Mỗi thiết bị và ứng dụng chúng ta sử dụng để kết nối Internet đều phụ thuộc vào DNS (Domain Name System) để xác định nơi định tuyến dữ liệu. Chúng ta đặt niềm tin rất lớn vào các trình duyệt web với một lượng lớn thông tin cá nhân. Mặc dù ngày nay phần lớn dữ liệu đó đã được mã hóa, nhưng trừ khi bạn đã thiết lập một hệ thống DNS riêng tư, các bản ghi DNS của bạn vẫn được gửi dưới dạng văn bản thuần túy. Ngay cả mạng riêng ảo (VPN) của bạn cũng có thể bị rò rỉ dữ liệu DNS nếu nó không mã hóa hoặc gửi dữ liệu qua một đường hầm được mã hóa. Điều này đồng nghĩa với việc thông tin của bạn có khả năng bị theo dõi bởi một hoặc nhiều bên.
Ở giai đoạn phát triển hiện tại của Internet, việc giả định rằng mọi thứ bạn gửi ra khỏi mạng gia đình đều đang bị theo dõi trở nên đơn giản hơn (hoặc ít nhất là có ai đó đang cố gắng theo dõi). Bất kỳ dữ liệu nào được gửi mà không mã hóa đều có thể bị đọc, phân loại và lưu trữ để phục vụ mục đích giám sát, thu thập dữ liệu hoặc thậm chí là các cuộc tấn công độc hại trong tương lai. Nếu bạn vẫn nghĩ rằng mình quá nhỏ bé để trở thành mục tiêu, hãy suy nghĩ lại và chuẩn bị mã hóa mọi thứ bạn có thể, bao gồm cả các yêu cầu DNS riêng tư của mình.
Thiết bị NAS mini Beelink trên bàn làm việc, biểu tượng cho việc tự lưu trữ và kiểm soát dữ liệu tại gia.
Quyền riêng tư người dùng phải là mặc định, không phải ngoại lệ
Kiến trúc mạng hiện đại đang chuyển dịch sang mô hình Zero-Trust, nơi cả sự tin cậy và quyền riêng tư đều là mặc định, sau đó các quy tắc được thêm vào để cho phép giao tiếp khi cần thiết. Đây là một sự thay đổi mô hình hoàn toàn, và trong khi nó bảo vệ các công ty khỏi các cuộc tấn công, nó cũng bảo vệ dữ liệu cá nhân của người dùng bằng các quy trình tương tự. Điều này là bởi nó không chỉ ngăn chặn kẻ tấn công nhìn thấy dữ liệu đang truyền tải, mà còn ngăn các nhà cung cấp dịch vụ Internet (ISP), các mối đe dọa nội bộ như quản trị viên độc hại và bất kỳ ai khác giám sát hoạt động duyệt web của bạn.
Bảo vệ dữ liệu người dùng, giảm thiểu quảng cáo nhắm mục tiêu và các cuộc tấn công DNS là những tính năng đáng giá
Mặc dù dữ liệu duyệt web, các bản sao lưu và các dữ liệu nhận dạng cá nhân khác (hầu hết) đã được mã hóa ngày nay, nhưng điều đó không đúng với các yêu cầu DNS. Theo APNIC, chỉ khoảng 35% các yêu cầu DNS trên thế giới được xác thực bởi DNSSEC, một giao thức được thiết kế để tránh các cuộc tấn công Man-in-the-Middle (MitM) vào hệ thống DNS. SSL chủ yếu bảo vệ dữ liệu duyệt web, nhưng nó không bảo vệ email. Nếu không có DNSSEC, kẻ tấn công có thể giả mạo các bản ghi MX cần thiết cho việc định tuyến email và chặn email trước khi sao chép và chuyển tiếp chúng đến máy chủ đích.
Mọi thứ có vẻ khá phức tạp, nhưng bạn có thể tự mình thực hiện một phần bằng cách chọn một dịch vụ DNS hỗ trợ mã hóa. Đó có thể là DNS-over-HTTPS (DoH), hoặc DNS-over-TLS (DoT), hoặc DNSCrypt, cùng với hỗ trợ DNSSEC để bạn có thể tin tưởng vào kết quả nhận được. Điều này giúp loại bỏ các vấn đề MitM, ví dụ như khi ISP của bạn “hỗ trợ” thay đổi trang web bạn thấy để bảo vệ bạn khỏi nội dung mà họ quyết định nên bị kiểm duyệt.
Đừng mong người dùng tự bật DNS riêng tư
Bất cứ điều gì liên quan đến bảo mật đều cần được thiết lập làm mặc định; nếu không, hầu hết mọi người sẽ không sử dụng nó. Việc giáo dục người dùng về các quy tắc mật khẩu và lý do tại sao việc sử dụng cùng một mật khẩu cho tất cả các tài khoản trực tuyến là một ý tưởng tồi đã đủ khó khăn rồi. Và đó là đối với một thứ bảo vệ chi tiết ngân hàng, với lợi ích có thể thấy ngay lập tức.
Apple đã thực hiện một số bước đi đúng hướng với Private Relay, nhưng nó chỉ mã hóa các yêu cầu DNS được gửi bởi Safari trong khi thực tế nó nên mã hóa mọi yêu cầu DNS được gửi bởi bất kỳ ứng dụng, trình duyệt hoặc cài đặt hệ thống nào trên thiết bị Apple. Nó cũng chỉ khả dụng với gói đăng ký iCloud+, đặt lợi nhuận lên trên quyền riêng tư.
Giao diện cài đặt DNS tùy chỉnh trên macOS, hiển thị tùy chọn cấu hình máy chủ DNS riêng tư.
