Cloudflare 1.1.1.1, 1.1.1.2 i 1.1.1.3 bez tajemnic
Zobacz, czym różnią się adresy 1.1.1.1, 1.1.1.2 i 1.1.1.3, i sprawdź, co realnie zmienia filtr DNS-u, a co pozostaje takie samo.
Adresy 1.1.1.1, 1.1.1.2 i 1.1.1.3 nie oznaczają trzech różnych sposobów działania DNS-u, lecz ten sam typ usługi z trzema różnymi politykami odpowiedzi.
To ważne, bo ludzie lubią mówić, że „zmienili DNS na szybszy” albo „na bezpieczniejszy”, jakby pod spodem wymienili silnik, skrzynię biegów i pół samochodu. Nie. W większości przypadków zmienia się tylko to, czy resolver odpowie normalnie, czy najpierw odsieje część domen.
O co tu naprawdę chodzi
DNS to usługa, która tłumaczy nazwę domeny na adres IP. Gdy wpisujesz adres strony, resolver DNS odpowiada na proste pytanie: „Jaki adres IP ma ta domena?”.
Cloudflare udostępnia kilka wariantów tej samej usługi. Mechanizm rozwiązywania nazw pozostaje taki sam. Zmienia się dopiero to, czy przed udzieleniem odpowiedzi zostanie zastosowany filtr.
W praktyce wygląda to tak:
- 1.1.1.1: zwykły resolver DNS bez filtrowania.
- 1.1.1.2: resolver z blokowaniem domen uznanych za złośliwe, na przykład powiązanych z malware albo phishingiem.
- 1.1.1.3: resolver z blokowaniem malware oraz treści dla dorosłych.
To nie są trzy osobne światy. To jedna usługa w trzech wariantach decyzyjnych.
Gdzie ludzie się mylą
Najczęstszy błąd polega na tym, że ktoś słyszy o „bezpiecznym DNS-ie” i wyobraża sobie głęboką zmianę technologii. Brzmi to poważnie, bo cyfry są inne, a marketing technologii żywi się tym, że drobna zmiana ustawienia ma wyglądać jak rytuał wtajemniczenia.
Tymczasem nie zmienia się tu natura DNS-u. Resolver nadal robi to samo: przyjmuje zapytanie i zwraca odpowiedź. Różnica polega na tym, że w wariantach 1.1.1.2 i 1.1.1.3 część odpowiedzi zostaje zatrzymana przez filtr.
To trochę jak z recepcją w biurowcu. Budynek jest ten sam, winda działa tak samo, adres się nie zmienia. Po prostu przy wejściu siedzi ktoś, kto nie wpuszcza wybranych gości.
Ktoś kliknął link i dopiero wtedy widać różnicę
Załóżmy, że w firmie ktoś kliknie link z fałszywej wiadomości i przeglądarka spróbuje otworzyć domenę powiązaną z phishingiem. Przy zwykłym resolverze 1.1.1.1 zapytanie DNS może zostać obsłużone normalnie i użytkownik dostanie adres IP tej domeny.
Jeśli jednak urządzenie korzysta z 1.1.1.2, resolver może zablokować odpowiedź dla domeny sklasyfikowanej jako złośliwa. W efekcie użytkownik nie przejdzie dalej tylko dlatego, że filtr DNS-u przeciął ruch na bardzo wczesnym etapie.
Wariant 1.1.1.3 działa tak samo, ale dodatkowo blokuje treści dla dorosłych. Dlatego nadaje się raczej tam, gdzie potrzebna jest większa restrykcyjność, a nie tylko podstawowe odsianie znanych zagrożeń.
Kiedy ten filtr już nie wystarcza
Tu warto dodać hamulec bezpieczeństwa, bo inaczej łatwo popaść w wygodną opowieść. Zmiana 1.1.1.1 na 1.1.1.2 nie sprawia, że „DNS działa bezpieczniej” w sensie absolutnym.
Jeżeli złośliwa domena nie jest jeszcze sklasyfikowana, filtr jej nie zablokuje. Jeżeli urządzenie używa na stałe wpisanego DNS-over-HTTPS do innego dostawcy, lokalna zmiana DNS-u może zostać ominięta. Jeżeli zagrożenie przychodzi z legalnej domeny, sam filtr DNS-u też niewiele zdziała.
To właśnie granica tej tezy: 1.1.1.2 i 1.1.1.3 nie zmieniają DNS-u w magiczną tarczę. Dodają warstwę selekcji odpowiedzi dla części zapytań. To użyteczne, ale nadal jest to tylko jedna warstwa.
Najczęstsze błędy
Ludzie najczęściej mylą trzy rzeczy:
- Utożsamiają inny adres resolvera z innym mechanizmem DNS-u. Nie. Mechanizm pozostaje taki sam, zmienia się polityka odpowiedzi.
- Zakładają, że „bezpieczniejszy DNS” zastępuje inne zabezpieczenia. Nie zastępuje. To filtr na wejściu, a nie pełny system ochrony.
