Оптимизация DNS для повышения производительности, фильтрации и безопасности

Контент

Раздражающая часть серфинга в Интернете - медленное и вялое разрешение системы доменных имен (DNS). Большинство пользователей Интернета не понимают, что часто веб-сайт или другая служба, которая кажется медленной, на самом деле работает нормально.

Вместо этого проблема в вашем головокружении возникает из-за разрешения DNS. Существует множество причин, по которым DNS может работать медленно: от чрезмерно загруженного сервера, используемого слишком большим количеством пользователей, до нехватки памяти и сложных итеративных запросов.

Настройка разрешения DNS может улучшить производительность и привести к гораздо более быстрому интернет-взаимодействию. Многие также обеспокоены тем, что в сети есть вредоносные сайты или неприемлемый контент, который следует фильтровать. Фильтрация DNS предлагает средства ограничения или ограничения доступа к некоторым из этих проблемных вопросов.

Наконец, также необходимо знать, что перехват сообщений увеличивается. Как злоумышленники, так и ваш собственный интернет-провайдер (ISP) могут отслеживать ваши действия в Интернете. Хотя многие выбрали развертывание VPN для онлайн-взаимодействия, и большинство посещаемых сайтов теперь защищены шифрованием TLS (т. Е. HTTPS), все еще существует много обстоятельств, когда DNS-запросы происходят вне этой защиты, и они могут быть просмотрены. другими. Доступны варианты шифрования DNS, которые могут улучшить защиту конфиденциальности онлайн-активности.

Настройка DNS для повышения производительности

Есть несколько шагов, которые вы можете предпринять, чтобы оптимизировать свой DNS для повышения производительности. Часто повышения производительности можно добиться, просто изменив адрес используемого сервера поиска DNS.

Для большинства сетей поисковый адрес DNS-сервера определяется на вашем основном устройстве управления сетью, на котором выполняется протокол динамической конфигурации хоста (DHCP). Для большинства домашних пользователей и небольших офисов это будет ваша точка беспроводного доступа (WAP). Для корпоративных сетей это чаще всего будет выделенный DHCP-сервер или устройство. Службу DHCP можно настроить для выдачи предпочтительного DNS-адреса устройствам, когда они получают аренду своего IP-адреса. Часто вы будете использовать DNS-серверы вашего интернет-провайдера по умолчанию, но обычно это не самый эффективный вариант.

Первый и самый простой способ улучшить производительность DNS - переключиться на альтернативный DNS-сервер для выполнения поиска. Рассмотрите возможность использования одного из бесплатных и открытых DNS-серверов, а не вашего интернет-провайдера. Доступны многие. Вот несколько распространенных:

  • OpenDNS (http://www.opendns.com/):
    • IPv4-адрес: 208.67.222.222 или 208.67.220.220
    • IPv6-адрес: 2620: 119: 35 :: 35 или 2620: 119: 53 :: 53
    • Адрес IPv4: 8.8.8.8 или 8.8.4.4
    • IPv6-адрес: 2001: 4860: 4860 :: 8888 или 2001: 4860: 4860 :: 8844
    • IPv4-адрес: 1.1.1.1 или 1.0.0.1
    • IPv6-адрес: 2606: 4700: 4700 :: 1111, 2606: 4700: 4700 :: 1001, 2606: 4700: 4700 :: 64 или 2606: 4700: 4700 :: 6400
    • IPv4-адрес: 84.200.69.80 или 84.200.70.40
    • IPv6-адрес: 2001: 1608: 10: 25 :: 1c04: b12f или 2001: 1608: 10: 25 :: 9249: d69b
    • IPv4-адрес: 4.2.2.1, 4.2.2.2, 4.2.2.3, 4.2.2.4, 4.2.2.5, 4.2.2.6, 209.244.0.3 или 209.244.0.4

    Случайный выбор одного из этих общедоступных DNS-серверов может не обеспечить оптимальную скорость разрешения DNS. Но есть большая вероятность, что он обеспечит лучшую производительность, чем любой вариант DNS по умолчанию, предоставляемый вашим интернет-провайдером.

