---
title: Internetin puhelinluettelon (DNS) suojaaminen mobiililaitteilla
excerpt:
  DNS kertoo mistä ihmisen muistettavissa oleva verkkotunnus löytyy, mutta
  mikään ei estä monsteria välissä ohjaamasta väärään paikkan ellei sitä
  suojata.
layout: mini
permalink: /n/yksityinendns.html
redirect_from:
  - /n/dns2.html
sitemap: true
lang: fi
robots: noai
---

_{{ page.excerpt }}_

# Internetin puhelinluettelo, DNS

Yleensä WLAN-tukiasema kertoo käytetyn DNS-palvelimen, mutta voiko siihen
luottaa? Se voi olla internet-palveluntarjoajan nimipalvelin, tai haittaohjelman
määrittämä nimipalvelin, ellei jopa lähistöllä olevan hyökkääjän hallitsema
palvelin.

Nimipalvelimella on tärkeä rooli. Kaikkien tulisi esimerkiksi muistaa
verkkotunnus `kanta.fi`, joka kirjoitushetkellä ohjaa IPv4-osoitteeseen
`91.202.112.2`, jota kukaan ei ala muistamaan ja miks itarvitsisikaan, kun
nimipalvelin tekee sen.

<!-- editorconfig-checker-disable -->
<!-- prettier-ignore-start -->

<!-- START doctoc generated TOC please keep comment here to allow auto update -->
<!-- DON'T EDIT THIS SECTION, INSTEAD RE-RUN doctoc TO UPDATE -->
<em lang="fi">Automaattinen sisällysluettelo</em> / <em lang="en">Automatically generated Table of Contents</em>

- [Nimipalvelin ehdotuksia](#nimipalvelin-ehdotuksia)
- [Android](#android)
  - [Ehdottamieni nimipalvelimien osoitteita](#ehdottamieni-nimipalvelimien-osoitteita)
  - [Verkko ei ole yhteydessä internetiin](#verkko-ei-ole-yhteydess%C3%A4-internetiin)
- [Apple](#apple)
  - [Apple-asetusprofiileja](#apple-asetusprofiileja)

<!-- END doctoc generated TOC please keep comment here to allow auto update -->

<!-- prettier-ignore-end -->
<!-- editorconfig-checker-enable -->

## Nimipalvelin ehdotuksia

- [AdGuard](https://adguard-dns.io/fi/public-dns.html)
  - Kyproslainen DNS-palvelintarjoaja mainoksenestolla. Palvelimia ympäri
    maailmaa.
  - [Yksityinen ECS](https://adguard-dns.io/en/blog/privacy-friendly-edns-client-subnet.html),
    jonka vuoksi usein päädyn siihen, mutta käytän kaikkia tällä sivulla
    mainitsemiani ristiin etenkin tietokoneella.
- [DNS4EU](https://www.joindns4.eu/)
  - Euroopan Unionin rahoittama DNS-palvelu. Tarjoaa mm. haitallisten sivujen
    suodatusta, aikuissivustojen suodatusta, sekä mainostenestoa. Palvelimet
    sijaitsevan Euroopan Unionin jäsenvaltioissa.
- [Quad9}(https://quad9.net/)
  - Sveitsiläinen voittoatavoittelematon DNS-palvelu haitallisten sivujen
    suodatuksella. Palvelimia ympäri maailmaa, mukaanlukien Helsingissä ja
    Tampereella. Yhteistyössä mm. F-Secure.

## Android

_Mikäli puhelimessasi/tabletissasi ei ole omenan kuvaa tai et tiedä mikä
käyttöjärjestelmä siinä on, kyseessä on todennäköisesti Android._

Android on tukenut suojattua DNSää nimellä _Yksityinen DNS_ alkaen 9.
julkaisustaan (elokuussa 2018 - tammikuuhun 2022) suoraan laitteen asetuksista.

1. Avaa `Asetukset`
1. `Verkko ja internet`
1. `Yksityinen DNS`. Laitteesta riippuen tässä valikossa voi myös olla
   `Lisää verkkoasetuksia` tms., josta painaminen tuo asetuksen `Yksityinen DNS`
   näkyville. Molempien pitäisi olla valikon loppupuolella, ellei jopa viimeinen
   asetus.
1. Valitse `Yksityisen DNS-tarjoajan isäntänimi` ja kirjoita haluamasi
   palvelimen osoite (ks. seuraavan alaotsikon alta) ja paina `Tallenna`.

### Ehdottamieni nimipalvelimien osoitteita

Linkitin aiemmin näiden palveluntarjoajien kotisivuille, joista nämä tiedot
löytyvät, mutta selkeyden vuoksi Android-käyttäjille:

- `dns.adguard-dns.com` - AdGuard mainostenestolla.
- `family.adguard-dns.com` - AdGuard mainosten- ja aikuisviihdesivustojen
  estolla.
- `noads.joindns4.eu` - DNS4EU mainostenestolla.
- `child-noads.joindns4.eu` - DNS4EU mainosten- ja aikuisviihdesivustojen
  estolla.
- `protective.joindns4.eu` - DNS4EU vain haitallisten sivustojen estolla.
- `child.joindns4.eu` - DNS4EU haitallisten sivustojen ja
  aikuisviihdepalveluiden estolla.
- `dns.quad9.net` - Quad9 haitallisten sivustojen suodatuksella.
- `dns11.quad9.net` - Quad9 haitallisten sivustojen suodatuksella, sekä
  ECS-tuella.
  - ECS kertoo kaikille nimipalvelimille IP-osoitteesi alun ja on
    yksityisyysuhka. Toisaalta suurimmat verkkopalvelut, kuten Netflix, YouTube
    ja Meta voivat toimia nopeammin.

