35051 Letture

DNS sicuri con Angel DNS: protezione contro malware e siti sconvenienti

Il DNS, acronimo di Domain Name System, come noto, è un servizio utilizzato per la risoluzione degli indirizzi "mnemonici" in IP. In altre parole, si tratta dei server che trasformano un indirizzo come www.google.it in un IP del tipo 74.125.232.112.
Ogniqualvolta si digita nel browser un indirizzo contenente un nome a dominio (es. www.ilsoftware.it), viene interrogato un server DNS (spesso, quello gestito dal provider Internet utilizzato per connettersi alla Rete) che controllerà, in primis, la presenza di una voce nella sua cache. Nel caso in cui la corrispondenza nome-IP venga individuata, il DNS restituisce subito l'IP corretto (nel nostro caso, 217.18.101.171).

Se, di contro, il nome a dominio non è presente nella cache del server DNS, questi provvede a contattare uno dei root DNS server. A questo punto, ottenuta la risposta, il DNS arricchirà la propria cache in modo tale che eventuali successive richieste non debbano essere più inoltrate al server root.

I server DNS che i fornitori della connessione Internet mettono a disposizione sono quelli più frequentemente utilizzati dalla clientela. Nulla vieta, tuttavia, di sfruttare i DNS messi a disposizione da altri provider o da specifiche società.


Chi fosse intenzionato a modificare i DNS utilizzati sui propri sistemi potrebbe essere spinto a farlo anche perché alcuni server forniscono delle funzionalità aggiuntive molto apprezzabili. Alcuni DNS, ad esempio, dispongono di speciali "liste nere", continuamente aggiornate, che consentono di bloccare tentativi di visita verso siti web che pongono in essere truffe online (phishing), distribuiscono malware oppure veicolano contenuti di dubbio gusto.
Nel caso in cui un client che fa uso di uno dei DNS citati dovesse tentare di visitare un sito web bloccato, il server visualizzerà una pagina web "di cortesia" evitando di rispondere con l'IP corrispondente al sito dannoso o sconveniente.

Nel nostro Paese, si è poi frequentemente ricorsi al sistema dell'alterazione dei record DNS nel tentativo di bloccare l'accesso a determinati siti Internet. In molti provvedimenti, che si sono succeduti nel corso degli ultimi anni, si è ritenuto che prescrivere a tutti i provider Internet italiani la modifica della coppia nome mnemonico-indirizzo IP fosse sufficiente per inibire l'accesso ad un sito web macchiatosi di qualche violazione delle normative italiane. Il DNS, in questi casi, risponde di solito con l'indirizzo di loopback (l'IP 127.0.0.1) corrispondente al sistema locale. Inutile osservare che utilizzando un server DNS non italiano per la risoluzione degli stessi nomi a dominio, questi vengono regolarmente risolti. Ecco perché molti esperti hanno invitato ad un ripensamento sulla pratica dell'alterazione dei record memorizzati sui server DNS dei provider italiani.


L'uso di DNS sicuri, alternativi rispetto a quelli messi a disposizione dal fornitore della connessione Internet, può essere sensato allorquando si fosse interessati a bloccare alcune tipologie di contenuti pubblicati sul web.

Angel DNS è un simpatico software, molto semplice da utilizzare, che permette di attivare, in tempo reale, sul sistema in uso, alcuni server DNS sicuri. Il programma, gratuito e portabile (non necessita d'installazione), non fa altro che modificare i server DNS configurati in Windows sostituendoli con alcuni più sicuri.
La scelta dell'autore di Angel DNS è caduta su Norton ConnectSafe, OpenDNS Family e MetaCert DNS.
Eseguendo l'applicazione (è indispensabile avviarla con i diritti di amministratore), Angel DNS mostrerà i server DNS al momento in uso:

Nell'esempio in figura, i DNS in uso (8.8.8.8 e 8.8.4.4) sono quelli pubblici di Google.
I server DNS di Google sono senza dubbio tra i più veloci in assoluto quindi tra i più rapidi nel risolvere i nomi a dominio. Non forniscono però alcun livello di protezione nei confronti di contenuti sconvenienti e non bloccano l'accesso a siti web inadatti per i bambini o sconsigliati in ambienti lavorativi. Più di un esperto ha poi sollevato il tema privacy: a fine 2009, Matteo Flora, in occasione del lancio del servizio "Google DNS", aveva spiegato come una società quale Google, almeno sulla carta, possa essere in grado di stilare una carta d'identità "a tuttotondo" dei suoi utenti, con un livello di profilazione senza pari (va comunque precisato che tale attività è esclusa dalle stesse policies dell'azienda). Flora ha ricordato come sebbene non venga effettuata un'attività di profiling in senso stretto, le informazioni come quelle raccolte sulle macchine che utilizzano i DNS di Google possano essere sfruttate per stabilire, ad esempio, quali software vengono utilizzati da un utente. Se questi è collegato da un IP che risulta loggato su Google Gmail o su altri servizi della "nube" della società di Mountain View, è teoricamente possibile abbinare tali dati ad un account specifico.

L'icona mostrata da Angel DNS sulla destra, accanto agli indirizzi IP del DNS primario e secondario di Google, sta a significare che i due server non offrono protezione rispetto ai contenuti sconvenienti.

Cliccando sui pulsanti Norton Con. Safe 1, Norton Con. Safe 2, OpenDNS Family e MetaCert DNS, è possibile scegliere ed impostare uno dei quattro server DNS che offrono un ottimo livello di protezione.

I primi due DNS di Norton differiscono sulla base delle tipologie di siti Internet che vengono bloccati. Il primo (Notrton Con. Safe 1), infatti, s'incarica di bloccare l'accesso ai siti che possono rappresentare una minaccia per la sicurezza nonché a quei siti che pubblicano materiale a carattere pornografico. Il secondo (Norton Con. Safe 2), oltre alle categorie di siti bloccate dal primo DNS, inibisce ogni tentativo di visita a quei siti che affrontano tematiche ad elevata criticità (aborto, alcolismo, crimine, religione, droghe, gioco d'azzardo, violenza e così via).
Anche i server DNS OpenDNS Family, oltre a bloccare la visita verso siti web pericolosi dal punto di vista della sicurezza o responsabili di truffe (phishing), si occupano di inibire l'accesso a siti web contenenti materiale pornografico.
MetaCert DNS, infine, è particolarmente abile nel bloccare tutti – ma proprio tutti – i siti a "sconvenienti" mentre è poco adatto per inibire l'accesso a siti incentrati sul gioco d'azzardo, sulla violenza o su tematiche che hanno a che fare con la religione.

Cliccando su uno qualunque dei quattro server DNS, questi saranno immediatamente sostituiti a quelli correntemente impiegati in Windows: un avviso sonoro e la comparsa dell'icona verde confermeranno l'avvenuto intervento.


Per verifica, è possibile aprire il prompt dei comandi di Windows e digitare:
ipconfig /all
In corrispondenza con la connessione di rete in uso, appariranno i nuovi server DNS appena impostati:

Dopo aver impartito il comando, suggeriamo di digitare ipconfig /flushdns. In questo modo si cancelleranno tutti gli abbinamenti indirizzo mnemonico-indirizzo IP che Windows dovesse aver memorizzato in cache (il contenuto della cache DNS locale è accessibile, in qualunque momento, digitando il comando ipconfig /displaydns.