    Было бы неплохо попробовать несколько вариантов, прежде чем останавливаться на одном. Однако выбор того, какой альтернативный DNS-сервер использовать, является несколько субъективным. Вы бы выбрали тот, который казался быстрее других. Поскольку здесь есть множество переменных, таких как ваш веб-браузер, кэширующий контент, изменение нагрузки на сервер, колебания общей интернет-активности и ваше собственное восприятие. Вы можете использовать каждую опцию DNS в течение нескольких дней, чтобы увидеть, есть ли заметная разница.

    Если вам нужен более систематический и основанный на данных подход, чтобы выяснить, какой DNS-преобразователь самый быстрый для вашего местоположения, вам нужно использовать инструмент DNS Benchmark от Стива Гибсона из известного GRC. DNS Benchmark - это бесплатный инструмент для Windows, который проведет подробный анализ производительности ряда DNS-серверов, чтобы определить, какой из них является наиболее эффективным и быстрым на момент тестирования.

    С чего начать

    Для начала возьмите инструмент, прочтите онлайн-инструкции и запустите тест. Примерно через 30 минут вы получите результаты для вашего местоположения. В большинстве случаев выбор одного из трех основных DNS-серверов, обнаруженных этим инструментом, дает самые высокие результаты производительности. Если для вашего опыта работы в Интернете важно максимально оптимизированное разрешение DNS, вы можете повторять этот тест DNS Benchmark каждые несколько месяцев.

    Установка адреса поиска DNS-сервера в вашей службе DHCP гарантирует, что всем членам сети, получающим динамически назначаемый IP-адрес, будет выдан ваш предпочтительный DNS-адрес. Если вы не можете изменить адрес поиска DNS, назначенный каждой системе, или просто не хотите, но вы все равно хотите оптимизировать производительность DNS в своих отдельных системах, тогда необходимо внести изменения в конфигурацию локального поиска DNS.

    Конфигурации локального DNS переопределяют динамическое назначение. Даже если устройство принимает IP-адрес хоста, маску подсети и шлюз по умолчанию, которые динамически назначаются службой DHCP, в локальной системе может быть определен статический сервер поиска DNS, что приведет к игнорированию предложенного DHCP. Это особенно полезно, если вы подключаетесь по общедоступной сети или работаете из местоположения клиента. Конфигурация локального DNS позволяет вам установить предпочтительный адрес сервера поиска независимо от того, к какой сети вы подключаетесь.

    Несколько предостережений

    Для некоторых общедоступных сетей, таких как отели и кафе, вам часто приходится взаимодействовать с адаптивным порталом. Адаптивный портал - это страница, которая автоматически появляется в вашем веб-браузере, когда вы подключаетесь к сети и затем пытаетесь посетить выбранный вами сайт.

    Сеть автоматически перенаправит вас на свои собственные местные условия. Некоторые сети могут требовать ничего, кроме согласия с условиями, в то время как другие могут требовать оплаты, просмотра рекламы, кода из квитанции, аутентификации с использованием вашей фамилии и номера комнаты.

    Если в локальной сети есть перехватывающий портал, то изменение локального сервера поиска DNS может помешать вашей системе получить доступ к перехватывающему порталу и, в свою очередь, заблокировать доступ к сети в целом. Таким образом, вы можете изначально использовать локальный DNS-сервер поиска по умолчанию, а после того, как вы прошли через захватывающий портал или обнаружили, что его нет, измените конфигурацию DNS на ваш предпочтительный выбор.

    Оптимизация поиска на DNS-сервере - подвижная цель

    Второе предостережение - понимать, что оптимизация поиска на DNS-сервере - постоянно меняющаяся цель. DNS-сервер с наилучшей производительностью отклика сегодня может не стать тем же сервером через несколько дней.

    Итак, вам нужно довольствоваться хорошей службой DNS, а не стремиться к максимальной скорости. Если вам нужно самое лучшее, вам нужно будет регулярно переоценивать системы DNS. Если вы будете повторять тестирование слишком часто, вы потратите на тестирование больше времени, чем выиграете. Однако никогда не переоценивать производительность DNS может означать, что вы упускаете более высокую производительность. Я бы рекомендовал повторно проверять производительность DNS примерно раз в квартал, но не чаще одного раза в месяц.

