Как настроить безопасный DNS и зачем это нужно

Встретили слова Secure DNS или Private DNS в настройках смартфона и защитных приложений? Эту функцию лучше включить — у нее много преимуществ.

Как настроить Secure DNS и Private DNS

Настройка интернет-подключения на компьютере или смартфоне в большинстве случаев автоматизирована, и разбираться в ней не надо. Но есть одна деталь, которая стоит внимания, — выбор DNS и его режима работы. Если уделить этому немного времени, можно защититься от кибератак, шпионажа со стороны провайдера, нежелательного для детей контента и даже рекламы. Что же такое, например, Private DNS из настроек в Android и как им воспользоваться?

DNS и его недостатки

Расшифровка DNS — Domain Name Service, сервис (служба) доменных имен. Он нужен, чтобы переводить удобные для нашего восприятия адреса в Интернете (доменные имена, например, kaspersky.ru) в цифровые IP-адреса, которыми оперируют компьютеры в Сети (185.85.15.34). Практически каждый запрос в Интернете начинается с того, что компьютер обращается к серверу DNS за переводом введенного имени сайта в его IP-адрес. Почти всегда для этого используется DNS-сервер вашего интернет-провайдера, причем запрос к нему не зашифрован и не подписан. Из-за этой незащищенности возникает много побочных эффектов.

  • Провайдер всегда знает, какие сайты вы посещаете, и может использовать это для показа вам таргетированной рекламы.
  • Провайдеру легко подменить IP-адрес в своем ответе, показав совсем не тот сайт, который вы хотели увидеть. Вы наверняка сталкивались с этим, подключаясь к бесплатному Wi-Fi в отеле, кафе или аэропорту, — первым делом вместо любого запрошенного вами сайта вылезает страница с авторизацией или рекламой.
  • Ту же технологию могут применять и злоумышленники, способные контролировать сеть Wi-Fi, к которой вы подключились. Они подсовывают жертвам фальшивые сайты, на которых распространяются вредоносные программы или воруется информация о банковских картах.

Правда, подмена адресов в DNS-ответах может использоваться и во благо — например, в сервисах родительского контроля, выдающих сайт-заглушку при попытке посетить «нежелательные» сайты. Однако эта технология недостаточно точна и блокирует сайты целиком — например, весь youtube.com, а не конкретные «плохие» страницы. Поэтому в Kaspersky Safe Kids она не используется.

Пользоваться DNS-сервером своего провайдера вовсе не обязательно. Существуют общедоступные DNS-серверы с хорошей репутацией, например от Cloudflare (1.1.1.1) или Google (8.8.8.8), их можно указать в настройках Интернета и избавиться от части проблем, описанных выше.

Есть и DNS-серверы с дополнительными функциями — например, блокирующие доступ к рекламным серверам: они убирают рекламу не только в браузере, но и в других приложениях. Для этого достаточно в настройках Wi-Fi компьютера или смартфона указать адрес соответствующего «фильтрующего» DNS-сервера.

К сожалению, простая замена адреса DNS на 1.1.1.1 или 8.8.8.8 не решает проблем конфиденциальности: провайдер или злоумышленник, контролирующий сеть, может «подсматривать» в DNS-запросы, вмешиваться в них или блокировать доступ к сторонним DNS.

Private DNS и Secure DNS

Крупные корпорации или энтузиасты могут запустить собственный DNS-сервер и применять на нем любые правила обработки запросов. Собственно, Private DNS в строгом смысле — это не сервер повышенной конфиденциальности, а просто частный, непубличный сервер. На практике Private DNS нередко запускают на базе защищенных DNS-протоколов. Настройка Private DNS в Android 9 и выше должна бы называться Secure DNS, чтобы точнее передавать ее суть.

