Kannattaako vaihtaa?

Kun syötät selaimen osoiteriville nettisivun osoitteen, bitit lähtevät viuhumaan kohti palvelinta, jolla nettisivu pyörii. Tällä palvelimella, kuten kaikilla muillakin verkkoon liitetyillä laitteilla, on oma ip-osoite. Ip-osoite on numeerinen arvo, esimerkiksi 127.0.0.1. Verkkotunnukset kuten mikrobitti.fi ovat ihmiselle helppoja muistaa, mutta pohjimmiltaan tietoliikennelaitteet liikennöivät ip-osoitteiden perusteella.

Tähän väliin tarvitaan nimipalvelin. Nimipalvelin on verkkopalvelin, joka kertoo mistä ip-osoitteesta haluttua verkkotunnusta kannattaa kysellä.

Useimmissa kuluttajalaitteissa käyttäjän ei tarvitse huolehtia nimipalvelinten kaltaisista pikkuasioista, sillä laitteet käyttävät oletusarvoisesti operaattorin nimipalvelimia. Kaikki tapahtuu automaattisesti taustalla.

Operaattorin nimipalvelin on riittävän hyvä useimmille kotikäyttäjille. Kolmannen osapuolen nimipalvelimet yrittävät erottua muista nimipalvelimista panostamalla esimerkiksi tietoturvaan ja -suojaan, uudenlaisten salaustekniikoiden hyödyntämiseen sekä suorituskykyyn.

Käyttäjän tietosuoja on huomioitu kaikissa kolmessa nyt arvioidussa palvelussa. Palvelut lupaavat, että ne eivät tallenna käyttäjiensä ip-osoitetta lainkaan. Google vähän lipsuu tästä, se tallentaa ip-osoitteet vuorokaudeksi tai pariksi.

Vertailun kolmesta nimipalvelusta Quad9 suodattaa liikennettä tietoturvasyistä: se estää pääsyn niille verkkosivustoille, joille on palvelun ja sen yhteistyökumppaneiden perusteella haittaohjelmia, kalastelusivustoja tai muita vastaavia. Tämä on kotikäyttäjälle hyödyllinen ominaisuus.

Kaksi muuta nimipalvelinta ei suodata niiden välitse kulkevaa liikennettä lainkaan. Jos operaattorin nimipalvelimet eivät tunnista joitain verkko-osoitteita esimerkiksi lainsäädännöllisistä syistä tai valtion internet-sensuurin takia, suodattamattoman nimipalvelimen käyttäminen mahdollistaa eston kierron, mikäli esto on toteutettu nimenomaan nimipalvelutasolla. Vaihtoehtoisia nimipalvelimia on hyödynnetty esimerkiksi arabikevään aikana kiertämään valtion nettiestoja tiettyihin palveluihin kuten Twitteriin.

Suomessakin on käytössä nimipalveluesto: Keskusrikospoliisi ylläpitää listaa sivustoista, joilla on saatavilla laitonta materiaalia. Tällä hetkellä Telia käyttää estolistaa, muut operaattorit eivät.

Tyypillinen viive nimipalvelukyselyllä on joitain kymmeniä millisekunteja, kun puhutaan lankayhteyksistä kuten kaapelimodeemista tai dsl-yhteyksistä. Langattomissa yhteyksissä viipeet ovat suurempia.

Ihmisen reaktioaika on noin 200 millisekuntia. Nimipalvelinkysely hoituu siis taustalla niin nopeasti, ettei ihminen kirjaimellisesti havaitse sitä lainkaan. Jos haluaa kuitenkin viilata yhteydestään pullonkaulat kuntoon ja viipeet alemmas, nimipalvelun vaihtaminen saattaa ainakin näennäisesti tehdä sen. Jos verkkoyhteydet tökkivät siksi, että nimipalvelin vastaa hitaasti tai reitti sinne on tukossa, voi nimipalvelun vaihtaminen saada yhteydet toimimaan käyttäjän kannalta sujuvammin.

Mitä enemmän verkkolaitteita kuten reitittimiä on käyttäjän päätelaitteen ja kohdepalvelimen välillä, sitä suurempi viive signaalin lähettämisellä ja sen saapumisella. Operaattorin nimipalvelimen kuvittelisi olevan vahvoilla, sillä se sijaitsee kirjaimellisesti samassa verkossa kuin kuluttajan päätelaite.

Pilvipalvelujätit kuten Cloudflare, Google ja IBM yhteistyökumppaneineen hyödyntävät datakeskuksia ympäri maailmaa. Esimerkiksi Googlen nimipalvelinta käytettäessä lähin nimipalvelin saattaa olla niinkin lähellä kuin Haminan datakeskuksessa – tai sitten jossain muualla Euroopassa, mistä nyt lähin pilvenreunus tämän palvelun osalta pilkottaakaan. Sama pätee Cloudflareen, jolla on palvelimia Helsingissä.

