Uw router doet DNS-verzoeken terwijl u op internet surft. Standaard ziet uw ISP echter al uw zoekopdrachten en webadressen. U kunt uw DNS-instellingen wijzigen voor meer veiligheid en privacy.
DNS, beveiliging en privacy
De beste DNS-servers voor veilig browsen
OpenDNS Home
Google openbare DNS
Wolkenvlam
DNSWatch
Vierling9
Probeer ze; Ze zijn gratis
Wat is een DNS-server?
Een DNS-server (Dynamic Name System) is een service die door mensen leesbare webadressen automatisch vertaalt naar IP-adressen. Dat is belangrijk, want bij u thuis en op internet heeft elk netwerkapparaat een IP-adres. Het zou vervelend zijn om IP-adressen als mensen te gebruiken. Zelfs als we ze zouden kunnen onthouden, zouden we ze verkeerd typen. Daarom is het Domain Name System bedacht.
Wanneer u probeert verbinding te maken met een website, controleert uw router of de gegevens van die site in de cache staan. Zo niet, dan doet het een DNS-verzoek door de domeinnaam van de website naar een DNS-server te sturen. De DNS-server zoekt de domeinnaam op, vindt het IP-adres en stuurt dit terug naar uw router zodat deze kan proberen verbinding te maken met de webserver die de website host.
In werkelijkheid is het ingewikkelder. De DNS-server waarmee uw router verbinding maakt, is standaard een DNS-voorloperserver die wordt geleverd door uw internetprovider.
Als de voorloperserver de gegevens van de website niet in zijn eigen cache bewaart, stuurt hij een verzoek naar een DNS-rootnaamserver. De root-naamserver reageert op de voorloperserver met een lijst van top-level domeinservers die het top-level domein (.COM, .INFO, .ORG, enzovoort) van de aangevraagde website aankunnen. De voorloperserver herhaalt zijn verzoek aan een van de domeinservers op het hoogste niveau op die lijst.
De domeinserver op het hoogste niveau antwoordt met de naam van een DNS-gezaghebbende naamserver die feitelijk de details van het domein bevat. De voorloperserver doet vervolgens opnieuw een verzoek aan de gezaghebbende naamserver om uiteindelijk het IP-adres te verkrijgen.
In ons voorbeeld probeerde de persoon een website te bereiken, maar hetzelfde geldt voor elke webbron die wordt geïdentificeerd door een domeinnaam, zoals een e-mailserver.
DNS, beveiliging en privacy
Het gebruik van de standaard DNS-server van uw ISP heeft gevolgen voor de privacy en veiligheid.
De gegevens in DNS-verzoeken zijn niet versleuteld, zelfs als sommige van de bijgevoegde metagegevens dat wel zijn. Een man-in-the-middle-aanval of een nieuwsgierige medewerker van uw ISP kan uw online activiteiten heel gemakkelijk blootleggen en beoordelen. Dat is al erg genoeg, maar het gebruik van de DNS-server van een ISP kan ook uw beveiliging verzwakken.
Enkele van de meest voorkomende DNS-gerichte cyberaanvallen zijn:
- Gedistribueerde denial-of-service: Dit veroorzaakt een stortvloed aan nepverzoeken die de DNS-server overweldigen, waardoor deze niet in staat is om echte verzoeken te verwerken.
- DNS-spoofing/-vergiftiging: Dit creëert valse, kwaadaardige DNS-antwoorden waarop uw router reageert. Cybercriminelen kunnen gebruikers naar frauduleuze websites sturen in plaats van echte websites. Dit kunnen phishing-websites zijn die inloggegevens verzamelen.
- DNS-kaping: Malware infecteert uw computer en verandert de TCP/IP-instellingen en het gedrag zodat DNS-verzoeken worden omgeleid naar de frauduleuze DNS-servers van de cybercriminelen. Deze leiden webverzoeken om naar phishing- of andere kwaadaardige websites.
- Domeinkaping: Dit is een zeldzamere vorm van aanval. Hiervoor moeten de gegevens in de systemen van de domeinregistreerder worden gewijzigd, zodat de opgeslagen gegevens van een legitieme website naar een nepwebsite worden geleid.
