Maksuton Quad9 DNS-palvelu tuo tietoturvaa jokaisen ulottuville

[escalibur]

IBM Security, Packet Clearing House (PCH) ja Global Cyber Alliance (GCA) julkistivat tänään uuden maksuttoman palvelun, joka antaa jokaiselle yksityishenkilölle ja yritykselle mahdollisuuden lisätä yksityisyyden suojaa verkossa.

Quad9-nimipalvelinpalvelu (DNS: 9.9.9.9) suojaa käyttäjiä miljoonilta haitallisilta verkkosivuilta, joiden tiedetään urkkivan henkilökohtaisia tietoja, saastuttavan käyttäjien laitteita erilaisilla kiristys- ja haittaohjelmilla tai linkittävän käyttäjän petokseen.

Quad9 mahdollistaa jatkuvan suojauksen, kunhan dataliikenne on ohjattu kulkemaan palvelun kautta. Lisäksi palvelu tukee käyttäjän yksityisyyttä verkossa entistä paremmin. Palvelu ei tallenna tai hyödynnä käyttäjien henkilökohtaisia tunnistetietoja (PII). Toisin kuin jotkin DNS-palvelut, jotka hyödyntävät keräämäänsä tietoa markkinointiin tai muihin tarkoituksiin, Quad9 ei kerää henkilötietoja tai jaa mitään tietoja väestötieteellisiin analyyseihin tai markkinointitarkoituksiin.

Quad9:n käyttöönoton myötä yksityishenkilöillä ja yrityksillä on mahdollisuus suojaan, joka on tehokas ja maksuton. Tarvittavat muutokset asetuksiin ovat vähäiset. Quad9 ei vaadi käyttäjältä muita määritystoimenpiteitä kuin DNS-kyselyiden uudelleenohjaamisen. Palvelussa on kyse reaaliaikaisesta ja pitkälle järjestelmän ohjaamasta tietoturvasta, joka estää pääsyn tunnetuille haittasivustoille. Palvelun antama suoja ei kata ainoastaan pöytäkoneita ja kannettavia, vaan se on laajennettavissa myös muihin laitteisiin, kuten televisioihin tai IoT-teknologioita hyödyntäviin ratkaisuihin. Usein tällaiset laitteet tai ratkaisut jäävät perinteisten tietoturvaratkaisuiden ulottumattomiin jättäen ne alttiiksi hyökkäyksille.

IBM Maksuton Quad9 DNS-palvelu tuo tietoturvaa jokaisen ulottuville - Suomi

• Quad9 tarkistaa sivuston hyödyntäen IBM X-Force threat intelligence dataa, joka pitää sisällään analyysin yli 40 miljardista sivusta ja kuvasta sekä 17 miljoonasta tietoturvahyökkäyksestä.
• Quad9-palvelu hyödyntää ja hyödyttää 18 uhkasyötettä, joita tarjoaa muun muassa Abuse.ch, Anti-Phishing Working Group, Bambenek Consulting, F-Secure, mnemonic, 360Netlab, Hybrid Analysis GmbH, Proofpoint, RiskIQ ja ThreatSTOP.

Quad9 | Internet Security & Privacy In a Few Easy Steps

New Quad9 DNS Service Makes the Internet Safer and More Private

 

[Lexy]

Kiitos vinkistä! Pitääkin tweakata laitteet kuntoon.

 

[runboy93]

Jeps, hieno löytö.

Turvallisuus toki hyvä asia, mutta toivottavasti myös yhteyden suorituskyky pysyisi hyvänä.

F-Secure mukana quad9 yhteistyössä

 

[tombe0]

Se hieman ihmetyttää että ei ole secondary osoitetta ollenkaan, toivottavasti ddos mitigointi on heillä kunnossa jos joku vetää herneen nenään ja päättää iskeä.

 

[runboy93]

Ping nousi keskimääräisesti aikalailla verrattuna Google DNS ehkä tämä selittää jotakin, voisi tulla tänne pohjolaan myös

Jostakin syystä Googlen palveluissa on selvästi enemmän viivettä kun käyttää Quad9 vs ISP, kaikki muut sivut joita käytän niin toimivat suht yhtä nopeasti.

Jos jollekin raspille laittaisi kenties käyttöön?

