Mọi thiết bị và ứng dụng chúng ta sử dụng khi kết nối Internet đều dùng DNS (Hệ thống Tên miền) để xác định đường dẫn dữ liệu. Chúng ta tin tưởng trình duyệt của mình với một lượng lớn thông tin cá nhân, và mặc dù phần lớn dữ liệu đó ngày nay đã được mã hóa, nhưng nếu bạn chưa thiết lập DNS riêng tư, các yêu cầu DNS của bạn vẫn đang được gửi đi dưới dạng văn bản thuần túy. Ngay cả mạng riêng ảo (VPN) của bạn cũng có thể rò rỉ dữ liệu DNS nếu nó không mã hóa hoặc không gửi chúng qua đường hầm mã hóa, điều này có nghĩa là rất có thể dữ liệu của bạn đang bị theo dõi bởi một hoặc nhiều đối tượng nào đó.
Ở thời điểm hiện tại của sự phát triển Internet, tốt nhất là chúng ta nên giả định rằng mọi thứ bạn gửi ra khỏi mạng gia đình đều đang bị theo dõi (hoặc ít nhất là có ai đó đang cố gắng theo dõi). Bất kỳ dữ liệu nào được gửi mà không mã hóa đều có thể bị đọc, phân loại và lưu trữ cho mục đích giám sát, thu thập dữ liệu trong tương lai, hoặc thậm chí là các cuộc tấn công độc hại. Nếu bạn vẫn nghĩ mình quá nhỏ bé để trở thành mục tiêu, hãy suy nghĩ lại và sẵn sàng mã hóa mọi thứ có thể, bao gồm cả các yêu cầu DNS của bạn. Việc tối ưu hóa DNS riêng tư là một bước thiết yếu để tăng cường bảo mật DNS và quyền riêng tư trực tuyến.
Thiết bị NAS nhỏ gọn trên bàn làm việc, tượng trưng cho giải pháp tự host DNS an toàn
Quyền riêng tư người dùng phải là mặc định, không phải ngoại lệ
Bảo vệ dữ liệu, giảm thiểu quảng cáo mục tiêu và tấn công DNS là những lợi ích xứng đáng
Kiến trúc mạng hiện đại đang chuyển dịch sang mô hình Zero-Trust, nơi cả sự tin cậy và quyền riêng tư là mặc định, sau đó các quy tắc sẽ được thêm vào để cho phép giao tiếp khi cần thiết. Đây là một sự thay đổi hoàn toàn về tư duy, và trong khi nó bảo vệ các công ty khỏi các cuộc tấn công, nó cũng bảo vệ dữ liệu người dùng cá nhân bằng các quy trình tương tự. Điều này là do nó không chỉ ngăn chặn kẻ tấn công nhìn thấy dữ liệu đang truyền tải mà còn ngăn chặn các nhà cung cấp dịch vụ Internet (ISP), các mối đe dọa nội bộ như quản trị viên “lách luật” và bất kỳ ai khác theo dõi hoạt động duyệt web của bạn.
Tuy nhiên, trong khi dữ liệu duyệt web, bản sao lưu và các dữ liệu nhận dạng cá nhân khác (hầu hết) đã được mã hóa DNS ngày nay, thì điều này lại không đúng với các yêu cầu DNS. Theo APNIC, chỉ 35% yêu cầu DNS trên thế giới được xác thực bởi DNSSEC, một giao thức được thiết kế để tránh các cuộc tấn công MitM (Man-in-the-Middle) chống lại hệ thống DNS. Giao thức SSL chủ yếu bảo vệ dữ liệu duyệt web, nhưng nó không bảo vệ email. Nếu không có DNSSEC, kẻ tấn công có thể giả mạo các bản ghi MX cần thiết cho việc định tuyến email và chặn email trước khi sao chép và chuyển tiếp chúng đến máy chủ dự định.
Tất cả những điều này khá phức tạp, nhưng bạn có thể góp phần bảo vệ mình bằng cách chọn một dịch vụ DNS có hỗ trợ mã hóa. Đó có thể là DNS-over-HTTPS (DoH), DNS-over-TLS (DoT) hoặc DNSCrypt, cùng với hỗ trợ DNSSEC để bạn có thể tin tưởng vào kết quả nhận được. Điều này loại bỏ các vấn đề MitM, ví dụ như khi ISP của bạn “hữu ích” thay đổi trang web bạn thấy để bảo vệ bạn khỏi nội dung mà họ quyết định nên bị kiểm duyệt. Việc sử dụng DNS an toàn trở nên cấp thiết hơn bao giờ hết.
Chờ đợi người dùng tự kích hoạt DNS riêng tư là một sai lầm
Bất cứ điều gì liên quan đến bảo mật cần phải được thiết lập làm mặc định; nếu không, hầu hết mọi người sẽ không sử dụng nó. Ngay cả việc giáo dục người dùng về thói quen đặt mật khẩu và tại sao việc sử dụng cùng một mật khẩu cho tất cả các tài khoản trực tuyến là một ý tưởng tồi cũng đã đủ khó khăn rồi. Và đó là cho một thứ bảo vệ thông tin ngân hàng, với lợi ích hiển thị ngay lập tức.
Apple đã có một số bước đi đúng hướng với Private Relay, nhưng nó chỉ mã hóa các yêu cầu DNS được gửi bởi Safari trong khi thực sự nó nên mã hóa mọi yêu cầu DNS được gửi bởi bất kỳ ứng dụng, trình duyệt hoặc cài đặt hệ thống nào trên thiết bị Apple. Nó cũng chỉ khả dụng với gói đăng ký iCloud+, đặt lợi nhuận lên trên quyền riêng tư. Điều này càng cho thấy tầm quan trọng của việc chủ động cài đặt DNS riêng tư.