- Traktują adresy zapasowe jako detal bez znaczenia. A to także jest część tej samej logiki konfiguracji.
Cloudflare przewiduje osobne adresy zapasowe dla każdego wariantu:
- 1.0.0.1: zapas dla standardowego resolvera.
- 1.0.0.2: zapas dla wariantu z blokowaniem malware.
- 1.0.0.3: zapas dla wariantu z blokowaniem malware i treści dla dorosłych.
Więcej informacji na temat poprawnej konfiguracji znajduje się w dokumentacji Cloudflare.
Co z tego wynika w praktyce
Jeśli chcesz po prostu szybki publiczny DNS bez filtrowania, wybierasz 1.1.1.1 i zapasowo 1.0.0.1. Jeśli chcesz odciąć część znanych domen związanych z malware i phishingiem, sens ma 1.1.1.2 z adresem zapasowym 1.0.0.2.
Jeśli konfigurujesz środowisko, w którym ma dojść jeszcze filtr treści dla dorosłych, wybierasz 1.1.1.3 i 1.0.0.3. To nadal nie zastępuje zabezpieczeń na urządzeniach, aktualizacji, sensownie skonfigurowanej poczty i rozsądku, ale jako tani filtr na poziomie DNS-u ma sens.
Najważniejsze jest jednak co innego. Kiedy ktoś mówi, że „zmienił DNS na bezpieczniejszy”, warto dopytać, co dokładnie ma na myśli. Często nie zmienił sposobu działania DNS-u. Dodał tylko selekcję odpowiedzi. I to jest różnica, którą warto dobrze rozumieć, zanim zacznie się opowiadać o wielkich zmianach infrastruktury po przestawieniu kilku cyfr.
Gdzie ustawia się te adresy DNS
Takie adresy ustawia się zwykle w jednym z dwóch miejsc: na pojedynczym urządzeniu albo na routerze. Jeśli ustawisz je na routerze, cała sieć domowa lub firmowa zaczyna korzystać z wybranego wariantu DNS-u. Jeśli ustawisz je tylko na jednym komputerze lub telefonie, zmiana dotyczy wyłącznie tego urządzenia.
W praktyce najwygodniej ustawić to na routerze, jeśli chcesz objąć całą sieć jedną polityką. Jeśli zależy Ci na innym wariancie tylko dla wybranych urządzeń, lepiej ustawić DNS lokalnie na konkretnym sprzęcie.
Ustawienie DNS w przeglądarce to osobny temat
Przeglądarka może używać własnego DNS-over-HTTPS (DoH) i wtedy częściowo omijać systemowe ustawienia DNS-u. W Chrome i podobnych przeglądarkach działa to przez opcję Use secure DNS, a w Firefoxie przez ustawienia DNS over HTTPS.
To ważne z jednego powodu. Możesz mieć w systemie ustawione 1.1.1.2 albo 1.1.1.3, a przeglądarka i tak zacznie kierować zapytania DNS po swojemu, jeśli ma własnego dostawcę DoH. Wtedy użytkownik myśli, że skonfigurował filtr na całym urządzeniu, a w praktyce jedna aplikacja właśnie wyszła bocznym wejściem.
Jeśli chcesz, żeby polityka DNS-u była spójna, trzeba sprawdzić nie tylko system lub router, ale też ustawienia samej przeglądarki.
WARP to nie to samo co 1.1.1.1
Warto nie mieszać tych dwóch rzeczy. 1.1.1.1 jest resolverem DNS, więc dotyczy zapytań o nazwy domen. WARP to osobna usługa Cloudflare, która tworzy bezpieczne połączenie między urządzeniem a siecią Cloudflare i obejmuje cały ruch, a nie tylko DNS.
Mówiąc wprost: 1.1.1.1 odpowiada na pytanie „Jaki adres IP ma ta domena?”, a WARP obejmuje znacznie większą część komunikacji urządzenia z internetem. Jeśli ktoś szuka tylko DNS-u, nie potrzebuje automatycznie WARP. Jeśli chce zabezpieczyć cały ruch, to już jest osobny temat.
FAQ
Czy 1.1.1.2 jest innym DNS-em niż 1.1.1.1?
Nie w sensie podstawowej funkcji. Oba warianty są resolverami DNS. Różnica polega na tym, że 1.1.1.2 filtruje domeny uznane za złośliwe.
Czy 1.1.1.2 chroni przed każdym phishingiem?
Nie. Zadziała tylko wtedy, gdy domena została rozpoznana i sklasyfikowana jako złośliwa. To przydatny filtr, ale nie pełna ochrona.
Po co są adresy 1.0.0.1, 1.0.0.2 i 1.0.0.3?
To adresy zapasowe odpowiadające każdemu z trzech wariantów. Nie są przypadkowym dodatkiem, tylko częścią spójnej konfiguracji.
Co dalej
Sprawdź, który wariant DNS-u najlepiej pasuje do Twoich potrzeb.