Gli utenti coi quali si condivide l'uso del medesimo personal computer dovranno evidentemente poter accedere al desktop di Windows esclusivamente da un account di tipo non amministrativo. Gli account dotati di diritti amministrativi, infatti, hanno titolo per modificare i server DNS utilizzati sul sistema locale. Un utente normale, invece, non appena tenterà di variare i server DNS in uso, si vedrà apparire la richiesta di inserimento della password amministrativa:

L'unico problema che potrebbe presentarsi durante l'utilizzo di Angel DNS (una volta modificati i server DNS, il programma puà essere chiuso) è che l'applicazione lascia come server DNS secondario o come terzo server DNS, l'IP 192.168.1.1 o 192.168.0.1. Tale indirizzo è l'IP associato al router od al modem. Il server DNS secondario o quelli successivi vengono interrogati, da parte di Windows, solamente nel caso in cui il server DNS primario non risultasse raggiungibile. Nella maggior parte delle situazioni non dovrebbero esserci problemi.
Tuttavia, se sul router 192.168.1.1 o 192.168.0.1 fosse configurato l'uso di un DNS di tipo tradizionale, è possibile che il suo utilizzo sia consentito, in circostanze particolari, ai sistemi client connessi in rete locale.
Sarebbe perciò preferibile accedere al pannello di amministrazione del router ed impostare, come server statici, i DNS sicuri utilizzati da Angel DNS.
Gli indirizzi IP dei DNS sicuri possono essere immediatamente desunti lasciando il puntatore del mouse sui pulsanti Norton Con. Safe 1, Norton Con. Safe 2, OpenDNS Family e MetaCert DNS:

Nel caso di Norton Con. Safe 2, gli IP sono 198.153.192.50 e 198.153.194.50. I due indirizzi, per maggior sicurezza, potranno essere impostati nel pannello di configurazione del router in corrispondenza della sezione DHCP, nei campi Static DNS 1 e Static DNS 2 (il nome dei campi potrebbe variare a seconda del produttore e del modello di router).


Per ripristinare i DNS precedentemente utilizzati, si dovrà semplicemente fare clic – da Angel DNS – sul pulsante Restore DNS.

Angel DNS
Download: sordum.org
Compatibile con: Windows XP, Windows Vista, Windows 7, Windows 8 (32 o 64 bit)
Licenza: Freeware


Chi avesse bisogno di un'eccellente soluzione per filtrare il traffico in entrata ed in uscita all'interno della propria rete locale (bloccando ad esempio determinati siti web senza alterare la configurazione di ciascuna workstation), è bene si orienti su di un'applicazione come Squid (Come bloccare la consultazione di siti web come Facebook & C. in ufficio con Ubuntu e Squid). Per restare in argomento, presenteremo a breve una comodissima interfaccia grafica per l'installazione e la configurazione di Squid.


  1. Avatar
    Lettore
    19/07/2014 10:36:14
    Salve, nel complimetarmi per l'ottimo articolo, voglio fare una richiesta che forse contribuirà ad attualizzarlo e renderlo ancora più completo. Praticamente sul mio pc con WIN 7 home premium succede che il programma è come se dimenticasse, ogni tanto per qualche sito, e ogni tanto per tutti i siti, il blocco tramite DNS. Ciò accade solo su un pc (quello con win7). Gli altri con xp vanno bene. Ho controllato le impostazioni nel pannelo di controllo, ma l'indirizzo del modem se lo cancello ritorna in automatico. Tra l'altro Alice di Telecom richiede espressamente di ottenere auomaticamente i DNS, altrimenti li avrei settati direttamente dal router. Grazie mille
  2. Avatar
    Massimo68
    23/02/2013 10:16:07
    Veramente, come sempre un ottimo articolo, ho inserito sul mio router gli IP di Norton Con. Safe 2, (198.153.192.50 e 198.153.194.50) e funziona egregiamente. Grazie ancora massimo
  3. Avatar
    Michele Nasi
    22/02/2013 10:58:39
    Sì, nell'articolo intendevo che non offrono alcun "filtro" nei confronti di contenuti sconvenienti/pornografici.
DNS sicuri con Angel DNS: protezione contro malware e siti sconvenienti - IlSoftware.it