Безопасный DNS (Secure DNS) — это несколько конкурирующих протоколов, отличающихся от обычного DNS наличием шифрования. Это DNS over HTTPS (DoH), DNS over TLS (DoT) и DNSCrypt. Они отличаются протоколами связи и портами, через которые проходят DNS-запросы. О том, какой из них лучше, а какой хуже, до сих пор идут споры. Правда, порой провайдеры блокируют доступ к сторонним DNS, и в этом случае наивысшие шансы обойти блокировку имеет протокол DoH, поскольку его сложнее отфильтровать. Но вникать в тонкости Secure DNS не обязательно, главное, чтобы ваш смартфон, компьютер или браузер поддерживал хотя бы один из указанных протоколов и был DNS-сервер, который можно использовать с этими протоколами.

Дефицита бесплатных безопасных серверов нет — крупные операторы интернет-инфраструктуры (Cloudflare, Google и другие) поддерживают общедоступные DNS (1.1.1.1, 8.8.8.8), к которым можно подключиться как по незащищенному DNS, так и по DoH/DoT. Поэтому ваша задача сводится к тому, чтобы включить этот безопасный доступ.

А если уже есть VPN?

Безопасный DNS и VPN — взаимодополняющие технологии. Даже если вы включили VPN, запросы имен сайтов могут идти по незашифрованному DNS-каналу, тогда все вышеописанные риски остаются. Некоторые коммерческие VPN-сервисы включают в стандартный профиль подключения свой зашифрованный DNS или предлагают одновременное включение своего VPN и стороннего безопасного DNS через приложение. Это не общепринятая практика, поэтому стоит перечитать информацию своего VPN-провайдера или задать вопрос техподдержке. Если безопасный DNS не предлагается, его можно включить дополнительно к VPN по инструкции ниже.

Включаем безопасный DNS

Проще всего включить безопасный DNS в Android (версия 9 и выше): достаточно зайти в приложение «Настройки», выбрать дополнительные настройки соединения (More connections или Advanced) и найти там подраздел Private DNS. В нем надо указать желаемый сервер — и настройка закончена. Маленький загадочный нюанс: Android не принимает в данном разделе числовые адреса, поэтому потребуется уточнить у провайдера доменное имя нужного DNS-сервера (например, 1dot1dot1dot1.cloudflare-dns.com).

Настройка безопасного DNS в Android

Настройка безопасного DNS в Android

В яблочных устройствах поддержка DoH/DoT внедрена с версий iOS 14 и macOS 11. Но штатной настройки для включения этих протоколов нет, поэтому вам понадобится одна из множества сторонних утилит из App Store, способная активировать предпочитаемый вами безопасный сервер. Найти их можно по запросу «Secure DNS». Опытные пользователи также могут установить нужные конфигурационные профили вручную или создать их самостоятельно.

В Windows 10 поддержка DoH есть начиная с версии 19628, включить ее можно по инструкции с сайта Microsoft.

Настройка безопасного DNS в Windows 10

Настройка безопасного DNS в Windows 10

Браузеры Chrome и Firefox способны делать DNS-запросы по зашифрованному каналу вне зависимости от поддержки на уровне ОС.

Настройка безопасного DNS в Google Chrome

Настройка безопасного DNS в Google Chrome

В ряде стран эта опция включена по умолчанию, но лучше проверить через настройки браузера.

Настройка безопасного DNS в Firefox

Настройка безопасного DNS в Firefox

Немаловажный нюанс для пользователей Kaspersky: чтобы убедиться, что ваша защита правильно настроена, сначала активируйте защищенный DNS в настройках роутера, ОС или браузера. Затем проверьте, что у вас включена нужная настройка Kaspersky: нажмите на иконку шестеренки внизу левой панели → Настройки безопасности → Расширенные настройки → Настройки сети → Обработка трафика → включите «Поддерживать работу DNS поверх HTTPS (DoH)».

Проверка настроек Kaspersky для работы с безопасным DNS

Проверка настроек Kaspersky для работы с безопасным DNS

Здесь же можно указать конкретные DoH-серверы, которыми вы планируете пользоваться.

Советы