Quad9 | Internet Security & Privacy In a Few Easy Steps (Privacy)
Quad9 | Internet Security & Privacy In a Few Easy Steps (Policy)

 

[TenderBeef]

Quad9:

Pinging 9.9.9.9 with 32 bytes of data:
Reply from 9.9.9.9: bytes=32 time=39ms TTL=54
Reply from 9.9.9.9: bytes=32 time=67ms TTL=54
Reply from 9.9.9.9: bytes=32 time=39ms TTL=54
Reply from 9.9.9.9: bytes=32 time=39ms TTL=54

Ping statistics for 9.9.9.9:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 39ms, Maximum = 67ms, Average = 46ms

Googlen DNS:

Pinging 8.8.8.8 with 32 bytes of data:
Reply from 8.8.8.8: bytes=32 time=25ms TTL=54
Reply from 8.8.8.8: bytes=32 time=23ms TTL=54
Reply from 8.8.8.8: bytes=32 time=28ms TTL=54
Reply from 8.8.8.8: bytes=32 time=15ms TTL=54

Ping statistics for 8.8.8.8:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 15ms, Maximum = 28ms, Average = 22ms

 

[TenderBeef]

Osaako joku kertoa rautalangasta mikä tuo "Send EDNS Client Subnet" oikein on? Jotenkin liittyy geopaikannukseen CDN-palveluita käytettäessä? Miksi ei ole "primaryssä", ja miksi on "no featuressa"? Jotenkin kavahdan aina DNS:n tekemiä blokkauksia, mieluummin otan riskin ja hoidan ne blokkaukset itse.

Sen verran kyyninen olen että "what's the catch?".

Miksi käyttää tätä eikä googlen DNSää, tai nopeinta eli ISP:n DNS:ää?

 

[TenderBeef]

Se hieman ihmetyttää että ei ole secondary osoitetta ollenkaan, toivottavasti ddos mitigointi on heillä kunnossa jos joku vetää herneen nenään ja päättää iskeä.

Käsittääkseni Quad9 on Anycast DNS, eli eipä hätää siltä osin.

EDIT: FAQista:

What has your DNS up-time been?

Quad9 is a global anycast service. Multiple points of presence around the world means redundancy is built into the system. If a resolver goes down, the traffic is automatically routed to the next closest resolver. To date, our up-time has been 99.999%.

 

[TenderBeef]

FAQissa useampaan kertaan sanovat, että IP:tä ei tallenneta heidän järjestelmiin ollenkaan mutta privacy policy sanoo näin:

What Information Do We Collect?

When you use Quad9 DNS Services, the information we gather aides us to personalize, improve and operate our infrastructure. For achieving this goal, Quad9 stores two sets of logs: temporary and permanent.

Temporary Logs

The temporary logs store the full IP address of the machine you are using. We will only store full IP information for processing into an anonymized form, for aggregating into statistical telemetry data, for troubleshooting technical issues, or for protecting the infrastructure during DDoS and other types of cyber attacks. This collection and storage of data will be for the minimal amount of time needed to accomplish the goals that instigated the collection and storage.

Permanent Logs

In the permanent logs, we do not keep personally identifiable information (PII) or IP information. We do keep some location information (at the city/metro level) so that we can conduct debugging and analyze abuse phenomena. We also use the collected information for the creation and sharing of telemetry (timestamp, geolocation, number of hits, first seen, last seen) for contributors, public publishing of general statistics of use of system (protections, threat types, counts, etc.), and use of a passive DNS platform (domain resolved to this IP, at this time).

We do not correlate or combine information from our temporary or permanent logs with any personal information that you have provided Quad9 for other services.

Pysyvästi ei tallenneta IP:tä mutta "väliaikaisesti" kyllä. Ei ole ihan hiottu tuota tiedon esillepanoa, tai sitten on tahallaan FAQissa väärää/harhaanjohtavaa tietoa.

 

[TenderBeef]

Osaako joku kertoa rautalangasta mikä tuo "Send EDNS Client Subnet" oikein on? Jotenkin liittyy geopaikannukseen CDN-palveluita käytettäessä? Miksi ei ole "primaryssä", ja miksi on "no featuressa"?

Sori, viimeinen viesti, huomasin vielä FAQissa vastausta tähän:

What is EDNS Client-Subnet?