Er is geen echte beveiliging in standaard DNS. Het enige dat het kan doen, is controleren of het antwoord van een downstream-server afkomstig is van hetzelfde IP-adres waarnaar het verzoek is verzonden. Het is iets, maar het is nauwelijks grondig.
De Domain Name System Security Extensions, of DNSSEC, zijn ontwikkeld om digitale handtekeningen toe te voegen aan DNS-verzoeken. Hiermee kunnen DNS-servers controleren of de gegevens die ze ontvangen inderdaad afkomstig zijn van waar ze beweren vandaan te komen. Dit heet authenticatie van de oorsprong van gegevens. Bovendien kan de ontvanger controleren of de gegevens tijdens het transport niet zijn gewijzigd. Dit heet bescherming van de gegevensintegriteit.
DNS over HTTPS, DoH, is een nieuw protocol dat DNS-verzoeken en verkeer tussen servers versleutelt. Gelogde en in de cache opgeslagen DNS-verzoeken zijn echter niet versleuteld. Ze zijn alleen tijdens het transport versleuteld. En natuurlijk loggen de meeste ISP’s alles wat ze kunnen, en ze ondersteunen niet allemaal DNSSEC en DoH.
De beste DNS-servers voor veilig browsen
Openbare DNS-servers zijn meer privé, veiliger en sneller dan het standaardaanbod van uw ISP. Hier zijn vijf van de beste DNS-servers die we aanbevelen:
OpenDNS Home
- Primaire DNS: 208.67.222.222
- Secundaire DNS: 208.67.220.220
OpenDNS is in 2015 door Cisco gekocht. Het gedeelte “Open” betekent dat het overal DNS-verzoeken accepteert. Het heeft niets met open source te maken. OpenDNS heeft betaalde en gratis lagen.
Cisco bouwde zijn naam op hoogwaardige netwerkproducten en knowhow. Cisco weet net zoveel van netwerken en verkeersroutering als elk ander bedrijf ter wereld. Het is wereldwijd aanwezig en biedt een oerdegelijke DNS-service.
OpenDSN Home ondersteunt DoH en DNSSEC. Het wordt ook geleverd met inhoudsfiltering en bescherming tegen malware/phishing. Je kunt je er niet voor afmelden. Je hebt enige controle over hun instellingen, maar niet zoveel als op een van hun betaalde niveaus.
Misschien nog zorgwekkender, OpenDNS registreert uw DNS-query’s, uw IP-adres en meer, en plaatst wat het “webbakens” noemt op pagina’s die u hebt bezocht.
OpenDNS is snel en veilig, maar de privacykwesties zullen voor sommigen een afknapper zijn.
Google openbare DNS
- Primaire DNS: 8.8.8.8
- Secundaire DNS: 8.8.4.4
De openbare DNS van Google is gratis voor iedereen, ook voor zakelijk gebruik. Het is een robuuste en betrouwbare service met snelle reactietijden. En natuurlijk kunt u er zeker van zijn dat Google niet zal verdwijnen.
De openbare DNS van Google ondersteunt veel opzoekprotocollen, waaronder DNS via HHTPS, en het ondersteunt ook DNSSEC. Het bevat ook enige bescherming tegen DDoS-aanvallen.
Het enige probleem met de DNS van Google is Google. Iedereen weet dat het inkomsten genereert door gegevens te verzamelen en deze te gebruiken voor gerichte advertenties. Ook deelt het de gegevens, tegen betaling, met derden. Google scoort dus hoog op robuustheid en veiligheid, maar niet zozeer op privacy.
Google zegt dat de gegevens die het verzamelt, geanonimiseerd zijn en geen persoonlijk identificeerbare informatie bevatten, dus dat stoort u misschien niet. Als u al Google-producten zoals Gmail, Android of de Google-webzoekmachine gebruikt, zal Google niet veel meer over u te weten komen dan het al doet.
Maar als u zich liever niet bezighoudt met hun “big tech, big data, big brother” bedrijfsmachines, dan is Google niets voor u.
