AdGuard Home – DNS server a filter

Jako doplněk zabezpečení domácnosti lze použít mnoho způsobu. Jako jeden z nich může dobře posloužit filtr na bázi DNS serveru. Již jsem tu psal o aplikaci NXfilter která je velmi dobrá ve firemním prostředí. Na doma jsem si ale představoval mnohem jednoduší aplikaci která bude primárně blokovat škodlivé stránky a reklamy již na úrovni DNS a v které nepotřebuji pokročilé funkce jako připojeni k AD/LDAP, uživatele a mnoho jiných.

Nakonec jsem našel AdGuard Home který má aplikaci i pro můj NAS Asustor. Balíčky má však i pro linux (x86, ARM, Mips). Jde o OpenSource free aplikaci která vytváří DNS server s možností filtrování dotazů. Výhoda je možnost nastavitelných filtrů pomocí odkazu k veřejným filtrům. Ty pak AdGuard v nastaveném intervalu aktualizuje.

Proč právě DNS filtr může být užitečný nástroj ochrany domácnosti?
Není vázán na operační systém nebo HW.
Většina dnešních škodlivých programů používá DNS.
Je velice rychlí s minimálními nároky na výkon. Filtruje se totiž pouze DNS jméno, nemusí se tedy aktivně analyzovat obsah paketů.
Funguje i na HTTPS provozu.
V rámci cache nebo pernament cache může zrychlit dotazování na DNS servery (z klasických 10-20ms na rychlost lokální sítě pod 1ms)
Může blokovat reklamy nebo sledování pomocí DNS aniž by jste si do prohlížeče zařízení cokoliv instalovaly.

Samozřejmě nemůže zastavit všechny pokusy o útok nebo sledování a měl by sloužit jako doplněk k dalším způsobům zabezpečení.

Po instalaci (manuál na GitHubu) na Vašem zařízení AdGuard naslouchá na portu 8000 (pozor, na Asustoru v Dockeru je to s nějakého důvodu 8080). Porty je možné v úvodní stránce upravit.

Po přihlášení a změně dočasného hesla je možno přistoupit ke konfiguraci. Ta se musí provést ve dvou krocích. Jednak nakonfigurovat samotný AdGuard a poté nakonfigurovat zařízení nebo síť kterou chcete chránit.

Na úvodní stránce jsou statistiky blokování a klientů využívajících služeb DNS serveru. V horní liště pak najdete přístup k nastavení.

Interval aktualizace filtrů můžete zkrátit ale 24h by měl byt dostačující. V rámci obecných nastavení bych doporučoval ponechat aktivní „bezpečné prohlížení“. Pokud máte dostatek prostoru je vhodné logy skladovat aspoň 30 dní popřípadě déle.

Nastavení DNS můžete upravit dle své volby. Pokud chcete zvýšit bezpečnost, je možné nastavit DNS over HTTPS (DOH) nebo DNS over TLS (DOT). Ty sice nezaručí plnou anonymitu (koncový DNS server stále vaše požadavky zná a může je ukládat atd) ale mohou bezpečnost zvýšit. Požadavky na DNS pak poputují zapouzdřeny do rámců HTTPS nebo se šifrují přes TLS a nikdo až na koncový DNS server je nebude moc přečíst. Vice v oficiální dokumentaci.
Doporučuji servery CZ.nic, cloudflare.com nebo google.com
tls://odvr.nic.cz
https://dns.cloudflare.com/dns-query
https://dns10.quad9.net/dns-query
https://dns.google/dns-query
tls://dns.google

Dále bych doporučil nechat „optimalizace vyvážení“. Je zde spousta dalších nastavení pro optimalizaci viz dokumentace.

Je vhodné nastavit nějaký relativně vysoký maximální počet požadavků („rychlostní limit“) na DNS za sekundu. Velmi vysoký počet DNS požadavků se používá botnety při DDOS útocích.

Můžete zvětšit velikost mezi paměti čímž se do mezi paměti uloží vetší počet dotazů. Dále můžete nastavit maximální a minimální čas cache (Hodnota TTL).

Dalším důležitým nastavením je nastavení samotných filtrů. Jedná se o strojově čitelné data většinou jako textové soubory které obsahují formátované DNS záznamy.

Tyto záznamy můžete přidávat z přednastaveného seznamu.

Nebo přidat vlastní seznam pomocí URL odkazu na umístění daného seznamu.
Doporučuji třeba:
Mezinárodní seznam reklam                                       https://adaway.org/
Seznam českých a slovenských reklamních DNS   https://github.com/tomasko126/easylistczechandslovak
Mezinárodní seznam reklamních DNS                       https://easylist.to/index.html
Podvodné weby (aktualizace omezena na jednou za 12h)    https://openphish.com/
Podvodné weby                                                              https://phishing.army/
Spamy a podvody ve zprávách                                 https://github.com/Spam404/lists

Další možnosti využití jsou blokování služeb nebo rodičovská kontrola.

Určitě doporučuji i v domácnosti používat více vrstev ochran a nespoléhat se jen na jednu.

Vždy je dobré mít po ruce kvalitní antivir, Fungující oddělenou zálohu dat (třeba do cloudu, lokálně na NAS) a doplňkovou ochranu třeba v podobě takového jednoduchého DNS filtru.