I migliori server DNS per la navigazione sicura

Pubblicato: 2023-04-29
Un primo piano del modem Technicolor E31T2V1 di Spectrum Internet
Corbin Davenport / How-To Geek

Il tuo router effettua richieste DNS mentre navighi sul web. Per impostazione predefinita, tuttavia, il tuo ISP vede tutte le tue ricerche e indirizzi web. Puoi modificare le impostazioni DNS per una maggiore sicurezza e privacy.

Sommario

DNS, sicurezza e privacy
I migliori server DNS per la navigazione sicura
Casa OpenDNS
DNS pubblico di Google
Cloudflare
DNSWatch
Quad9
Provali; Sono gratuiti

Che cos'è un server DNS?

Un server DNS (Dynamic Name System) è un servizio che traduce automaticamente indirizzi web leggibili dall'uomo in indirizzi IP. Questo è importante perché, a casa tua e su Internet, ogni dispositivo di rete ha un indirizzo IP. Usare gli indirizzi IP come esseri umani sarebbe noioso. Anche se potessimo ricordarli, li digiteremmo male. Ecco perché è stato ideato il Domain Name System.

Quando provi a connetterti a un sito Web, il tuo router controlla se i dettagli di quel sito sono nella sua cache. In caso contrario, effettua una richiesta DNS inviando il nome di dominio del sito Web a un server DNS. Il server DNS cerca il nome del dominio, trova l'indirizzo IP e lo invia al router in modo che possa tentare di connettersi al server Web che ospita il sito Web.

In realtà, è più complicato. Per impostazione predefinita, il server DNS a cui si connette il router è un server precursore DNS fornito dal provider di servizi Internet.

Come risolvere il "blocco della rete del traffico DNS crittografato" su iPhone
CORRELATO Come risolvere "Blocco di rete del traffico DNS crittografato" su iPhone

Se il server precursore non conserva i dettagli del sito Web nella propria cache, invia una richiesta a un server dei nomi radice DNS. Il root name server risponde al server precursore con un elenco di server di dominio di primo livello in grado di gestire il dominio di primo livello (.COM, .INFO, .ORG e così via) del sito Web richiesto. Il server precursore ripete la sua richiesta a uno dei server di dominio di primo livello in quell'elenco.

Il server di dominio di primo livello risponde con il nome di un server dei nomi autorevole DNS che contiene effettivamente i dettagli del dominio. Il server precursore fa quindi ancora una volta la sua richiesta, al server dei nomi autoritativo, per ottenere finalmente l'indirizzo IP.

Nel nostro esempio, la persona stava tentando di raggiungere un sito Web, ma lo stesso vale per qualsiasi risorsa Web identificata da un nome di dominio, come un server di posta elettronica.

DNS, sicurezza e privacy

L'utilizzo del server DNS predefinito del tuo ISP ha implicazioni per la privacy e la sicurezza.

I dati nelle richieste DNS non sono crittografati, anche se lo sono alcuni dei metadati allegati. Un attacco man-in-the-middle o un dipendente ficcanaso del tuo ISP può esporre e rivedere la tua attività online molto facilmente. È già abbastanza grave, ma l'utilizzo del server DNS di un ISP può anche indebolire la tua sicurezza.

Alcuni dei più comuni attacchi informatici incentrati sul DNS sono:

  • Distributed Denial of Service : questo crea un'ondata di richieste false che sovraccaricano il server DNS, rendendolo incapace di soddisfare le richieste autentiche.
  • Spoofing/avvelenamento DNS : questo crea risposte DNS false e dannose su cui agisce il tuo router. I criminali informatici possono indirizzare gli utenti a siti Web fraudolenti anziché a siti Web autentici. Questi possono essere siti Web di phishing che raccolgono le credenziali di accesso.
  • Dirottamento DNS : il malware infetta il tuo computer e modifica le impostazioni e il comportamento TCP/IP in modo che le richieste DNS vengano reindirizzate ai server DNS fraudolenti dei criminali informatici. Questi reindirizzano le richieste Web a phishing o altri siti Web dannosi.
  • Dirottamento del dominio : questa è una forma di attacco più rara. Richiede la modifica dei dettagli nei sistemi del registrar del dominio, in modo che i dettagli memorizzati di un sito Web legittimo vengano indirizzati verso un sito Web falso.

