Introduzione al Domain Name System

Il Domain Name System (DNS) è un servizio essenziale per il corretto funzionamento di Internet. Quando il DNS o una parte di esso fallisce, Internet smette di funzionare o parte dei suoi servizi vengono interrotti. Nonostante il suo ruolo critico, il sistema DNS è poco noto al grande pubblico e spesso sottovalutato o dato per scontato persino dai tecnici. Se il sistema "si rompe" per qualsiasi motivo, Internet o una sua porzione si blocca di conseguenza.

Il DNS è un sistema distribuito, basato su molte macchine che collaborano per tradurre nomi di dominio, leggibili per l’essere umano (ad esempio, example.com), in indirizzi IP (es. 93.184.216.34) e viceversa. Usare direttamente un indirizzo IP per collegarsi a un server (web, posta elettronica o altro) sarebbe poco utile né pratico per l'utente finale. Tuttavia, Internet si basa su indirizzi numerici per stabilire connessioni: un nome per la rete, quindi, non è utile finché il DNS non lo converte in un numero.

In maniera semplificata, il DNS funziona come una rubrica telefonica: fornito un nome, restituisce un numero; fornito un numero, restituisce un nome. L’architettura complessiva del sistema, però, non è qui approfondita. Ciò che è essenziale per l’utente è comprendere quali informazioni il "proprio" DNS, di norma fornito dall'ISP, fornisce in base alle richieste che l’utente gli presenta.

Un utente medio difficilmente nota le interrogazioni DNS avvenire; esse sono invisibili. Quando un browser richiede di collegarsi a un sito come example.com, il sistema interroga automaticamente il DNS per ottenere l’indirizzo IP corrispondente.

La struttura del sistema DNS

Per far funzionare il sistema a livello globale esiste un'architettura di server DNS specializzati, che si scambiano informazioni per permettere al DNS dell'utente, in genere fornito dall'ISP, di rispondere correttamente. Alla fine della catena ci sono i cosiddetti "authoritative nameserver", che dispongono della risposta ufficiale e rispondono direttamente agli utenti per i domini a loro carico.

Originariamente il DNS permetteva la traduzione di nomi in numeri e viceversa; oggi, il sistema offre molto di più. Tra le principali informazioni che fornisce, senza però essere esaustivo, si citano:

I nomi di domini locali possono essere gestiti internamente tramite un proprio server DNS. Ciò serve a interrogare i principali server esterni come necessario, ma permette anche di gestire nomi locali specifici (es. stampante2.qualcosa.lan) associati a IP interni del proprio ambiente di rete.

DNS e utenti domestici

Nel caso dell’utente domestico, i modelli di router o modem forniti dall’ISP sono generalmente configurati con due o più server DNS, per una maggiore ridondanza. Questi server traducono i nomi in IP e viceversa, e permettono all’ISP di tracciare[¹] le richieste effettuate dal vostro dispositivo. I router, inoltre, forniscono le informazioni DNS ai dispositivi connessi, in genere reindirizzando le domande verso i DNS forniti dall’ISP.

I router di molte tipologie consentono all’utente di modificare questa configurazione, scegliendo quindi di interrogare server DNS diversi da quelli predefiniti dall’ISP. I DNS pubblici accessibili sono facilmente individuabili tramite i motori di ricerca più diffusi; è possibile configurare il proprio router per inoltrare le richieste verso quei server specifici.

Comunque, molti dispositivi e software, soprattutto su smartphone, ignorano le impostazioni DNS definite a livello di router e interrogheranno invece i server preferiti dalle "solite Big Tech". Questo significa che, nonostante le vostre scelte, aziende di grandi dimensioni potrebbero comunque tracciare[¹] le vostre domande DNS, a meno che non adottiate soluzioni specifiche.

Cambiare il DNS per aumentare la privacy

Cambiare i server DNS del router fornito dall’ISP è generalmente un’operazione semplice e fattibile, persino per un utente domestico. Esistono molteplici DNS pubblici e trasparenti, che sono facilmente localizzabili online.

Tuttavia questa operazione non garantisce automaticamente una privacy totale. Anche operatori di questi server DNS esterni potrebbero, in conformità con i loro termini di servizio, registrare le vostre interrogazioni. Molti di loro affermano di mantenere i log soltanto per motivi tecnici (es. un periodo di 24 ore), ma è difficile verificare in modo concreto tali affermazioni.

Problemi con i dispositivi intelligenti e i DNS preferiti

Evitare che determinati dispositivi interroghino i DNS preferiti da Big Tech è una sfida più raffinata. Nonostante il router sia configurato con un servizio DNS diverso, alcuni dispositivi potrebbero comunque contatto diretto con server DNS specifici.

Per risolvere questa problematica, è necessario implementare soluzioni avanzate, come l'inoltro (o redirezione) delle richieste verso un firewall interno o esterno. Questo tipo di controllo, noto come "destination.nat", è complesso da gestire e richiede competenze tecniche avanzate.

DNS over TLS e sicurezza

Un protocollo innovativo e sempre più adottato è il "DNS over TLS" (DoT), che crittografa le richieste DNS, rendendole così più sicure ma anche più difficili da controllare in maniera tradizionale. Redirigere le interrogazioni DNS che utilizzano questo protocollo risulta complicato.

Quando il protocollo DoT fallisce o non è supportato, i device ricorrono alle richieste DNS tradizionali. Per chi desidera massimizzare la sicurezza, un’opzione seria è aggiungere al proprio firewall una regola che blocca chiaramente il canale UDP 853 (che utilizza TLS), assicurando che vengano esclusi tutti i tentativi di accesso crittografato non voluti.

DNS over HTTPS: quando la crittografia si nasconde

Più raffinata, e al tempo stesso più ostica da controllare, è la crittografia DNS over HTTPS (DoH). Questo protocollo si mimetizza come traffico Web regolare, rendendo estremamente difficile, se non impossibile, la gestione da parte del firewall. Il traffico relativo al DNS attraverso HTTPS non può essere intercettato o r