Nell'era in cui tutti sanno cos'è una VPN sono ancora in pochi a conoscere il funzionamento di uno Smart DNS. In questo articolo scopriamo il servizio proposto da Control D, vediamo quali sono le sue notevoli applicazioni e i vantaggi rispetto ad una VPN.
Questo articolo NON è in alcun modo sponsorizzato o affiliato con la società che gestisce il servizio. L'autore disprezza i contenuti commerciali spacciati per articoli tecnici, recensioni o approfondimenti.
Introduzione
Il sistema DNS (o 'server DNS') si occupa tradizionalmente di convertire i nomi di dominio (come turbolab.it) in indirizzi IP (come 95.141.32.225). Ogni fornitore di servizi internet fornisce questo servizio indispensabile per poter navigare sul web, ma sono in molti ormai ad aver optato per servizi alternativi.
Nel tempo hanno preso piede i sistemi DNS di tipo filtrante, utilissimi per combattere la pubblicità online o per impedire l'accesso ad intere categorie di siti. Un servizio gratuito come AdGuard DNS è consigliato a tutti perché permette con un semplice accorgimento di avere un ottimo risultato.
Il sistema ancor più evoluto potremmo chiamarlo sistema DNS di tipo dirottante, formalmente detto Smart DNS. Grazie ad esso potrai aumentare la tua privacy in rete e geolocalizzarti in maniera diversa da quella reale: potrai fingere di essere un americano su Netflix mentre sei un indiano su Youtube.
Il sistema Filtrante è gratuito
Control D è un servizio DNS promosso dalla stessa società canadese di Windscribe VPN. E' disponibile in due versioni: quella gratuita filtrante e quella a pagamento dirottante.
Per quanto concerne le funzionalità gratuite, la pagina dedicata del servizio permette di scegliere tra i seguenti filtri che possono anche essere combinati tra loro:
- Filtro anti malware
- Filtro pubblicitario e sistemi di profilazione
- Filtro social network
- Filtro famiglia
- Filtro anti governativo
Control D mette a disposizione sia una coppia di indirizzi di server DNS classici (non cifrati) che moderni indirizzi sicuri DoH (DNS over HTTP) o DoT (DNS over TLS). Questi indirizzi si possono impiegare sul router ADSL, sul sistema operativo o sul singolo browser.
» Leggi: Come attivare il DNS over HTTPS (DoH) in firefox, chrome, opera e edge
» Leggi: Privacy con Windows 11: come attivare DNS over HTTPS (DoH) e nascondere i siti visti al lavoro
Il sistema avanzato è a pagamento
Il servizio a pagamento, che in versione completa per privati costa 4$ al mese o 40$ all'anno, non prevede alcuna modalità di prova gratuita. E' ricco di funzioni di cui voglio dare una sintesi:
- Profili di filtraggio: crea i tuoi set di regole di filtraggio (ad es. 'Casa', 'Lavoro' e 'Protezione Minori')
- Dispositivi (filtrati): ad ogni dispositivo assegna un indirizzo DNS univoco al quale imporre un profilo di filtraggio.
- Filtri: sono categorie di siti che si possono bloccare (pubblicitari, siti per adulti, scommesse, ..)
- Servizi (frequenti): sono singoli siti (Youtube, Paramount+, Disney+, ..) che si possono bloccare, escludere dal filtraggio o dirottare.
- Regole personalizzate: indica manualmente i domini e come vanno gestiti.
- Statistiche avanzate: tieni traccia dei siti visitati.
Come funziona il dirottamento
Per comprendere meglio come funziona un DNS dirottante all'opera e verificare il suo effettivo funzionamento, è possibile usare la Powershell di Windows.
Con il comando Resolve-DnsName -Name youtube.com -Server 1.1.1.1 è visibile la risoluzione standard del dominio di Youtube.
Il comando Clear-DnsClientCache serve a cancellare la cache dei nomi di dominio, ovvero i domini già risolti e salvati in memoria. Questo comando è molto utile se i DNS di Control D sono stati abilitati da poco o se sono appena state cambiate le regole di filtraggio.
Anche nei browser esiste la cache. Su Firefox essa va svuotata dalla pagina about:networking#dns, mentre per Chrome la pagina è chrome://net-internals/#dns
Con il comando Resolve-DnsName -Name youtube.com il sistema operativo risolve il dominio usando i DNS predefiniti del sistema, quelli di Control D in questo caso, in cui è attivo il dirottamento.
