Veřejné nameservery (DNS resolvery)

Doporučení

#	co	komentář
1	nameserver poskytovatele internetu	nejsnazší varianta, jinou volte pokud máte některý z následujících důvodů: a) současné nameservery nejsou spolehlivé, b) chcete větší anonymitu na internetu c) chcete pomocí DNS filtrovat provoz.
2	vlastní nameserver	varianta pro domácí síť, nastavíte si dle vlastních potřeb, hodně se naučíte, velmi pracné
3	veřejný nameserver

Proč používat veřejné nameservery (DNS resolvery)?

a) zajištění spolehlivosti DNS služeb

Málo častý případ. Staré domácí routery mohou mít výkonnostní problémy, popř. zastaralý software nepodporující novinky v DNS, např. záznamy HTTPS. Menší poskytovatelé internetu mohou mít problém zajistit stabilní provoz svých nameserverů při výpadcích části sítě. Možná řešení:

aktualizujte software pro domácí router, pokud aktualizace nejsou již několik roků k dispozici, tak zvažte zakoupení nového routeru s garantovanou delší dobou bezpečnostních aktualizací,
můžete nastavit, že nameserver na routeru bude získávat údaje z nějakého veřejného nameserveru,
můžete nastavit, že router bude zařízením uvnitř sítě posílat IP adresy nějakého veřejného nameserveru,

b) zvýšení soukromí na internetu

Zvažte spíše VPNku

c) filtrování provozu

Začnu obrázky, na kterých jsou vidět možnosti filtrování veřejných DNS serverů. Zobrazte si snímek z nastavení domácího routeru od firmy ASUS: Můžete si vybírat z následujících skupin veřejných nameserverů:

nameservery poskytovatele internetu,
nameservery s blokováním reklam,
family filtrování - blokování obsahu pro dospělé, často i blokování malware a phishing,
nameservery bez filtrování (zde nameserver 8.8.8.8),
bezpečné - s blokování malware, phishing a podobných stránek
respektující soukromí - bez logování, bez filtrování,
vlastní nameservery

Druhý snímek je ze služby Control D, kde si můžete vybrat, co chcete pomocí DNS filtrovat:

bez filtrování,
blokování malware,
blokování reklam a malware,
blokování reklam, malware a sociálních sítí,
blokování reklam, malware a obsahu pro dospělé

některé z nich umožňují filtrovat nežádoucí provoz - malwarové a phishingové domény, obsah pro dospělé, sociální sítě, …
stejné nastavení mohou zařízení používat ve školní síti i mimo ni,
provoz na DNS resolvery lze šifrovat,
šifrovaný provoz na DNS resolvery je požadavkem pro šifrované SNI hlavičky - z nešifrovaných SNI lze zjistit, na které HTTPS servery se uživatel připojuje.

Kde nastavit a výběr protokolu

Není jednodušší používat VPNku?

Které DNS resolvery používat? Filtrování:

bez jakéhokoliv filtrování (doporučuji vyhnout se nameserverům, které nepoužívají ani DNSSEC),
filtrování na základě zákona,
filtrování malware,
filtrování

https://www.ipfire.org/docs/dns/public-servers

https://www.lifewire.com/free-and-public-dns-servers-2626062

https://www.techradar.com/news/best-dns-server

https://www.geeksforgeeks.org/best-free-and-public-dns-servers/

https://cmdns.dev.dns-oarc.net/

https://wiki.mozilla.org/Security/DOH-resolver-policy#Conforming_Resolvers

https://www.chromium.org/developers/dns-over-https/

https://github.com/paulmillr/encrypted-dns?tab=readme-ov-file#providers

Testování rychlosti

Otestujte si rychlost odpovědí od veřejných nameserverů, které Vám funkčně vyhovují. Doporučuji se dívat i na rozptyl v rychlosti odpovědí.

Vpravo je snímek z aplikace DNS Benchmark. Je na ní vidět, že nameserver na lokálním routeru je u cachovaných odpovědí výrazně nejrychlejší.