EDNS Client-Subnet is a method that includes components of end-user IP address data in requests that are sent to authoritative DNS servers. This means that there is privacy “leakage” for recursive resolvers that send EDNS Client-Subnet data, where components of the end user’s IP address are transmitted to the remote site. While this is typically used to improve performance of Content Distribution Networks, we have determined that Client-Subnet data falls into a grey area of personally identifiable information, and we do not transmit that data. In some circumstances this may result in suboptimal routing between CDN origins and end users. We hope to have an EDNS Client-Subnet solution in place shortly which gives a “middle ground” between the two options we have today of “secure” and “unsecure”.

Eli esim. joku Netflix-streamaus _saattaa_ huonontua..?

 

[runboy93]

Miksi käyttää tätä eikä googlen DNSää, tai nopeinta eli ISP:n DNS:ää?

Google DNS pitäisi olla periaatteessa nopeampi kuin ISP (riippuu tietysti ISP:stä), mutta sitten taas Google kerää liikaa tietoja käyttäjistä.

Quad9 on hitaampi kuin Google DNS ja ISP, mutta panostettu turvallisuuteen ja käyttäjätietojen keräys tapahtuu pienemmässä mittakaavassa kuin Googlen toimesta, melko varmasti suurin osa tiedonkeräys liittyy noiden uhkien hoitoon (parannuksia turvallisuuteen tulevaisuudessa), Google DNS on myös suomen puolella ja kaikkialla muualla, Quad9 vasta suht uusi ja eniten levinnyt yhdysvalloissa, mutta lupasivat että laajenee huomattavasti 2018 aikana.

 

[TenderBeef]

Google DNS pitäisi olla periaatteessa nopeampi kuin ISP (riippuu tietysti ISP:stä)

Periaatteessa? Miksi? ISP:n DNS on kuitenkin paljon lähempänä, esim. taisi olla 10 hopsia kun tracerttasin tuossa googlen DNS:n, about puolet enemmän kuin ISP:n. Lisäksi pingaus parhaimmillaan alle 10ms (pyydetty ISP:ltä laittamaan pois päältä sen "interleave" tjsp. asetuksen joka on IPTV:tä varten päällä automaattisesti ja kasvattaa pingiä (Telia bs: "alle 100ms ping on hyvä").

 

[runboy93]

Lisäksi pingaus parhaimmillaan alle 10ms (pyydetty ISP:ltä laittamaan pois päältä sen "interleave" tjsp. asetuksen joka on IPTV:tä varten päällä automaattisesti ja kasvattaa pingiä (Telia bs: "alle 100ms ping on hyvä").

Ainakin Elisa laittanut niin että se on aina päällä, eikä sitä voi laittaa pois päältä (pyynnöstä yms), alle 100ms ping on itseassa oikein hyvä entinen Telia käyttäjä ja 100ms olisi ollut unelma heikolla netillä vuodesta 2009-2014 alkuvuoteen asti, sen jälkeen Elisan asiakas ollut. On se jännä kun 4G hotspotilla (4G+, 5GHz) saa nykyään parempaa pingiä ulos kuin mitä piuhanetit sai koskaan, riippuen pelistä ping 40-50+ (poikkeuksissa bugisissa peleissä huonoilla servereillä noussu 80+, mutta ei 100 asti), kuulemma jotkut saanut vähemmänkin kuin 40 ping 4G hotspotilla, jaa 40+ riittää mulle.

 

[Tinke-80]

GRC.comin DNS Benchmark antoi seuraavan tuloksen, ei paljoa hävinnyt Quad9 nopeudessa Googlen DNS palvelimille.


GRC's | DNS Nameserver Performance Benchmark

 

[user9999]

Ihan OK näyttää toimivan näin lyhyen testin aikana. Olkoon käytössä pitempään...

 

[njake]

Omasta Elisan liittymästä tuo Quad9 on noin 3 kertaa hitaampi, kuin googlen DNS.
Hyvä palveluhan tuo muuten varmasti on.
Onkohan Googlella jonkinlaista suodatusta omassaan olemassa, epäilisin että jonkinlainen löytyy.

