DNS užkarda
DNS užkarda – tai nemokama vieša DNS paslauga su papildoma saugos funkcija. Nuo įprastos domeno vardų sistemos (angl. Domain Name System, DNS) ji skiriasi tuo, kad joje yra įdiegta papildoma apsauga nuo kibernetinių grėsmių, tokių kaip netikros bankų svetainės, nesąžiningos prekybos platformos, kenkimo kodą platinančios svetainės ir kitos NKSC patvirtintos žalingos svetainės.
Kibernetinio sukčiavimo atvejų skaičiui kasmet augant, gyventojams ir organizacijoms siūlome pasinaudoti nemokamu įrankiu - DNS užkarda - kurią aktyvavus, įrenginio naudotojas negalės pasiekti NKSC žinomų žalingų interneto resursų. Tai reiškia, kad net ir paspaudus ant sukčių atsiųstos nuorodos, naudotojas nepatirs žalos, nes kenkėjiškas adresas bus blokuojamas, o naudotojas bus apie tai informuotas.
Kas gali naudotis DNS užkarda
Naujasis įrankis yra nemokamas ir juo gali naudotis visi Lietuvos interneto naudotojai ir organizacijos savo įrenginiuose pasirinkę šios paslaugos DNS nustatymus.
Kaip veikia DNS užkarda
Įprasti rekursiniai DNS serveriai (Google, Cloudflare, OpenDNS ar Jūsų interneto paslaugų teikėjo) yra skirti priimti naudotojų užklausas į domenus ir susieti jas su konkrečiais IP adresais, t. y. nukreipti į užklausoje nurodytus interneto išteklius (1 pav.).
1 pav. Užklausos į žalingą svetainę apdorojimas naudojant įprastą rekursinį DNS serverį
Tuo tarpu DNS užkarda turi papildomą saugos funkciją, todėl ne tik apdoroja užklausas, nukreipdama naudotojus reikiamais IP adresais, bet pirmiausiai patikrina, ar interneto adresas nėra įtrauktas į NKSC žinomų žalingų interneto resursų sąrašą. Jeigu adresas yra sąraše, naudotojui yra blokuojama prieiga prie kenkėjiško turinio ir naudotojas apie tai informuojamas (2 ir 3 pav.).
2 pav. Užklausos į žalingą svetainę apdorojimas naudojant DNS užkardą
3 pav. Informacinis panešimas, kuriame nurodoma tinklalapio blokavimo priežastis
Žalingomis svetainėmis laikomos:
- svetainės ir (ar) interneto ištekliai, kurie yra naudojami sukčiavimui ir kitiems neteisėtiems būdams surinkti informaciją (smishing, phishing, spear phishing, fraud, pan.);
- užvaldytos svetainės ir jų ištekliai;
- svetainės ir (ar) ištekliai, platinantys kenkimo kodą ir (ar) naudojami siekiant kontroliuoti kitas kibernetines atakas;
- teismo sprendimu blokuojami ištekliai. Už jų blokavimą yra atsakingos kompetentingos institucijos: Lietuvos Policija, Lošimų priežiūros tarnyba, Lietuvos bankas, Lietuvos radijo ir televizijos komisija, Valstybinė vartotojų teisių apsaugos tarnyba, Narkotikų, tabako ir alkoholio kontrolės departamentas.
DNS užkarda blokuoja visas aukščiau išvardintų žalingų svetainių tipus (4 pav.) ir taip pat užtikrina įprastas funkcijas, tokias kaip:
- DNS ryšio šifravimas DoH (angl. DNS over HTTPS) ir DoT (angl. DNS over TLS). DNS užklausos yra šifruojamos, o tai padeda užtikrinti didesnį privatumą.
- Papildoma apsauga nuo DNS užklausų falsifikavimo DNSSEC (angl. DNS Security Extensions). DNSSEC naudoja skaitmeninius parašus, kad išvengtų galimų DNS saugumo pažeidžiamumų, kai bandoma klastoti interneto adreso paskirstymą.
Pavadinimas | Adresai | Teikiamos paslaugos |
---|---|---|
DNS užkarda | 91.207.154.1, 91.207.155.1, doh.domreg.lt | + visų 4 kategorijų žalingų svetainių tipų blokavimas +DoH (DNS over HTTPS) +DoT (DNS over TLS) +DNSSEC |
4 pav. DNS užkardos paslaugos
Tais atvejais, kai žalinga svetainė ar interneto išteklius naudoja HTTPS protokolą, DNS užkardos naudotojas matys sertifikato klaidą arba naršyklės gamintojo saugos pranešimą (5 pav.).
