Mọi thiết bị và ứng dụng chúng ta sử dụng để kết nối Internet đều phụ thuộc vào Hệ thống Tên miền (DNS) để định tuyến dữ liệu. Trong khi chúng ta tin tưởng trình duyệt của mình với một lượng lớn thông tin cá nhân và phần lớn dữ liệu đó ngày nay đã được mã hóa, các bản ghi DNS của bạn lại thường được gửi dưới dạng văn bản thuần túy (plaintext) trừ khi bạn đã thiết lập một DNS riêng tư. Ngay cả Mạng riêng ảo (VPN) của bạn cũng có nguy cơ rò rỉ dữ liệu DNS nếu nó không mã hóa hoặc không truyền qua đường hầm mã hóa, điều này gần như chắc chắn có nghĩa là thông tin của bạn đang bị theo dõi bởi một hoặc nhiều đối tượng.
Ở thời điểm hiện tại, trong quá trình phát triển của Internet, việc giả định rằng mọi thứ bạn gửi ra khỏi mạng gia đình đều đang bị theo dõi là điều đơn giản hơn (hoặc ít nhất là ai đó đang cố gắng theo dõi). Bất cứ dữ liệu nào được gửi mà không mã hóa sẽ bị đọc, phân loại và lưu trữ để phục vụ mục đích giám sát trong tương lai, thu thập dữ liệu hoặc thậm chí là các cuộc tấn công độc hại. Nếu bạn vẫn nghĩ rằng mình quá nhỏ bé để bị nhắm mục tiêu, hãy suy nghĩ lại và chuẩn bị mã hóa mọi thứ có thể, bao gồm cả các yêu cầu DNS của bạn.
Thiết bị Beelink ME Mini NAS trên bàn làm việc, tượng trưng cho dữ liệu cá nhân cần bảo vệ khỏi sự theo dõi trực tuyến
Quyền Riêng Tư Người Dùng Phải Là Tiêu Chuẩn Mặc Định, Không Phải Ngoại Lệ
Bảo vệ dữ liệu, giảm nhắm mục tiêu quảng cáo và tấn công DNS
Kiến trúc mạng hiện đại đang chuyển dịch sang mô hình Zero-Trust, nơi cả sự tin cậy và quyền riêng tư đều là mặc định, sau đó các quy tắc được thêm vào để cho phép giao tiếp khi cần thiết. Đây là một sự thay đổi hoàn toàn về tư duy, và trong khi nó bảo vệ các công ty khỏi các cuộc tấn công, nó cũng bảo vệ dữ liệu người dùng cá nhân bằng các quy trình tương tự. Điều này là bởi vì nó không chỉ ngăn chặn kẻ tấn công nhìn thấy dữ liệu đang truyền đi, mà còn ngăn chặn các nhà cung cấp dịch vụ Internet (ISP), các mối đe dọa nội bộ như quản trị viên “quỷ”, và bất kỳ ai khác giám sát hoạt động duyệt web của bạn.
Tuy nhiên, trong khi dữ liệu duyệt web, sao lưu và các dữ liệu nhận dạng cá nhân khác (hầu hết) được mã hóa ngày nay, điều này lại không đúng đối với các yêu cầu DNS. Theo APNIC, chỉ có 35% yêu cầu DNS trên thế giới được xác thực bởi DNSSEC, một công nghệ được thiết kế để tránh các cuộc tấn công trung gian (MitM) vào hệ thống DNS. SSL chủ yếu bảo vệ dữ liệu duyệt web, nhưng không bảo vệ email. Nếu không có DNSSEC, kẻ tấn công có thể giả mạo các bản ghi MX cần thiết cho việc định tuyến email và chặn email trước khi sao chép và chuyển tiếp nó đến máy chủ dự định.
Tất cả những điều này khá phức tạp, nhưng bạn có thể đóng góp vào việc bảo vệ mình bằng cách chọn một dịch vụ DNS hỗ trợ mã hóa. Đó có thể là DNS-over-HTTPS (DoH), hoặc DNS-over-TLS (DoT), hoặc DNSCrypt, cùng với sự hỗ trợ cho DNSSEC để bạn có thể tin tưởng vào các kết quả mà mình nhận được. Điều này giúp loại bỏ các vấn đề tấn công MitM, ví dụ như khi ISP của bạn “tận tình” thay đổi trang web bạn thấy để bảo vệ bạn khỏi nội dung mà họ quyết định nên bị kiểm duyệt.
Kỳ vọng người dùng tự kích hoạt DNS riêng tư là sai lầm
Bất cứ điều gì liên quan đến bảo mật đều cần được thiết lập làm mặc định; nếu không, hầu hết mọi người sẽ không sử dụng nó. Thật khó khăn để giáo dục người dùng về quy tắc đặt mật khẩu, và lý do tại sao việc sử dụng cùng một mật khẩu cho tất cả các tài khoản trực tuyến là một ý tưởng tồi. Và đó là cho một thứ bảo vệ thông tin ngân hàng, với lợi ích có thể thấy ngay lập tức.
Apple đã có những bước đi đúng hướng với Private Relay, nhưng nó chỉ mã hóa các yêu cầu DNS được gửi bởi Safari trong khi đáng lẽ nó nên mã hóa mọi yêu cầu DNS được gửi bởi bất kỳ ứng dụng, trình duyệt hoặc cài đặt hệ thống nào trên thiết bị Apple. Ngoài ra, nó cũng chỉ khả dụng với gói đăng ký iCloud+, đặt lợi nhuận lên trên quyền riêng tư của người dùng.
