Memasang kondom internet (Pi-hole + Cloudflared).

Di artikel Privacy zaman now – part 1, saya pernah menyinggung mengenai DNS.

DNS (Domain Name System) itu seperti buku telepon digital. Kita kan sudah terbiasa mengunjungi situs dengan alamat seperti https://www.google.com/, namun alamat sebenarnya Google (salah satunya) adalah 172.217.194.138. Namun angka-angka seperti itu kan susah diingat, jadi harus ada yang menghubungkan alamat google.com dengan alamat full angka tersebut, itulah fungsi DNS.

Kenyataannya adalah, koneksi DNS sekarang ini banyak sekali yang tidak terlindungi dengan baik. Penyedia layanan internet kita juga sebenarnya memiliki DNS mereka masing-masing dan mereka memiliki akses ke sejarah browsing kita semua dengan membaca kegiatan DNS ini.

Di artikel tersebut topik bahasannya lebih kepada enkripsi DNS di perangkat masing-masing pengguna internet.

Nah, sebenarnya ada cara untuk mengamankan DNS satu level di atas itu.

Caranya adalah dengan memasang program bernama Pi-hole dan Cloudflared di sebuah komputer mini yang tersambung langsung dengan router rumah. Dalam hal ini saya menggunakan Raspberry Pi (tipe 3B+), sebuah komputer kecil murah meriah seukuran kartu kredit yang bisa dibeli di toko online seperti Tokopedia, Bukalapak, Shopee, Lazada, dll

Beberapa hari yang lalu saya akhirnya ada waktu untuk memasang Pi-hole.

Apa itu Pi-hole?

Simplenya, Pi-hole adalah sebuah program yang memungkinkan semua orang untuk membuat DNS server sendiri yang bersifat sebagai sinkhole untuk mayoritas iklan dan tracker yang ada di internet.

Jika kita memasang adblocker di browser, maka yang terlindungi hanyalah aktifitas di browser tersebut. Namun dengan menggunakan Pi-hole di router, perlindungan itu akan mencakup semua traffic internet yang melalui router tersebut.

Bahkan ada yang menjuluki Pi-hole sebagai kondomnya internet 😂

Instalasi Pi-hole

Pemasangannya cukup mudah, ikuti saja panduan yang banyak bertebaran di Internet. Saya sendiri mengikuti yang ini:

1. Download OS untuk Raspberry Pi. Saya sendiri pakai Raspbian.
2. Download aplikasi Disk Imager, bisa menggunakan Etcher.
3. “Tulis” image OS Raspbian ke microSD Card menggunakan Etcher.
4. Masukkan microSD card ke Raspberry Pi, dan sambungkan juga ke router menggunakan kabel LAN. Pasang juga mouse, dan keyboard.
5. Raspberry Pi akan melakukan initial setup
6. Setelah masuk ke OS, buka command shell / terminal
7. Ketik curl -sSL https://install.pi-hole.net | bash
8. Pencet Enter, sistem akan secara otomatis meng-install pi-hole
9. Pada menu Interface, akan ada pilihan antara eth0 (Raspberry Pi terhubung ke internet menggunakan kabel) atau wlan0 (Raspberry Pi terhubung menggunakan Wi-Fi). Untuk kecepatan dan kestabilan koneksi, saya menyarankan untuk menggunakan kabel, dan pilih eth0.
10. Pilih penyedia DNS, saya sendiri menggunakan Cloudflare (1.1.1.1)
11. Pilih protokol yang akan difilter oleh Pi-hole, saya pilih IPv4 DAN IPv6
12. Set IP Address statik. Sebaiknya gunakan IP address di luar jangkauan DHCP (harus cek di settingan router), agar IP address Raspberry Pi/Pi-hole tidak akan diganti-ganti secara otomatis oleh sistem.
13. Terakhir, akan ada pilihan untuk meng-install halaman web admin interface. Gunanya untuk memantau Pi-hole dari internet browser, saya pilih install.
14. Ganti settingan DNS server di router rumah/kantor ke IP adresss yang dipilih pada langkah 12.

Tidak sulit dan tidak makan waktu lama. Prosesnya hanya sekitar 15-20 menit saja. Lebih lama nunggu download file dan nunggu installnya.

Setelah berhasil, kita akan bisa memonitor performa Pi-hole melalui web dashboard yang disediakan.

Dan berikut adalah daftar domain yang kena blok sejak saya pasang Pi-hole dalam 24 jam terakhir:

Namun ada satu masalah yang saya segera sadari dari penggunaan Pi-hole ini, ternyata traffic DNS-nya tidak terenkripsi jika hanya melakukan instalasi seperti biasa. Jadi saya tidak bisa membuka website seperti Reddit.

Jadi saya coba search lagi apakah bisa melakukan enkripsi DNS di Raspberry Pi. Ternyata bisa jika menggunakan Cloudflared.

Cloudflared

DNS adalah salah satu sistem internet yang paling penting, namun juga salah satu yang paling tidak aman. Salah satu upaya mengamankan DNS adalah dengan teknik DNS-over-HTTPS. HTTPS adalah protokol yang sudah umum digunakan untuk mengamankan komunikasi di internet.

Cloudflared akan membantu kita untuk mengenkripsi DNS di Pi melalui HTTPS. Untuk cara instalasinya, saya menggunakan panduan ini:

https://docs.pi-hole.net/guides/dns-over-https/

Cara instalasinya mungkin akan terlihat lebih rumit, tapi ikuti saja langkahnya satu per satu dengan teliti. Jangan lupa, untuk Raspberry Pi, pilih yang versi ARM architecture.

