Mỗi thiết bị, mỗi ứng dụng chúng ta sử dụng khi kết nối Internet đều dựa vào DNS (Hệ thống Tên Miền) để định tuyến dữ liệu. Chúng ta đặt niềm tin rất lớn vào các trình duyệt web với vô số thông tin cá nhân, và mặc dù phần lớn trong số đó hiện nay đã được mã hóa, nhưng trừ khi bạn đã thiết lập DNS riêng tư, các yêu cầu DNS của bạn vẫn được gửi đi dưới dạng văn bản thuần túy. Ngay cả mạng riêng ảo (VPN) của bạn cũng có thể rò rỉ dữ liệu DNS nếu nó không mã hóa hoặc gửi dữ liệu qua đường hầm bảo mật, và điều đó rất có thể đồng nghĩa với việc nó đang bị ai đó hoặc nhiều bên theo dõi.
Ở thời điểm hiện tại của sự phát triển Internet, tốt hơn hết là nên giả định rằng mọi thứ bạn gửi ra khỏi mạng gia đình đều đang bị theo dõi (hoặc ít nhất là có ai đó đang cố gắng theo dõi). Bất kỳ dữ liệu nào được gửi mà không mã hóa đều có thể bị đọc, phân loại và lưu trữ cho mục đích giám sát, thu thập dữ liệu hoặc thậm chí là các cuộc tấn công độc hại trong tương lai. Nếu bạn vẫn nghĩ rằng mình quá nhỏ bé để bị nhắm mục tiêu, hãy suy nghĩ lại và chuẩn bị mã hóa mọi thứ có thể, bao gồm cả các yêu cầu DNS của bạn.
Thiết bị NAS Beelink ME Mini trên bàn làm việc, biểu tượng của giải pháp tự host DNS an toàn và riêng tư.
DNS Riêng Tư: Quyền Mặc Định, Không Phải Ngoại Lệ
Kiến trúc mạng hiện đại đang chuyển dịch sang mô hình Zero-Trust (Không Tin Cậy), nơi cả niềm tin và quyền riêng tư đều là mặc định, sau đó các quy tắc được thêm vào để cho phép giao tiếp khi cần thiết. Đây là một sự thay đổi hoàn toàn về tư duy, và trong khi nó bảo vệ các công ty khỏi các cuộc tấn công, nó cũng bảo vệ dữ liệu người dùng cá nhân bằng các quy trình tương tự. Điều này là do nó không chỉ ngăn chặn kẻ tấn công nhìn thấy dữ liệu đang truyền, mà còn ngăn chặn các nhà cung cấp dịch vụ Internet (ISP), các mối đe dọa nội bộ như quản trị viên “quái chiêu”, và bất kỳ ai khác theo dõi hoạt động duyệt web của bạn.
Tuy nhiên, trong khi dữ liệu duyệt web, bản sao lưu và các dữ liệu nhận dạng cá nhân khác (hầu hết) đã được mã hóa ngày nay, thì điều đó không đúng với các yêu cầu DNS. Theo APNIC, chỉ 35% yêu cầu DNS trên thế giới được xác thực bằng DNSSEC, một công nghệ được thiết kế để tránh các cuộc tấn công Man-in-the-Middle (MitM) chống lại hệ thống DNS. SSL chủ yếu bảo vệ dữ liệu duyệt web, nhưng nó không bảo vệ email. Không có DNSSEC, kẻ tấn công có thể giả mạo các bản ghi MX cần thiết cho việc định tuyến email và chặn email trước khi sao chép và chuyển tiếp chúng đến máy chủ đích.
Mọi thứ khá lộn xộn, nhưng bạn có thể tự mình thực hiện bằng cách chọn một dịch vụ DNS hỗ trợ mã hóa. Đó có thể là DNS-over-HTTPS (DoH), hoặc DNS-over-TLS (DoT), hoặc DNSCrypt, cùng với hỗ trợ DNSSEC để bạn có thể tin tưởng vào các kết quả nhận được. Điều này loại bỏ các vấn đề MitM, ví dụ như khi ISP của bạn “hảo tâm” thay đổi trang web bạn thấy để bảo vệ bạn khỏi nội dung mà họ quyết định nên bị kiểm duyệt.
Trách Nhiệm Nằm Ở Hệ Thống, Không Phải Người Dùng
Bất cứ điều gì liên quan đến bảo mật đều cần được thiết lập làm mặc định; nếu không, hầu hết mọi người sẽ không sử dụng nó. Thật khó để giáo dục người dùng về quy tắc mật khẩu, và tại sao việc sử dụng cùng một mật khẩu cho tất cả các tài khoản trực tuyến của bạn là một ý tồi. Và đó là cho một thứ bảo vệ chi tiết ngân hàng, với lợi ích có thể nhìn thấy ngay lập tức.
Apple đã có một số bước đi đúng hướng với Private Relay, nhưng nó chỉ mã hóa các yêu cầu DNS được gửi bởi Safari trong khi thực sự nó nên mã hóa mọi yêu cầu DNS được gửi bởi bất kỳ ứng dụng, trình duyệt hoặc cài đặt hệ thống nào trên thiết bị Apple. Nó cũng chỉ khả dụng với đăng ký iCloud+, đặt lợi nhuận lên trên quyền riêng tư.
Màn hình cài đặt DNS tùy chỉnh trên macOS, minh họa cách cấu hình máy Mac để sử dụng dịch vụ DNS riêng tư nhằm tăng cường bảo mật và quyền riêng tư trực tuyến.