5 pav. Informaciniai panešimai, kuriuose nurodoma, kodėl HTTPS protokolą naudojantis interneto išteklius nėra pasiekiamas
Kaip aktyvuoti DNS užkardą
DNS užkarda gali naudotis bet kuris interneto naudotojas Lietuvoje, pakeitęs įrenginio nustatymus.
DNS užkardos IP adresai yra: 91.207.154.1, 91.207.155.1, doh.domreg.lt
Instrukcijos, kaip pakeisti kai kurių įrenginių nustatymus:
Operacinės sistemos "Windows 11" nustatymų keitimas (LT)
Operacinės sistemos "Windows 10" nustatymų keitimas (LT)
Operacinės sistemos "Windows 10" nustatymų keitimas (EN)
Operacinės sistemos "iOS" nustatymų keitimas
Operacinės sistemos "MacOS" nustatymų keitimas
Operacinės sistemos "Android" nustatymų keitimas
Apple įrenginių DNS užkardos ir DoH nustatymas
DoH funkcionalumo nustatymas interneto naršyklėse
Įrenginyje aktyvavus DNS užkardos nustatymus, blokuojamų interneto adresų sąrašas atnaujinamas automatiškai, NKSC papildžius žalingų adresų sąrašą.
Technologinį DNS užkardos sprendimą sukūrė ir palaiko Kauno technologijos universiteto Interneto paslaugų centras (DOMREG), administruojantis .lt aukščiausio lygio domeną ir valdantis su juo susijusią domenų vardų sistemą (DNS).
Nei NKSC, nei DOMREG įrankį aktyvavusių naudotojų informacijos nerenka ir niekaip naršomo turinio nestebi, sistema tik automatiškai blokuoja žinomus žalingus interneto adresus.
Įrenginio naudotojas gali bet kada atsisakyti DNS užkardos paslaugos.
DĖMESIO! DNS užkardos naudotojas, nusprendęs naudoti šį įrankį, supranta ir sutinka, kad gali pasitaikyti klaidingų (angl. false-positive) atvejų, kai interneto svetainė bus blokuota per klaidą. NKSC, sužinojęs apie tokį atvejį, kaip įmanoma skubiau reaguoja ir šalina neatitikimus. DNS užkarda negarantuoja, kad visos žalingos svetainės bus blokuojamos.
Ką daryti, jei Jūsų svetainė blokuojama
DNS užkardos naudotojas ar interneto svetainės savininkas, pastebėjęs klaidingai blokuojamą interneto svetainę, apie tai turi pranešti NKSC el. paštu [email protected]. NKSC darbuotojai įvertins pateiktą informaciją ir per kiek įmanoma trumpesnį laiką informuos paklausėją apie tolimesnius veiksmus:
- jei svetainė į blokuojamų domenų sąrašą pakliuvo per klaidą, ji bus nedelsiant pašalinta ir apie tai bus informuotas paklausėjas. Dėl DNS užkardos veikimo principų domeno šalinimo laikas ir domeno neblokavimo laikas gali skirtis, bet jis neturėtų būti ilgesnis nei 1 val.;
- jei adresas į blokuojamų domenų sąrašą pateko dėl žalingos ir (ar) kenkimo veikos, svetainės savininkas privalo pašalinti ten esantį žalingą kodą ir apie tai informuoti NKSC el. paštu [email protected]. NKSC darbuotojai įvertins pateiktą informaciją ir priims sprendimą, ar šalinti domeną iš sąrašo. Apie sprendimą informuos paklausėją.
Apie žalingas svetaines NKSC informuoja svetainės prieglobos paslaugos (angl. hosting) teikėją ir svetainės savininką, jei žinomi jo kontaktai.
Kaip pranešti apie žalingą svetainę
Dažniausiai užduodami klausimai apie DNS užkardą
1. Kokias svetaines blokuoja NKSC siūloma DNS užkarda?
NKSC ir KTU DOMREG sukurta DNS užkarda blokuoja NKSC žinomus žalingus interneto resursus, tokius kaip interneto svetainės, skirtos duomenų viliojimui, nesąžiningai prekybai, kenksmingo programinio kodo platinimui, užvaldytas svetaines ir teismo sprendimu blokuojamas svetaines.
2. Kaip NKSC sudaro DNS užkardos blokuojamų domenų sąrašą?
Šį sąrašą NKSC sudaro remdamasis gautais pranešimais apie pastebėtą žalingą veiklą, taip pat automatinėmis priemonėmis surenkamais duomenimis ir teismo sprendimais dėl blokuojamų išteklių. Visi atvejai yra patikrinami NKSC specialistų.
