Quad9: più privacy & sicurezza nel DNS
Grazie al Domain Name System (DNS), mentre navighiamo su Internet non siamo costretti a conoscere a memoria i vari indirizzi IP, ma ci basta semplicemente inserire un indirizzo web nella barra degli indirizzi del browser. Il DNS è quindi responsabile della cosiddetta risoluzione del nome: nel caso di un name server, l’URL viene infatti tradotto nell’indirizzo IP corretto.
Solitamente si effettua l’accesso al servizio DNS del proprio operatore di rete, ma è altresì possibile puntare anche a un altro server DNS. Negli ultimi anni continuano a fare la loro comparsa sempre più operatori di server pubblici utilizzabili da chiunque. Tra questi, quello più famoso è sicuramente DNS Resolver di Google. Tuttavia, chi affidandosi al colosso di Internet teme per la sicurezza dei propri dati può anche ricorrere a un servizio più ridotto come Quad9. Infatti, anziché un’azienda commerciale, nel caso di Quad9 la società erogatrice è un ente no profit.
Cos’è Quad9?
Dietro all’organizzazione Quad9, che eroga l’omonimo servizio DNS figurano, tra gli altri, IBM, Packet Clearing House (PCH) e Global Cyber Alliance (GCA). Al di là di tale progetto, tutte le suddette organizzazioni risultano comunque impegnate al fine di garantire la sicurezza e la tutela della sfera privata degli utenti su Internet. L’idea comune alla base del progetto è la seguente: offrire un Resolver DNS svincolato dagli interessi commerciali e che risulti disponibile per qualsiasi utente.
Oltre all’accesso gratuito, gli ideatori di Quad9 attribuiscono grande importanza alla sicurezza e alla tutela della sfera privata. Il team di sviluppo di DNS-Resolver ha infatti deciso di non acquisire in alcun modo i dati degli utenti. Ma è in particolare il punto relativo alla sicurezza a rendere Quad9 un vero antesignano. Il servizio è infatti in grado di supportare sia DNS over TLS (DOT) che DNS over HTTPS (DOH). Negli ultimi anni è apparso sempre più evidente come i DNS classici presentino notevoli falle in termini di sicurezza a causa della mancante cifratura, con conseguenti attacchi sempre più frequenti da parte di DNS Hijacking. Le nuove tecniche sviluppate offrono tuttavia una protezione effettiva sia contro i crimini informatici che contro la censura applicata da alcuni governi.
Inoltre, Quad9 ricorre anche a DNSSEC, un protocollo in grado di garantire la correttezza dei risultati forniti. In aggiunta, Quad9 utilizza anche alcuni filtri: le blacklist, liste fornite da diverse società impegnate a favore della sicurezza informatica, che contengono infatti tutti i siti web classificati come dannosi. Al fine di evitare di diventare a loro volta organi di censura (teoricamente, qualsiasi sito web non “apprezzato” potrebbe infatti finire all’interno delle blacklist), le varie organizzazioni verificano reciprocamente il rispettivo operato: questo consente almeno di scongiurare che gli interessi dei singoli prevalgano sull’interesse pubblico. E anche le eventuali richieste di censura avanzate dalle autorità giudiziarie locali possono essere soddisfatte solo a seguito di una sentenza valida emessa da un tribunale; in tal caso, tale censura risulterà comunque limitata a livello locale.
Come si ottiene Quad9?
Lo stesso nome “Quad9” fa già riferimento al relativo indirizzo IP: quattro volte nove, ovvero 9.9.9.9. Tra l’altro, tale nome potrebbe essere visto come una sorta di “risposta” al servizio di Google raggiungibile all’8.8.8.8. Il servizio DNS Quad9 può essere tuttavia raggiunto anche da altri indirizzi (sia IPv4 che IPv6):
Versione IP | Indirizzo | DNSSEC | Filtro di sicurezza | EDNS |
---|---|---|---|---|
IPv4 | 9.9.9.9 | | | |
IPv4 | 149.112.112.112 | | | |
IPv4 | 9.9.9.10 | |||
IPv4 | 149.112.112.10 | |||
IPv4 | 9.9.9.11 | | | |
IPv6 | 2620:fe::fe | | | |
IPv6 | 2620:fe::9 | | | |
IPv6 | 2620:fe::10 | |||
IPv6 | 2620:fe::fe:10 | |||
IPv6 | 2620:fe::11 | | | |
Il servizio Quad9 offre quindi sia accessi sicuri che accessi non sicuri; ovviamente l’operatore consiglia di ricorrere alle connessioni sicure. In tal caso, gli utenti hanno a disposizione sia DNSSEC che alcuni filtri legati alle blacklist. Tuttavia, qualora si desideri vivere un’esperienza di navigazione al 100% senza filtri, è anche possibile accedere agli indirizzi IP non sicuri, mettendo tuttavia in conto il pericolo di esporsi a possibili rischi. Quad9 mette infatti a disposizione due indirizzi IP da inserire nel sistema operativo: qualora uno dei canali di comunicazione dovesse risultare temporaneamente non disponibile, sarà quindi possibile passare direttamente all’altro indirizzo.
Inoltre, Quad9 riserva anche una sottorete EDNS Client che, come offerta, si rivolge tuttavia in primis ai Content Delivery Network (CDN). Tali reti sono utilizzate con l’obiettivo di rendere disponibili file multimediali all’interno dei siti web, senza tuttavia sovraccaricare l’effettivo server. Fornendo l’opportunità di load balancing, l’EDNS è quindi in grado di rispondere più velocemente alle query delle reti CDN. Inoltre, gli sviluppatori di Quad9 portano anche avanti collaborazioni con gli operatori IoT al fine di creare degli accessi DNS sicuri anche per tali dispositivi.
Qualora si desideri ricorrere a una delle due connessioni cifrate, sarà necessario utilizzare alcune porte prestabilite: nel caso di DoT si utilizza infatti la porta 853, mentre nel caso di DoH lo standard HTTP legato alla porta 443.
Quad9 non offre esclusivamente un server DNS: nel caso in cui ricorriate a tale servizio, tramite Anycast verrete infatti collegati a uno degli oltre cento server distribuiti in varie parti del mondo. Anycast consente infatti a server diversi di avere lo stesso indirizzo, anche se ogni volta risulterà coinvolto soltanto il computer con il percorso più breve.
Volete utilizzare anche voi Quad9? All’interno del nostro tutorial vi spieghiamo come modificare il server DNS. Effettuare il passaggio a un altro operatore può anche rivelarsi utile nel caso in cui un determinato server DNS non risponda.
Le caratteristiche di Quad9 in breve
Quali sono i vantaggi legati al passaggio al DNS Quad9?
- È disponibile gratuitamente
- I dati degli utenti non vengono registrati
- Le connessioni risultano sicure
- Non è sottoposto ad alcun tipo di censura statale
- DNS over TLS e DNS over HTTPS
- DNSSEC
- Filtri blacklist
- Oltre 100 server
- È gestito da enti no profit