DNS-palvelimet

Viestiketju alueella 'Internet, tietoliikenne ja tietoturva' , aloittaja east, 06.02.2018.

Tagit:
  1. Ikx_1

    Ikx_1

    Viestejä:
    69
    Rekisteröitynyt:
    08.03.2017
    halcyon tykkää tästä.
  2. olkitu

    olkitu

    Viestejä:
    1 358
    Rekisteröitynyt:
    17.10.2016
    DNSSECiä työnnetään kovaa tahtia ulos vaikka todellista turvaa se ei tarjoa. Edelleen yhteydet ovat varmentamattomia resolveriin ja siinä välissä liikennettä voi manipuloida vapaasti jatkossakin. Pitäisi käyttää DoH tai DoT pohjaisia salauksia resolveriin asti kuten CloudFlaren 1.1.1.1 DNS resolveri tarjoaa.
     
    halcyon tykkää tästä.
  3. Leo_Greta

    Leo_Greta

    Viestejä:
    389
    Rekisteröitynyt:
    14.03.2019
    Onko noi DoH/DoT automaagisesti käytössä CloudFlaren 1.1.1.1 DNS resolverissa, vai vaatiiko se jotain säätöä?
     
  4. olkitu

    olkitu

    Viestejä:
    1 358
    Rekisteröitynyt:
    17.10.2016
    Ei ihan yksinkertainen mutta CloudFlarella ohjetta DoH-käyttöön täällä: DNS over HTTPS - Cloudflare Resolver ja DoT: DNS over TLS - Cloudflare Resolver .

    Android 9:ssä on sisäänrakennettu DoT (DNS over TLS) clientti. Firefox on ymmärtääkseni tuomassa DNS over HTTPS asiakasohjelman selaimeen suoraan. Varmaan muut seuraa perässä sitten.
     
    Leo_Greta tykkää tästä.
  5. Leo_Greta

    Leo_Greta

    Viestejä:
    389
    Rekisteröitynyt:
    14.03.2019
    pfSensen sai konffattua näköjään kivuttomasti käyttämään tuota DoT:ia, nyt kun tajusin tutkia asiaa :).

    Jos jotakin kiinnostaa, niin näitä ohjeita mukaillen näyttäis onnistuvan: Setup DNS over TLS on pfSense 2.4.4 p2 - Guide

    Tässä omat asetukset:
    dns-server_settings.JPG
    General_DNS_Resolver.JPG
     
    mti, halcyon, sammy73 ja 1 muu käyttäjä tykkää tästä.
  6. Hans Niskatuki

    Hans Niskatuki

    Viestejä:
    582
    Rekisteröitynyt:
    16.10.2016
    Tähän liittyen:

    Reitittimissä käytetyn Asuswrt-Merlinin koodaaja postasi eilen seuraavankaltaista viestiä koskien Firefox-selainta (ja koskee ilmeisesti tulevaisuudessa myös muitakin selaimia kuten käyttäjä @olkitu jo aiemassa postauksessaan arvelikin):

    Disabling Firefox's automatic switch to DoH

    Koodi:
    server=/use-application-dns.net/
    Then, restart dnsmasq:

    Koodi:
    service restart_dnsmasq

    Pitänee seurata tilannetta, koska itsellänikin on tällä hetkellä reitittimessäni DoT tulilla. Linkittämässäni triidissä virinnee keskustelua aiheesta ja ehkä täälläkin?
     
    nwps, Leo_Greta ja mikajh tykkäävät tästä.
  7. ztec

    ztec

    Viestejä:
    230
    Rekisteröitynyt:
    07.07.2019
    Satuin juttelemaan tästä DNSSEC / DNS / DoH / DoT asiasta täällä toisaalla tietoturva aiheisessa langassa.

    Niin tuli vaan mieleen, että tämä lanka olisi paljon oikeampi paikka.

    Samalla itsekseni totesin, että tuo selaimem DoH / DoT tuki muuten voi rikkoa jotain järjestelmiä, koska DNS kyselyihin ei tule enää odotettuja vastauksia. mm. DNS tietueet jotka on konfiguroitu vain organisaation sisäiseen DNS proxyyn.

