Se utilizzi una VPN (vedi la nostra Assistenza tecnica VPN su WindowsSe smanetti spesso con le impostazioni di rete, probabilmente avrai visto opzioni come DNS specifici del provider, risoluzione integrata, DNS pubblici di Google o Cloudflare, Handshake o DNS personalizzati come Pi-holeA prima vista può sembrare una semplice impostazione, ma la scelta del server DNS ha un impatto significativo sulla privacy, la sicurezza, le prestazioni e persino sui siti web che è possibile visitare.
Nell'uso quotidiano, di solito lasciamo le impostazioni così come sono: Il DNS del provider ISP o VPN è già in esecuzioneTuttavia, passare a un DNS personalizzato (ad esempio, configurando un Pi-hole a casa o utilizzando un servizio come Control-D) può offrire un controllo molto maggiore sulla navigazione, a costo di assumersi determinati rischi e responsabilità. Vale la pena capire cosa fa il DNS e quali vantaggi e svantaggi offre ciascuna alternativa.
Cos'è il DNS e perché è così importante?
Il Domain Name System (DNS) è l'"elenco telefonico" di Internet.Questo sistema traduce gli indirizzi leggibili dall'uomo (come xataka.com o kaspersky.com) in indirizzi IP numerici comprensibili ai computer. Senza questa traduzione automatica, non sarebbe possibile navigare in internet digitando i nomi di dominio; bisognerebbe ricordare lunghi numeri per ogni sito web.
Il tuo fornitore di servizi Internet (ISP) di solito ti fornisce un router con alcune server DNS preconfigurati controllati dall'operatore stessoOgni volta che digiti un indirizzo web, il tuo dispositivo interroga i server DNS per trovare l'indirizzo IP corrispondente. Questo è fondamentale non solo per il caricamento del sito web, ma anche per determinare chi può visualizzare le tue richieste e chi può bloccarle o manipolarle.
Il processo di risoluzione dei nomi coinvolge diversi tipi di server: un risolutore ricorsivo che riceve la tua queryI server radice, i server di dominio di primo livello (TLD) (come .com o .net) e i server di dominio autorevoli restituiscono in definitiva l'indirizzo IP corretto. In molti casi, alcune di queste informazioni vengono memorizzate nella cache per velocizzare le query future.
Quando inserisci un dominio nel browser, il sistema tenta prima di risolverlo da cache locali (computer, sistema operativo, resolver)Se non è presente, la query viaggia verso il resolver ricorsivo, quindi verso i server radice, poi verso i server TLD e infine verso i server autorevoli che restituiscono l'indirizzo IP finale. Tutto ciò avviene in millisecondi, ma ogni passaggio rappresenta una potenziale superficie di attacco o punto di controllo.
Un dettaglio fondamentale è che, per impostazione predefinita, Il DNS tradizionale non include la crittografiaQuesto significa che sia il tuo provider di servizi Internet (ISP) sia qualsiasi intermediario con accesso al tuo traffico possono vedere quali domini visiti, sebbene non possano visualizzare il contenuto esatto delle pagine se utilizzi HTTPS. Questa struttura rende più facile la censura, il tracciamento e gli attacchi se il sistema non è adeguatamente protetto.
Che cosa sa di te la persona che controlla il DNS?
Ogni richiesta DNS che effettui lascia una traccia. Il proprietario del server DNS può vedere da quale indirizzo IP stai effettuando la query e a quali domini stai tentando di accedere.Con questa semplice coppia di dati (IP + dominio + ora) è già possibile creare un profilo molto preciso delle tue abitudini di navigazione.
Servizi come Google Public DNS lo affermano apertamente: Memorizzano temporaneamente il tuo indirizzo IP (ad esempio, per 24-48 ore) e memorizzano in modo permanente altri dati di utilizzo "anonimizzati".In questo modo, possono compilare statistiche, migliorare il servizio… e, nel caso di aziende basate sulla pubblicità, arricchire la loro segmentazione anche se promettono di non associarla direttamente a te.