Setelah selesai, akhirnya saya bisa kembali membuka Reddit, dan membuka banyak website juga menjadi lebih ringan. Kenapa demikian? karena request access dari iklan dan tracker yang jumlahnya buanyaaakkk itu, sudah dijegal di level router dan tidak sempat masuk ke dalam local network internet di rumah / kantor yang sudah dilengkapi dengan Pi-hole.

Saya akan mengutip salah satu perbandingan traffic dengan/tanpa Pi-hole yang dilakukan oleh Troy Hunt di blog pribadinya. Di contoh berikut Troy coba mengakses portal berita https://news.com.au

Whoa! That’s an 80% reduction in network requests and an 82% reduction in the number of bytes transferred. I’d talk about the reduction in load time too except it’s really hard to measure because as you can see from the waterfall diagrams, with no Pi-hole it just keeps going and going and, well, it all gets a bit silly.

Network request berkurang 80%, dan transfer data yang dibutuhkan juga berkurang 82%! Contoh website yang digunakan Troy adalah sebuah website berita. Jadi bisa dibilang kontennya 20%, tapi iklan dan trackernya 80%. Sinting juga kan. Load timenya juga berbeda sangat jauh (57.44 detik vs 1.95 detik).

Kalau kalian tertarik untuk install Pi-hole, ini bisa menjadi proyek weekend yang menyenangkan dan sangat berguna 🙂

P.S. Pi-hole mendukung sistem whitelist, jadi kalau kalian ingin mendukung content creator favorit kalian di internet, bisa memilih untuk menampilkan iklan di website-website tertentu.

P.P.S. Kalau merasa terbantu oleh Pi-hole, jangan lupa untuk memberikan donasi kepada mereka. Proyek-proyek keren seperti ini harus didukung.

Update (2019-03-15) Jika ingin menambah daftar blokir, bisa gunakan website ini sebagai panduan: https://firebog.net/

Berikut adalah daftar blokir tambahan yang saya tambahkan melalui dashboard Pi-hole yang bisa diakses melalui Settings > Blocklists. Jangan lupa untuk klik “Save and Update” setelah itu.

https://hosts-file.net/grm.txt 
https://reddestdream.github.io/Projects/MinimalHosts/etc/MinimalHostsBlocker/minimalhosts https://raw.githubusercontent.com/StevenBlack/hosts/master/data/KADhosts/hosts 
https://raw.githubusercontent.com/StevenBlack/hosts/master/data/add.Spam/hosts 
https://v.firebog.net/hosts/static/w3kbl.txt 
https://adaway.org/hosts.txt https://v.firebog.net/hosts/AdguardDNS.txt 
https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt 
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt 
https://hosts-file.net/ad_servers.txt 
https://v.firebog.net/hosts/Easylist.txt https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts;showintro=0 
https://raw.githubusercontent.com/StevenBlack/hosts/master/data/UncheckyAds/hosts 
https://www.squidblacklist.org/downloads/dg-ads.acl 
https://v.firebog.net/hosts/Easyprivacy.txt https://v.firebog.net/hosts/Prigent-Ads.txt 
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt 
https://raw.githubusercontent.com/StevenBlack/hosts/master/data/add.2o7Net/hosts 
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt 
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt 
https://mirror1.malwaredomains.com/files/justdomains https://hosts-file.net/exp.txt 
https://hosts-file.net/emd.txt 
https://hosts-file.net/psh.txt 
https://mirror.cedia.org.ec/malwaredomains/immortal_domains.txt 
https://www.malwaredomainlist.com/hostslist/hosts.txt 
https://bitbucket.org/ethanr/dns-blacklists/raw/8575c9f96e5b4a1308f2f12394abd86d0927a4a0/bad_lists/Mandiant_APT1_Report_Appendix_D.txt 
https://v.firebog.net/hosts/Prigent-Malware.txt https://v.firebog.net/hosts/Prigent-Phishing.txt 
https://phishing.army/download/phishing_army_blocklist_extended.txt 
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt 
https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt 
https://ransomwaretracker.abuse.ch/downloads/CW_C2_DOMBL.txt 
https://ransomwaretracker.abuse.ch/downloads/LY_C2_DOMBL.txt 
https://ransomwaretracker.abuse.ch/downloads/TC_C2_DOMBL.txt 
https://ransomwaretracker.abuse.ch/downloads/TL_C2_DOMBL.txt 
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist 
https://v.firebog.net/hosts/Shalla-mal.txt 
https://raw.githubusercontent.com/StevenBlack/hosts/master/data/add.Risk/hosts 
https://www.squidblacklist.org/downloads/dg-malicious.acl 
https://zerodot1.gitlab.io/CoinBlockerLists/host

Block lists di atas dinyatakan kecil kemungkinannya untuk mengganggu aktifitas browsing seperti biasa, dan dengan tambahan tersebut, kini Pi-hole akan memblokir, dari sebelumnya hanya 100,000 domain, menjadi hampir 800,000 domains.

Update (2019-07-10) Kalau kalian ingin memiliki DNS sinkhole namun tidak ingin membuatnya sendiri menggunakan Raspberry Pi dan Pi-hole, kalian bisa menggunakan yang namanya NextDNS.

NextDNS ini bisa dibilang Pi-hole on the cloud. Jadi kalian bisa mendapat fungsi DNS sinkhole di lebih banyak perangkat, tidak terbatas pada network tertentu saja. Pelajari mengenai NextDNS di blogpost saya berikut ini: Kondom internet untuk umum (AdGuard DNS, NextDNS)

Update (2020-07-13) Alternatif lain jika kali baru ingin membeli router. Kalian bisa menggunakan router yang mendukung sistem operasi OpenWrt seperti GL.iNet Convexa-B (GL-B1300). Dengan OpenWrt, kalian bisa melakukan enkripsi DNS, install adblock, atau bisa juga menggunakan DNS sinkhole seperti NextDNS.