    Toisaalta, mikään ei estä ajamasta organisaation sisäistä DNS proxyä DoH / DoT protokollatuella, sekä sisäisesti, että ulkoisesti. Sehän tuossa onkin kätevää, että kun laittaa organisaation DNS proxyn käyttämään DoH / DoT:ia, niin silloin kyselyt menee eteenpäin salattuna, eikä konfiguraatiota tarvitse tehdä kuin yhteen koneeseen tai kahteen, jos haluaa hieman redundanssia.

    Samalla oli tapetilla tuo että DNSSEC recordit voi tietysti validoida paikallisesti. Jos DNS resolveri koittaakin väärentää niitä välissä, vaikka DoH / DoT:nkin yli, niin silloinkin tuo paikallinen DNSSEC validoindi hylkää ne.

    Viimeisenä kysymyksenä tästä DoH / DoT tuesta tulee se, että mikä on uhka mitä vastaan sillä oikeasti suojaudutaan. Millaistan uhkamallinnusta vastaan tarve on todettu? Aika samanlainen kysymys kuin se, että ratkaiseeko VPN netin tietoturvaongelmat.
     
  8. escalibur

    escalibur ”Tietäjät, ne tietää.” Ylläpidon jäsen

    Viestejä:
    4 228
    Rekisteröitynyt:
    17.10.2016
  9. JKAVS

    JKAVS

    Viestejä:
    371
    Rekisteröitynyt:
    22.10.2016
    Vaihdoin DNS:n 1.1.1.1:een. Tein nopeustestit ennen ja jälkeen muutoksen.
    Cached name: ei muutosta (edelleen 0)
    Uncached name: -3 ms
    DotCom lookup: -12 ms

    Tuntuvat aika vähäisiltä muutoksilta, mutta näin hitaassa yhteydessä on paras käyttää pienimmätkin mahdollisuudet nopeuden nostoon.
     
    Leo_Greta ja runboy93 tykkäävät tästä.
  10. Leo_Greta

    Leo_Greta

    Viestejä:
    389
    Rekisteröitynyt:
    14.03.2019
    Oliko sulla aikasemmin ISP:n omat DNS:t?
     
  11. JKAVS

    JKAVS

    Viestejä:
    371
    Rekisteröitynyt:
    22.10.2016
    Kaikki oli vakioasetuksilla.
     
  12. ztec

    ztec

    Viestejä:
    230
    Rekisteröitynyt:
    07.07.2019
  13. Hans Niskatuki

    Hans Niskatuki

    Viestejä:
    582
    Rekisteröitynyt:
    16.10.2016
    U.S. Congress Thinks DNS Over HTTPS Is Anticompetitive

     
  14. ztec

    ztec

    Viestejä:
    230
    Rekisteröitynyt:
    07.07.2019
    DoH ja DoT on tarjolla myös Suomessa, ilman Cloudflaren tai Googlen käyttämistä.

    Snopyta - DNS

    Mutta siis jos käyttää, niin kannattaa laittaa ehdottomasti OS tasolla kuntoon, eikä räpiköidä selaimessa.
     
    Ikx_1, runboy93, mikajh ja 1 muu käyttäjä tykkää tästä.
  15. Leo_Greta

    Leo_Greta

    Viestejä:
    389
    Rekisteröitynyt:
    14.03.2019
    Näytti olevan muutenkin mielenkiintonen Snopyta.
     
    ztec ja Ikx_1 tykkäävät tästä.
  16. halcyon

    halcyon

    Viestejä:
    787
    Rekisteröitynyt:
    09.07.2017
    Mitä DNSCrypt (tai DNS-over-TLS tai DNS-over-HTTPS) ohjelmaa ihmiset suosittelevat (Win64) ja mitä palvelimia?

    Itselle tuo on uusi maailma ja koitan hieman kiihdyttää oppimiskäyrää :)
     
  17. Ormu

    Ormu

    Viestejä:
    1 405
    Rekisteröitynyt:
    17.10.2016
    Viimeksi muokattu: 23.12.2019
    halcyon tykkää tästä.
  18. ztec

    ztec

    Viestejä:
    230
    Rekisteröitynyt:
    07.07.2019
    On tässä huonotkin puolensa että käyttää DNSSEC:iä. mm. reittiopas.fi ei toimi. Huoh. api.digitransit.fi RRsigit failaa.