    Производительность DNS зависит от подключения

    Третья проблема заключается в том, что производительность DNS зависит от соединения. Я имею в виду, что лучший DNS-сервер для вас из вашего основного рабочего места может отличаться при подключении к другой сети. Лучший DNS-сервер для вас из головного офиса может отличаться от того, который используется при работе из дома, что также, вероятно, будет отличаться от лучшего варианта в отеле или кафе.

    Я сомневаюсь, что стоит выполнять полный тест DNS каждый раз, когда вы подключаетесь к новой сети, особенно если вы собираетесь подключаться к этой сети только на время от нескольких минут до нескольких часов. Таким образом, я бы зарезервировал время на повторное тестирование на тот случай, когда вы будете работать и подключаться из нового сетевого местоположения более нескольких дней (например, в командировке).

    Если вы решите изменить только адрес поиска DNS в отдельных системах, то для того, чтобы в полной мере воспользоваться измененной целью поиска, вам необходимо либо перезагрузить, либо вручную очистить кеш DNS, чтобы очистить любые предыдущие разрешения, хранящиеся в памяти.

    В Windows это выполняется из командной строки с помощью ipconfig / flushdns. В Linux это выполняется из окна терминала с помощью sudo /etc/init.d/nscd restart.

    Настройка DNS для фильтрации

    Помимо оптимизации скорости разрешения DNS, вы также можете воспользоваться возможностями фильтрации содержимого DNS. Фильтрация содержимого DNS - это когда серверы разрешения DNS настроены так, чтобы блокировать или запрещать разрешение определенных полных доменных имен (FQDN) на основе содержимого, размещенного на этих сайтах или местах.

    Например, вы можете выбрать службу фильтрации DNS, которая блокирует доступ к некоторому контенту или разрешает только безопасные полные доменные имена, есть даже фильтры DNS для блокировки фишинга, мошенничества и других форм вредоносных сайтов.

    Существует множество сервисов, предлагающих фильтрацию DNS, вот несколько примеров:

    • CleanBrowsing (https://cleanbrowsing.org/filters): Фильтр контента для взрослых:
      • IPv4-адрес: 185.228.168.10 и 185.228.169.11
      • IPv6-адрес: 2a0d: 2a00: 1 :: 1 и 2a0d: 2a00: 2 :: 1
      • IPv4-адрес: 185.228.168.168 и 185.228.169.168
      • IPv6-адрес: 2a0d: 2a00: 1 :: & 2a0d: 2a00: 2 ::
      • IPv4-адрес: 185.228.168.9 и 185.228.169.9
      • IPv6-адрес: 2a0d: 2a00: 1 :: 2 & 2a0d: 2a00: 2 :: 2
      • IPv4-адрес: 208.67.222.123 и 208.67.220.123
      • IPv4-адрес: 156.154.70.2 и 156.154.71.2
      • IPv6-адрес: 2610: a1: 1018 :: 2 и 2610: a1: 1019 :: 2
      • IPv4-адрес: 156.154.70.3 и 156.154.71.3
      • IPv6-адрес: 2610: a1: 1018 :: 3 и 2610: a1: 1019 :: 3
      • IPv4-адрес: 94.140.14.15 и 94.140.15.16
      • IPv6-адрес: 2a10: 50c0 :: bad1: ff & 2a10: 50c0 :: bad2: ff
      • IPv4-адрес: 94.130.180.225 и 78.47.64.161
      • IPv6-адрес: 2a01: 4f8: 1c0c: 40db :: 1 & 2a01: 4f8: 1c17: 4df8 :: 1

      Более продвинутый вариант доступен бесплатно через Cloudflare Gateway, но он требует регистрации и предоставления формы оплаты, а также некоторых настроек. К счастью, есть руководство по установке, которое проведет вас через весь процесс, поэтому вам не нужно быть квалифицированным специалистом по DNS или сетям.

      Службы DNS-фильтрации Cloudflare Gateway позволяют вам включить простой SafeSearch, а затем добавить или настроить оттуда. Параметры конфигурации включают блокировку вредоносных и подозрительных сайтов, связанных со спамом, фишингом, ботнетами, шпионским ПО, крипто-майнингом и т. Д., Быструю блокировку тематических групп доменных имен, связанных с наркотиками, жестоким обращением с детьми, обманчивой рекламой, темами для взрослых и сомнительными контент, а также возможность добавлять свои собственные FQDN для блокировки.

