Return to note index?

DNS kertoo mistä ihmisen muistettavissa oleva verkkotunnus löytyy, mutta mikään ei estä monsteria välissä ohjaamasta väärään paikkan ellei sitä suojata.

Internetin puhelinluettelo, DNS

Yleensä WLAN-tukiasema kertoo käytetyn DNS-palvelimen, mutta voiko siihen luottaa? Se voi olla internet-palveluntarjoajan nimipalvelin, tai haittaohjelman määrittämä nimipalvelin, ellei jopa lähistöllä olevan hyökkääjän hallitsema palvelin.

Nimipalvelimella on tärkeä rooli. Kaikkien tulisi esimerkiksi muistaa verkkotunnus kanta.fi, joka kirjoitushetkellä ohjaa IPv4-osoitteeseen 91.202.112.2, jota kukaan ei ala muistamaan ja miksi tarvitsisikaan, kun nimipalvelin tekee sen.

Automaattinen sisällysluettelo / Automatically generated Table of Contents

• Nimipalvelin ehdotuksia
• Android
  • Ehdottamieni nimipalvelimien osoitteita
  • Verkko ei ole yhteydessä internetiin
• Apple
  • Apple-asetusprofiileja

Nimipalvelin ehdotuksia

• AdGuard
  • Kyproslainen DNS-palvelintarjoaja mainoksenestolla. Palvelimia ympäri maailmaa.
  • Yksityinen ECS, jonka vuoksi usein päädyn siihen, mutta käytän kaikkia tällä sivulla mainitsemiani ristiin etenkin tietokoneella.
• DNS4EU
  • Euroopan Unionin rahoittama DNS-palvelu. Tarjoaa mm. haitallisten sivujen suodatusta, aikuissivustojen suodatusta, sekä mainostenestoa. Palvelimet sijaitsevan Euroopan Unionin jäsenvaltioissa.
• Quad9
  • Sveitsiläinen voittoatavoittelematon DNS-palvelu haitallisten sivujen suodatuksella. Palvelimia ympäri maailmaa, mukaanlukien Helsingissä ja Tampereella. Yhteistyössä mm. F-Secure.

Android

Mikäli puhelimessasi/tabletissasi ei ole omenan kuvaa tai et tiedä mikä käyttöjärjestelmä siinä on, kyseessä on todennäköisesti Android.

Android on tukenut suojattua DNSää nimellä Yksityinen DNS alkaen 9. julkaisustaan (elokuussa 2018 - tammikuuhun 2022) suoraan laitteen asetuksista.

1. Avaa Asetukset
2. Verkko ja internet
3. Yksityinen DNS. Laitteesta riippuen tässä valikossa voi myös olla Lisää verkkoasetuksia tms., josta painaminen tuo asetuksen Yksityinen DNS näkyville. Molempien pitäisi olla valikon loppupuolella, ellei jopa viimeinen asetus.
4. Valitse Yksityisen DNS-tarjoajan isäntänimi ja kirjoita haluamasi palvelimen osoite (ks. seuraavan alaotsikon alta) ja paina Tallenna.

Ehdottamieni nimipalvelimien osoitteita

Linkitin aiemmin näiden palveluntarjoajien kotisivuille, joista nämä tiedot löytyvät, mutta selkeyden vuoksi Android-käyttäjille:

• dns.adguard-dns.com - AdGuard mainostenestolla.
• family.adguard-dns.com - AdGuard mainosten- ja aikuisviihdesivustojen estolla.
• noads.joindns4.eu - DNS4EU mainostenestolla.
• child-noads.joindns4.eu - DNS4EU mainosten- ja aikuisviihdesivustojen estolla.
• protective.joindns4.eu - DNS4EU vain haitallisten sivustojen estolla.
• child.joindns4.eu - DNS4EU haitallisten sivustojen ja aikuisviihdepalveluiden estolla.
• dns.quad9.net - Quad9 haitallisten sivustojen suodatuksella.
• dns11.quad9.net - Quad9 haitallisten sivustojen suodatuksella, sekä ECS-tuella.
  • ECS kertoo kaikille nimipalvelimille IP-osoitteesi alun ja on yksityisyysuhka. Toisaalta suurimmat verkkopalvelut, kuten Netflix, YouTube ja Meta voivat toimia nopeammin.