    Kääntäen, jos reittiopas on toiminut, on DNS konfiguraatiosi puutteellinen, eikä DNSSEC toimi.

    Päästään siis juuri siihen mistä olen kirjoittanut lukemattomia kertoja, kukaan ei halua turvallisia järjestelmiä, eikä IPv6:sta, kun niistä on vaan "pelkkää haittaa" normaaleille uunoille jotka ei välitä mistään muutenkaan mitään, kuin että asiat toimii.

    Edit jatkot:

    Näyttäisi siltä, että osa DNS resolvereista hyväksyy näköjään vanhentuneet signaturet, jos tiedot on muuten oikein. Mielenkiintoinen valinta sinänsä. Eli signature on muuten validi, mutta se on vanhentunut. - Ohjeistuksen mukaan noin ei saisi toimia, koska se mahdollistaa mm. replay hyökkäykset käyttäen vahentuneita tietoja.

    Edit Edit, vielä parin tykkäyksen jälkeen:

    Ilmeisesti domainila on DNSSEC käytössä, mutta tuota kyseiseltä recordilta puuttuu DS signature, vaikka sillä on NSEC3 ja RRsig tietueet. Jos Resolved konfiguraatiossa on DNSSEC=yes optiolla käytössä, on seurauksena se, että tuo failaa validoinnin.

    HSL-DEV tiimi on todennäköisesti korjaamassa asiaa. ;)
     
    Viimeksi muokattu: 30.12.2019
    mikajh ja halcyon tykkäävät tästä.
  19. Pah0lain3

    Pah0lain3

    Viestejä:
    111
    Rekisteröitynyt:
    25.04.2018
    Nyt on harjoteltu yötäpäivää tämän kanssa. Dns osoitteina on Cloudfare jolla on käytössä dnssec ja toimiikin testin mukaan. Os tasolla on dnsmasq käytössä sekä dnscrypt.

    Vaikuttaako noista jokin negatiivisesti vpn käyttöön ? Onko jotain muuta mitä pitäs vielä tsekata ?

    E: Otin tuon dnsmasqin pois käytöstä kuitenkin, en taida tehdä sillä tehdä mitään.
    Eli ehkä cloudfaren tarjoama dnssec+dnscrypt on iha riittävä asetus jatkossa ? Edelleen mietin vaikuttaako noista jokin negatiivisesti vpn käyttöön ?
     
    Viimeksi muokattu: 14.01.2020
  20. nwps

    nwps

    Viestejä:
    3
    Rekisteröitynyt:
    02.11.2016
    Näyttäisi Cloudflaren Helsingin serverit olevan alhaalla viime yön kello kahdesta asti. Itselläni ohjaantuu DNS-kyselyt Tukholmaan.

    :::FICIX:::
    Cloudflare Status
     
    ztec tykkää tästä.
  21. runboy93

    runboy93

    Viestejä:
    1 667
    Rekisteröitynyt:
    01.08.2017
    Yleensä korjaavat suht nopeasti, mutta nyt näyttää olevan ongelma vähän isompi.
     
  22. ztec

    ztec

    Viestejä:
    230
    Rekisteröitynyt:
    07.07.2019
    Joo, mä ihmettelin ihan samaa, kun valvonnasta on tullut latenssivaroituksia. Mulla liikenne meni vähän operaattorista riippuen Amsterdamiin (Elisa), Tallinnaan (Telia), Dusseldorffiin (Dna).

    Edit, jatkot: näköjään dns liikenne menee Telialla nyt Moskovaan. Kai ne käyttää jotain dynaamista load balancingia.
     
    Viimeksi muokattu: 15.01.2020
  23. runboy93

    runboy93

    Viestejä:
    1 667
    Rekisteröitynyt:
    01.08.2017
    Nyt on cloudflaren (HEL) korjattu :eek: ei siinä mennyt kun muutama päivä.