No dia primeiro de Abril de 2018 a Cloudflare, respeitada empresa fornecedora de serviços para quem mantém servidores na Internet, lançou um novo servidor DNS público acessível mundialmente, o 1.1.1.1 e isso tem dado o que falar.
Desempenho
Na lista do DNSPerf o servidor já consta em primeiro lugar, desde seu lançamento. Claro que ainda é cedo para dizer pois o número de usuários deve aumentar nos próximos dias, o que deve exigir cada vez mais da infraestrutura deste novo servidor DNS.
O pesquisador Nykolas Z publicou alguns testes, que apontaram diferentes resultados dependendo da região de origem das requisições DNS. Da única cidade brasileira testada, São Paulo, o tempo de resposta do 1.1.1.1 foi de apenas 2.71 milissegundos, aproximadamente 75% mais rápido que o segundo colocado no teste. Veja os resultados:
- CloudFlare 2.71 ms
- CleanBrowsing 12.00 ms
- Google_DNS (o famoso 8.8.8.8) 29.71 ms
- Norton_DNS 114.71 ms
- Quad9 114.71 ms
- Comodo_DNS 129.85 ms
- OpenDNS 213.14 ms
- Yandex_DNS 238.14 ms
No Brasil os usuários utilizam por padrão o servidor DNS fornecido por seus provedores (NET Virtua, Oi Velox, Speedy, BRT Telecom, etc), que são hospedados tem território nacional e, em teoria, deveriam fornecer uma resposta mais rápida. No entanto, não foi o que encontrei nos meus testes com o DNS da NET 181.213.132.2, que se mostrou quase 5 vezes mais lento que o novo 1.1.1.1 da Cloudflare, como mostra a imagem abaixo:
Claro que o meu teste foi muito simples, mas o repeti várias vezes com domínios diferentes e os resultados foram similares. Se você é cliente de outro provedor, faz o teste e comenta aqui o que achou.
Configuração
Já bateu a vontade de configurá-lo no seu ambiente? Calma, vamos analisar as opções: se você utiliza um modem ADSL ou à cabo, pode querer configurar diretamente lá. Neste caso você vai precisar buscar no manual do seu modem a configuração normalmente chamada de WAN (Wide Area Network) e fixar os seguintes endereços DNS (se houver os campos abaixo):
Servidor DNS primário (IPv4): 1.1.1.1
Servidor DNS secundário (IPv4): 1.0.0.1
Servidor DNS primário (IPv6): 2606:4700:4700::1111
Servidor DNS secundário (IPv6): 2606:4700:4700::1001
Você também pode configurar o DNS do Google por exemplo (8.8.8.8) para ser o secundário. Assim, se houver algum problema com a infraestrutura do 1.1.1.1, você tem uma redundância de um servidor de outra empresa completamente diferente. Fica a seu critério.
Pode ser que você encontre um desafio na configuração do modem. No meu caso aqui com um modem vagabundo da HUMAX fornecido pela NET eu só consigo fixar o DNS se fixar também o IP da rede WAN, o que naturalmente não posso fazer, já que meu plano não contempla um IP fixo.
Infelizmente fiquei sem opção e tive que configurar o DNS em todos os meus dispositivos manualmente (as instruções variam para cada sistema operacional mas você está convidado a pedir ajuda em nosso fórum se precisar).
Segurança
DNS em si nunca foi seguro, mas o 1.1.1.1 oferece duas opções para encriptar as consultas e respostas: DNS sobre HTTPS ou sobre TLS, apesar de poucos clientes suportarem tais recursos por enquanto. Quanto à privacidade, a Cloudflare garante que as consultas DNS nunca são registradas e os outros logs do servidor são excluídos a cada 24 horas. Num blogpost sobre o assunto, o fundador e CEO da Cloudflare Matthew Prince disse inclusive que contratou a KPMG, uma das maiores empresas de auditoria do mundo, para auditar os servidores afim de garantir que nenhuma informação fica registrada em seus servidores.
O 1.1.1.1 protege contra sites maliciosos?
Não. Diferentemente de servidores DNS como o OpenDNS (208.67.222.222 e 208.67.220.220) ou o Norton ConnectSafe, que oferece até modalidades de bloqueio que incluem pornografia, o 1.1.1.1 da Cloudflare não faz nenhum tipo de bloqueio, assim como o famoso 8.8.8.8 do Google.
Recomendação
Minha recomendação varia de acordo com o tipo de usuário.
Para técnicos e analistas que precisam acessar sites maliciosos, recomendo testar o 1.1.1.1.
Para usuários finais, recomendo escolher entre OpenDNS ou Norton ConnectSafe. Não são tão rápidos quando o 1.1.1.1, mas oferecem um nível básico de proteção contra ameaças.
Para administradores de rede, uma solução interessante é o projeto brasileiro CleanDNS, que dá maior controle do que bloquear para os usuários, oferece cache e tudo mais.
Não recomendo a ninguém utilizar os DNS nativos das operadoras. Além de lentos em sua maioria, há casos de comprometimento que levaram clientes a acessarem sites maliciosos. Todo cuidado é pouco!
Edited by Fernando Mercês
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.