Non c'è una vera sicurezza nel DNS standard. Tutto ciò che può fare è verificare che la risposta da un server a valle provenga dallo stesso indirizzo IP a cui è stata inviata la richiesta. È qualcosa, ma è poco approfondito.

Le Domain Name System Security Extensions, o DNSSEC, sono state sviluppate per aggiungere firme digitali alle richieste DNS. Questi consentono ai server DNS di verificare che i dati che ricevono provengano sicuramente da dove affermano di provenire. Questo si chiama autenticazione dell'origine dei dati . Inoltre, il destinatario può verificare che i dati non siano stati modificati durante il transito. Questo si chiama protezione dell'integrità dei dati .

DNS over HTTPS, DoH, è un nuovo protocollo che crittografa le richieste DNS e il traffico tra server. Tuttavia, le richieste DNS registrate e memorizzate nella cache non sono crittografate. Sono crittografati solo in transito. E, naturalmente, la maggior parte degli ISP registra tutto ciò che può e non tutti supportano DNSSEC e DoH.

CORRELATO: La guida definitiva per cambiare il tuo server DNS

I migliori server DNS per la navigazione sicura

I server DNS pubblici saranno più privati, più sicuri e più veloci rispetto all'offerta predefinita del tuo ISP. Ecco cinque dei migliori server DNS che consigliamo:

Casa OpenDNS

  • DNS primario : 208.67.222.222
  • DNS secondario : 208.67.220.220

OpenDNS è stato acquistato da Cisco nel 2015. La parte "Open" significa che accetta richieste DNS da qualsiasi luogo. Non ha nulla a che fare con l'open source. OpenDNS ha livelli a pagamento e gratuiti.

Cisco ha costruito il suo nome su prodotti e know-how di rete di alta gamma. Cisco conosce il networking e l'instradamento del traffico tanto quanto qualsiasi azienda del pianeta. Ha una presenza globale e offre un servizio DNS solido come una roccia.

OpenDSN Home supporta DoH e DNSSEC. Inoltre viene fornito in bundle con il filtro dei contenuti e la protezione da malware/phishing. Non puoi escluderlo. Hai un certo controllo sulle loro impostazioni, ma non tanto quanto su uno dei loro livelli a pagamento.

Forse più preoccupante, OpenDNS registra le tue query DNS, il tuo indirizzo IP e altro ancora, e inserisce quelli che chiama "web beacon" sulle pagine che hai visitato.

OpenDNS è veloce e sicuro, ma i suoi problemi di privacy saranno una svolta per alcuni.

DNS pubblico di Google

  • DNS primario : 8.8.8.8
  • DNS secondario : 8.8.4.4

Il DNS pubblico di Google è gratuito per tutti, incluso l'uso aziendale. È un servizio robusto e affidabile con tempi di risposta rapidi. E, naturalmente, puoi essere certo che Google non se ne andrà.

Il DNS pubblico di Google supporta molti protocolli di ricerca, incluso DNS su HHTPS, e supporta anche DNSSEC. Include anche una certa protezione contro gli attacchi DDoS.

L'unico problema con il DNS di Google è Google. Tutti sanno che genera entrate raccogliendo dati e utilizzandoli per indirizzare la pubblicità. Condivide inoltre i dati, a pagamento, con terze parti. Pertanto, Google ottiene un punteggio elevato per robustezza e sicurezza, ma non tanto per la privacy.

Google afferma che i dati che raccoglie sono resi anonimi, senza informazioni di identificazione personale al loro interno, quindi ciò potrebbe non disturbarti. Se utilizzi già prodotti Google come Gmail, Android o il motore di ricerca web di Google, Google non imparerà molto di più su di te rispetto a quanto già fa.

Ma se preferisci non interagire con i loro macchinari aziendali "big tech, big data, big brother", Google non fa per te.

