Mọi thiết bị và ứng dụng chúng ta sử dụng khi kết nối Internet đều dựa vào DNS (Hệ thống Tên miền) để định tuyến dữ liệu. Chúng ta đặt niềm tin rất lớn vào các trình duyệt web về lượng thông tin cá nhân khổng lồ, và mặc dù phần lớn thông tin đó hiện nay đã được mã hóa, nhưng trừ khi bạn đã thiết lập một DNS riêng tư, các bản ghi DNS của bạn vẫn được gửi dưới dạng văn bản thuần túy. Ngay cả mạng riêng ảo (VPN) của bạn cũng có thể rò rỉ dữ liệu DNS nếu nó không mã hóa hoặc không gửi dữ liệu qua một đường hầm mã hóa, điều này rất có thể đồng nghĩa với việc nó đang bị theo dõi bởi ai đó hoặc nhiều bên khác nhau.
Ở thời điểm hiện tại trong sự phát triển của Internet, việc giả định rằng mọi thứ bạn gửi ra khỏi mạng gia đình đều đang bị theo dõi (hoặc ít nhất có ai đó đang cố gắng theo dõi) là đơn giản hơn nhiều. Bất kỳ thông tin nào được gửi mà không mã hóa đều có thể bị đọc, phân loại và lưu trữ cho mục đích giám sát trong tương lai, thu thập dữ liệu, hoặc thậm chí là các cuộc tấn công độc hại. Nếu bạn vẫn nghĩ rằng mình quá nhỏ bé để bị nhắm mục tiêu, hãy suy nghĩ lại và sẵn sàng mã hóa mọi thứ bạn có thể, bao gồm cả các yêu cầu DNS của bạn. Việc bảo mật DNS là một bước quan trọng để nâng cao quyền riêng tư trực tuyến.
Quyền Riêng Tư Của Người Dùng Phải Là Tiêu Chuẩn Mặc Định
Bảo vệ dữ liệu người dùng, giảm thiểu theo dõi quảng cáo và tấn công DNS là các tính năng đáng giá
Kiến trúc mạng hiện đại đang chuyển dịch sang mô hình Zero-Trust, nơi cả sự tin cậy và quyền riêng tư đều là mặc định, sau đó các quy tắc được thêm vào để cho phép giao tiếp khi cần thiết. Đây là một sự thay đổi hoàn toàn về mô hình, và trong khi nó bảo vệ các công ty khỏi các cuộc tấn công, nó cũng bảo vệ dữ liệu người dùng cá nhân bằng các quy trình tương tự. Điều này là bởi vì nó không chỉ ngăn chặn kẻ tấn công nhìn thấy dữ liệu đang truyền tải, mà còn ngăn chặn các nhà cung cấp dịch vụ Internet (ISP), các mối đe dọa nội bộ như quản trị viên bất chính, và bất kỳ ai khác theo dõi hoạt động duyệt web của bạn.
Tuy nhiên, trong khi dữ liệu duyệt web, bản sao lưu và các dữ liệu nhận dạng cá nhân khác (hầu hết) đã được mã hóa ngày nay, thì điều đó không đúng với các yêu cầu DNS. Theo APNIC, chỉ 35% các yêu cầu DNS trên thế giới được xác thực bởi DNSSEC, một công nghệ được thiết kế để tránh các cuộc tấn công Man-in-the-Middle (MitM) vào hệ thống DNS. SSL chủ yếu bảo vệ dữ liệu duyệt web, nhưng không bảo vệ email. Nếu không có DNSSEC, kẻ tấn công có thể giả mạo các bản ghi MX cần thiết cho việc định tuyến email và chặn email trước khi sao chép và chuyển tiếp chúng đến máy chủ dự định.
Mọi thứ đều khá lộn xộn, nhưng bạn có thể đóng góp phần mình bằng cách chọn một dịch vụ DNS có hỗ trợ mã hóa. Đó có thể là DNS-over-HTTPS (DoH), hoặc DNS-over-TLS (DoT), hoặc DNSCrypt, cùng với hỗ trợ DNSSEC để bạn có thể tin tưởng vào các kết quả nhận được. Điều này giúp loại bỏ các vấn đề MitM, ví dụ như khi ISP của bạn “hữu ích” thay đổi trang web bạn thấy để bảo vệ bạn khỏi nội dung mà họ quyết định nên bị kiểm duyệt.
Việc mong đợi người dùng tự kích hoạt DNS riêng tư là một sai lầm
Bất cứ điều gì liên quan đến bảo mật cần được thiết lập làm mặc định; nếu không, hầu hết mọi người sẽ không sử dụng nó. Ngay cả việc giáo dục người dùng về quy tắc đặt mật khẩu và lý do tại sao việc sử dụng cùng một mật khẩu cho tất cả các tài khoản trực tuyến là một ý tưởng tồi cũng đã đủ khó khăn. Và đó là đối với một thứ bảo vệ chi tiết ngân hàng, với lợi ích có thể thấy ngay lập tức.
Apple đã có những bước đi đúng hướng với Private Relay, nhưng nó chỉ mã hóa các yêu cầu DNS được gửi bởi Safari trong khi thực sự nên mã hóa mọi yêu cầu DNS được gửi bởi bất kỳ ứng dụng, trình duyệt hoặc cài đặt hệ thống nào trên thiết bị Apple. Hơn nữa, nó cũng chỉ khả dụng với gói đăng ký iCloud+, đặt lợi nhuận lên trên quyền riêng tư.
