Bir bilgisayar ya da akıllı telefonda bir internet bağlantısı kurmak normalde kendiliğinden olur ve bunu manuel yapmak için uğraşmanız gerekmez. Ancak not edilmesi gereken bir detay vardır ve bu da DNS ve modunun seçimidir. Bunun için bir miktar vakit harcarsanız kendinizi siber saldırılara, ISP casusluğuna, çocuklar için istenmeyen içeriklere ve hatta reklamlara karşı koruyabilirsiniz. Mesela Android ayarlarında Özel DNS nedir ve nasıl kullanılır?
DNS ve dezavantajları
DNS, Etki Alanı Adı Hizmeti anlamına gelir. İnsanlar tarafından okunabilen web adreslerini (etki alanı adlarını, örneğin kaspersky.ru) internette bilgisayarlar tarafından kullanılan dijital IP adreslerine dönüştürür (185.85.15.34). Neredeyse her internet sorgusu bir bilgisayarın IP adresine girilen bir site adını dönüştürmesi için bir DNS sunucuyla iletişim kurmasıyla başlar. Ve neredeyse her zaman bu internet sağlayıcınızın DNS sunucusu tarafından yapılır. Ona gönderilen talep şifreli ya da imzalı değildir. Bu güvenlik eksikliği pek çok yan etkiyi beraberinde getirir.
- Sağlayıcınız hangi siteleri ziyaret ettiğinizi her zaman bilir ve bunu size hedefli reklamlar göstermek için kullanabilir.
- Sağlayıcının sizin görmek istediğinizden tamamen farklı bir site göstererek yanıtında IP adresini yanıltması kolaydır. Muhtemelen bir otelde, kafede ya da havalimanında ücretsiz Wi-Fİ ağına bağlanırken sizin istediğiniz site yerine yetkilendirme isteyen ya da reklam gösteren bir açılır pencere görmüşsünüzdür.
- Aynı teknoloji, bağlantı kurduğunuz Wi-Fi ağını kontrol etmek için saldırganlar tarafından kullanılabilir. Saldırganlar kötü amaçlı yazılım yayan ya da banka kartı bilgilerini çalan sahte siteler gösterebilirler.
Ancak, DNS yanıtlarındaki adres değişikliklerinin, örneğin ebeveyn denetimi hizmetleri için pozitif pratik kullanımları da olabilir: “İstenmeyen” siteler ziyaret edilmek istendiğinde bir kalıntı sayfa göstermek gibi. Öte yandan, bu teknoloji mükemmel değildir ve siteleri bütünüyle engeller. Örneğin, belli “kötü” sayfalar yerine youtube.com sitesinin tamamını. Bundan dolayı, Kaspersky Safe Kids için kullanılmaz.
İnternet sağlayıcınızın DNS sunucusunu kullanmak zorunda değilsiniz. İnternet ayarlarınızda belirleyebileceğiniz ve yukarıda tarif edilen problemlerin bazılarından kurtulabileceğiniz Cloudflare (1.1.1.1) veya Google (8.8.8.8) gibilerin iyi itibara sahip genel sunucuları mevcuttur.
Reklam sunucularına erişimi engellemek gibi ek fonksiyonları olan DNS sunucuları da vardır. Bunlar hem tarayıcıda hem de diğer uygulamalarda reklamları kaldırır. Bunu yapmak için bilgisayarınızın ya da akıllı telefonunuzun Wi-Fi ayarlarında uygun “filtreli” DNS sunucusunun adresini belirtmeniz yeterlidir.
Maalesef, DNS adresini 1.1.1.1 ya da 8.8.8.8 olarak değiştirmek gizlilik sorunlarını çözmeye yetmez. Ağı kontrol eden bir internet sağlayıcısı ya da davetsiz misafir DNS sorgularını yanıltabilir, onlara müdahale edebilir ya da üçüncü taraf bir DNS’ye erişimi engelleyebilir.
Özel DNS ve Güvenli DNS
Büyük şirketler ya da işin meraklıları kendi DNS sunucularını çalıştırabilir ve ona istedikleri sorgu kuralını uygulayabilirler. Dar anlamda, Özel DNS bir yüksek gizlilik sunucusu değil sadece genel olmayan, özel bir sunucudur. Pratikte, Özel DNS genellikle güvenli DNS protokollerinde çalıştırılır. Örneğin Android 9 ve üzerindeki Özel DNS ayarları aslında özünü daha iyi yansıtması amacıyla Güvenli DNS olarak adlandırılmalıdır.
