. рис. 3, где оно называется «Ethernet»). В окне состояния, которое открывается при нажатии на ссылку, присутствует кнопка «Свойства»; обратите внимание, что для изменения свойств нужны права администратора. В перечне свойств выделите щелчком пункт «IP версии 4 (TCP/IPv4)», нажмите на кнопку «Свойства» и в открывшемся окне установите переключатель «Использовать следующие адреса DNS-серверов». Введите основной и запасной адреса от того поставщика услуг, который вас заинтересовал, и нажмите кнопку «ОК» в этом и предыдущем окнах.
Рисунок 3. Настройка DNS-серверов для домашнего пользователя в Windows 10
Выводы
Попробовать пользоваться безопасными DNS однозначно стоит. Вы укрепите свою защиту в интернете и при этом вряд ли почувствуете какую-то разницу в скорости. При выборе сервисов Cloudflare, Яндекс.DNS, Google, Neustar, Quad9 вы бесплатно оградите себя от фальшивых сайтов и в некоторых случаях сможете закрыть доступ к нежелательному контенту. Для защиты организаций больше подойдут решения от Cisco и DNSFilter с большим разнообразием возможностей и настроек. Если стоит задача по защите детей в интернете, то целесообразно рассмотреть сервис SkyDNS, который предоставляет интересные функциональные возможности за небольшую цену.