 

[Lagittaja]

Elisa/Anvia 100/20 kaapelin takaa testattuna

    9.  9.  9.  9 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,030 | 0,034 | 0,038 | 0,002 | 100,0 |
  - Uncached Name | 0,032 | 0,078 | 0,287 | 0,071 | 100,0 |
  - DotCom Lookup | 0,033 | 0,040 | 0,057 | 0,004 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                      dns.quad9.net
                 QUAD9-AS-1 - Quad9, US

    9.  9.  9. 10 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,031 | 0,034 | 0,038 | 0,001 | 100,0 |
  - Uncached Name | 0,033 | 0,080 | 0,283 | 0,075 | 100,0 |
  - DotCom Lookup | 0,033 | 0,041 | 0,048 | 0,004 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                   dns-nosec.quad9.net
                 QUAD9-AS-1 - Quad9, US

    8.  8.  8.  8 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,018 | 0,021 | 0,025 | 0,002 | 100,0 |
  - Uncached Name | 0,032 | 0,105 | 0,446 | 0,099 | 100,0 |
  - DotCom Lookup | 0,041 | 0,054 | 0,073 | 0,011 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-a.google.com
                 GOOGLE - Google LLC, US

    8.  8.  4.  4 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,015 | 0,021 | 0,025 | 0,002 | 100,0 |
  - Uncached Name | 0,030 | 0,089 | 0,356 | 0,074 | 100,0 |
  - DotCom Lookup | 0,041 | 0,056 | 0,076 | 0,012 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-b.google.com
                 GOOGLE - Google LLC, US

Kakutetut haut hitaampia kuin Google mutta uncached nopeampi.
Tosin erot aika pieniä ja menee vähän hiusten halkomiseksi kun katsotaan esim OpenDNS palvelimia jotka oletuksena DNSBenchin listassa.

Ajelin uudestaan muutaman muun palvelimen kanssa, siinä käyrinä keskiarvo vasteaikaa ja keskihajontaa.


Joku OpenDNS nyt onkin huomattavasti hitaampi mutta muuten sitten erot on lähes turhia, mitä nyt Saunalahden palvelimet nousee hieman esiin mutta olettaisin että ovat varmaan aika kiireisiä rautaan nähden.

P.S. "Paras" ratkaisu tietenkin on pyörittää omaa DNS palvelinta joka kyselee useammalta palvelimelta (nopein voittaa) ja välimuistittaa kyselyitä. Toki tässäkin pitää pitää järki matkassa eikä heittää esim tusina eri palvelinta listaan...
Näin itselläni eli ER-X:ssä dnsmasq palvelee omaa kotiverkkoani ja näkyyhän se tuloksissa kun dnsmasq poimii kirsikoita kakun päältä. Käytössä tällä hetkellä censurfridns ja Google jotka totesin hyviksi oman testauksen perusteella.

 

[TenderBeef]

Tuossa nyt kun on taulukossa google primary & secondary DNS:t vertailtuna Quad9 secureen ja unsecureen, niin toivottavasti ei porukka laita molempia Quad9 DNS:ää käyttöön. FAQ:

Is there a service that Quad9 offers that does not have the blocklist or other security?

The primary IP address for Quad9 is 9.9.9.9, which includes the blocklist, DNSSEC, and other security features. However, there are alternate IP addresses that the service operates which do not have these security features. These might be useful for testing validation, or to determine if there are false positives in the Quad9 system.

Secure IP: 9.9.9.9 Blocklist, DNSSEC, No EDNS Client-Subnet

Unsecure IP: 9.9.9.10 No blocklist, no DNSSEC, send EDNS Client-Subnet

Note: Use only one of these two addresses. Some networking software may include terminology such as “Secondary DNS Server” in configuration windows; this can be left blank. Putting both 9.9.9.9 and 9.9.9.10 into “primary” and “secondary” fields may result in unsecure results in rare circumstances.

 

[Lagittaja]

Tuossa nyt kun on taulukossa google primary & secondary DNS:t vertailtuna Quad9 secureen ja unsecureen, niin toivottavasti ei porukka laita molempia Quad9 DNS:ää käyttöön. FAQ:

Sinällään jännä että DNSBenchin mukaan 9.9.9.10 olisi "and authenticates security". Eli DNSSEC päällä
Vaihdoin tuossa koneelle tuon .10:n käyttöön, pläräilin muutamat DNSSEC testisivustot läpi ja vihreää näyttää.
esim internet.nl:n testi näyttää että DNS tarjoaja on WoodyNet joka jotenkin liittyy Quad9:iin. (Packet Clearing House? en jaksanut tutkia sen enempää)

Ja kun tuossa kerta lukee että palveluntarjoaja on WoodyNet niin tämän koneen DNS kyselyt menee Quad9:n kautta kun ER:n forwarding servereissä ei sellaista ole enkä ole tehnyt mitään pakotus sääntöjä purkkiin että kaikki (DNS kyselyt) kulkisi sen kautta vaikka manuaalisesti vaihtaisi DNS palvelimen jollekin toosalle.

