• Home » 
  • Tin Công Nghệ » 
  • DNS Riêng Tư: Bảo Vệ Quyền Riêng Tư Trực Tuyến Của Bạn Như Thế Nào?

DNS Riêng Tư: Bảo Vệ Quyền Riêng Tư Trực Tuyến Của Bạn Như Thế Nào?

By 0
Thiết lập DNS tùy chỉnh trên macOS với địa chỉ Google Public DNS
Table of Contents

Mọi thiết bị và ứng dụng chúng ta sử dụng khi kết nối Internet đều dựa vào DNS (Hệ thống Tên Miền) để xác định nơi định tuyến dữ liệu. Chúng ta tin tưởng các trình duyệt của mình với một lượng lớn thông tin cá nhân. Mặc dù phần lớn dữ liệu này ngày nay đã được mã hóa, nhưng trừ khi bạn đã thiết lập một DNS riêng tư, các bản ghi DNS của bạn thường được gửi dưới dạng văn bản thuần túy. Ngay cả mạng riêng ảo (VPN) của bạn cũng có thể rò rỉ dữ liệu DNS nếu nó không mã hóa hoặc không gửi dữ liệu qua đường hầm mã hóa, và điều này có khả năng có nghĩa là nó đang bị ai đó theo dõi.

Tại thời điểm hiện tại trong sự phát triển của Internet, việc giả định rằng mọi thứ bạn gửi ra khỏi mạng gia đình của mình đều đang bị theo dõi (hoặc ít nhất là ai đó đang cố gắng theo dõi) là điều đơn giản hơn cả. Bất cứ thứ gì được gửi đi mà không được mã hóa sẽ bị đọc, phân loại và lưu trữ cho các mục đích giám sát, thu thập dữ liệu hoặc thậm chí là các cuộc tấn công độc hại trong tương lai. Nếu bạn vẫn nghĩ mình quá nhỏ bé để bị nhắm mục tiêu, hãy suy nghĩ lại và chuẩn bị mã hóa mọi thứ bạn có thể, bao gồm cả các yêu cầu DNS của bạn.

Quyền riêng tư người dùng cần là mặc định, không phải ngoại lệ

Bảo vệ dữ liệu, giảm thiểu theo dõi quảng cáo và tấn công DNS

Kiến trúc mạng hiện đại đang chuyển dịch sang mô hình Zero-Trust (Không Tin Cậy), nơi cả sự tin cậy và quyền riêng tư đều là mặc định, và sau đó các quy tắc được thêm vào để cho phép giao tiếp khi cần thiết. Đây là một sự thay đổi hoàn toàn về tư duy, và trong khi nó bảo vệ các công ty khỏi bị tấn công, nó cũng bảo vệ dữ liệu người dùng cá nhân bằng các quy trình tương tự. Điều đó là do nó không chỉ ngăn chặn kẻ tấn công nhìn thấy dữ liệu đang truyền tải, mà còn ngăn chặn các nhà cung cấp dịch vụ Internet (ISP), các mối đe dọa nội bộ như quản trị viên độc hại, và bất kỳ ai khác giám sát hoạt động duyệt web của bạn.

Tuy nhiên, trong khi dữ liệu duyệt web, bản sao lưu và các dữ liệu nhận dạng cá nhân khác (hầu hết) được mã hóa ngày nay, điều đó không đúng với các yêu cầu DNS. Theo APNIC, chỉ 35% các yêu cầu DNS trên thế giới được xác thực bởi DNSSEC, được thiết kế để tránh các cuộc tấn công MitM (Man-in-the-Middle) chống lại hệ thống DNS. SSL chủ yếu bảo vệ dữ liệu duyệt web, nhưng nó không bảo vệ email. Nếu không có DNSSEC, kẻ tấn công có thể giả mạo các bản ghi MX cần thiết cho việc định tuyến email và chặn email trước khi sao chép và chuyển tiếp chúng đến máy chủ dự định.

Thực sự, mọi thứ khá lộn xộn, nhưng bạn có thể đóng góp một phần bằng cách chọn một dịch vụ DNS có hỗ trợ mã hóa. Đó có thể là DNS-over-HTTPS (DoH), hoặc DNS-over-TLS (DoT), hoặc DNSCrypt, cùng với hỗ trợ DNSSEC để bạn có thể tin tưởng vào kết quả nhận được. Điều này giúp loại bỏ các vấn đề MitM, ví dụ như khi ISP của bạn “hữu ích” thay đổi trang web bạn thấy để bảo vệ bạn khỏi nội dung mà họ cho là nên bị kiểm duyệt.