Come si vede, viene fornito un IP canadese riferito al servizio DNS stesso: si tratta del punto di ingresso (entry point) alla rete di proxy server del servizio. Il punto di uscita (exit point) con il suo IP dipenderà dal paese di destinazione scelto e non è visibile all'utente nemmeno cercando di tracciare il percorso delle connessioni (traceroute). Dal lato opposto, Youtube vede solo l'IP del punto di uscita e non può risalire all'utente: i proxy server non sono trasparenti.
Scenari d'uso tipici
Per capire meglio come usare il servizio, ecco alcuni esempi:
Proteggere l'intera rete
Se a casa voglio usare Control D per tutta la mia rete, mi basta creare il profilo 'Casa' e aggiungere il dispositivo 'Router'. Nel profilo di filtraggio andrò a bloccare la pubblicità, i siti pericolosi e quelli per adulti. Nel router va impostato l'indirizzo (DoH o DoT) personalizzato fornito da Control D (del tipo https://dns.controld.com/abcdefghi oppure abcdefghi.dns.controld.com).
I modem 'da lancio' degli operatori internet non supportano i DNS cifrati: falli volare dalla finestra
Niente pubblicità su Youtube
Questo trucco è particolarmente utile per combattere la pubblicità iniettata nei filmati (server side ads), per le Smart TV o altre situazioni in cui non è possibile utilizzare dei filtri software come le estensioni dei browser (ad es. uBlock origin).
Sul profilo di filtraggio attiva i filtri pubblicitari e sul 'servizio' Youtube, specifica che lo vuoi dirottare verso l'Albania o uno dei paesi in cui la monetizzazione per gli Youtuber non è attiva.
Proteggere solo un browser
Aggiungi un 'dispositivo filtrato' su Control D, scegli il browser da proteggere (Firefox, Chrome, Edge, ...) e imponi un set di regole per esso. In questo caso il DNS sicuro andà impostato nel browser.
Aiuta un amico
I dispositivi che aggiungi sul tuo account Control D possono anche essere di qualcun altro: l'importante è che ciascun dispositivo abbia il suo esclusivo indirizzo DoH. Paradossalmente singoli dispositivi (come i Router) possono a loro volta servire intere reti. Confesso che non mi sono chiari i limiti di utilizzo.
Accedere ad un sito bloccato
Per accedere dall'italia ad un sito bloccato o geo-restrittivo serve una regola personalizzata (o un servizio) con dirottamento (redirect) attivo. Il dirottamento è efficace anche per siti bloccati tramite blocco DNS o blocco IP, tuttavia non è efficace in reti aziendali dotate di DPI (deep packet inspection).
I siti geo-restrittivi possono comunque rilevare che la connessione proviene da un server e non da un'abitazione.
Nascondere l'IP di navigazione
Grazie alla regola predefinita, puoi scegliere di dirottare tutti i siti che visiti, quindi essi non vedranno il tuo vero IP, ma quello di uno dei tanti proxy server che lavorano 'dietro le quinte' di Control D.
I siti tuttavia potrebbero capire che stai usando un proxy.
Meglio una VPN?
Il confronto con una VPN è inevitabile a questo punto.
Vantaggi rispetto ad una VPN
- Il DNS (classico) è modificabile con facilità su qualsiasi dispositivo con minimo sforzo
- Non sono necessari programmi da installare o connessioni da avviare
- Dirotta solo i siti e i servizi che vuoi (o che devi), naviga tranquillo sugli altri
- E' possibile avere fino a 100 dispositivi filtrati ad un costo irrisorio
- Puoi differenziare le regole di geolocalizzazione per ogni singolo sito
Svantaggi rispetto ad una VPN
- E' utilizzabile solo per il traffico web
- Non cifra tutto il traffico web
- Minore anonimato
- Non tutti i dispositivi supportano i DNS cifrati
- Le connessioni sono più lente perché fanno sempre più passaggi
Conclusioni
Il potenziale di uno Smart DNS è enorme, l'unico vero limite è che per ora è a pagamento. Siccome già esistono molte VPN gratuite, arriveranno servizi gratuiti: il successo è assicurato.
» Leggi: Cloudflare WARP: VPN gratuita per tutti a traffico illimitato
Un servizio del genere potrebbe permettere a chiunque di accedere a qualsiasi sito bloccato o geo-restrittivo e con qualunque dispositivo, senza installare nulla e senza influire in alcun modo sulla navigazione sul resto del web. La navigazione inoltre verrebbe resa più veloce e sicura grazie al filtro pubblicitario, alla protezione anti-tracciamento e alle categorie di siti bloccati.
Il bello di questa tecnologia? Soddisfa l'utente ed è facile da usare
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]