Edit: ja esim www.dnssec-failed.org ei lataudu

 

[leripe]

Vaihdoin heti käyttöön, kun kuulin fsecuren kautta tästä.

 

[Err]

Googlen DNS näyttäisi voittavan ainoastaan välimuistissa olevilla kyselyillä, joten eiköhän itsekin uskalla ottaa Quad9n käyttöön.

 

[TenderBeef]

Vihdoinkin tuli testattua tätä. Ihan surkea tuntuu olevan. Modeemiin 9.9.9.9 ja varmuudeksi vielä restartti, myös flushdns windowsista. Lähes joka ikinen uusi DNS haku ei toimi ja sivu ei lataudu, pitää vähintään refreshata 2 tai useampaan kertaan, joskus lähemmäs kymmenen kertaa, että lähtee yhteydet pelittämään. Esim. juuri tuossa yritin googlen hakusivulle päästä (olin jo aiemmin pari kertaa sen sivun ladannut) ja selain vain väitti, että ei tunne osoitetta vaikka päivitin (ctrl+F5) sivua uudestaan ja uudestaan joku yli kymmenen kertaa, sitten yhtäkkiä toimikin. Tällä testillä: aivan paska palvelu. Ja @Lagittaja:n tavoin kokeilin useampaa DNSSEC-testiä molemmille 9.9.9.9 ja 9.9.9.10, tuloksena DNSSEC päällä molemmissa. Ei kyllä vakuuta tämä palvelu yhtään.

 

[leripe]

Vihdoinkin tuli testattua tätä. Ihan surkea tuntuu olevan. Modeemiin 9.9.9.9 ja varmuudeksi vielä restartti, myös flushdns windowsista. Lähes joka ikinen uusi DNS haku ei toimi ja sivu ei lataudu, pitää vähintään refreshata 2 tai useampaan kertaan, joskus lähemmäs kymmenen kertaa, että lähtee yhteydet pelittämään. Esim. juuri tuossa yritin googlen hakusivulle päästä (olin jo aiemmin pari kertaa sen sivun ladannut) ja selain vain väitti, että ei tunne osoitetta vaikka päivitin (ctrl+F5) sivua uudestaan ja uudestaan joku yli kymmenen kertaa, sitten yhtäkkiä toimikin. Tällä testillä: aivan paska palvelu. Ja @Lagittaja:n tavoin kokeilin useampaa DNSSEC-testiä molemmille 9.9.9.9 ja 9.9.9.10, tuloksena DNSSEC päällä molemmissa. Ei kyllä vakuuta tämä palvelu yhtään.

En tiedä onko sitten modeemisi paska vai mikä, kun itsellä toiminut kuin junan vessa.
Kokeileppa laittaa takaisin palveluntarjoajan dns modeemiin ja vaihda vain winukan asetuksista 9.9.9.9 pc:lle käyttöön.

 

[runboy93]

Kyllä se toimii mutta ei se mitenkään turvallisempi ole, ehkä vielä testailevat?

 

[TenderBeef]

En tiedä onko sitten modeemisi paska vai mikä, kun itsellä toiminut kuin junan vessa.

Itseäkin ihmetytti kovasti, kaikki muut DNS:t mitä olen testannut useampaan eri otteeseen, esim. ISP:n, Googlen (käytössä), OpenDNS, DNS Watch, UncensoredDNS (myös Anycast kuten Quad9), jne. ja ainoastaan tämä Quad9 on pykinyt todella pahasti. En kyllä laittaisi modeemin piikkiin. Outo juttu kylläkin. Ehkä pitää testata vielä toisen kerran..

 

[TenderBeef]

DNS Security Filters Compared: Quad9 x OpenDNS x Comodo Secure x Norton ConnectSafe x Yandex Safe

TLDR

All these providers do very little to block access to malicious content. On a list with 30 random known-malicious domains, OpenDNS blocked 3 of them (10% success rate) and Comodo blocked other 4 (~10% success rate).

