O que é filtro de DNS e a importância para segurança online?

Da mesma forma que são inegáveis os benefícios do universo online, também são os problemas e ameaças presentes, fazendo com que tenhamos de recorrer a uma série de ferramentas. Uma que cumpre papel esssencial, mas nem todo mundo conhece e usa, é a filtragem de DNS.

Seja no caso dos usuários domésticos, seja no caso dos corporativos, os filtros de DNS constituem um importante aliado na duro desafio de se manter distante de algumas das principais ameaças digitais.

Por isso, se você não sabe o que é, como funciona, ou não conhece nenhum bom serviço relacionado, no presente bate-papo, esclareceremos essas e outras dúvidas a respeito.

O que é DNS?

Você não precisa ser um profundo conhecedor sobre o que é DNS para poder se beneficiar dos filtros de DNS, mas se você quer compreender melhor porque esse tipo de serviço pode ser bastante útil e/ou como ele funciona, é recomendável dispensar um minutinho para entender o que é.

Resumidamente, o DNS é a sigla de Domain Name System (Sistema de Nomes de Domínio, em português) e que constitui um sistema que converte, que resolve nomes de domínios, subdomínios e nameservers – que também usam domínios – para os seus respectivos endereços IP.

Isso porque quando você digita no navegador uma URL como “https://www.meusite.com.br”, para encontrar onde o site associado ao domínio “meusite.com.br” está hospedado e consequentemente, conseguir acessá-lo, é preciso saber o endereço IP do respectivo servidor.

Tecnicamente falando, os domínios não têm função no funcionamento de uma rede de computador. Os domínios e o DNS, foram criados para que as pessoas não tenham que memorizar um endereço da rede na forma de um IP, que tem a forma semelhante a 192.168.0.1, em cada que cada uma das quatro porções desse número (chamado de octeto) separado por pontos, pode assumir um valor entre 0 e 255.

Imagine ter que guardar endereços baseados em números como esse para cada site que acessa ou mensagem de e-mail que envia! E no caso, estamos tratando de um IPv4 (versão 4 do protocolo IP).

Nos casos em que se trata de um IPv6, o formato que ele pode assumir, assemelha-se à ‘2021:ad18:feed:b377:9889:a9e5:7030:bee4”.

Em outras palavras, o DNS é componente fundamental em qualquer acesso online.

O que é um filtro de DNS?

Ainda que resumidamente, acabamos de abordar o que é DNS, bem como sua importância no funcionamento da Internet na forma que a conhecemos e usamos, certo?

Mas e onde entra o filtro de DNS nisso tudo?

Se por um lado você não precisa conhecer todos os detalhes técnicos que envolvem o uso de DNS para usufruir de tudo que há na Internet, por outro, é altamente recomendável ter algumas noções básicas a respeito, se há preocupação com a segurança online.

Isso porque da mesma forma que os sites legítimos e seguros se servem do DNS para serem acessados, os falsos e fraudulentos, que escondem inúmeras e variadas ameaças online, como phishing por exemplo, também usam.

Sendo assim, um filtro de DNS, tal como o nome sugere, tem por papel selecionar / filtrar o que passa, o que é permitido acessar e o que não é. Ou seja, ele bloqueia ou retém o tráfego aos domínios e consequentemente, aos endereços IPs associados a conteúdo potencialmente nocivo ou malicioso.

Há diversas formas de se fazer isso, sendo que uma das mais comuns, é substituindo os endereços IPs do sistema de DNS do seu provedor de acesso à Internet (ISP), pelos IPs do serviço de filtragem.

A maioria dos provedores de acesso, simplesmente retorna o endereço IP do domínio solicitado, de forma que se um site foi invadido ou houve um clique em um link que oculta o download de um malware, o usuário terá sua segurança sob risco.

É nesse ponto que utilizar um serviço alternativo ao que é oferecido pelo seu ISP, pelo seu provedor de acesso à Internet, constituirá uma camada extra e importante às ameaças que determinados acessos podem representar ao usuário.

Como funciona um filtro de DNS?

Há particularidades em cada serviço existente e que distinguem uns dos outros, mas em linhas gerais, todos se baseiam em um mesmo princípio, que é não resolver um domínio para um IP que esteja associado a conteúdo potencialmente ou confirmadamente nocivo.

Ou seja, os filtros são seletivos, permitindo ou não o tráfego de dados para determinados domínios / endereços IP, com base em um conjunto de regras e em bancos de dados que reúnem informações sobre eles.

Quando a tentativa de acesso é feita e o endereço IP de destino consta de alguma das listas (phishing, malware, rede peer to peer, pornografia, rede social, etc), uma página informando o bloqueio é exibida e dependendo do caso, informações relativas ao motivo do bloqueio também constarão da página de bloqueio.