Güvenli DNS sahip olduğu şifrelemeyle sıradan DNS’den farklı birkaç rakip protokol barındırır. Bunlar DNS over HTTPS (DoH), DNS over TLS (DoT) ve DNSCrypt’tir. Bunlar, DNS taleplerinin geçildiği iletişim protokolleri ve bağlantı noktaları açısından farklıdır. Hangisinin daha iyi ve hangisinin daha kötü olduğu konusunda tartışmalar sürmektedir. Ancak bazen internet sağlayıcıları bir üçüncü taraf DNS’ye erişimi engellemekte, bu durumda filtrelemesi daha zor olan DoH protokolü en iyi şansa sahip olmaktadır. Öte yandan, Güvenli DNS’nin daha ince noktalarına girmenin gereği yoktur. Asıl nokta, akıllı telefonunuzun, bilgisayarınızın ya da tarayıcınızın bu protokollerden en az birini desteklemesi ve bununla kullanılabilecek bir DNS sunucusuna sahip olmasıdır.
Ücretsiz güvenli sunucu bulmak hiç zor değildir. Başlıca internet sağlayıcıları (Cloudflare, Google vb.) hem güvensiz DNS hem de DoH/DoT üzerinden bağlanabileceğiniz genel DNS’yi (1.1.1.1, 8.8.8.8) destekler. Yani sizin işiniz sadece bu güvenli erişimi etkinleştirmektir.
Zaten bir VPN’iniz mi var?
Güvenli DNS ve VPN birbirlerini tamamlayan teknolojilerdir. Etkin bir VPN’iniz olsa bile site adı talepleri şifrelenmemiş bir DNS kanalından geçebilir ve yukarıdaki tüm riskler aynen sürer. Bazı ticari VPN hizmetlerinde varsayılan bağlantı profilinde şifrelenmiş DNS bulunur ya da bunlar bir uygulama aracılığıyla kendi VPN’lerini ve üçüncü taraf güvenli DNS’lerini etkinleştirmeyi önerirler. Ancak bu yaygın bir uygulama değildir, yani VPN sağlayıcınızın bilgilerii yeniden gözden geçirmek veya teknik destek istemek en iyisidir. Güvenli DNS önerilmiyorsa VPN’e ek olarak etkinleştirilebilir (aşağıdaki talimatlara bakın)
Güvenli DNS’yi Etkinleştirme
Android’de (9 ve üzeri) güvenli DNS’yi etkinleştirmenin en kolay yolu şudur: Ayarlar bölümüne gidin, Daha fazla bağlantı ya da Gelişmiş ögesini seçin ve orada Özel DNS alt bölümünü bulun. İstenen sunucuyu belirledikten sonra yapılandırma bitmiştir. Çok az gizemli bir fark ise şudur. Android bu bölümde nümerik adresleri kabul etmediği için istenen DNS sunucusunun etki alanı adını sağlayıcıdan kontrol etmeniz gerekecektir (örneğin, 1dot1dot1dot1.cloudflare-dns.com).
Apple cihazlarında iOS 14 ve macOS 11’den beri DoH/DoT desteği bulunuyor. Ancak, bu protokolleri etkinleştirmek için entegre bir ayar olmadığından tercih ettiğiniz güvenli sunucuyu etkinleştirebilen bir üçüncü taraf aracını App Store’dan bulmanız gerekir. Bunları “Güvenli DNS” araması yaparak bulabilirsiniz. Deneyimli kullanıcılar manuel olarak gerekli yapılandırma profillerini indirebilir ya da kendileri oluşturabilirler.
Windows 10’da 19628 sürümünden beri (2020’den) DoH desteği vardır ve Microsoft web sitesindeki bu talimatlar aracılığıyla etkinleştirebilirsiniz.
Chrome ve Firefox tarayıcıları işletim sistemi desteği olsun olmasın, şifrelenmiş bir kanal üzerinden DNS sorguları yapabilir.
Bazı ülkelerde bu seçenek varsayılan olarak etkindir fakat tarayıcı ayarlarından kontrol etmek gerekir.
Kaspersky kullanıcıları için önemli bir fark: korumanızın düzgün yapılandırıldığından emin olmak için önce yönlendiricide, işletim sisteminde ya da tarayıcı ayarlarında korumalı DNS’yi etkinleştirin. Ardından doğru Kaspersky ayarının etkin olduğunu kontrol edin: Sol bölmenin altındaki dişli simgesi → Güvenlik ayarları → Ağ Ayarı → Traffik İşleme.
Burada kullanmayı planladığınız belli DoH sunucularını da belirleyebilirsiniz.