Giao diện cài đặt DNS tùy chỉnh trên macOS với địa chỉ Google Public DNS được nhập, minh họa cách thiết lập DNS riêng tư
Việc Triển Khai DNS Riêng Tư Hoàn Toàn Khả Thi (Chỉ Cần Một Chút Nỗ Lực)
Hỗ trợ gốc trên các thiết bị phổ biến và giải pháp qua router
Cho dù bạn sử dụng Android, iOS, Windows, Linux hay macOS, ở giai đoạn này, tất cả chúng đều nên hỗ trợ DoH hoặc DoT một cách tự nhiên. Nếu không, bạn vẫn có các lựa chọn khác. Các router tiêu dùng đang ngày càng cải thiện khả năng hỗ trợ DNS được mã hóa, và luôn có các tùy chọn như Firewalla và OPNsense. Việc cài đặt router của bạn sử dụng DNS được mã hóa là một thực hành tốt, nhưng hãy đảm bảo bạn thiết lập router sử dụng 127.0.0.1 cho các truy vấn DNS của chính nó, nếu không một số truy vấn có thể vẫn được gửi dưới dạng văn bản thuần túy.
Đối với thiết bị di động, bạn có thể thiết lập DNS riêng tư trong ứng dụng cài đặt. Các máy chủ DNS này đều hỗ trợ DNS-over-TLS, được Android hỗ trợ:
dns.quad9.netdns.adguard.comdoh.mullvad.netadblock.doh.mullvad.netp2.freedns.controld.com1dot1dot1dot1.cloudflare-dns.comsecurity-filter-dns.cleanbrowsing.orgone.one.one.one
Đối với iOS, bạn sẽ phải tạo một cấu hình profile với các máy chủ DNS ở trên (từ Safari trên iPhone của bạn), tải cấu hình xuống và cài đặt profile. Bạn cũng có thể sử dụng NextDNS, AdguardDNS hoặc các nhà cung cấp khác hỗ trợ DNS mã hóa và cung cấp ứng dụng iOS hoặc profile để cài đặt. Windows, macOS và Linux đều hỗ trợ sử dụng DNS được mã hóa từ các trang cài đặt mạng, và chỉ mất một phút để thiết lập.
Một số thiết bị có thể không hỗ trợ cài đặt DNS tùy chỉnh
Ngay cả khi hầu hết các thiết bị lớn đều hỗ trợ DNS-over-HTTPS hoặc DNS-over-TLS, không phải mọi thiết bị bạn sở hữu sẽ cho phép bạn thay đổi cài đặt DNS. Các thiết bị IoT (Internet of Things) thường có DNS được mã hóa cứng hoặc sử dụng các cài đặt DNS mặc định trong router của bạn. Để các thiết bị này sử dụng DNS được mã hóa, bạn sẽ cần thiết lập máy chủ DNS của riêng mình làm trình phân giải DNS duy nhất trong router, hoặc bạn có thể chọn phương án mạnh tay hơn là chặn các thiết bị IoT của mình truy cập Internet.
Tôi biết rằng lựa chọn cuối cùng không phải lúc nào cũng khả thi, nhưng nếu hầu hết chúng bị chặn, hồ sơ rủi ro của bạn sẽ giảm đáng kể. Sẽ luôn có một số thiết bị nhà thông minh khó định tuyến yêu cầu DNS hoặc yêu cầu kết nối Internet để hoạt động, nhưng có lẽ khi nhiều thiết bị tương thích Matter hơn ra thị trường, điều đó sẽ ít trở thành vấn đề hơn.
Bảng điều khiển quản trị web của AdGuard Home, hiển thị các tùy chọn cấu hình cho máy chủ DNS tự host để tăng cường bảo mật
DNS Riêng Tư Giúp Chúng Ta An Toàn Hơn Khi Trực Tuyến
DNS riêng tư chỉ là một phần của phương trình lớn hơn về quyền riêng tư và bảo mật trực tuyến. Thói quen duyệt web tốt, luôn cảnh giác và sử dụng trình duyệt tập trung vào quyền riêng tư đều góp phần vào bức tranh tổng thể. Thực tế đáng buồn là các công ty đã tìm ra cách kiếm tiền từ mọi hình thức dữ liệu, ngay cả các yêu cầu DNS, và họ sử dụng tất cả để phục vụ quảng cáo nhắm mục tiêu. Vị trí của bạn cũng có thể được định vị dựa trên các máy chủ DNS được sử dụng và thời gian phản hồi, và tất cả đều cung cấp cho một cỗ máy khổng lồ nhằm khai thác giá trị từ dữ liệu đáng lẽ phải là riêng tư.
Trình duyệt Arc mở trên MacBook kết nối màn hình ngoài, thể hiện môi trường duyệt web an toàn hơn với DNS riêng tư
Nhiều cáp Ethernet cắm vào router, tượng trưng cho việc quản lý mạng và bảo mật DNS trên toàn bộ hệ thống
Trong thời đại số, khi mọi hành động trực tuyến đều có thể bị theo dõi và khai thác, việc chủ động bảo vệ quyền riêng tư là điều cấp thiết hơn bao giờ hết. DNS riêng tư không chỉ là một công cụ kỹ thuật mà còn là một lá chắn bảo mật thiết yếu, giúp bạn lấy lại quyền kiểm soát dữ liệu của mình. Bằng cách thiết lập DNS được mã hóa, bạn không chỉ chống lại các cuộc tấn công và sự giám sát của bên thứ ba mà còn góp phần xây dựng một không gian Internet an toàn và đáng tin cậy hơn cho chính mình và cộng đồng. Hãy biến quyền riêng tư thành mặc định, chứ không phải một ngoại lệ!