Tietoturva-asiantuntijana en voi mainita osoitteita, jotka eivät sisällä haittaohjelmasuojatusta.

Verkko ei ole yhteydessä internetiin

Ei pääsyä yksityiselle DNS-palvelimelle

Useimmiten tämä virheilmoitus ilmestyy käytetyn WLAN-tukiaseman palomuurin estäessä liikenteen TCP-porttiin 853, jota yksityinen DNS (teknisesti DNS-over-TLS käyttää), etenkin julkisissa verkoissa, kuten terveysasemalla, kirjastossa, metrossa, joissa yksityisen DNS:n käyttäminen olisi erittäin tärkeää.

Paras ratkaisu olisi olla yhteydessä verkon ylläpitoon tai tekniseen tukeen ja vinkata heille miten portti 853 voisi olla hyvä sallia, linkittää heille valitsemasi DNS-palvelintarjoaja tai ehkä jopa tämä sivu.

Olisiko mahdollista olla käyttämättä kyseistä WiFi-verkkoa ja sen sijaan käyttää vain mobiilidataa (vaikkakin se ei ole yhtä energiatehokasta)?

Mikäli WiFi-verkon käyttäminen painaa vaakakupissa enemmän kuin tietoturva ja haitalliset sivustot eivät ole huoli, jäljelle jää yksityisen DNS:n käytöstäpoistaminen:

• Asetukset -> Verkko ja internet -> (ehkä lisäasetukset tms. pohjalla ->) Yksityinen DNS -> Automaattinen

Muista verkosta poistaessasi käydä valitsemassa yksityisen DNS-tarjoajan isäntänimi takaisin!

Mitä automaattinen tarkoittaa? Android yrittää yhdistää tukiaseman määrittämään palvelimeen suojattua yhteyttä. Se onnistuu jos onnistuu, ja jos se epäonnistuu, käytetään suojaamatonta yhteyttä. Android ei myöskään tarkista SSL-varmennetta, joten ilman todella hyvää tuuria tämä ei lisää tietoturvaa yhtään, se vain on Androidin oletusasetus ja ehkä pienempi paha, kuin Ei käytössä.

Apple

iOS, TvOS, iPadOS, macOS, yms.

Applen laitteilla yksityisen DNS:n määrittäminen on tavallaan helpompaa, tavallaan vaikeampaa, verrattuna Androidiin.

1. Avaa Safari -verkkoselain. Muut voivat toimia tai olla toimimatta.
2. Mene haluamasi DNS-palveluntarjoajan sivustolle ja lataa asetusprofiili.
3. Avaa Asetukset ja seuraa ohjeita.

Löydät asentamasi DNS-pavelimet seuraavasti.

1. Avaa Asetukset
2. Yleiset
3. VPN ja laitehallinta
4. DNS. Valitse jokin muu kuin Automaattinen.

Apple-asetusprofiileja

aminda.eu/n/yksityinendns on tämän sivun osoite Apple-laitteella avattavaksi, ellet lue tätä sivua sellaisella.

• AdGuard
  • Valitse Vaihtoehto 2: Määritä AdGuard DNS manuaalisesti, iOS ja paina Lataa määritysprofiili.
• DNS4EU
  • En itsekään ymmärrä miten tämän on tarkoitus toimia käytännössä, joten suosittelen Apple-laitteiden käyttäjille jompaa kumpaa muuta palveluntarjoajaa.
• Quad9
  • Valitse Recommended: HTTPS(.9) tai HTTPS(.11) jos haluat ECS-tuen. Quad9 on parhaat ohjeet, mutta valitettavasti vain englanniksi.
• Epävirallisia asetusprofiileja (englanniksi): encrypted-dns.party
  • Tämän takana on nitrohorse, jonka kanssa työskentelin samanaikaisesti PrivacyGuides.org -projektissa.

Apple tukee molempia, DNS-over-HTTPS:ää ja DNS-over-TLS:ää, joista aiempi toimii käytännössä kaikkialla, toisin kuin Androidin DNS-over-TLS (“Yksityinen DNS”), joten Apple ei tarvitse tarkempaa ongelmanratkaisu-ohjetta minun puoleltani.