Tietoturva-asiantuntijana en voi mainita osoitteita, jotka eivät sisällä
haittaohjelmasuojatusta.

### Verkko ei ole yhteydessä internetiin

> Ei pääsyä yksityiselle DNS-palvelimelle

Useimmiten tämä virheilmoitus ilmestyy käytetyn WLAN-tukiaseman palomuurin
estäessä liikenteen TCP-porttiin 853, jota yksityinen DNS (teknisesti
DNS-over-TLS käyttää), etenkin julkisissa verkoissa, kuten terveysasemalla,
kirjastossa, metrossa, joissa yksityisen DNS:n käyttäminen olisi erittäin
tärkeää.

Paras ratkaisu olisi olla yhteydessä verkon ylläpitoon tai tekniseen tukeen ja
vinkata heille miten portti 853 voisi olla hyvä sallia, linkittää heille
valitsemasi DNS-palvelintarjoaja tai ehkä jopa tämä sivu.

Olisiko mahdollista olla käyttämättä kyseistä WiFi-verkkoa ja sen sijaan käyttää
vain mobiilidataa (vaikkakin se ei ole yhtä energiatehokasta)?

Mikäli WiFi-verkon käyttäminen painaa vaakakupissa enemmän kuin tietoturva ja
haitalliset sivustot eivät ole huoli, jäljelle jää yksityisen DNS:n
käytöstäpoistaminen:

- `Asetukset` -> `Verkko ja internet` -> (ehkä lisäasetukset tms. pohjalla ->)
  `Yksityinen DNS` -> `Automaattinen`

Muista verkosta poistaessasi käydä valitsemassa
`yksityisen DNS-tarjoajan isäntänimi` takaisin!

Mitä automaattinen tarkoittaa? Android yrittää yhdistää tukiaseman määrittämään
palvelimeen suojattua yhteyttä. Se onnistuu jos onnistuu, ja jos se epäonnistuu,
käytetään suojaamatonta yhteyttä. Android ei myöskään tarkista SSL-varmennetta,
joten ilman todella hyvää tuuria tämä ei lisää tietoturvaa yhtään, se vain on
Androidin oletusasetus ja ehkä pienempi paha, kuin `Ei käytössä`.

## Apple

_iOS, TvOS, iPadOS, macOS, yms._

Applen laitteilla yksityisen DNS:n määrittäminen on tavallaan helpompaa,
tavallaan vaikeampaa, verrattuna Androidiin.

1. Avaa `Safari` -verkkoselain. Muut voivat toimia tai olla toimimatta.
1. Mene haluamasi DNS-palveluntarjoajan sivustolle ja lataa asetusprofiili.
1. Avaa `Asetukset` ja seuraa ohjeita.

Löydät asentamasi DNS-pavelimet seuraavasti.

1. Avaa `Asetukset`
1. `Yleiset`
1. `VPN ja laitehallinta`
1. `DNS`. Valitse jokin muu kuin `Automaattinen`.

### Apple-asetusprofiileja

Näitä linkkejä on huomattavasti helpompaa käyttää Apple-laitteella, joten avaa
`aminda.eu/n/yksityinendns` sellaisella, ellet näin ole jo toiminut.

- [AdGuard](https://adguard-dns.io/fi/public-dns.html)
  - Valitse `Vaihtoehto 2: Määritä AdGuard DNS manuaalisesti`, `iOS` ja paina
    `Lataa määritysprofiili`.
- [DNS4EU](https://github.com/whalebone/DNS4EU-Public/tree/main/iOS/DoH)
  - En itsekään ymmärrä miten tämän on tarkoitus toimia käytännössä, joten
    suosittelen Apple-laitteiden käyttäjille jompaa kumpaa muuta
    palveluntarjoajaa.
- [Quad9](https://docs.quad9.net/Setup_Guides/iOS/iOS_14_and_later_%28Encrypted%29/#download-profile)
  - Valitse `Recommended: HTTPS(.9)` tai `HTTPS(.11)` jos haluat ECS-tuen. Quad9
    on parhaat ohjeet, mutta valitettavasti vain englanniksi.
- Epävirallisia asetusprofiileja (englanniksi):
  [encrypted-dns.party](https://encrypted-dns.party/)
  - Tämän takana on [nitrohorse](https://gitlab.com/nitrohorse), jonka kanssa
    työskentelin samanaikaisesti
    [PrivacyGuides.org](https://privacyguides.org) -[projektissa](https://github.com/privacyguides/privacyguides.org/graphs/contributors).

Apple tukee molempia, DNS-over-HTTPS:ää ja DNS-over-TLS:ää, joista aiempi toimii
käytännössä kaikkialla, toisin kuin Androidin DNS-over-TLS ("Yksityinen DNS"),
joten Apple ei tarvitse tarkempaa ongelmanratkaisu-ohjetta minun puoleltani.