I provider DNS di terze parti più attenti alla privacy, come Cloudflare o Quad9, si pubblicizzano affermando che Non registrano in modo permanente il tuo indirizzo IP, riducono al minimo i registri e non vendono i dati agli inserzionisti.Ma vale la pena ricordare che tecnicamente Hanno la stessa capacità di qualsiasi altro server DNS di visualizzare le tue query: la fiducia dipende dalle loro politiche, dalla trasparenza e dalle verifiche indipendenti.
Inoltre, il DNS è un punto di controllo comune per governi e operatori. Molti blocchi di siti web vengono semplicemente applicati... negare la risoluzione di determinati domini nel DNS ufficiale del paese o dell'azienda. Modificando il DNS, è spesso possibile aggirare questa censura di base, sebbene in ambienti molto restrittivi possano essere combinate altre tecniche di blocco.
È essenziale capirlo L'utilizzo di DNS alternativi non nasconde il tuo indirizzo IP né sostituisce una VPN.Un DNS pubblico gratuito non funziona come una rete privata virtuale (VPN): il sito web che visiti vedrà comunque il tuo vero indirizzo IP e il tuo provider di servizi Internet (ISP) sarà comunque in grado di vedere a quali IP ti connetti, anche se potrebbe non visualizzare il dominio in modo così chiaro se utilizzi determinate tecnologie moderne. Il DNS rappresenta un livello di privacy e sicurezza, ma non è una soluzione completa.
DNS del provider di servizi Internet (ISP), DNS della VPN o DNS personalizzato: opzioni tipiche
Molti provider VPN offrono diverse configurazioni DNS: Utilizza il tuo DNS, un resolver integrato, Handshake, mantieni un DNS esterno (Google, Cloudflare, ecc.) oppure definisci un DNS personalizzato, come un Pi-hole domestico.Ciascuna opzione ha implicazioni diverse.
Quando si lasciano le impostazioni su "il suoTutto il tuo traffico DNS viene risolto tramite server controllati da quella VPN. Questo ha il vantaggio che le query viaggiano all'interno del tunnel crittografato, nascondendo le richieste DNS al tuo ISP e riducendo le fughe di DNS, ma tu riponi tutta la tua fiducia nel provider VPN, che può vedere a quali domini accedi mentre la VPN è attiva.
Se decidi di utilizzare DNS esterni come Google (8.8.8.8), Cloudflare (1.1.1.1) o altriA seconda del servizio scelto, è possibile ottenere maggiore velocità e una protezione aggiuntiva. Tuttavia, senza una VPN, le tue query verranno comunque inviate direttamente a quei resolver e condividerai la cronologia del tuo dominio con una grande azienda i cui interessi potrebbero non coincidere con la tua privacy.
L'opzione "DNS esistenteAttivando l'opzione "Usa DNS di sistema" nella VPN, vengono mantenute le impostazioni DNS esistenti. Questo è comodo, ma può causare fughe di DNS se il client VPN non impone l'utilizzo dei propri resolver o non crittografa le query. In altre parole, potresti pensare che tutto passi attraverso la VPN, ma le richieste di dominio vengono comunque indirizzate al tuo provider di servizi Internet (ISP).
I DNS personalizzato (Ad esempio, puntando a un Pi-hole o al proprio server cloud) si ha il massimo controllo: si decide cosa viene registrato, cosa viene bloccato e come viene filtrato. Tuttavia, in tal caso, si diventa responsabili della sua sicurezza, disponibilità e manutenzione e, se lo si espone incautamente su Internet, può diventare una porta d'accesso per gli attacchi.
Vantaggi dell'utilizzo di un DNS personalizzato (Pi-hole, Control D e altri)
Configura un DNS personalizzato, sia con un Pi-hole sulla tua rete locale, sul tuo server con DNSSEC o su un servizio gestito come Control-DOffre numerosi vantaggi rispetto all'utilizzo del DNS predefinito del provider di servizi Internet o persino di alcuni DNS pubblici generici.
Il primo grande vantaggio è la capacità di bloccare le minacce alla fonteUn DNS moderno con blacklist aggiornate può impedire al dispositivo di risolvere domini associati a malware, phishing, cryptojacking o pubblicità dannosa. Poiché il nome di dominio "dannoso" non può essere tradotto in un indirizzo IP, la connessione semplicemente non viene stabilita.