Giao diện cài đặt DNS tùy chỉnh trên macOS, minh họa việc thiết lập máy chủ DNS riêng tư
Hoàn toàn khả thi (chỉ với một chút nỗ lực)
Các thiết bị phổ biến nhất của bạn nên có hỗ trợ gốc, và luôn có router làm phương án dự phòng
Dù bạn dùng Android, iOS, Windows, Linux hay macOS, ở giai đoạn này, tất cả chúng đều nên hỗ trợ DoH hoặc DoT một cách tự nhiên. Nếu không, bạn vẫn có các lựa chọn khác. Các bộ định tuyến (router) dân dụng đang ngày càng hỗ trợ DNS mã hóa tốt hơn, và luôn có các tùy chọn như Firewalla và OPNsense. Việc làm cho router của bạn sử dụng DNS mã hóa là một thực hành tốt, nhưng hãy đảm bảo bạn cài đặt router sử dụng 127.0.0.1 cho các truy vấn DNS của chính nó, nếu không một số sẽ vẫn bị gửi dưới dạng văn bản thuần túy.
Đối với thiết bị di động, bạn có thể thiết lập DNS riêng tư trong ứng dụng cài đặt. Các máy chủ DNS này đều hỗ trợ DNS-over-TLS, được Android hỗ trợ:
- dns.quad9.net
- dns.adguard.com
- doh.mullvad.net
- adblock.doh.mullvad.net
- p2.freedns.controld.com
- 1dot1dot1dot1.cloudflare-dns.com
- security-filter-dns.cleanbrowsing.org
- one.one.one.one
Với iOS, bạn sẽ cần tạo một cấu hình profile với các máy chủ DNS trên (từ Safari trên iPhone của bạn), tải cấu hình xuống và cài đặt profile. Bạn cũng có thể sử dụng NextDNS, AdguardDNS hoặc các nhà cung cấp khác hỗ trợ DNS mã hóa và cung cấp ứng dụng hoặc profile để cài đặt cho iOS. Windows, macOS và Linux đều hỗ trợ sử dụng DNS mã hóa từ các trang cài đặt mạng, và chỉ mất một phút để thiết lập. Đây là những cách hiệu quả để tăng cường bảo mật DNS cho các thiết bị cá nhân của bạn.
Một số thiết bị có thể không hỗ trợ cài đặt DNS tùy chỉnh
Ngay cả khi hầu hết các thiết bị chính đều hỗ trợ DNS-over-HTTPS hoặc DNS-over-TLS, không phải mọi thiết bị bạn sở hữu đều cho phép bạn thay đổi cài đặt DNS. Các thiết bị IoT (Internet of Things) thường có DNS được mã hóa cứng hoặc sử dụng DNS mặc định được đặt trong router của bạn. Để các thiết bị này sử dụng DNS mã hóa, bạn sẽ cần tự thiết lập máy chủ DNS riêng làm trình phân giải DNS duy nhất trong router của mình, hoặc bạn có thể chọn giải pháp mạnh tay hơn là chặn các thiết bị IoT truy cập Internet.
Tôi biết rằng lựa chọn cuối cùng không phải lúc nào cũng khả thi, nhưng nếu hầu hết chúng bị chặn, hồ sơ rủi ro của bạn sẽ giảm đáng kể. Sẽ luôn có một số thiết bị nhà thông minh khó định tuyến yêu cầu DNS hoặc yêu cầu kết nối Internet để hoạt động, nhưng có lẽ khi nhiều thiết bị tương thích Matter ra mắt thị trường, điều đó sẽ ít trở thành vấn đề hơn.
Giao diện quản trị web của AdGuard Home, một giải pháp tự host DNS server mạnh mẽ để bảo vệ quyền riêng tư
DNS riêng tư giúp chúng ta an toàn hơn khi trực tuyến
DNS riêng tư chỉ là một phần của phương trình lớn hơn về quyền riêng tư trực tuyến và bảo mật. Thói quen duyệt web tốt, luôn cảnh giác và sử dụng trình duyệt tập trung vào quyền riêng tư đều góp phần vào bức tranh chung. Thực tế đáng buồn là các công ty đã tìm ra cách kiếm tiền từ mọi hình thức dữ liệu, ngay cả các yêu cầu DNS, và họ sử dụng tất cả để phục vụ quảng cáo mục tiêu. Vị trí của bạn cũng có thể được định vị tam giác dựa trên các máy chủ DNS được sử dụng và thời gian phản hồi, và tất cả đều cung cấp cho một cỗ máy khổng lồ nhằm trích xuất giá trị từ dữ liệu đáng lẽ phải là riêng tư.
Trình duyệt Arc mở trên MacBook kết nối với màn hình ngoài, thể hiện không gian làm việc số và tầm quan trọng của bảo mật trực tuyến
Bảo mật DNS là nền tảng cho sự an toàn của bạn trên không gian mạng. Bằng cách thực hiện các bước để mã hóa DNS và sử dụng các dịch vụ DNS riêng tư, bạn đang chủ động bảo vệ dữ liệu cá nhân của mình khỏi sự giám sát và lợi dụng. Đừng để quyền riêng tư của bạn bị xâm phạm vì sự thiếu hiểu biết hoặc lười biếng.
Một bó cáp Ethernet trước bộ định tuyến mạng, tượng trưng cho cơ sở hạ tầng mạng gia đình và các giải pháp bảo mật DNS
Bạn đã thiết lập DNS riêng tư cho thiết bị của mình chưa? Hãy chia sẻ kinh nghiệm của bạn hoặc đặt câu hỏi trong phần bình luận bên dưới để chúng ta cùng thảo luận về cách tối ưu hóa DNS an toàn và nâng cao quyền riêng tư trực tuyến cho cộng đồng congnghe360.net.