Triển Khai DNS Riêng Tư: Hoàn Toàn Khả Thi (Với Chút Công Sức)
Các thiết bị phổ biến và router đều có thể hỗ trợ native
Dù bạn sử dụng Android, iOS, Windows, Linux hay macOS, ở giai đoạn này, tất cả chúng đều nên hỗ trợ DoH hoặc DoT một cách tự nhiên. Nếu không, bạn vẫn có các lựa chọn. Các bộ định tuyến (router) dành cho người tiêu dùng đang ngày càng cải thiện khả năng hỗ trợ DNS mã hóa, và luôn có các tùy chọn như Firewalla và OPNsense. Việc cài đặt router của bạn sử dụng DNS mã hóa là một thực hành tốt, nhưng hãy đảm bảo bạn cài đặt router sử dụng 127.0.0.1 cho các truy vấn DNS của chính nó, nếu không một số truy vấn có thể được gửi dưới dạng văn bản thuần túy.
Đối với thiết bị di động, bạn có thể thiết lập DNS riêng tư trong ứng dụng cài đặt. Các máy chủ DNS này đều hỗ trợ DNS-over-TLS, được Android hỗ trợ:
- dns.quad9.net
- dns.adguard.com
- doh.mullvad.net
- adblock.doh.mullvad.net
- p2.freedns.controld.com
- 1dot1dot1dot1.cloudflare-dns.com
- security-filter-dns.cleanbrowsing.org
- one.one.one.one
Đối với iOS, bạn sẽ phải tạo một cấu hình cấu hình (configuration profile) với các máy chủ DNS trên (từ Safari trên iPhone của bạn), tải xuống cấu hình và cài đặt hồ sơ. Bạn cũng có thể sử dụng NextDNS, AdguardDNS hoặc các nhà cung cấp khác hỗ trợ DNS mã hóa và cung cấp cho bạn ứng dụng iOS hoặc cấu hình để cài đặt. Windows, macOS và Linux đều hỗ trợ sử dụng DNS mã hóa từ các trang cài đặt mạng và chỉ mất một phút để thiết lập.
Thiết lập DNS tùy chỉnh trên máy Mac với DNS của Google Public
Một số thiết bị có thể không hỗ trợ cài đặt DNS tùy chỉnh
Ngay cả khi hầu hết các thiết bị lớn hỗ trợ DNS-over-HTTPS hoặc DNS-over-TLS, không phải mọi thiết bị bạn sở hữu đều cho phép bạn thay đổi cài đặt DNS. Các thiết bị IoT (Internet of Things) thường có DNS được mã hóa cứng hoặc sử dụng các cài đặt mặc định trong router của bạn. Để chúng sử dụng DNS mã hóa, bạn sẽ cần thiết lập máy chủ DNS riêng của mình làm trình phân giải DNS duy nhất trong router, hoặc bạn có thể chọn giải pháp mạnh tay hơn là chặn các thiết bị IoT của bạn truy cập Internet.
Tôi biết rằng lựa chọn cuối cùng không phải lúc nào cũng khả thi, nhưng nếu hầu hết chúng bị chặn, hồ sơ rủi ro của bạn sẽ giảm đáng kể. Sẽ luôn có một số thiết bị nhà thông minh hoặc khó định tuyến các yêu cầu DNS hoặc yêu cầu kết nối Internet để hoạt động, nhưng có lẽ khi nhiều thiết bị hỗ trợ Matter ra mắt thị trường, điều đó sẽ ít thành vấn đề hơn.
Bảng điều khiển quản trị web của AdGuard Home
DNS Riêng Tư Giúp Tất Cả Chúng Ta An Toàn Hơn Khi Trực Tuyến
DNS riêng tư chỉ là một phần của phương trình quyền riêng tư và bảo mật trực tuyến. Thói quen duyệt web tốt, luôn cảnh giác và sử dụng trình duyệt tập trung vào quyền riêng tư đều góp phần tạo nên bức tranh toàn diện. Thực tế đáng buồn là các công ty đã tìm ra cách kiếm tiền từ mọi hình thức dữ liệu, ngay cả các yêu cầu DNS, và họ sử dụng tất cả để phục vụ quảng cáo nhắm mục tiêu. Vị trí của bạn cũng có thể được xác định dựa trên việc sử dụng máy chủ DNS nào và thời gian phản hồi mất bao lâu, tất cả đều nuôi dưỡng một cỗ máy khổng lồ trích xuất giá trị từ dữ liệu đáng lẽ phải là riêng tư.
Bó cáp Ethernet đa dạng phía trước bộ định tuyến
Trong bối cảnh kỹ thuật số ngày càng phức tạp, việc chủ động bảo mật DNS cá nhân là một bước không thể thiếu để bảo vệ thông tin và quyền riêng tư của bạn. Đừng để dữ liệu của bạn trở thành hàng hóa miễn phí cho những kẻ thu thập. Hãy bắt đầu hành động ngay hôm nay để thiết lập DNS riêng tư trên các thiết bị của bạn và góp phần xây dựng một không gian mạng an toàn hơn cho tất cả mọi người.
