Você achará divertido quando uma página da web ou aplicativo de mídia social começar a exibir anúncios dos sapatos que você estava comprando. Isso não é um acidente, mas o resultado de uma conversa complexa que ocorre no momento em que você conecta seu dispositivo à Internet.
No Android, o Google oferece uma configuração de DNS privado para proteger o histórico de navegação do seu telefone. Enquanto isso, a Apple trombeta Retransmissão privada do iCloud funciona como um escudo inquebrável que criptografa seu tráfego de navegação e o esconde de todos. A ideia é proteger seus dados de bisbilhoteiros terceirizados. Mas eles são um teatro de segurança e ambas as empresas ainda detêm as chaves. Para controlar verdadeiramente os canais de dados DNS, você precisa de uma solução proprietária.
Você pode combinar Tailscale e Pi-hole para criar uma camada de DNA filtrada e privada que o segue em todos os lugares e em todos os dispositivos que você usa.
O Tailscale é a maneira mais segura de acessar remotamente sua rede doméstica?
Tailscale é fácil de configurar, mas é uma questão de segurança?
Apple e Google estão enfrentando um problema diferente
Eles fazem isso consigo mesmos
O iCloud Private Relay da Apple parece real – seu tráfego é roteado em dois saltos. Portanto, nem a Apple nem o nó de saída podem ver sua atividade de tráfego. No entanto, isso se aplica apenas ao Safari e a alguns serviços da Apple. Quando você abre o Instagram, Snapchat, Spotify ou qualquer outro aplicativo de terceiros, ele ignora completamente o Private Relay. Basicamente, você está substituindo o DNS do seu ISP pelo da Apple, que é uma parte diferente, mas com o mesmo problema estrutural.
O Google adota uma abordagem diferente com o recurso DNS privado do Android. O DNS privado do Android é DNS sobre TLS (DoT) para um resolvedor DNS público de sua escolha. Mas ele não filtra nada e você ainda resolve todas as redes de anúncios, telemetria OEM e solicitações de rastreamento por meio de um canal criptografado. Você não recebe um painel ou lista mostrando quais domínios seu dispositivo Android está consultando em segundo plano.
Nenhuma das plataformas mostra o que seus dispositivos estão realmente pedindo. Afinal, você está voando às cegas ao confiar em empresas sem os detalhes e a clareza para respaldar tudo.
Pi-hole torna o ecossistema rastreador visível para você
O sistema operacional e todos os aplicativos gratuitos são os piores infratores
Todas as consultas DNS de anúncios e rastreadores executados silenciosamente em segundo plano tornam-se visíveis através do Pi-hole. Ele fica entre o seu dispositivo e a Internet, agindo como um buffer que verifica cada consulta de domínio em listas de bloqueio mantidas pela comunidade. Se a consulta corresponder a um rastreador conhecido, o Pi-hole a retornará com o endereço 0.0.0.0, que é um beco sem saída. Você precisará de provedores de lista de bloqueio mantidos pela comunidade, por exemplo Stephen Preto, OISDou AHr.
Instale o Pi-hole e abra seu painel. Você verá uma lista de consultas DNS saindo de seus dispositivos. Esteja o aplicativo aberto em segundo plano ou em uso, ele continua enviando consultas DNS regularmente. Se você verificar os logs de consulta DNS no painel Pi-hole, certamente considerará a exclusão de vários aplicativos gratuitos que, de outra forma, pareciam inofensivos. Olhe mais de perto e você verá que os SDKs de anúncios estão incorporados profundamente nesses aplicativos, enviando silenciosamente seus padrões de uso para outro lugar.
Seu sistema operacional também possui pontos de extremidade de telemetria que inundam os logs de consulta DNS. Esteja você usando Windows ou Android, você pode encontrar vários domínios rastreadores próprios e de terceiros nos registros do Pi-hole. Até a Apple gera um fluxo constante de tráfego DNS em segundo plano em nome de sugestões da Siri, pesquisa confidencial, sincronização do iCloud e transferência de dados de diagnóstico. O Pi-hole intercepta essas consultas DNS antes que elas saiam da sua rede.