These domains were all blacklisted by Google Safe Browsing, some major antivirus engines and most of them on phishtank. Still, almost none of them got blocked.

Quad9 did not block any of those malicious domains. Read more for details.

 

[leripe]

Vanha artikkeli jo ja pastettu muistaakseni tuonne tietoturvauutisiin.

 

[runboy93]

En oikein tiedä mitä varten Quad9 on tehty, kun se on ihan sama käyttääkö ISP:n omaa tai Quad9, ei torju sivuja / uhkia yhtään sen paremmin.

 

[TenderBeef]

Vanha artikkeli jo ja pastettu muistaakseni tuonne tietoturvauutisiin.

Täällä ei ole postattu, ja onko Dec 18, 2017 liian vanha testitulokseksi? Parisen viikkoa on liian vanhaa tietoa?

 

[TenderBeef]

On kyllä outo palvelu, itsellä pätkii netin lähes poikki, haittasivusuojaus-toiminto erittäin kyseenalainen, DNSSEC ei toimi kuten on kerrottu...

 

[runboy93]

Löysin myös tälläisen:
How to Pick the Best Threat-blocking DNS Provider

"This article is a revision of our previous report published on 21/12/2017. Due to a bug in DiNgoeS, our Quad9 results were inaccurate. We quickly fixed the bug and re-ran the assessment. We thank the Quad9 engineers for drawing our attention to the issue."

 

[TenderBeef]

Löysin myös tälläisen:
How to Pick the Best Threat-blocking DNS Provider

The next in the line is Quad9. This service did manage to block a high-number of malware-related domains. The explanation is probably that the block list of this service is based on the IBM X-Force threat intelligence service. Unfortunately, the DNS service did not seem to block too many exploits and phishing domains this time.

Disclaimer:

Our assessment is not meant to be comprehensive, unbiased or complete.

Firstly, we relied on threat data from a single provider only: hpHosts, which was an arbitrary choice. If any of the alternative DNS providers happen to source threat data from hpHosts, it probably distorts our results.

Second of all, occasional DNS resolution errors did occur due to intermittent network issues and throttling. As these errors were unpredictable and random, we ran the scans from four different locations (Sydney x2, Frankfurt and North Virginia) and took the average of the results.

We ran the scan on a single day (2017-12-23), so the results might be different if the scans are rerun at a later date.

Despite these limitations, we believe that the assessment gives our readers a general idea about how the different alternative DNS providers perform compared to each other.

 

[leripe]

Itsellä raspista tehty pi-hole dns palvelimena ja sille määriteltynä vain quad9 dns palveluksi.
Quad9 lisäksi tuossa on x määrä block listoja, jotka blokkaa n. 724000 domainia.
Näiden päälle minulla on vielä F-Secure Sense reitittimenä, joka tekee omat analysointinsa ja Sensen softa koneella sekä puhelimissa.

 

[Hellsinki]

Laitoin.. koneesee ja modeemiin. Mistä tietää että edes on päällä?

 

[an13]

cmd.exe tulille ja kirjoittaa nslookup google.fi ja katsoo kohdasta Server Address että onko DNS palvelin mikä vastasi tuo haluttu 9.9.9.9.

 

[east]

FAQissa useampaan kertaan sanovat, että IP:tä ei tallenneta heidän järjestelmiin ollenkaan mutta privacy policy sanoo näin:


Pysyvästi ei tallenneta IP:tä mutta "väliaikaisesti" kyllä. Ei ole ihan hiottu tuota tiedon esillepanoa, tai sitten on tahallaan FAQissa väärää/harhaanjohtavaa tietoa.

Privacy policya on muokattu, koko "temporary logs" -kappale on poistettu.

 

[TenderBeef]

Privacy policya on muokattu, koko "temporary logs" -kappale on poistettu.

Muutettu epäselvemmäksi IMO.