Wolkenvlam
- Primaire DNS: 1.1.1.1
- Secundaire DNS: 1.0.0.1
Cloudflare is vooral bekend als leverancier van netwerken voor het leveren van inhoud, die het websiteverkeer verdelen over gespiegelde, gedistribueerde instanties en beschermen tegen DDoS-aanvallen van vrijwel elke omvang.
Het heeft de snelste DNS-prestaties en het is publiekelijk toegewijd om nooit uw IP-adres op te slaan en operationele logboeken elke 24 uur te verwijderen. Dit wordt onafhankelijk geverifieerd door KPMG.
Het bevat standaard geen inhoudsfiltering en -blokkering, maar u kunt het wel hebben als u dat wilt. Om het in te schakelen, hoeft u alleen de alternatieve primaire en secundaire DNS-servers van Cloudflare te gebruiken.
Cloudflare DNS kan lastig zijn om in te stellen en de Cloudflare-website is niet de meest intuïtieve om te navigeren. Als het eenmaal draait, gebruik je de snelste DNS die er is, met als bonus dat het je privacy respecteert.
DNSWatch
- Primaire DNS: 84.200.69.80
- Secundaire DNS: 84.200.70.40
DNSWatch zegt dat het netneutraliteit ondersteunt en probeert geen inhoud te filteren met zijn DNS-servers. Het registreert ook geen DNS-query’s of gebruikersgeschiedenis. DNSWatch zal uw gegevens nooit delen of verkopen omdat het er geen verzamelt.
Het ondersteunt DNSSEC en DoH, maar al het andere, zoals bescherming tegen phishing-sites of malware-sites, wordt aan u overgelaten. Een ding dat het wel promoot, is de weigering om mislukte verzoeken te kapen.
Meestal stuurt een ISP u naar een gesponsorde zoekpagina als de site die u probeert te bereiken niet reageert. Alles wat op die site wordt ingevoerd, wordt geregistreerd door uw ISP. DNSWatch doet dat niet, het toont u de standaard slechte verbindingspagina van uw browser.
Vierling9
- Primaire DNS: 9.9.9.9
- Secundaire DNS: 149.112.112.112
Hoewel het hoofdkantoor van Quad9 in Europa is gevestigd, heeft het 183 clusters van DNS-resolvers in 90 landen over de hele wereld. Het is een gratis dienst. De servers registreren transactie- en prestatiegegevens, maar geen persoonlijk identificeerbare informatie. Het registreert tijdstempels, transportprotocollen, aangevraagde domeinen en hun geolocatie, enzovoort.
Standaard biedt het beveiliging die verder gaat dan DNSSEC en DoH, door bekende slechte websites te blokkeren die malware bevatten of gebruikersreferenties verzamelen. De lijst met geblokkeerde sites is verzameld uit meer dan 20 openbare en commerciële inlichtingenbronnen. Het filtert of blokkeert geen inhoud, advertenties of webtrackers, alleen kwaadaardige websites.
Als u deze blokkering niet wilt inschakelen, kunt u de alternatieve primaire en secundaire IP-adressen gebruiken.
Qua snelheid is de gemiddelde responstijd van Quad9 21 mS en heeft het een uptime van 99,94%. Google en Cloudflare hebben responstijden in de buurt van 10mS, en daarin blinken ze uit: ruwe snelheid. 21mS is echter nog steeds verblindend snel. Bij normaal gebruik merkt u geen verschil tussen de twee.
Probeer ze; Ze zijn gratis
Omdat deze providers allemaal gratis DNS-services hebben, kun je er een uitkiezen en uitproberen. Of probeer er meerdere. We hebben gidsen voor verschillende platforms:
- Hoe u uw DNS-server op Windows 10 kunt wijzigen
- Hoe u uw DNS-server op Windows 11 kunt wijzigen
- Hoe u uw DNS-server op Chromebook kunt wijzigen
- Hoe u uw DNS-server op Mac kunt wijzigen
- Hoe u uw DNS-server op Android kunt wijzigen
- Hoe u uw DNS-server op iPhone of iPad kunt wijzigen
Vergeet niet dat beveiliging en privacy niet hetzelfde zijn en dat ze niet altijd evenveel aandacht krijgen van elke DNS-provider.