Cloudflare

  • DNS primario : 1.1.1.1
  • DNS secondario : 1.0.0.1

Cloudflare è meglio conosciuto come fornitore di reti di distribuzione di contenuti, che condividono il traffico del sito Web su istanze distribuite con mirroring e proteggono dagli attacchi DDoS di qualsiasi entità.

Ha le prestazioni DNS più veloci e si impegna pubblicamente a non registrare mai il tuo indirizzo IP e a eliminare i registri operativi ogni 24 ore. Ciò è verificato in modo indipendente da KPMG.

Non raggruppa il filtro e il blocco dei contenuti per impostazione predefinita, ma puoi averlo se lo desideri. Per abilitarlo, devi solo utilizzare i server DNS primari e secondari alternativi di Cloudflare.

Il DNS di Cloudflare può essere complicato da configurare e il sito Web di Cloudflare non è il più intuitivo da navigare. Una volta che è in esecuzione, però, sei sul DNS più veloce che ci sia, con il vantaggio che rispetta la tua privacy.

DNSWatch

  • DNS primario : 84.200.69.80
  • DNS secondario : 84.200.70.40

DNSWatch afferma di supportare la neutralità della rete e non tenta di filtrare alcun contenuto con i suoi server DNS. Né registra alcuna query DNS o cronologia utente. DNSWatch non condividerà né venderà mai i tuoi dati perché non ne raccoglie.

Supporta DNSSEC e DoH, ma qualsiasi altra cosa, come la protezione contro i siti di phishing o i siti di malware, è lasciata a te. Una cosa che promuove è il suo rifiuto di eseguire qualsiasi dirottamento delle richieste non riuscite.

In genere, un ISP ti invierà a una pagina di ricerca sponsorizzata se il sito che stai tentando di raggiungere non risponde. Tutto ciò che è entrato in quel sito viene registrato dal tuo ISP. DNSWatch non lo fa, ti mostra la pagina di cattiva connessione predefinita del tuo browser.

Quad9

  • DNS primario : 9.9.9.9
  • DNS secondario : 149.112.112.112

Sebbene la sede centrale di Quad9 sia in Europa, dispone di 183 cluster di risolutori DNS in 90 paesi in tutto il mondo. È un servizio gratuito. I suoi server registrano i dati sulle transazioni e sulle prestazioni, ma non le informazioni di identificazione personale. Registra timestamp, protocolli di trasporto, domini richiesti e la loro geolocalizzazione e così via.

Per impostazione predefinita, offre sicurezza oltre DNSSEC e DoH, bloccando i siti Web dannosi noti che ospitano malware o raccolgono le credenziali degli utenti. L'elenco dei siti bloccati viene raccolto da oltre 20 fonti di intelligence pubbliche e commerciali. Non filtra né blocca contenuti, annunci o web tracker, ma solo siti Web dannosi.

Se non vuoi abilitare questo blocco, puoi utilizzare i suoi indirizzi IP primari e secondari alternativi.

In termini di velocità, il tempo medio di risposta di Quad9 è di 21 ms e ha un tempo di attività del 99,94%. Google e Cloudflare hanno tempi di risposta nella regione di 10 ms, che è dove eccellono: velocità pura. Tuttavia, 21 ms è ancora incredibilmente veloce. Nel normale funzionamento, non noteresti alcuna differenza tra i due.

Provali; Sono gratuiti

Poiché tutti questi provider dispongono di servizi DNS gratuiti, puoi sceglierne uno e provarlo. Oppure provane diversi. Abbiamo guide che coprono una varietà di piattaforme:

  • Come modificare il server DNS su Windows 10
  • Come modificare il server DNS su Windows 11
  • Come modificare il server DNS sul Chromebook
  • Come cambiare il tuo server DNS su Mac
  • Come modificare il server DNS su Android
  • Come modificare il server DNS su iPhone o iPad

Ricorda solo che la sicurezza e la privacy non sono la stessa cosa e non sempre ricevono la stessa attenzione da tutti i provider DNS.