Questo approccio “preventivo” anticipa ciò che farebbe un antivirus tradizionale, che di solito reagisce. quando la minaccia è già in atto nel tuo sistemaGrazie a un DNS con filtro, non si entra mai in contatto con domini noti per essere pericolosi, riducendo notevolmente il rischio per i computer domestici e, soprattutto, per le reti aziendali con molti utenti.
In secondo luogo, l'utilizzo di un DNS personalizzato ben ottimizzato può migliorare le prestazioni. blocca annunci pubblicitari, tracker e risorse non necessarie (e, ad esempio, rimuovi la pubblicità sulla tua Smart TVLe pagine si caricano più velocemente, il numero di richieste esterne si riduce e il consumo di banda diminuisce. Su connessioni modeste o reti con molti dispositivi connessi, la differenza può essere davvero notevole.
Un altro vantaggio fondamentale è la maggiore privacy (vedi il nostro suggerimenti essenziali sulla privacy onlineSoluzioni come Pi-hole o servizi incentrati sulla privacy possono impedire ai tracker e alle società pubblicitarie di raccogliere dati sulla tua attività di navigazione tramite script e domini di tracciamento. Pur non essendo una soluzione miracolosa, riduce significativamente il continuo "avviso" a decine di reti pubblicitarie durante la navigazione in internet.
Infine, molti server DNS personalizzati come Control D offrono una configurazione relativamente semplice, con modelli di filtraggio (ad esempio, blocco contenuti per adulti, giochi, social network, ecc.) e opzioni per l'integrazione del servizio in implementazioni su larga scala tramite RMM o MDM nelle aziende. Ciò semplifica l'estensione di questo livello di sicurezza e controllo a decine o centinaia di dispositivi.
Rischi e svantaggi del DNS personalizzato
L'altro lato della medaglia è che un DNS personalizzato introduce anche nuovi punti di fallimento e responsabilitàIl primo motivo è ovvio: se il server DNS si blocca, si sovraccarica o lo si configura in modo errato, l'intera rete potrebbe rimanere apparentemente senza accesso a Internet, perché i siti web smetteranno di essere risolti anche se la connessione funziona.
Se ti fidi di un server DNS sconosciuto o dubbioIl rischio si moltiplica. Un server DNS dannoso o compromesso può manipolare le tue richieste per reindirizzarti a siti web falsi (phishing), installare malware o intercettare informazioni sensibili. L'avvelenamento della cache DNS o il dirottamento del server DNS sono tecniche frequentemente utilizzate dagli aggressori per reindirizzare il traffico verso siti che controllano.
Inoltre, un DNS personalizzato potrebbe non avere le stesse misure di protezione contro gli attacchi DDoS o agli attacchi alle infrastrutture rispetto ai principali provider. Un attacco denial-of-service contro il tuo resolver può interrompere la risoluzione dei nomi per tutti gli utenti che ne dipendono. Pertanto, se configuri il tuo DNS per un servizio aziendale o critico, è consigliabile implementarlo con ridondanza e su una rete robusta.
Un altro punto critico è che, se non si implementano misure come DNSSEC o configurazioni sicure, il server può essere compromesso. vulnerabile agli attacchi di avvelenamento della cacheIn questi casi, un criminale inganna il resolver facendogli credere che un nome di dominio legittimo punti in realtà all'indirizzo IP di un server fraudolento. Da quel momento in poi, tutti gli utenti che interrogano il dominio riceveranno l'indirizzo manipolato finché la cache non verrà svuotata.
Infine, un filtro DNS molto aggressivo di annunci, tracker o categorie di contenuti può causare falsi positivi e compromissione di funzionalità legittimeSiti web che non si caricano correttamente, servizi che smettono di funzionare o aggiornamenti di sicurezza che non arrivano perché i relativi domini sono bloccati. È fondamentale modificare correttamente gli elenchi e analizzare i log.
Minacce specifiche relative al DNS e come mitigarle
Poiché l'infrastruttura DNS è di fondamentale importanza, è bersaglio di diversi tipi di attacchi. I più comuni sono i seguenti:
- Attacchi DDoS (Distributed Denial of Service) Si tratta di attacchi contro i server DNS di un sito web o di un provider. Bombardando il server con traffico dannoso, ne saturano le risorse e le richieste legittime non vengono più elaborate, causando la "scomparsa" dei siti web da Internet per tutta la durata dell'attacco.