      В дополнение к этому у вас также есть доступ к панели аналитики, где вы можете подробно отслеживать и исследовать интернет-активность и попытки разрешения DNS.

      Существует несколько решений для фильтрации DNS с помощью службы подписки, но с перечисленными здесь бесплатными вариантами большинство ваших потребностей должно быть удовлетворено без необходимости тратить средства.

      Также возможно развернуть вашу собственную локальную функцию фильтрации DNS. Некоторые продукты WAP и брандмауэры включают эту функцию, но вы также можете установить собственное программное обеспечение. Тем не менее, это действительно возлагает всю бремя заполнения вашего черного списка на ваши собственные плечи. Я предпочитаю использовать для этого службу, а не добавлять что-то еще в свой и без того слишком длинный список задач управления сетью.

      Существует также возможность использования фильтрации DNS как средства блокировки рекламы и минимизации действий по отслеживанию. Существует множество вариантов фильтрации этого типа, но для многих требуется платная подписка. Один из примеров бесплатного сервиса, блокирующего рекламу и отслеживание, доступен в AdGuard:

      • AdGuard DNS (https://adguard.com/): Защита от рекламы и отслеживания:
        • IPv4-адрес: 94.140.14.14 и 94.140.15.15
        • IPv6-адрес: 2a10: 50c0 :: ad1: ff & 2a10: 50c0 :: ad2: ff

        Однако, если вы решите заблокировать рекламу и отслеживание, вы должны понимать, что многие сайты могут это обнаружить и могут заблокировать вам доступ к своему контенту, пока заблокированы услуги рекламы и отслеживания.

        Хотя многие из нас хотят исключить или свести к минимуму рекламу и отслеживание, многие веб-сайты существуют только потому, что получают оплату от организаций по маркетингу и отслеживанию. Независимо от того, согласны вы с этой бизнес-моделью или нет, вы можете ограничивать доступ к законным сайтам и службам, если используете DNS-фильтр блокировки рекламы. Вам необходимо взвесить преимущества и недостатки этого выбора.

        Настройка DNS для обеспечения безопасности

        К настоящему времени мы все должны быть хорошо осведомлены о том, что в сети есть сущности, которые пытаются отслеживать, записывать и отслеживать каждое наше движение. Часть этой собранной информации используется для оптимизации услуг и целевой рекламы и продуктов. Хотя некоторая собранная информация может быть использована злоумышленниками для кражи личных данных, мошенничества с захватом учетной записи или других форм выдачи себя за другое лицо. Будь то криминальные атаки или просто ваш местный интернет-провайдер, часто необходимо реализовать собственные средства защиты от нежелательного мониторинга.

        Безопасность DNS была инициирована более десяти лет назад с разработкой DNSSEC (DNS Security). Это усовершенствование DNS, которое устанавливает цифровой сертификат на каждый DNS-сервер. DNSSEC гарантирует, что связь между DNS-серверами проверяется с использованием взаимной проверки подлинности сертификатов, а затем защищается внутри зашифрованного туннеля связи TLS. Большинство DNS-серверов в Интернете теперь совместимы с DNSSEC. Однако DNSSEC не распространяет свои средства защиты на конечные точки, он охватывает только DNS-серверы.

        К счастью, сейчас доступны параметры безопасности DNS клиента или конечной точки. В настоящее время существует два основных варианта безопасности DNS, которые многие конечные точки могут принять или даже поддерживать изначально. Это DNS через TLS (DoT) и DNS через HTTPS (DoH).

        DNS через TLS (DoT) используется для шифрования транзакции запроса DNS с помощью TLS. Это создает модифицированный и защищенный протокол DNS, который работает через порт TCP 853. Обычно в традиционном DNS порт TCP 53 используется для связи DNS-сервера с DNS-сервером, обычно называемой зональной передачей, тогда как порт UDP 53 используется для DNS-запросов.

        С DoT протокол TCP используется для поддержки запросов вместо UDP, и это также позволяет использовать инструмент шифрования TLS. Хотя DoT действительно обеспечивает зашифрованный DNS, похоже, он не так широко поддерживается в отрасли, как DoH. DoT изначально поддерживается Android 9 и новее и iOS 14 и новее. Для большинства других платформ требуется дополнительное программное обеспечение для добавления поддержки DoT. Существует множество провайдеров DoT DNS, но не так много, как провайдеров DoH. Непонятно, почему DoT не так широко распространен, как DoH, но одна из возможных причин заключается в том, что DoT работает на уникальном порте TCP 853, который можно заблокировать, чтобы предотвратить использование DoT.