Triển Khai DNS Riêng Tư: Khả Thi Với Vài Bước Đơn Giản
Thiết Bị Phổ Biến Hỗ Trợ Tích Hợp Sẵn, Router Là Giải Pháp Toàn Diện
Cho dù bạn sử dụng Android, iOS, Windows, Linux hay macOS, ở giai đoạn này, tất cả chúng đều nên hỗ trợ DoH hoặc DoT nguyên bản. Nếu không, bạn vẫn có các lựa chọn khác. Các bộ định tuyến (router) dành cho người tiêu dùng đang ngày càng tốt hơn trong việc hỗ trợ DNS được mã hóa, và luôn có các tùy chọn như Firewalla và OPNsense. Việc làm cho router của bạn sử dụng DNS được mã hóa là một thực hành tốt, nhưng hãy đảm bảo bạn đặt router sử dụng 127.0.0.1 cho các truy vấn DNS của chính nó, nếu không một số truy vấn sẽ được gửi đi dưới dạng văn bản thuần túy.
Đối với các thiết bị di động, bạn có thể thiết lập DNS riêng tư trong ứng dụng cài đặt. Các máy chủ DNS này đều hỗ trợ DNS-over-TLS, được Android hỗ trợ:
- dns.quad9.net
- dns.adguard.com
- doh.mullvad.net
- adblock.doh.mullvad.net
- p2.freedns.controld.com
- 1dot1dot1dot1.cloudflare-dns.com
- security-filter-dns.cleanbrowsing.org
- one.one.one.one
Đối với iOS, bạn sẽ phải tạo một cấu hình bằng các máy chủ DNS trên (từ Safari trên iPhone của bạn), tải xuống cấu hình và cài đặt nó. Bạn cũng có thể sử dụng NextDNS, AdguardDNS hoặc các nhà cung cấp khác hỗ trợ DNS được mã hóa và cung cấp cho bạn các ứng dụng hoặc cấu hình iOS để cài đặt. Windows, macOS và Linux đều hỗ trợ sử dụng DNS được mã hóa từ các trang cài đặt mạng, và chỉ mất một phút để thiết lập.
Thách Thức Với Một Số Thiết Bị (IoT)
Ngay cả khi hầu hết các thiết bị lớn đều hỗ trợ DNS-over-HTTPS hoặc DNS-over-TLS, không phải mọi thiết bị bạn sở hữu đều cho phép bạn thay đổi cài đặt DNS. Các thiết bị IoT (Internet of Things) thường có DNS được mã hóa cứng hoặc sử dụng các cài đặt mặc định trong router của bạn. Để chúng sử dụng DNS được mã hóa, bạn sẽ cần thiết lập máy chủ DNS của riêng mình làm trình phân giải DNS duy nhất trong router của bạn, hoặc bạn có thể chọn giải pháp mạnh tay hơn là chặn các thiết bị IoT của mình truy cập Internet.
Chúng tôi biết rằng lựa chọn cuối cùng không phải lúc nào cũng khả thi, nhưng nếu hầu hết chúng bị chặn, hồ sơ rủi ro của bạn sẽ giảm đáng kể. Sẽ luôn có một số thiết bị nhà thông minh khó định tuyến yêu cầu DNS hoặc yêu cầu kết nối Internet để hoạt động, nhưng có thể khi có nhiều thiết bị tương thích Matter hơn ra thị trường, điều đó sẽ trở thành ít vấn đề hơn.
Giao diện quản trị web của AdGuard Home, một giải pháp tự host DNS mạnh mẽ giúp người dùng quản lý và bảo vệ lưu lượng DNS của mình, nâng cao quyền riêng tư trực tuyến.
DNS Riêng Tư: Mảnh Ghép Quan Trọng Của An Toàn Trực Tuyến
DNS riêng tư chỉ là một phần trong bức tranh tổng thể về quyền riêng tư và bảo mật trực tuyến. Thói quen duyệt web tốt, sự cảnh giác và sử dụng trình duyệt tập trung vào quyền riêng tư đều góp phần tạo nên bức tranh đó. Thực tế đáng buồn là các công ty đã tìm ra cách kiếm tiền từ mọi dạng dữ liệu, ngay cả các yêu cầu DNS, và họ sử dụng tất cả để phục vụ quảng cáo nhắm mục tiêu. Vị trí của bạn cũng có thể được xác định dựa trên các máy chủ DNS được sử dụng và thời gian phản hồi, tất cả đều nuôi dưỡng một cỗ máy khổng lồ trích xuất giá trị từ dữ liệu đáng lẽ phải là riêng tư.
Trình duyệt Arc mở trên MacBook kết nối với màn hình ngoài, minh họa môi trường làm việc kỹ thuật số nơi quyền riêng tư và bảo mật trực tuyến được ưu tiên, bao gồm cả việc sử dụng trình duyệt bảo mật.
Kết Luận
Việc bảo vệ các yêu cầu DNS của bạn là một bước quan trọng trong việc tăng cường quyền riêng tư và bảo mật kỹ thuật số cá nhân. Mặc dù có những thách thức, đặc biệt với các thiết bị IoT, nhưng với các công nghệ và dịch vụ DNS riêng tư hiện có, người dùng có thể chủ động kiểm soát tốt hơn dữ liệu của mình. Hãy biến DNS riêng tư thành một phần mặc định trong thói quen trực tuyến của bạn để bảo vệ thông tin cá nhân khỏi việc bị theo dõi và khai thác, góp phần xây dựng một không gian mạng an toàn và đáng tin cậy hơn.