 

[leripe]

Spoileri: Logs

When you use Quad9 DNS Services, here is the full list of items that are included in our logs:

• Request domain name, e.g. www.example.net
• Record type of requested domain, e.g. A, AAAA, NS, MX, TXT, etc.
• Transport protocol on which the request arrived, i.e. TCP, UDP, and encryption status of the protocol
• Origin IP general geolocation information: i.e. geocode, region ID, city ID, and metro code
• Protocol version IP address – IPv4, or IPv6
• Response code sent, e.g. SUCCESS, SERVFAIL, NXDOMAIN, etc.
• Absolute arrival time
• Name of the Quad9-operated machine that processed this request
• Quad9 target IP to which this request was addressed (no relation to the user’s IP address)

We may keep the following data as summary information, including all of the above EXCEPT for data about the DNS record requested:

• Currently-advertised BGP-summarized IP prefix/netmask of apparent client origin
• Autonomous system number (BGP ASN) of apparent client origin
• All of the above data may be kept in full or partial form in permanent archives.

Kaikki logi data siis saatetaan pitää osittain ja kokonaan forever.

Spoileri: Sharing

Except as described in this Data Policy, Quad9 does not intentionally share, sell, or rent individual personal information associated with the requestor (i.e. source IP Address or any other information that can positively identify the system using our infrastructure) with anyone without your permission.

Kaikki data saatetaan "vahingossa" jakaa, myydä tai vuokrata eteenpäin.

Edit:
Toki eipä tällä listalla ole merkitystä, jos ei ole jotain vertauskohdetta.
Eli jakaako esim. suomen operaattorit, google, cisco, jne. datansa ja mitä ne tallentaa.

 

[runboy93]

BLOG – Quad 9

Mielenkiintoista luettavaa, etenkin se ensimmäinen postaus siitä virheellisestä testistä.

Tietojen keräämisestä jne kauhuista.

Huomattavasti vähemmän kerää / jakaa tietoja kuin esimerkiksi Google DNS (käytetyin DNS + koska Google), niin mielestäni Quad9 on parempi tässä mielessä, mutta niin saisivat myös laajentaa tänne pohjolaan (6 uutta paikkaa sijoitettu tänä vuonna?)

 

[TenderBeef]

Vihdoinkin tuli testattua tätä. Ihan surkea tuntuu olevan. Modeemiin 9.9.9.9 ja varmuudeksi vielä restartti, myös flushdns windowsista. Lähes joka ikinen uusi DNS haku ei toimi ja sivu ei lataudu, pitää vähintään refreshata 2 tai useampaan kertaan, joskus lähemmäs kymmenen kertaa, että lähtee yhteydet pelittämään. Esim. juuri tuossa yritin googlen hakusivulle päästä (olin jo aiemmin pari kertaa sen sivun ladannut) ja selain vain väitti, että ei tunne osoitetta vaikka päivitin (ctrl+F5) sivua uudestaan ja uudestaan joku yli kymmenen kertaa, sitten yhtäkkiä toimikin.

Vihdoinkin jaksoin testata uudemman kerran. Enää ei ole noin paha tilanne kuin aiemmin, mutta silti monet monet sivut eivät aukea heti, esim. suuria suomalaisia sivuja, ja esim. reddit, jne., WoodyNet USA 74.63.24.244 näyttää olevan resolveri eri testien mukaan, pingit edelleen yli puolet hitaampia kuin googlen DNS:llä. Ei vakuuta täällä päässä yhtään.

 

[runboy93]

Vihdoinkin jaksoin testata uudemman kerran. Enää ei ole noin paha tilanne kuin aiemmin, mutta silti monet monet sivut eivät aukea heti, esim. suuria suomalaisia sivuja, ja esim. reddit, jne., WoodyNet USA 74.63.24.244 näyttää olevan resolveri eri testien mukaan, pingit edelleen yli puolet hitaampia kuin googlen DNS:llä. Ei vakuuta täällä päässä yhtään.

Ei ole oikein levinnyt tänne pohjoiseen vielä muutenkaan, lähin taisi olla puolassa? Voisivat edes johonkin vaikka ruotsiin sijoittaa tai parhaimmassa tapauksessa suomeen

 

[runboy93]

Quad9 and Your Data • Quad 9

 

[runboy93]

Onko muilla ollut ongelmia quad9:n kanssa nyt parin päivän aikana, olen ihan varma että ongelma on DNS:ssä kun jaan puhelimesta verkon koneelle, niin puhelimessa on se default mikälie, kun jaan yhteyden koneelle niin asetuksista olen pistänyt 9.9.9.9 DNS osoitteeksi, koska tähän asti ainakin ollut nopein mitä tarjolla.

Niin, koneella käytettäessä valittaa 5-10 minuutin välein että yhteyttä ei ole, puhelimella yhteys toimii mainiosti.

