Synology – DNS qua HTTPS: những điều cần cân nhắc khi bạn chuyển sang chế độ “private”
Điều đó có ý nghĩa gì đối với quyền riêng tư, bảo mật, kiểm soát của phụ huynh và liệu có cách nào để có tất cả chúng hay không.
DNS qua HTTPS: tương lai của bảo mật web
Hầu hết các trang web phổ biến hiện nay đều sử dụng HTTPS để mã hóa kết nối và bảo vệ thông tin nhạy cảm như mật khẩu, chi tiết thẻ tín dụng và thông tin đăng nhập ngân hàng Internet. Tuy nhiên, các truy vấn DNS vẫn được gửi ở dạng bản rõ.
Ví dụ: nếu bạn nhập blog.synology.com vào trình duyệt của mình, nó sẽ liên hệ với (thường là nhiều) máy chủ DNS, yêu cầu sự trợ giúp của họ cho đến khi tìm thấy địa chỉ IP được liên kết với miền blog.synology.com (ví dụ: 1.23.456.789 ).
Vì các truy vấn ở dạng văn bản rõ ràng, bất kỳ máy chủ DNS nào được liên hệ (như ISP của bạn) cộng với bất kỳ bộ định tuyến nào trên đường dẫn đến các máy chủ DNS đó sẽ có thể tìm ra trang web nào bạn đang truy cập. Theo thời gian, bản ghi sẽ trở thành một cái nhìn toàn diện về các hoạt động web của bạn và có thể được sử dụng cho các mục đích như quảng cáo. Hơn nữa, việc có thể xem các yêu cầu DNS của bạn có nghĩa là những kẻ tấn công cũng có thể thay đổi phản hồi và chuyển hướng bạn đến một trang web lừa đảo. Kỹ thuật này, được gọi là “chiếm quyền điều khiển DNS”, đã lừa mọi người chuyển giao thông tin đăng nhập của họ cho PayPal, Netflix, Gmail và Uber.
Đây là lúc DoH phát huy tác dụng: công nghệ mã hóa tất cả các truy vấn DNS của bạn bằng HTTPS để chỉ máy khách DNS (ví dụ: trình duyệt của bạn) và máy chủ DoH mà bạn chọn mới biết bạn đang truy cập trang web nào. Không một ai làm. Nó ngăn chặn hiệu quả những người bên ngoài theo dõi hoặc thậm chí giả mạo lưu lượng truy cập web của bạn.
Hiện tại, Google, Cloudflare và một số máy chủ DNS công cộng khác có sẵn dịch vụ DoH. Mozilla cũng sẽ hợp tác với Cloudflare để cho phép người dùng bảo vệ các hoạt động của họ trên Firefox bằng DoH.
Vậy tại sao các ISP ở Anh lại gọi Mozilla là “kẻ phản diện Internet”?
Quyền riêng tư so với lọc nội dung: một câu hỏi hóc búa
Trước hết, ISP ở một số quốc gia bị ràng buộc về mặt pháp lý để lưu giữ lịch sử duyệt web của người đăng ký trong một khoảng thời gian nhất định (ví dụ: 12 tháng) để tạo điều kiện thuận lợi cho việc điều tra tội phạm, điều này sẽ khó đạt được khi DoH trở thành xu hướng phổ biến. Nó cũng khiến ISP khó có khả năng cung cấp các dịch vụ kiểm soát của phụ huynh và phần mềm độc hại dựa trên DNS (trả phí) vì họ không còn có thể nhìn thấy và chặn các truy vấn DNS cho các trang web người lớn hoặc độc hại.
Trên thực tế, không chỉ ISP.
Tính năng lọc nội dung dựa trên DNS phổ biến đến mức hầu hết mọi thiết bị kiểm soát của phụ huynh (thiết bị bạn đã cài đặt trong mạng của mình, cùng với bộ định tuyến của bạn) đều sử dụng nó và nhiều sản phẩm bảo mật gia đình (còn gọi là “tường lửa gia đình”) tận dụng nó như một mức dương tính giả thấp cách xác định các thỏa hiệp. Nếu các truy vấn DNS hiện được mã hóa trước khi chuyển qua các sản phẩm này, chúng cũng sẽ ngừng hoạt động.
Đây là lý do tại sao ngay từ đầu chúng tôi đã nói rằng DoH đang làm gián đoạn các triển khai hiện có – bao gồm cả cho người dùng gia đình. Mặt khác, có thể khó để tận dụng DoH ngay bây giờ. Hầu hết các ứng dụng và hệ điều hành (Windows, macOS, v.v.) không hỗ trợ DoH nguyên bản. Việc định cấu hình nó thường liên quan đến các công cụ dòng lệnh và bạn cần thực hiện nó trên mọi thiết bị bạn muốn bảo vệ.
DoH ở cấp bộ định tuyến để “có tất cả”
Gần như đã trở thành một bản năng mà bất cứ khi nào chúng tôi thấy sự phức tạp hoặc lặp đi lặp lại trong cấu hình cấp thiết bị, chúng tôi chuyển chúng sang cấp bộ định tuyến. Đó là nơi xuất phát các gói Truy cập An toàn và Ngăn chặn Đe dọa : để kích hoạt kiểm soát của phụ huynh và bảo vệ mạng một lần và mãi mãi. Điều này đặc biệt quan trọng với số lượng thiết bị “không thể định cấu hình” (chẳng hạn như thiết bị IoT) trong các hộ gia đình ngày nay đang gia tăng nhanh chóng. Tương tự như vậy, chúng tôi hiện đang giới thiệu DoH trong Synology Router Manager (SRM) 1.2.3 mới nhất.
One checkbox – cho tất cả các thiết bị được kết nối
Hỗ trợ Native DoH trên bộ định tuyến có nghĩa là tất cả các truy vấn DNS do thiết bị của bạn thực hiện đều được mã hóa tự động bằng HTTPS ngay khi chúng đi ra ngoài bộ định tuyến của bạn. Chỉ cần chọn máy chủ DoH ưa thích của bạn trong SRM (Google, Cloudflare hoặc nhập URL của bất kỳ máy chủ DoH nào khác). Trong khoảng hai hoặc ba lần nhấp, bạn có thể khóa toàn bộ mạng của mình khỏi những con mắt tò mò.
Vẫn có thể lọc dựa trên DNS
Vì các truy vấn DNS chỉ được mã hóa khi chúng vượt ra ngoài bộ định tuyến, chức năng kiểm soát mối đe dọa dựa trên DNS và chức năng kiểm soát của phụ huynh trong Truy cập an toàn tiếp tục có hiệu lực. * Ví dụ: nếu con bạn vô tình truy cập vào một trang web người lớn, bộ định tuyến sẽ chặn truy vấn DNS của anh ấy và thay vào đó hiển thị cho anh ấy thông báo tùy chỉnh của bạn. Nó cũng sẽ mã hóa phần còn lại của các truy vấn vô hại của anh ấy để những người bên ngoài mạng của bạn sẽ không thể khai thác lịch sử duyệt web của anh ấy.
Tận dụng vai trò duy nhất của bộ định tuyến để kết hợp những gì tốt nhất của cả hai thế giới – đó là cách SRM 1.2.3 hy vọng giúp bạn trực tuyến an toàn hơn và riêng tư hơn.
Bạn nghĩ gì về DNS qua HTTPS? Bạn đã thử nó trên bất kỳ ứng dụng / HĐH hoặc trên SRM chưa? Hãy cho chúng tôi biết trên Cộng đồng Synology VietNam .