O tipo de mensagem / alerta, pode variar de acordo com o tipo de conteúdo associado, sendo que nas versões pagas, é possível personalizar a mensagem de bloqueio, de acordo com a categoria correspondente ao conteúdo, as quais podem ser:

  • Domínio que hospeda malwares (ex: trojan, ransomware, worn, keylogger, etc);

  • Site falso / fraudulento associado a crime cibernético (ex: roubo de dados);

  • Pornografia / conteúdo adulto;

  • Publicidade indesejada (adware);

  • Rastreamento de navegação / violação da privacidade;

  • Conteúdo relacionado com pirataria e violação de leis de proteção de direitos autorais e propriedade intelectual;

  • Redes peer-to-peer (ex: endereços de torrent).

Conforme já mencionamos, há diferenças de um serviço para outro, mas a maioria dos filtros mais populares e eficientes, são de empresas que têm algum nível de envolvimento com segurança digital e além de “apenas” filtrar o tráfego dos domínios, também podem oferecer alguns recursos adicionais, especialmente nas versões pagas do serviço:

  • Sites com conteúdo que podem afetar a produtividade, como redes e mídias sociais e jogos online;

  • Proteção avançada contra múltiplos tipos de ameaças digitais;

  • Monitora e registra os logs de acesso dos usuários, independentemente de onde eles estão se conectando com a Internet;

  • Proteção de dispositivos móveis (Android e iOS) em redes celulares 3G, 4G, 5G, LTE e Wi-Fi;

  • Configuração de whitelists;

  • Bloqueio de publicidade online para menor consumo de banda e carregamento mais rápido;

  • Criptografia dos dados trocados para maior segurança;

  • Atualização dos filtros por meio de inteligência artificial.

Os serviços costumam oferecer diferentes níveis de filtragem e assim, um acesso empresarial pode diferir de um acesso doméstico pelo fato do primeiro não permitir que redes sociais sejam acessíveis e no segundo, um controle dos pais para conteúdo impróprio para menores, ser necessário, por exemplo.

Há também os serviços gratuitos, que oferecem opções mais limitadas de filtragem, mas que algumas vezes podem ser suficientes ou melhores do que filtragem nenhuma. Caso necessário ou desejável, são disponíveis opções pagas e mais abrangentes e flexíveis.

Por que é importante usar um filtro de DNS?

A preocupação com a segurança online deve ser a principal prioridade das empresas, mas também dos usuários finais, já que a transformação digital tem feito com que as mais variadas situações ocorram na Web.

Em termos mais objetivos, instituir um filtro de DNS contribui para:

  • Política de segurança da empresa – constitui uma ferramenta de uma política de segurança em TI abrangente e mais robusta;

  • Proteção adicional – um filtro de DNS pode bloquear o acesso a sites conhecidos por conter malware, phishing ou outras ameaças, constituindo uma camada adicional de segurança, lembrando que embora essenciais, os antivírus não são 100% eficientes o tempo todo;

  • Controle – alguns filtros permitem controles mais personalizados, restringindo o acesso a determinados tipos de conteúdo, como sites inadequados (jogos online, redes sociais, etc), o que é especialmente útil em certas circunstâncias;

  • Desempenho – alguns serviços otimizam as consultas de domínio comparativamente aos servidores recursivos de DNS dos provedores de acesso, o que implica melhor desempenho na navegação;

  • Monitoramento – os serviços mais completos e as versões pagas, geralmente oferecem ferramentas para monitorar o uso da internet e gerar relatórios detalhados, o que é especialmente útil nas empresas, ao permitir identificar padrões e ajustar políticas de acesso;

  • Redução de vulnerabilidades – em combinação com outros recursos de segurança, um filtro de DNS reduz os riscos de exposição a ataques, como botnets, por exemplo.

Como usar a filtragem de DNS?

Aqui também é possível encontrar pequenas peculiaridades, no entanto, o que a maioria pratica, é fornecer endereços IPs de acordo com o serviço contratado – ou mesmo o gratuito – e que pode variar de acordo com o nível de filtragem que será exercido na rede.

Vale destacar que os passos para incluir a filtragem em cada rede, pode ser significativamente diferente e, portanto, não detalharemos o procedimento de inclusão dos IPs que correspondem ao serviço no modem, no roteador Wi-Fi ou outro equipamento da rede.

Para tanto, alguém habilitado e que tenha conhecimentos básicos de configuração do dispositivo de rede fornecido pelo ISP, bem como acesso ao mesmo, deverá realizar a inclusão / configuração.

No entanto, mesmo exigindo algum conhecimento e observadas as diferenças entre cada modelo de aparelho, o processo costuma ser rápido e simples.

Mas independente dos passos necessários para configurar o modem ou roteador, basicamente o processo consiste em trocar o IP do servidor recursivo de DNS do provedor de acesso à Internet, que por padrão vêm configurado como sendo do ISP, pelos IPs fornecidos pelo serviço usado.

É um processo muito semelhante ao que é feito quando se utiliza DNSs públicos, como do Google, por exemplo.

Note que diferentemente do que se faz quando se usa DNSs públicos em que se pode configurar cada máquina, a aplicação das configurações é feita no modem / roteador, justamente para que não se tenha que repetir o procedimento para muitos usuários – em casos de redes grandes – bem como garante que todos usuários sob a rede estarão sujeitos à política de filtragem do serviço.