Näin testasimme

Testasimme nimipalvelimien suorituskykyä DNA:n, Elisan ja Telian verkoissa huhti–kesäkuussa. Alustana oli kolme ethernet-verkkokaapelilla kytkettyä Raspberry Pi 3 -korttitietokonetta, jotka tekivät eri verkoissa dns-haun kymmenen minuutin välein kaikilta vertailun nimipalvelimilta sekä vertailun vuoksi sen operaattorin nimipalvelimelta, jonka verkkoon laite oli kytketty.

Puolitoista kuukautta jatkuneiden mittausten perusteella Cloudflaren ja kumppaneiden tarjoama 1.1.1.1 oli suorituskyvyltään joukon ykkönen, riippumatta siitä minkä operaattorin verkossa laite oli kiinni. Toiseksi nopein oli kaikissa tapauksissa operaattorin nimipalvelin, kolmas Google ja neljäs Quad9.

Tuloksissa on ilmoitettu mittausten keskiarvo sekä ensimmäinen ja 99. persentiili. Ensimmäinen persentiili kertoo, mikä oli nopein prosentti mittauksista, ts. keskimäärin nopein sadasta yhteydenottokerrasta. 99. persentiili ilmaisee päinvastaista, keskimääräisesti hitainta sadasta kyselystä. Vertaamalla näitä ääriarvoja keskiarvotulokseen näkee myös, mikä on nimipalvelimen vasteajan heittelyväli.

Mittausdataa kertyi testin aikana noin 100 000 riviä.

Testiyhteydet: DNA: 1 Gbit/s kaapelimodeemi, Telia: 100 Mbit/s vdsl, Elisa: 50 Mbit/s vdsl.

1.1.1.1

Joukon nopein

Pilviyhtiö Cloudflaren ja Apnic-organisaation nimipalvelu 1.1.1.1 otettiin käyttöön tänä keväänä. Nimipalvelun www-sivustolla on eri käyttöjärjestelmille yksinkertaiset ohjeet dns-asetusten vaihtamiseksi.

1.1.1.1 tarjoaa suodattamattomat hakutulokset. Palvelu ei tallenna käyttäjän ip-osoitetta. Cloudflare kertoo myös, että konsulttiyhtiö KPMG auditoi järjestelmän vuosittain.

Cloudflare mainostaa nimipalvelun olevan 28 prosenttia kilpailijoitaan nopeampi, ja että palvelu on suunniteltu nopeimmaksi mahdolliseksi julkiseksi nimipalvelimeksi. Väitteille on katetta, sillä 1.1.1.1 oli poikkeuksetta nopein, käytti sitä sitten minkä kolmen testatun operaattorin verkosta tahansa. Yhdenkään operaattorin oma nimipalvelu ei pärjännyt 1.1.1.1:lle nopeudessa, joskin erot keskiarvonopeudessa olivat pienimmillään vain yhden millisekunnin. Parhaimmillaan 1.1.1.1 vastasi puolessa siitä ajasta, mitä operaattorin nimipalvelimelta kesti.

Nimipalvelinten tilannetta seuraava dnsperf.com kertoo, että palvelulla on ollut täyden sadan prosentin käyttöaika (uptime) ilman katkoksia palvelun lanseeraamisesta saakka. Sama tosin pätee myös Googlen ja Quad9:n nimipalvelimiin.

1.1.1.1 on joukon nopein nimipalvelu, ja se tarjoaa myös edistyneitä tietoturvaominaisuuksia niitä tarvitseville. Myös käyttäjän yksityisyydensuojaa on ajateltu miellyttävästi.

Arvosana

*****

Hyvää

Tietosuoja, nopea, suodattamaton

Huonoa

Ei huonoa

Pointti

Kokeilun arvoinen

Quad9

Tietoturva edellä

Elokuussa 2016 koekäyttöön avatun Quad9-nimipalvelimen takana ovat IBM, Global Cyber Alliance ja Packet Clearing House. Kun taustavoimissa on mainittu kyber, on helppo arvata 9.9.9.9:n tähtäimessä olevan kyberuhkien esto.

Quad9:n sivustolla Windows- ja Mac-käyttäjää opastetaan videoiden avulla vaihtamaan nimipalveluasetuksia. Yhtiö kertoo, että Quad9:n infrastruktuuri ei tallenna käyttäjästä mitään henkilökohtaisia tietoja kuten ip-osoitetta. Sen sijaan suoritetuista nimipalveluhauista tallennetaan haetut verkkotunnukset, kellonaika, maa, osavaltio ja kaupunki. Kerättyjä tietoja ei jaeta markkinoijien kanssa.

Dnsperf.comin tilastojen valossa Quad9:llä ei ole ollut käyttökatkoja tämän vuoden aikana.

Quad9:llä on myös vaihtoehtoisia ip-osoitteita, jotka tarjoavat peruspalvelusta poikkeavia ominaisuuksia, kuten suodattamattomat hakutulokset.