        DNS через HTTPS (DoH) также выигрывает от шифрования TLS, но достигает этого за счет использования стандартного защищенного веб-сеанса через HTTPS в качестве типа туннеля VPN для передачи DNS-запроса. Следовательно, связь DoH происходит через тот же TCP-порт 443, что и безопасные веб-транзакции. Запросы и ответы DoH теперь «теряются» или «скрываются» среди защищенных веб-коммуникаций. Это означает, что блокировать DoH намного сложнее и не основано на блокировании одного порта.

        DoH кажется гораздо более популярным, потому что он изначально поддерживается во многих операционных системах, включая Android, iOS, MAC OS и Linux. Также существует множество отдельных программных продуктов, в основном браузеры, которые также поддерживают DoH, даже если ОС хоста не поддерживает его или не настроена. Эти браузеры включают Chrome, Firefox, Edge и Opera. Даже без собственной поддержки DoH легко добавить DoH в Windows с помощью дополнительного приложения под названием «Simple DNSCrypt» с https://simplednscrypt.org/.

        Я являюсь основным пользователем Windows, и это продукт для шифрования DNS, который я использую. Однако я предостерегаю от развертывания этого инструмента в системах, используемых людьми, не разбирающимися в технологиях, поскольку этот инструмент часто требует настройки конфигурации и, в зависимости от сети, может потребоваться временно отключить его, чтобы установить соединение (обычно для работы со скрытыми порталами). .

        Последние достижения

        Недавнее усовершенствование DoH - это забвение DNS-over-HTTPS (ODoH). Оставшаяся проблема конфиденциальности с DoH заключалась в том, что владелец преобразователя DoH DNS мог отслеживать разрешаемое полное доменное имя и связывать их с IP-адресом конечной точки.

        Это та самая информация, которая должна была быть защищена DoH, чтобы интернет-провайдеры и злоумышленники больше не могли получать доступ к этим данным или собирать их. Тем не менее, организации могут запускать свой собственный сервер DoH и по-прежнему собирать эту информацию от любого, кто решит использовать их услуги. Усовершенствованием ODoH является реализация прокси между конечной точкой и сервером DoH, чтобы исходный IP-адрес запроса и содержимое запроса / ответа были отделены друг от друга.

        Прокси-сервер DoH использует NAT / PAT для изменения исходного IP-адреса запрашивающей конечной точки, а затем пересылает все еще зашифрованные полезные данные запроса на преобразователь DoH DNS. Пока прокси DoH и преобразователи DoH управляются отдельными объектами, конфиденциальность самих запросов остается защищенной. Одним из первых последователей и сторонников ODoH является CloudFlare. Вы можете узнать больше об их внедрении ODoH и их прокси-партнерах на https://blog.cloudflare.com/oblivious-dns/.

        Независимо от того, реализуете ли вы безопасное решение DNS через свою ОС, только через веб-браузер или через дополнительное приложение, я думаю, что это значительное улучшение защиты конфиденциальности по сравнению с традиционным DNS.

        Время вносить изменения в DNS

        Мы всегда несем ответственность за обеспечение безопасности нашего онлайн-общения. Мы добились больших успехов в обеспечении безопасности веб-коммуникаций и электронной почты с помощью шифрования TLS, поэтому давно пора сосредоточить свое внимание на других распространенных и важных протоколах и службах, таких как DNS.

        Основываясь на моих рекомендациях в этом техническом документе, теперь у вас есть знания и инструменты для повышения производительности DNS, реализации фильтрации DNS и оптимизации безопасности и конфиденциальности DNS.

        Улучшение DNS для вашей организации или только ваших личных систем и устройств - это только начало. Есть много других важных проблем безопасности, о которых вам нужно знать.

        Потому что только со знанием дела можно измениться к лучшему. Каждый несет ответственность за безопасность как перед собой, так и перед своим работодателем. Эта ответственность начинается с знания большего, а поиск означает получение большего количества знаний.