3. Ar DNS užkarda patikimesnė, nei interneto tiekėjų taikomos apsaugos sistemos?
Interneto paslaugų tiekėjai blokuoja tik teismo sprendimu paskelbtus žalingus išteklius, kuriuos blokuoti nurodo šešios atsakingos institucijos: Lietuvos Policija, Lošimų priežiūros tarnyba, Lietuvos bankas, Lietuvos radijo ir televizijos komisija, Valstybinė vartotojų teisių apsaugos tarnyba, Narkotikų, tabako ir alkoholio kontrolės departamentas.
Tuo tarpu NKSC siūloma DNS užkarda blokuoja ne tik teismo sprendimu blokuojamus išteklius, bet ir NKSC žinomas svetaines ir (ar) interneto išteklius, kurie yra naudojami sukčiavimui ir kitiems neteisėtiems būdams surinkti informaciją (angl. smishing, phishing, spear phishing, fraud ir pan.), užvaldytas svetaines ir jų išteklius, svetaines ir (ar) išteklius, platinančius kenkimo kodą (virusus) ir (ar) naudojamus siekiant kontroliuoti kitas kibernetines atakas.
4. Kuo skiriasi NKSC siūloma DNS užkarda nuo kitų viešai prieinamų panašių įrankių?
NKSC DNS užkarda nuo kitų viešai pasiekiamų panašių įrankių skiriasi operatyvumu ir aktualumu Lietuvos interneto naudotojams, nes NKSC fiksavus naują žalingą interneto resursą, jis per kelias minutes yra įtraukiamas į DNS užkardos blokuojamų domenų sąrašą. Tai leidžia įrankį aktyvavusiems asmenimis įgyti apsaugą nuo naujausių kibernetinių sukčių naudojamų resursų. Taip pat, NKSC siūlomoje DNS užkardoje yra naudojamas DNS ryšio šifravimas (angl. DNS over HTTPS (DoH) ir DNS over TLS (DoT)), kuris leidžia naudotojams turėti daugiau privatumo.
5. Ar įsidiegus DNS užkardą, kas nors galės sekti mano veiksmus internete?
Įdiegus NKSC DNS užkardą, naudojančią DNS ryšio šifravimą, yra užtikrinamas didesnis privatumas, todėl sumažėja tikimybė kam nors sekti Jūsų veiksmus internete.
Taip pat norime pabrėžti, kad NKSC tik teikia blokuojamų žalingų svetainių ir (ar) jų išteklių sąrašą, o DNS funkcionalumą ir administravimą užtikrina DOMREG. Nei NKSC, nei DOMREG įrankį aktyvavusių naudotojų naršomo turinio nestebi.
6. Kokia informacija kaupiama užkardoje?
6.1. Kaupiama bendrinė agreguota statistinė informacija:
6.1.1. Užklausų skaitikliai, saugant kiek požymius atitinkančių užklausų gauta per 1 min. laiko intervalą.
Požymiai:
- bendras užklausų skaičius
- užklausų skaičius pagal IP protokolo versiją (v4 ar v6)
- užklausų skaičius pagal užklausos tipą (QTYPE, pvz. A, MX, TXT)
- užklausų skaičius pagal protokolą (UDP, TCP, TLS)
- užklausų skaičius, atitikusių žalingų svetainių vardus
6.1.2. Atsakymų skaitikliai, saugant kiek požymius atitinkančių atsakymų išsiųsta per 1 min. laiko intervalą.
Požymiai:
- bendras atsakymų skaičius
- atsakymų skaičius pagal atsakymo kodą (RCODE, pvz. SERVFAIL, NXDOMAIN)
6.1.3. Unikalių užklausas siunčiančių IP adresų skaitikliai:
Požymiai:
- iš kiek unikalių IP adresų gauta užklausų per 1 min. laiko intervalą
- iš kiek unikalių IP adresų gauta užklausų per 1 paros laiko intervalą
6.2. Kaupiama informacija kibernetiniam saugumui ir paslaugos pateikiamumui užtikrinti (saugoma vieną (1) mėnesį, senesnė pašalinama automatizuotu būdu):
- Aktyviausių IP adresų, siuntusių daugiausia užklausų per 1 min. laiko intervalą, 100-tukas
- Aktyviausiai užklaustų vardų 100-tukas per 1 min. laiko intervalą
Konkrečių DNS užklausų žurnaliniai įrašai nėra renkami.