Suorituskyvyltään Quad9 jäi joukon häntäpäähän: se oli kaikilla kolmella eri operaattoreiden yhteydellä vasteajaltaan aina hitain. Nopeudet heittelivät samaan tapaan Google Public DNS:n kanssa.

Quad9 on suorituskyvyltään pettymys, mutta senkin keskimääräiset vasteajat ovat niin pieniä, että nimipalveluhaku suoritetaan kirjaimellisesti silmänräpäyksessä, joskin ehkä laiskemmanlaisessa. Kotikäyttäjän kannalta Quad9:n suurin etu on siinä, että sitä käyttämällä ei pääse sivustoille, joita voidaan käyttää haittaohjelmien levityksessä. Vastaavia toimintoja on tarjolla myös tietoturvasovelluksissa.

Arvosana

****½

Hyvää

Tietoturva, tietosuoja

Huonoa

Muita hitaampi

Pointti

Jos tietoturva huolettaa

Google Public DNS

Googlen vaihtoehto

Googlen nimipalvelu 8.8.8.8 tarjoaa vain tekstipohjaiset ohjeet käyttöönotolle.

Ominaisuudet ovat samat kuin 1.1.1.1:ssäkin: tuki erilaisille tietoturvatekniikoille, suodattamattomat hakutulokset, ei ip-osoitteen tallennusta – paitsi että kaksi viimeksi mainittua eivät ole aivan ehdottomia.

Google kertoo nimipalvelun tallentavan käyttäjien ip-osoitteet 24 tai 48 tunniksi väärinkäytön kuten palvelunestohyökkäysten takia, mutta poistavan datan tämän jälkeen. Yhtiö myös kertoo, ettei yhdistä nimipalvelimen dataa muiden palveluidensa dataan kuten vaikkapa Google-tilin tietoihin. Nimipalvelinhausta yhtiö tallentaa muun muassa haetun verkkotunnuksen sekä käyttäjän sijaintitiedon kuten kaupungin tai kaupunginosan.

Hakutulokset ovat pääosin suodattamattomat. Google kertoo tarvittaessa suodattavansa nimipalvelun hakutuloksia esimerkiksi tietoturvasyistä, mutta näiden tapausten olevan vain harvinaisia poikkeuksia.

Nopeudeltaan Google Public DNS oli kaikkien operaattoreiden verkoissa kolmas, heti operaattorin oman nimipalvelun jälkeen. Telian testiyhteydellä 8.8.8.8 oli käytännössä yhtä nopea kuin operaattorin dns, DNA:n ja Elisan yhteyksillä operaattorin nimipalvelimet vastasivat puolessa siitä ajasta, mihin Googlen nimipalvelimella kului.

Dnsperfin mukaan myöskään Googlen nimipalvelussa ei ole ollut käyttökatkoja ainakaan alkuvuoden 2018 aikana.

Arvosana

****_

Hyvää

Ei tallenna eikä suodata...

Huonoa

... paitsi silloin, kun tekeekin niin

Pointti

Tähänkin voi vaihtaa

Operaattorin oma nimipalvelin

VERROKKI

Useimpien käyttämä

Useimmilla on käytössä nettipalveluntarjoajan nimipalvelin, yleensä tietämättään. Operaattorin nimipalvelin on myös useimmille riittävä. Suorituskykykään tuskin muodostuu pullonkaulaksi, kun nimipalvelin on samassa verkonkulmassa kuin käyttäjäkin.

Yhdenkään operaattorin nimipalvelin ei yltänyt verkossaan nopeimmaksi. Syynä nopeuserolle ei liene verkkoviive, vaan 1.1.1.1:n nopeusetua pitänee hakea softapuolelta. Nopeimmillaan operaattoreiden nimipalvelimet ovat aivan 1.1.1.1:n vanavedessä, mutta keskimääräiset erot ovat suurimmillaan kaksinkertaiset, ja hitain prosentti yhteyksistä jäi jokaisella operaattorilla selvästi hitaammaksi kuin 1.1.1.1:n hitain prosentti.

Telian nimipalvelin ei näytä hakutuloksia niille sivuille, joilla Keskusrikospoliisin mukaan on laitonta sisältöä. DNA ja Elisa eivät tällä hetkellä suodata hakutuloksiaan, mutta kumpikin on ottamassa KRP:n suodatuslistan käyttöön. DNA:n piti ottaa suodatus käyttöön jo keväällä, mutta käyttöönotto on viivästynyt. Elisalla vasta pohditaan dns-suodatuksen käyttöönoton aikataulua.

Arvosana

****_

Hyvää

Nopeus (yleensä)

Huonoa

Nopeus (pahimmillaan)

Pointti

Oletusvalinta

YHTEINEN KUVATEKSTI EDELLISEN KANSSA KUVANKAAPPAUS
Simo Sahla