Come proteggere il DNS su un router Linksys OpenWRT
Come forse sapete, quando il vostro router risolve un indirizzo DNS, in realtà invia la richiesta DNS a un server DNS esterno, che di solito è il vostro ISP. Questa richiesta viene inviata in chiaro, cioè non è criptata, il che significa che non è troppo difficile per qualcuno dare un'occhiata ai siti web che state visitando. Anche se non è garantito che il vostro ISP tenga traccia di tutti i siti che visitate, è molto probabile che lo faccia.
Ma sapete una cosa?
Non deve essere per forza così.
La VPN è un modo per nascondere le ricerche DNS, ma è anche possibile utilizzare diverse forme di risoluzione DNS per criptare le richieste e allontanare i dati di ricerca dal proprio ISP. Inoltre, è DAVVERO FACILE da configurare.
Per ulteriori informazioni sui due metodi principali di inoltro sicuro dei DNS, visitate l'articolo di Cloudflare quí:
Per i nostri scopi, configureremo il DNS-over-HTTPS (DoH). Perché? Perché le richieste DNS sono mescolate al resto del flusso di dati sulla porta 443 e sono più difficili da separare. E questo è un bene.
Se si riscontrano problemi o si necessita di ulteriore assistenza, consultare il Forum OpenWRT o la Documentazione OpenVPN.
1. DNS cache poisoning
Questo è praticamente tratto dalla documentazione di OpenWRT sull'argomento quí.
In questa fase ci assicureremo che tutte le richieste DNS in uscita vengano catturate dal router in modo da poterle far passare attraverso un pacchetto diverso, che le cripterà e le invierà attraverso DoH a un resolver di nostra scelta che non sia il vostro ISP.
Per prima cosa, spostarsi su Network -> Firewall (Rete ->Firewall) dal menu principale del router Linksys OpenWRT.
A questo punto, fare clic sulla scheda Port Forwards (Inoltro porte). Fare quindi clic su Add (Aggiungi) per creare una nuova regola di port forwarding.
Infine, modificate le impostazioni come nell'immagine, fate clic su Save (Salva) e poi su Save & Apply (Salva e applica).
Per questa volta è tutto.
2. HTTPS-DNS-PROXY
NOTA: Queste istruzioni presuppongono che non abbiate cambiato dnsmasq (il server dns predefinito) con Unbound o simili.
Per prima cosa, è necessario andare in System -> Software (Sistema -> Software) per trovare e aggiungere il pacchetto corretto.
Una volta lì, cercare Luci-app-http-dns-proxy. Anche se la mia schermata dice 'installato' perché l'ho già aggiunto, dovreste vedere un pulsante 'installa'. Fare clic su di esso.
*Per i passi fondamentali dell'installazione del software, fare clic quí.
Una volta terminato, andare su Services -> DNS HTTPS Proxy (Servizi ->DNS HTTPS Proxy).
Si dovrebbe vedere questo. Si può scegliere da un elenco di risolutori o aggiungerne di propri.
Raccomandazione: Per saperne di più sui diversi solutori, utilizzate i link forniti nel pacchetto. Quad9 è generalmente considerato uno dei più privati e sicuri.
Si noti l'opzione Forza il DNS del router. Si tratta di un'ottima opzione, in quanto impedisce agli altri utenti di impostare DNS personalizzati nel loro browser web per aggirare eventuali blocchi da voi posti in essere (ad esempio, Adblock).
3. Assicurarsi che funzioni
Ora che ci siamo presi la briga di configurarlo, dovremmo verificare che funzioni. Il modo più semplice per farlo è andare al test del filtro DNS. Fate clic su Standard test (Test standard) e attendete. I risultati dovrebbero mostrare i server di uno dei risolutori presenti nell'elenco.
Poiché Google è ancora sulla mia lista, so che funziona.
E questo è quanto. Le richieste DNS sono ora crittografate con il resto del traffico SSL su Internet, quindi sono più difficili da intercettare. Fantastico!