Tailscale usa essa proteção onde quer que você vá
Protege mesmo quando está fora de casa
Pi-hole é apenas um servidor DNS local. Assim, quando você estiver fora de casa, seus dispositivos param de usar o Pi-hole e voltam para o resolvedor de rede. Toda a filtragem configurada desaparece silenciosamente. No entanto, graças ao Tailscale, você ainda pode desfrutar do Pi-hole em qualquer lugar. Como uma VPN baseada em WireGuard, ela cria uma conexão entre cada dispositivo conectado ao Tailnet e mantém um túnel criptografado, independentemente da rede em que o dispositivo está.
Para usá-los juntos, o Pi-hole IP deve ser definido como Servidor DNS no console de administração do Tailscale. Em seguida, alterne a opção “Ignorar DNS local” para permitir que todos os seus dispositivos Tailnet passem pelo buraco Pi. Isso acontece mesmo se o seu dispositivo estiver conectado a uma conexão de dados móveis ou a uma rede Wi-Fi pública. Os túneis Tailscale lidam com consultas DNS de forma transparente por meio do Pi-hole.
Tailscale gerencia a autenticação entre seus dispositivos. Embora o tráfego real do túnel e os dados DNS nunca passem por seus servidores. Você executa o servidor DNS e também possui o plano de dados.
Nenhum serviço gerenciado pode oferecer essa configuração
Você precisa construir um você mesmo
Com o Pi-hole, você pode visualizar todas as consultas DNS de todos os clientes e todos os domínios bloqueados com carimbos de data/hora. Você pode ver os dispositivos mais barulhentos ligando agressivamente para casa e outros domínios sendo suprimidos. Nenhum resolvedor de DNS público gerenciado oferece tal granularidade em todos os dispositivos simultaneamente.
Se você quiser usar uma lista de bloqueio mais rígida para dispositivos individuais e colocar alguns domínios na lista de permissões para todos, o Pi-hole oferece essa flexibilidade. Além disso, você não precisa de uma conta ou assinatura separada que vincule esses serviços a cada dispositivo. Mais importante ainda, você pode ver quais dispositivos estão fazendo uso indevido do Pi-hole. Todos os logs gerados pelo Pi-hole permanecem no seu computador e nunca saem da rede. Você pode mantê-los pelo tempo que quiser e limpá-los a qualquer momento.
Tailscale garante que sua configuração Pi-hole siga você onde quer que você vá. Mas o Pi-hole depende do resolvedor DNS upstream por padrão. Aqui, o Unbound remove totalmente a dependência – resolvendo consultas DNS recursivamente, indo diretamente para os servidores raiz em vez de upstream. Você pode usar um provedor de DNS público, mas apenas como alternativa se o Unbound estiver desativado.
5 razões pelas quais um buraco Pi não é suficiente para proteger sua rede doméstica
O humilde buraco Pi é ótimo para bloquear anúncios, mas é apenas parte de um sistema de proteção de rede doméstica bem projetado.
Construa sua pilha para recuperar o controle
Pi-hole atrai muito tráfego, mas não todo. Alguns rastreadores se adaptaram ao bloqueio no nível do DNS e às rotas por meio de domínios primários de aparência legítima. Portanto, algumas solicitações de DNS podem passar despercebidas.
No entanto, o Pi-hole não esconde o seu endereço IP. Tailscale roteia suas consultas DNS através do buraco Pi, mas seu tráfego de navegação passa pela rede em que você está quando está ausente – Wi-Fi público ou dados de celular. Você pode configurar seu Pi-hole rodando em um Pi ou mini PC como um nó de saída Tailscale para rotear tudo através dessa máquina – a decisão é inteiramente sua.
Na próxima vez que um aplicativo de mídia social mostrar anúncios desses sapatos, você saberá qual parte da conversa difícil já cortou. E como sua rede fica mais silenciosa por causa disso.
