Mọi thiết bị và ứng dụng mà chúng ta sử dụng để kết nối Internet đều dùng DNS (Domain Name System) để xác định nơi định tuyến dữ liệu. Chúng ta tin tưởng trình duyệt của mình với lượng lớn thông tin cá nhân. Mặc dù phần lớn dữ liệu đó ngày nay đã được mã hóa, nhưng trừ khi bạn thiết lập DNS riêng tư, các bản ghi DNS của bạn vẫn được gửi dưới dạng văn bản thuần túy. Ngay cả VPN của bạn cũng có thể rò rỉ dữ liệu DNS nếu nó không mã hóa hoặc gửi thông qua đường hầm mã hóa, và điều đó có nghĩa là dữ liệu của bạn có khả năng đang bị ai đó hoặc nhiều người theo dõi.
Ở giai đoạn phát triển hiện tại của Internet, việc giả định rằng mọi thứ bạn gửi ra khỏi mạng gia đình đều đang bị theo dõi (hoặc ít nhất là ai đó đang cố gắng theo dõi) đã trở nên đơn giản hơn. Bất kỳ thông tin nào được gửi không mã hóa đều có thể bị đọc, phân loại và lưu trữ cho mục đích giám sát, thu thập dữ liệu hoặc thậm chí là các cuộc tấn công độc hại trong tương lai. Nếu bạn vẫn nghĩ rằng mình quá nhỏ bé để trở thành mục tiêu, hãy suy nghĩ lại và chuẩn bị mã hóa mọi thứ bạn có thể, bao gồm cả các yêu cầu DNS của mình.
Máy chủ NAS mini Beelink Me Mini đặt trên bàn làm việc, minh họa cho giải pháp tự lưu trữ DNS tại nhà.
Quyền Riêng Tư Của Người Dùng: Từ Mặc Định Đến Yếu Tố Quyết Định
Kiến trúc mạng hiện đại đang chuyển sang mô hình Zero-Trust (Không Tin Cậy), nơi cả sự tin cậy và quyền riêng tư đều là mặc định, sau đó các quy tắc được thêm vào để cho phép giao tiếp khi cần thiết. Đây là một sự thay đổi hoàn toàn về tư duy, và trong khi nó bảo vệ các công ty khỏi các cuộc tấn công, nó cũng bảo vệ dữ liệu cá nhân của người dùng bằng các quy trình tương tự. Điều này là do nó không chỉ ngăn chặn kẻ tấn công nhìn thấy dữ liệu đang truyền tải, mà còn ngăn chặn các ISP, các mối đe dọa nội bộ như quản trị viên độc hại và bất kỳ ai khác theo dõi hoạt động duyệt web của bạn.
Trong khi dữ liệu duyệt web, sao lưu và các dữ liệu nhận dạng cá nhân khác (hầu hết) được mã hóa ngày nay, thì điều đó lại không đúng đối với các yêu cầu DNS. Theo APNIC, chỉ 35% yêu cầu DNS trên thế giới được xác thực bằng DNSSEC, một giao thức được thiết kế để tránh các cuộc tấn công MitM (Man-in-the-Middle) chống lại hệ thống DNS. SSL chủ yếu bảo vệ dữ liệu duyệt web, nhưng nó không bảo vệ email. Nếu không có DNSSEC, kẻ tấn công có thể giả mạo các bản ghi MX cần thiết cho việc định tuyến email và chặn email trước khi sao chép và chuyển tiếp chúng đến máy chủ dự định.
Tất cả đều khá lộn xộn, nhưng bạn có thể tự mình làm phần việc của mình bằng cách chọn một dịch vụ DNS hỗ trợ mã hóa. Đó có thể là DNS-over-HTTPS (DoH), hoặc DNS-over-TLS (DoT), hoặc DNSCrypt, cùng với sự hỗ trợ cho DNSSEC để bạn có thể tin tưởng vào các kết quả mà bạn nhận được. Điều này loại bỏ các vấn đề MitM, chẳng hạn như khi ISP của bạn “giúp đỡ” bằng cách thay đổi trang web bạn thấy để bảo vệ bạn khỏi nội dung mà họ quyết định nên bị kiểm duyệt.
Việc Yêu Cầu Người Dùng Tự Kích Hoạt DNS Riêng Tư Là Điều Chưa Phù Hợp
Bất cứ điều gì liên quan đến bảo mật cần được thiết lập làm mặc định; nếu không, hầu hết mọi người sẽ không sử dụng nó. Ngay cả việc giáo dục người dùng về quy tắc mật khẩu và lý do tại sao việc sử dụng cùng một mật khẩu trên tất cả các tài khoản trực tuyến là một ý tưởng tồi cũng đủ khó khăn. Và đó là đối với một thứ bảo vệ chi tiết ngân hàng, với lợi ích hiển thị ngay lập tức.
Apple đã thực hiện một số bước đi đúng hướng với Private Relay, nhưng nó chỉ mã hóa các yêu cầu DNS được gửi bởi Safari trong khi thực sự nó nên mã hóa mọi yêu cầu DNS được gửi bởi bất kỳ ứng dụng, trình duyệt hoặc cài đặt hệ thống nào trên thiết bị Apple. Nó cũng chỉ khả dụng với đăng ký iCloud+, đặt lợi nhuận lên trên quyền riêng tư.
