Da Pi-Hole a NextDNS.io: motivazioni!

NextDNS.io è un servizio DNS che permette di bloccare pubblicità, tracker e contenuti malevoli su tutti i device collegati ad internet. È una alternativa al progetto open source Pi-Hole che ho ampiamente descritto nel mio blog.

Da un mese ho effettuato la migrazione dalla mia installazione locale di PiHole a NextDNS, ma andiamo con ordine per spiegarvi il motivo di questa mia scelta.

Conosco NextDNS.io da Maggio 2019 poiché uno dei due fondatori (Romain Cointepas) mi contattò, in qualità di creatore della blocklist Phishing.army, invitandomi ad iniziare a provare la beta del loro servizio ed è indubbio che in un anno la qualità e le configurazioni disponibili sono aumentate e migliorate tantissimo.

Ma non sono stati i tanti nuovi servizi introdotti a convincermi a fare il passaggio, con PiHole mi trovavo bene e continuavo infatti ad aggiornare l’articolo con le blocklist che testavo e vi consigliavo.

A farmi prendere la decisione definitiva di migrare è stato un evento accaduto un venerdì dello scorso luglio, a casa dei miei genitori (dove un PiHole preveniva la diffusione di malware e ransomware) internet in apparenza non funzionava più. Così ricevo una chiamata e dopo un po’ di verifiche scopro che in realtà non era internet a non andare ma il Raspberry che ospitava Pi-Hole a non dare più segni di vita. Dovo un riavvio forzato le speranze che tutto si potesse risolvere telefonicamente si sono frantumate e così il sabato mattina di buon ora decido di recarmi a casa dei miei genitori scoprendo la più amara verità: il Raspberry Pi dopo 6 anni o più di funzionamento era morto.

Inizialmente mi ero già lanciato su Amazon per comprare un nuovo e fiammante Raspberry Pi ma non avrei speso meno di 40euro e mi avrebbe richiesto di tornare a casa dei miei genitori a breve termine per installare e configurare il nuovo raspi. La pigrizia a quel punto ha onestamente vinto, mi è venuto in mente di NextDNS.io l’ho configurato al volo sul FritzBox e dopo aver scelto le blocklist che preferivo avevo ridato internet ai miei genitori garantendoli (garantendomi) un giusto livello di protezione.

Da quel momento ho iniziato seriamente a esplorare il servizio e progressivamente ho sostituto anche la mia personale installazione di PiHole, indubbiamente vi sono alcuni aspetti positivi che mi hanno fatto abbandonare PiHole. Ma vendiamoli chiaramente uno ad uno.

Perchè NextDNS.io?

  • Gestione (hardware e software) demandata a terzi;
  • Utilizzabile remotamente con supporto ad Android e iOS (da iOS 14 anche su rete cellulare);
  • Gestione della lista Threat Intelligence Feeds (protezione malware/minacce) demandata a terzi;
  • Possibile blocco dei domini presenti in Google Safe Browsing;
  • Possibile blocco dei domini con similarità omografiche (IDN Homograph) ovvero sostituzione della lettera Latina “e” con la lettera Cirillica “е”;
  • Possibile blocco dei domini che sfruttano il typosquatting;
  • Possibile blocco dei domini generati da algoritmi DGAs;
  • Possibile blocco dei domini registrati negli ultimi 30gg (sempre più spesso vengono registrati nuovi domini per diffondere phishing o malware);
  • Possibile blocco di un intero TLD (inclusi i suggerimenti di Spamhaus sui TLD più usati per attività illecite);
  • Support al Encrypted DNS (DNS-over-HTTPS o DNS-over-TLS);
  • Ottima gestione dei LOG.

Perchè PiHole?

  • Richieste DNS più veloci (essendo in LAN);
  • Maggior tutela della propria privacy (in particolare se configurato in modalità unbound);
  • Possibilità di scegliere le proprie blocklist (su NextDNS bisogna attingere ad una selezione predefinita).

Quelle appena descritte sono le motivazioni che mi hanno portato a migrare a NextDNS.io, ma son ben felice di leggere nei commenti anche le vostre opinioni.

Configurazione NextDNS

Attualmente ho configurato il servizio come segue, seguendo comunque la logica delle blocklist consigliate in questo mio articolo:

  • Security:
    • Threat Intelligence Feeds
    • Google Safe Browsing
    • Cryptojacking Protection
    • IDN Homograph Attacks Protection
    • Typosquatting Protection
    • Domain Generation Algorithms (DGAs) Protection
    • Block Newly Registered Domains (NRDs)
    • Block Child Sexual Abuse Material
  • Privacy
    • AdGuard DNS filter
    • AdAway
    • Block Disguised Third-Party Trackers
    • Allow Affiliate & Tracking Links
  • Settings
    • CNAME Flattening

Maggiori informazioni sulle blocklist sfruttate, in particolar modo quelle che compongono il Threat Intelligence Feeds, potete trovarle sulla pagina GitHub del progetto.

 

5 2 votes
Article Rating
Subscribe
Notificami
guest
8 Commenti
più votati
più nuovi più vecchi
Inline Feedbacks
View all comments
emme
emme
1 Settembre 2020 10:54

ciao perche’ non usare invece opendns o similari?

Paolo
Paolo
1 Settembre 2020 11:47

Certamente se dovesse morire il mio rock64 allora potrei passare anche io a nextdns, però nel frattempo non cambio l’accoppiata pi-hole + dnscrypt.

ps: le tue block list sono state utilissime, grazie!

Stefano
Stefano
2 Settembre 2020 18:04

Ciao Andrea,
grazie per la dritta, era un pò che volevo configurare pi-hole ma non ho mai avuto il tempo… con nextdns invece è stato semplice ed ho potuto farlo anche nelle pause senza dover accendere il raspberry ecc..

Marco
Marco
5 Settembre 2020 19:07

Uno dei motivi per cui uso piHole è il DHCP con la possibilità di distribuire nomi alla mia lan. Niente di simile su NextDNS?