Mong đợi người dùng tự kích hoạt DNS riêng tư là không hợp lý

Bất cứ điều gì liên quan đến bảo mật cần phải được thiết lập làm mặc định; nếu không, hầu hết mọi người sẽ không sử dụng nó. Việc giáo dục người dùng về quy tắc mật khẩu và lý do tại sao việc sử dụng cùng một mật khẩu trên tất cả các tài khoản trực tuyến của bạn là một ý tưởng tồi đã đủ khó khăn. Và đó là đối với một thứ bảo vệ thông tin ngân hàng, với lợi ích có thể thấy ngay lập tức.

Apple đã thực hiện một số bước đi đúng hướng với Private Relay, nhưng nó chỉ mã hóa các yêu cầu DNS được gửi bởi Safari trong khi thực tế nó nên mã hóa mọi yêu cầu DNS được gửi bởi bất kỳ ứng dụng, trình duyệt hoặc cài đặt hệ thống nào trên thiết bị Apple. Nó cũng chỉ khả dụng với đăng ký iCloud+, đặt lợi nhuận lên trên quyền riêng tư.

Thiết lập DNS tùy chỉnh trên macOS với địa chỉ Google Public DNSThiết lập DNS tùy chỉnh trên macOS với địa chỉ Google Public DNS

Hoàn toàn khả thi (với một chút nỗ lực)

Các thiết bị phổ biến nhất nên hỗ trợ native, và luôn có router là lựa chọn

Dù bạn sử dụng Android, iOS, Windows, Linux hay macOS, ở giai đoạn này, tất cả chúng đều nên hỗ trợ DoH hoặc DoT một cách native. Nếu chúng không hỗ trợ, bạn vẫn có các lựa chọn khác. Các bộ định tuyến (router) dân dụng đang ngày càng tốt hơn trong việc hỗ trợ DNS được mã hóa, và luôn có các tùy chọn như Firewalla và OPNsense. Việc cài đặt router của bạn sử dụng DNS được mã hóa là một thực hành tốt, nhưng hãy đảm bảo bạn cài đặt router sử dụng 127.0.0.1 cho các truy vấn DNS của riêng nó, nếu không một số truy vấn sẽ được gửi ra ngoài dưới dạng văn bản thuần túy.

Đối với các thiết bị di động, bạn có thể thiết lập DNS riêng tư trong ứng dụng cài đặt. Các máy chủ DNS này đều hỗ trợ DNS-over-TLS, được Android hỗ trợ:

  • dns.quad9.net
  • dns.adguard.com
  • doh.mullvad.net
  • adblock.doh.mullvad.net
  • p2.freedns.controld.com
  • 1dot1dot1dot1.cloudflare-dns.com
  • security-filter-dns.cleanbrowsing.org
  • one.one.one.one

Đối với iOS, bạn sẽ phải tạo một hồ sơ cấu hình với các máy chủ DNS ở trên (từ Safari trên iPhone của bạn), tải cấu hình và cài đặt hồ sơ. Bạn cũng có thể sử dụng NextDNS, AdguardDNS, hoặc các nhà cung cấp khác hỗ trợ DNS được mã hóa và cung cấp cho bạn ứng dụng iOS hoặc hồ sơ để cài đặt. Windows, macOS và Linux đều hỗ trợ sử dụng DNS được mã hóa từ các trang cài đặt mạng, và chỉ mất một phút để thiết lập.

Một số thiết bị có thể không hỗ trợ cài đặt DNS tùy chỉnh

Ngay cả khi hầu hết các thiết bị lớn đều hỗ trợ DNS-over-HTTPS hoặc DNS-over-TLS, không phải mọi thiết bị bạn sở hữu sẽ cho phép bạn thay đổi cài đặt DNS. Các thiết bị IoT thường có DNS được mã hóa cứng hoặc sử dụng DNS được cài đặt trong router của bạn theo mặc định. Để các thiết bị này sử dụng DNS được mã hóa, bạn sẽ cần tự thiết lập một máy chủ DNS làm bộ phân giải DNS duy nhất trong router của bạn, hoặc bạn có thể chọn giải pháp “hạt nhân” là chặn các thiết bị IoT của bạn truy cập Internet.

Tôi biết rằng lựa chọn cuối cùng không phải lúc nào cũng khả thi, nhưng nếu hầu hết chúng bị chặn, hồ sơ rủi ro của bạn sẽ giảm đi đáng kể. Luôn có một số thiết bị nhà thông minh khó định tuyến các yêu cầu DNS hoặc yêu cầu kết nối Internet để hoạt động, nhưng có thể khi có nhiều thiết bị tương thích Matter ra mắt thị trường, điều đó sẽ không còn là vấn đề nữa.