Màn hình cài đặt DNS tùy chỉnh trên macOS với địa chỉ Google Public DNS được nhập, hướng dẫn thiết lập DNS riêng tư.
Khả Năng Triển Khai DNS Riêng Tư: Từ Thiết Bị Cá Nhân Đến Router Gia Đình
Các Thiết Bị Phổ Biến Hỗ Trợ Giao Thức Mã Hóa DNS
Cho dù bạn sử dụng Android, iOS, Windows, Linux hay macOS, ở giai đoạn này, tất cả chúng đều nên hỗ trợ DoH hoặc DoT một cách tự nhiên. Nếu không, bạn vẫn có các lựa chọn khác. Các router dành cho người tiêu dùng đang ngày càng hỗ trợ DNS mã hóa tốt hơn, và luôn có các lựa chọn như Firewalla và OPNsense. Việc làm cho router của bạn sử dụng DNS mã hóa dù sao cũng là một biện pháp tốt, nhưng hãy đảm bảo bạn cài đặt router sử dụng 127.0.0.1 cho các truy vấn DNS của chính nó, nếu không một số sẽ được gửi dưới dạng văn bản thuần túy.
Đối với thiết bị di động, bạn có thể thiết lập DNS riêng tư trong ứng dụng cài đặt. Các máy chủ DNS này đều hỗ trợ DNS-over-TLS, được Android hỗ trợ:
- dns.quad9.net
- dns.adguard.com
- doh.mullvad.net
- adblock.doh.mullvad.net
- p2.freedns.controld.com
- 1dot1dot1dot1.cloudflare-dns.com
- security-filter-dns.cleanbrowsing.org
- one.one.one.one
Đối với iOS, bạn sẽ phải tạo một hồ sơ cấu hình với các máy chủ DNS ở trên (từ Safari trên iPhone của bạn), tải xuống cấu hình và cài đặt hồ sơ. Bạn cũng có thể sử dụng NextDNS, AdguardDNS hoặc các nhà cung cấp khác hỗ trợ DNS mã hóa và cung cấp cho bạn ứng dụng iOS hoặc hồ sơ để cài đặt. Windows, macOS và Linux đều hỗ trợ sử dụng DNS mã hóa từ các trang cài đặt mạng, và chỉ mất một phút để thiết lập.
Một Số Thiết Bị Có Thể Không Hỗ Trợ Cài Đặt DNS Tùy Chỉnh
Ngay cả khi hầu hết các thiết bị lớn hỗ trợ DNS-over-HTTPS hoặc DNS-over-TLS, không phải mọi thiết bị bạn sở hữu đều cho phép bạn thay đổi cài đặt DNS. Các thiết bị IoT thường có DNS được mã hóa cứng hoặc sử dụng các cài đặt được đặt trong router của bạn theo mặc định. Để các thiết bị này sử dụng DNS mã hóa, bạn sẽ cần phải thiết lập máy chủ DNS của riêng mình làm bộ phân giải DNS duy nhất trong router của bạn, hoặc bạn có thể chọn giải pháp “hạt nhân” là chặn các thiết bị IoT của bạn truy cập Internet.
Tôi biết rằng lựa chọn cuối cùng không phải lúc nào cũng khả thi, nhưng nếu hầu hết chúng bị chặn, hồ sơ rủi ro của bạn sẽ giảm đáng kể. Luôn có một số thiết bị nhà thông minh khó định tuyến các yêu cầu DNS hoặc yêu cầu kết nối Internet để hoạt động, nhưng có lẽ khi nhiều thiết bị hỗ trợ Matter hơn ra thị trường, điều đó sẽ ít trở thành vấn đề hơn.
Giao diện bảng điều khiển quản trị web của AdGuard Home, một giải pháp tự host DNS mạnh mẽ.
DNS Riêng Tư: Yếu Tố Quyết Định Nâng Cao An Toàn Trực Tuyến Của Bạn
DNS riêng tư chỉ là một phần của phương trình cho quyền riêng tư và bảo mật trực tuyến. Thói quen duyệt web tốt, luôn cảnh giác và sử dụng trình duyệt tập trung vào quyền riêng tư đều góp phần vào bức tranh tổng thể. Sự thật đáng buồn là các công ty đã tìm ra cách kiếm tiền từ tất cả các hình thức dữ liệu, ngay cả các yêu cầu DNS, và họ sử dụng tất cả để phục vụ quảng cáo nhắm mục tiêu. Vị trí của bạn cũng có thể được xác định bằng cách tam giác dựa trên các máy chủ DNS được sử dụng và thời gian phản hồi, và tất cả đều cung cấp cho một cỗ máy khổng lồ trích xuất giá trị từ dữ liệu đáng lẽ phải là riêng tư.
Trình duyệt Arc đang mở trên MacBook Pro kết nối với màn hình ngoài, nhấn mạnh tầm quan trọng của trình duyệt bảo mật trong quyền riêng tư trực tuyến.