Následuje krátký přehled služeb/aplikací, pomocí kterých lze zjistit rychlost veřejných DNS serverů

služba/aplikace	popis
https://www.dnsperf.com/	každou minutu z vybraných míst testují resolvery a posuzují rychlost a stabilitu
https://dnsspeedtest.online/	v prohlížeči testuje rychlost vybraných veřejných resolverů přes DoH
DNS Benchmark (grc)	aplikace do Windows testuje různé DNS resolvery, lze přidat vlastní, vytvořit si vlastní. V placené verzi lze testovat i DoT a DoH

Lze testovat i z příkazové řádky, v unixu lze použít aplikace dig či kdig. Multiplatformní je aplikace doggo, ve které lze zadat více nameserverů včetně protokolů a poté se zobrazí přehledný výstup seřazený od nejrychlejší k nejpomalejšímu. Nápověda se zobrazí při spuštění bez parametrů. Následující příkaz:

doggo --time @tls://odvr.nic.cz @tls://ordns.he.net. @tls://1.1.1.1 @tls://dns.google @tls://clean.dnsforge.de @tls://dns-dot.dnsforfamily.com @tls://dns.adguard-dns.com @tls://family.adguard-dns.com @tls://family.freedns.controld.com @tls://family-filter-dns.cleanbrowsing.org @tls://dns.quad9.net @tls://dot-de.blahdns.com @tls://familyshield.opendns.com @tls://noads.libredns.gr @tls://kids.dns0.eu @tls://family.cloudflare-dns.com @tls://dns.switch.ch @tls://family.dot.dns.yandex.net wikipedia.cz

mi ve školní síti dá následující výsledky.

NAME            TYPE    CLASS   TTL     ADDRESS         NAMESERVER                              TIME TAKEN
wikipedia.cz.   A       IN      3471s   81.95.96.75     odvr.nic.cz:853                         39ms
wikipedia.cz.   A       IN      3578s   81.95.96.75     ordns.he.net.:853                       39ms
wikipedia.cz.   A       IN      3587s   81.95.96.75     family.cloudflare-dns.com:853           41ms
wikipedia.cz.   A       IN      3587s   81.95.96.75     1.1.1.1:853                             41ms
wikipedia.cz.   A       IN      3585s   81.95.96.75     kids.dns0.eu:853                        48ms
wikipedia.cz.   A       IN      3578s   81.95.96.75     family-filter-dns.cleanbrowsing.org:853 56ms
wikipedia.cz.   A       IN      3578s   81.95.96.75     family.freedns.controld.com:853         57ms
wikipedia.cz.   A       IN      3578s   81.95.96.75     clean.dnsforge.de:853                   59ms
wikipedia.cz.   A       IN      1235s   81.95.96.75     dns-dot.dnsforfamily.com:853            60ms
wikipedia.cz.   A       IN      3578s   81.95.96.75     dot-de.blahdns.com:853                  61ms
wikipedia.cz.   A       IN      3578s   81.95.96.75     noads.libredns.gr:853                   65ms
wikipedia.cz.   A       IN      3578s   81.95.96.75     dns.adguard-dns.com:853                 68ms
wikipedia.cz.   A       IN      3578s   81.95.96.75     family.adguard-dns.com:853              76ms
wikipedia.cz.   A       IN      3383s   81.95.96.75     familyshield.opendns.com:853            79ms
wikipedia.cz.   A       IN      3578s   81.95.96.75     dns.switch.ch:853                       79ms
wikipedia.cz.   A       IN      3600s   81.95.96.75     dns.google:853                          83ms
wikipedia.cz.   A       IN      3557s   81.95.96.75     family.dot.dns.yandex.net:853           373ms
wikipedia.cz.   A       IN      3595s   81.95.96.75     dns.quad9.net:853                       547ms

Pro smysluplné porovnání je potřeba otestovat vícekrát (aspoň 10x). Např. dns.quad9.net má velký rozptyl v rychlosti odpovědí.

DNS resolvery na VŠE

VŠE provozuje DNS resolvery pod dvěma jmény:

 dns1.vse.cz (146.102.41.11, 2001:718:1e02:41::11)
 dns2.vse.cz (146.102.41.12, 2001:718:1e02:41::12)

Ve skutečnosti je to více serverů, výše uvedené IP adresy jsou anycastové. Uvedené IP adresy se přiřazují přes DHCP.

Pravidla:

nelogujeme provoz, tj. nemáme záznamy kdo žádal o překlad kterého doménového jména; nelogujeme ani samotná doménová jména bez vazby na žadatele,
nefiltrujeme IP adresy/doménová jména,
vytváříme statistiky

Používání externích DNS resolverů v síti VŠE Je povoleno pro koleje a pro bezdrátové sítě. Ve většině ostatních částí školní sítě je jejich užití často blokováno.