Giao diện quản trị web của AdGuard Home, một giải pháp tự host DNSGiao diện quản trị web của AdGuard Home, một giải pháp tự host DNS

DNS riêng tư giúp tất cả chúng ta an toàn hơn trên mạng

Trình duyệt Arc mở trên MacBook, thể hiện môi trường làm việc kỹ thuật số và duyệt webTrình duyệt Arc mở trên MacBook, thể hiện môi trường làm việc kỹ thuật số và duyệt web

DNS riêng tư chỉ là một phần của phương trình về quyền riêng tư và bảo mật trực tuyến. Thói quen duyệt web tốt, giữ vững sự tỉnh táo và sử dụng trình duyệt tập trung vào quyền riêng tư đều góp phần vào bức tranh tổng thể. Sự thật đáng buồn là các công ty đã tìm ra cách để kiếm tiền từ mọi hình thức dữ liệu, ngay cả các yêu cầu DNS, và họ sử dụng tất cả để phục vụ quảng cáo nhắm mục tiêu. Vị trí của bạn cũng có thể được xác định dựa trên việc các máy chủ DNS nào được sử dụng và thời gian phản hồi, và tất cả đều cung cấp cho một cỗ máy khổng lồ trích xuất giá trị từ dữ liệu đáng lẽ phải là riêng tư.

Kết luận

Trong bối cảnh dữ liệu cá nhân ngày càng bị giám sát và khai thác, việc bảo vệ các yêu cầu DNS không còn là một tùy chọn mà đã trở thành một yếu tố thiết yếu để duy trì quyền riêng tư trực tuyến. Dù các thiết bị và ứng dụng hiện đại đã có những bước tiến trong việc mã hóa dữ liệu, thông tin DNS vẫn thường bị bỏ ngỏ, trở thành kẽ hở cho các hoạt động theo dõi và tấn công. Việc chuyển sang sử dụng DNS riêng tư, thông qua các dịch vụ hỗ trợ mã hóa hoặc thiết lập tùy chỉnh trên thiết bị/router, là một bước chủ động quan trọng mà mỗi người dùng nên thực hiện. Mặc dù có những thách thức nhất định, đặc biệt với các thiết bị IoT, nhưng những nỗ lực này sẽ giúp giảm thiểu rủi ro, kiểm soát tốt hơn luồng dữ liệu của bạn và góp phần xây dựng một không gian mạng an toàn, riêng tư hơn cho tất cả mọi người. Hãy chủ động tìm hiểu và thiết lập DNS riêng tư ngay hôm nay để bảo vệ dữ liệu của chính mình.

Mớ cáp Ethernet và một bộ định tuyến (router), tượng trưng cho hạ tầng mạngMớ cáp Ethernet và một bộ định tuyến (router), tượng trưng cho hạ tầng mạng

Tài liệu tham khảo

  • https://www.xda-developers.com/we-put-faith-web-browsers/
  • https://www.xda-developers.com/reasons-dont-need-worry-public-wi-fi/
  • https://www.xda-developers.com/gluetun-route-docker-through-vpn/
  • https://www.xda-developers.com/set-up-ssh-honeypot-internet-scary/
  • https://www.xda-developers.com/network-security-myths-that-make-you-less-secure/
  • https://www.xda-developers.com/it-really-was-dns/
  • https://www.xda-developers.com/regret-not-deploying-custom-home-firewall-sooner/
  • https://stats.labs.apnic.net/dnssec
  • https://www.crowdstrike.com/blog/widespread-dns-hijacking-activity-targets-multiple-sectors/
  • https://www.xda-developers.com/better-than-gmail-i-self-host-email-server-on-my-nas/
  • https://www.xda-developers.com/ways-choose-best-alternate-dns-service/
  • https://www.xda-developers.com/reasons-run-dns-server-with-unbound/
  • https://www.xda-developers.com/fairytales-about-password-security-that-are-pretty-grim/
  • https://www.xda-developers.com/icloud-private-relay-doesnt-work-way-you-think/
  • https://simpledns.plus/apple-dot-doh
  • https://www.xda-developers.com/inexpensive-iot-devices-actually-useful-in-your-smart-home/
  • https://www.xda-developers.com/reasons-host-your-own-dns-server-home/
  • https://www.xda-developers.com/privacy-tweaks-for-router/
  • https://www.xda-developers.com/please-stop-exposing-iot-devices-internet/
  • https://www.xda-developers.com/more-matter-devices-make-for-better-smart-homes/
  • https://www.xda-developers.com/online-tools-digital-privacy-security/
  • https://www.xda-developers.com/reasons-you-should-use-a-privacy-browser/

Related Posts

Leave a Comment

Offcanvas
Offcanvas