Thiết lập DNS riêng tư là hoàn toàn khả thi (chỉ cần một chút công sức)
Cho dù bạn sử dụng Android, iOS, Windows, Linux hay macOS, ở giai đoạn này, tất cả chúng đều nên hỗ trợ DoH hoặc DoT một cách tự nhiên. Nếu không, bạn vẫn có các lựa chọn khác. Các bộ định tuyến (router) dân dụng đang ngày càng hỗ trợ tốt hơn cho DNS riêng tư đã mã hóa, và luôn có các tùy chọn như Firewalla và OPNsense. Việc làm cho router của bạn sử dụng DNS được mã hóa là một thực hành tốt, nhưng hãy đảm bảo bạn đặt router sử dụng 127.0.0.1 cho các truy vấn DNS của chính nó, nếu không một số sẽ được gửi dưới dạng văn bản thuần túy.
Hầu hết các thiết bị chính nên có hỗ trợ gốc, và luôn có router của bạn
Đối với thiết bị di động, bạn có thể thiết lập DNS riêng tư trong ứng dụng cài đặt. Các máy chủ DNS sau đây đều hỗ trợ DNS-over-TLS, được Android hỗ trợ:
- dns.quad9.net
- dns.adguard.com
- doh.mullvad.net
- adblock.doh.mullvad.net
- p2.freedns.controld.com
- 1dot1dot1dot1.cloudflare-dns.com
- security-filter-dns.cleanbrowsing.org
- one.one.one.one
Đối với iOS, bạn sẽ phải tạo một hồ sơ cấu hình với các máy chủ DNS trên (từ Safari trên iPhone của bạn), tải xuống cấu hình và cài đặt hồ sơ. Bạn cũng có thể sử dụng NextDNS, AdguardDNS hoặc các nhà cung cấp khác hỗ trợ DNS được mã hóa và cung cấp cho bạn ứng dụng iOS hoặc hồ sơ để cài đặt. Windows, macOS và Linux đều hỗ trợ sử dụng DNS được mã hóa từ các trang cài đặt mạng, và chỉ mất một phút để thiết lập.
Một số thiết bị có thể không hỗ trợ cài đặt DNS tùy chỉnh
Ngay cả khi hầu hết các thiết bị chính đều hỗ trợ DNS-over-HTTPS hoặc DNS-over-TLS, không phải mọi thiết bị bạn sở hữu đều cho phép bạn thay đổi cài đặt DNS. Các thiết bị IoT thường có DNS được mã hóa cứng hoặc sử dụng DNS được đặt trong router của bạn theo mặc định. Để các thiết bị đó sử dụng DNS được mã hóa, bạn sẽ cần tự thiết lập máy chủ DNS riêng của mình (như Pi-hole hoặc AdGuard Home) làm trình phân giải DNS duy nhất trong router, hoặc bạn có thể chọn giải pháp mạnh tay hơn là chặn các thiết bị IoT của mình truy cập Internet.
Tôi biết rằng lựa chọn cuối cùng không phải lúc nào cũng khả thi, nhưng nếu hầu hết chúng bị chặn, hồ sơ rủi ro của bạn sẽ giảm đáng kể. Sẽ luôn có một số thiết bị nhà thông minh khó định tuyến yêu cầu DNS hoặc yêu cầu kết nối Internet để hoạt động, nhưng có lẽ khi nhiều thiết bị hỗ trợ Matter hơn ra mắt thị trường, điều đó sẽ ít trở thành vấn đề hơn.
Giao diện quản trị web của AdGuard Home, minh họa khả năng kiểm soát DNS và chặn quảng cáo trên mạng gia đình.
DNS riêng tư giúp tất cả chúng ta an toàn hơn trên không gian mạng
DNS riêng tư chỉ là một phần của phương trình bảo mật và quyền riêng tư trực tuyến. Thói quen duyệt web tốt, sự cảnh giác và việc sử dụng một trình duyệt tập trung vào quyền riêng tư đều góp phần vào bức tranh tổng thể. Sự thật đáng buồn là các công ty đã tìm ra cách kiếm tiền từ mọi dạng dữ liệu, ngay cả các yêu cầu DNS, và họ sử dụng tất cả để phục vụ quảng cáo nhắm mục tiêu. Vị trí của bạn cũng có thể được định vị bằng cách tam giác hóa dựa trên các máy chủ DNS được sử dụng và thời gian phản hồi, và tất cả đều cung cấp cho một cỗ máy khổng lồ trích xuất giá trị từ dữ liệu đáng lẽ phải được bảo mật.
Trình duyệt Arc đang mở trên MacBook kết nối với màn hình ngoài, tượng trưng cho việc sử dụng trình duyệt tập trung vào quyền riêng tư để tăng cường bảo mật trực tuyến.
Kết luận
Trong bối cảnh Internet ngày càng phát triển và phức tạp, việc bảo vệ thông tin cá nhân trở nên cấp thiết hơn bao giờ hết. DNS riêng tư chính là lá chắn quan trọng, giúp mã hóa các yêu cầu DNS của bạn, ngăn chặn ISP, kẻ tấn công và các bên thứ ba khác theo dõi hoạt động trực tuyến của bạn. Mặc dù việc áp dụng DNS riêng tư chưa được mặc định trên nhiều hệ thống, nhưng với những nỗ lực cá nhân, bạn hoàn toàn có thể thiết lập các giải pháp như DNS-over-HTTPS (DoH) hoặc DNS-over-TLS (DoT) trên hầu hết các thiết bị và router của mình. Hãy nhớ rằng, bảo mật DNS là một bước đi nhỏ nhưng hiệu quả, góp phần xây dựng một môi trường trực tuyến an toàn và riêng tư hơn cho chính bạn. Đừng chần chừ, hãy bắt đầu bảo vệ dữ liệu DNS của mình ngay hôm nay.