Quais os melhores serviços de filtragem de DNS?

Essa é uma pergunta frequentemente feita por quem tem interesse ou necessidade nesse tipo de serviço.

Porém, objetivamente não é uma pergunta que possa ser respondida tão facilmente, visto que as necessidades variam, como os serviços também. Soluções que podem atender muito bem o ambiente doméstico ou mesmo de pequenas empresas, podem não ser as mais adequadas a uma grande corporação e vice-versa.

Fazer uma escolha com boa probabilidade de acerto, requer pesquisa, principalmente em termos de clientes com perfis semelhantes e que podem ser mais esclarecedoras e justas do que uma avaliação única, por mais técnica e isenta que seja.

Sendo assim, logo mais abaixo, fornecemos apenas algumas opções mais conhecidas e gratuitas, que podem servir como ponto de partida para seu posterior refinamento. Note que algumas são grátis por tempo limitado e para testes (trial) e outras são em caráter permanente, porém são mais restritas em termos de recursos que as versões pagas.

Por fim, mas não menos importante, a ordem que listamos os serviços é totalmente aleatória e, portanto, não reflete um ranking ou tem relação com a qualidade ou abrangência do serviço:

  • AgnerDNS – o primeiro nome da nossa lista, merece destaque e atenção, tanto pelo fato de ser uma solução brasileira, como pelo fato de oferecer bloqueio para anúncios, bets e cassinos online. O AgnerDNS também tem uma alternativa especialmente destinada a crianças, o que é ótimo no auxílio do controle parental. Vale a pena conferir:

    • DNS da AgnerDNS (Anúncio, Malware, Bets): 45.163.79.58 (primário) e 45.163.79.59 (secundário);

    • DNS da AgnerDNS (Anúncio, Malware, Bets): 45.163.79.60 (primário) e 45.163.79.61 (secundário);

  • Comodo – a filtragem de DNS da Comodo é gratuita e um dos serviços mais antigos disponíveis, sendo que a empresa também é conhecida por outras soluções em segurança digital:

    • DNSs do Comodo: 8.26.56.10 (primário) – 8.20.247.10 (secundário);

  • Quad9 – o serviço de DNS recursivo da Quad9 – mantido pela Fundação Quad9 Swiss – bloqueia as ameaças (malware, phishing, spyware e botnets) por meio de uma rede global e segura de servidores, bem como garante a privacidade dos usuários em conformidade com a GDPR:

    • DNSs do Quad9: 9.9.9.9 (primário) e 149.112.112.112 (secundário);

  • OpenDNS – o OpenDNS foi primariamente criado para ser uma alternativa de DNS público e que prometia alto grau de resolução e melhoria no desempenho, mas que posteriormente incluiu bloqueio de sites maliciosos, em particular os voltados ao phishing. Das soluções gratuitas, é o mais simples:

    • DNSs do OpenDNS: 208.67.222.222 (primário) e 208.67.220.220 (secundário);

  • CloudFlare – a Cloudflare é outro nome bastante conhecido e respeitado na área e que assim como o OpenDNS, também tem um DNS público com propósito semelhante (1.1.1.1 e 1.0.0.1) e que é bastante usado por famílias. Embora pouco divulgado, há também a variante para filtragem de malwares:

    • DNSs da Cloudflare: 1.1.1.2 (primário) e 1.1.1.2 (secundário);

  • CleanBrowsing – o CleanBrowsing serviço oferece três opções de filtragem gratuita: filtro familiar (bloqueia conteúdo adulto e sites de proxy e VPN que podem ser usados para burlar o bloqueio), filtro adulto (sem bloqueio de proxy e VPN) e filtro de segurança (phishing, spam, malware):

    • DNS da CleanBrowsing (filtro familiar): 185.228.168.168 (primário) e 185.228.169.168 (secundário);

    • DNS da CleanBrowsing (filtro adulto): 185.228.168.10 (primário) e 185.228.169.11 (secundário);

    • DNS da CleanBrowsing (filtro de segurança): 185.228.168.9 (primário) e 185.228.169.9 (secundário).

  • NextDNS – o filtro da NextDNS está disponível em versão trial, o que significa que o uso grátis é por tempo limitado, mas ao contrário de muitos do tipo, não requer um cadastro para dar acesso e usar no período de testes:

    • DNSs da NextDNS: 45.90.28.196 (primário) e 45.90.30.196 (secundário);

Conclusão

Ao mesmo tempo que a Internet proporciona vantagens inegáveis, também nos expõe a riscos reais e por essa razão, faz-se necessário adotar tantas camadas de proteção quanto for possível. Uma das mais simples e acessíveis, baseia-se em um dos pilares da própria Internet e que são os filtros de DNS.

Artigos relacionados

segurança cibernética
O que é spear phishing e como evitar essa ameaça digital?
MFA
O que é MFA? Como funciona e por que é importante?
WordPress
Os 5 melhores plugins de segurança para WordPress

Comentários ({{totalComentarios}})