- TyposquattingQuesto metodo prevede la registrazione di domini quasi identici a quelli di marchi noti, sfruttando gli errori di battitura degli utenti. Un DNS non filtrato reindirizzerà l'utente a questi domini falsi in caso di errori di digitazione, consentendo così di lanciare attacchi di phishing o furti di credenziali in modo molto convincente.
- Furto di registrazione di dominio. Se un malintenzionato compromette il tuo account presso il registrar del dominio, può modificare i record DNS e indirizzarli verso server sotto il suo controllo, potenzialmente alterando anche la proprietà del dominio. Per ridurre questo rischio, è fondamentale utilizzare password complesse, l'autenticazione a due fattori e registrar con solide misure di sicurezza.
- Avvelenamento della cache DNS Si spingono oltre. L'attaccante inserisce dati falsi per domini specifici nella cache del server DNS, in modo che le future query di utenti ignari vengano risolte utilizzando l'indirizzo IP fraudolento. Poiché il browser si basa sulla risposta DNS, l'utente può ritrovarsi inconsapevolmente su una copia contraffatta della propria banca o su un sito infetto da malware.
Per mitigare questi rischi, Si raccomanda di utilizzare DNSSEC (estensioni di sicurezza DNS).Questi sistemi aggiungono firme crittografiche alle risposte DNS per garantire che i dati non siano stati manomessi. Integrando questa protezione con comunicazioni crittografate (DoT, DoH, VPN) e rigide politiche di accesso ai server DNS, si riducono notevolmente le possibilità di dirottamento o avvelenamento dei dati.
I server DNS pubblici e privati più comuni
Oltre ai server DNS del tuo ISP o della tua VPN, hai a disposizione un ampio catalogo di Server DNS gratuiti e aperti che puoi configurare manualmente sul tuo router, PC o dispositivo mobile. Alcuni dei più noti sono:
- OpenDNS (208.67.222.222 e 208.67.220.220). Uno dei più antichi servizi pubblici, ora di proprietà di Cisco. Offre versioni a pagamento e una versione gratuita con buona velocità, alta disponibilità, blocco predefinito dei siti web di phishing e opzioni di controllo parentale.
- Cloudflare (1.1.1.1 e 1.0.0.1). Incentrato su prestazioni e privacy. Promette di non utilizzare i tuoi dati per scopi pubblicitari e di non scrivere il tuo indirizzo IP su disco. Solitamente è molto veloce e facile da configurare, senza troppi extra.
- Google Public DNS (8.8.8.8 e 8.8.4.4). Progettato per utenti meno esperti, con una buona documentazione. In cambio di questa facilità d'uso e delle prestazioni, conserva i registri di navigazione anonimizzati e il tuo indirizzo IP per un periodo di tempo limitato.
- Comodo Secure DNS (8.26.56.26 e 8.20.247.20). Progettato per bloccare siti pericolosi, spyware e domini con pubblicità eccessiva, avvalendosi dell'esperienza di Comodo nel campo della sicurezza.
- Quad9 (9.9.9.9 e 149.112.112.112). Relativamente nuovo, ma focalizzato sul blocco dei domini dannosi utilizzando informazioni sulle minacce provenienti da più fonti. Offre un buon equilibrio tra sicurezza e prestazioni.
- Yandex.DNS (77.88.8.8 e 77.88.8.1). Alternativa russa, con profili base e varianti “Safe” (77.88.8.88 e 77.88.8.2) per bloccare i siti web pericolosi e “Family” (77.88.8.7 e 77.88.8.3) per filtrare i contenuti per adulti.
- Elenco dei server DNS pubbliciUn enorme database in cui è possibile cercare server DNS gratuiti in tutto il mondo, filtrando per paese.
Quando si sceglie tra lasciare il DNS della propria VPN, utilizzare server pubblici o configurare il proprio Pi-hole, il fattore chiave è decidere Di chi vuoi fidarti per visualizzare le query del tuo dominio e quale livello di controllo ti serve su filtraggio, prestazioni e privacy.Comprendendo i vantaggi e i rischi di ciascuna opzione, è molto più facile adattare le impostazioni alle proprie priorità senza incorrere in problemi di sicurezza o di navigazione imprevisti.