Edit: 1.1.1.1 DNS toimii myös koneella.

 

[leripe]

Siirryin itse käyttämään 1.1.1.1 aikaa sitten, koska se on nopein. Quad9 toki olisi kaiketi turvallisempi, mutta hitaampi kuin monet muut.

 

[runboy93]

Siirryin itse käyttämään 1.1.1.1 aikaa sitten, koska se on nopein. Quad9 toki olisi kaiketi turvallisempi, mutta hitaampi kuin monet muut.

Turvallisen siitä tekee ainoastaan se pöpösuodatin, jos käyttää virustorjuntaa jossa joku webfilter niin ajaa asian vielä paremmin, ja chromium perustuvissa selaimissa voi laittaa sen suojauksen päälle, eiköhän turvaa paaljon paremmin kuin quad9 DNS.

DNS over HTTPS taitaa puuttua quad9:sta, eli ei täysin turvallinen.

quad9 pöpösuojaus, uusi testaus:
Phishing Protection — Comparing DNS Security Filters

Näkee jo noista tuloksista, että tekee hyvää työtä mutta myös puutteita löytyy.

 

[leripe]

Turvallisen siitä tekee ainoastaan se pöpösuodatin, jos käyttää virustorjuntaa jossa joku webfilter niin ajaa asian vielä paremmin, ja chromium perustuvissa selaimissa voi laittaa sen suojauksen päälle, eiköhän turvaa paaljon paremmin kuin quad9 DNS.

DNS over HTTPS taitaa puuttua quad9:sta, eli ei täysin turvallinen.

quad9 pöpösuojaus, uusi testaus:
Phishing Protection — Comparing DNS Security Filters

Näkee jo noista tuloksista, että tekee hyvää työtä mutta myös puutteita löytyy.

Paremmin on ehkä väärä sana kun puhutaan dns tason suojasta vs ylemmät tasot.
Mutta joka tapauksessa on jo vuosia puhuttu, että parhaan suojauksen saa kun stäkkää mahdollisimman monta suojausta ja kerrosta.
Mikään ei yksin eikä kaksin ole kuitenkaa täydellinen.
Ja joka tapauksessa nämäkään ei tunnista hyökkäyksiä mitä edr, rds ja vastaavat tunnistaa. Toki nämä ovat jo sitten business luokan tuotteita.

 

[runboy93]

Mutta tosiaan siirryin 9.9.9.9 > 1.1.1.1 ja 1.0.0.1, koska yksinkertaisesti quad9 lopetti toimintansa mystisesti eilen kokonaan, varmaan joku ohimenevä ongelma, mutta huomasin myös ison eron nopeudessa tätä 1.1.1.1 käytettäessä, voi olla että pysyn tässä.

Edit: viikon verran ollut nyt käytössä 1.1.1.1 ja 1.0.0.1, en todellakaan aio muuttaa takaisin 9.9.9.9, nopeus on avainsana

 

[runboy93]

Ei taida olla suomeen vieläkään saapunut? virossa varmaan vieläkin lähin clusteri (ainakin ollut joku pari kuukautta, en tiedä nyt)?

Edit: support vastasi viestiin että nyt alkuvuodesta pitäisi aloittaa ruotsissa quad9 clusteri, suomeen tulosta ei vielä sen tarkempaa tietoa kuin että työskentelevät sen parissa ja että myöhemmin tänä vuonna tulossa.

Edit: sitten myös tämä:


Haluaisin kyllä käyttää quad9 DNS, mutta saisivat nyt vain paranneltua käyttöä täällä suomessa, yskii aikalailla.

 

[runboy93]

    9.  9.  9.  9 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,049 | 0,053 | 0,062 | 0,003 | 100,0 |
  - Uncached Name | 0,052 | 0,103 | 0,271 | 0,067 | 100,0 |
  - DotCom Lookup | 0,053 | 0,063 | 0,137 | 0,016 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                      dns.quad9.net
                 QUAD9-AS-1 - Quad9, US

Quad9 DNS Performance

Query Time:

47 ms

Quad9 Performance:

10 joulukuuta 2018 lähtien, tähän päivään asti ollut alle 38 ms, euroopassa.

Ruotsiin tulossa clusteri, virossa on jo, suomeen tulossa joskus (työn touhussa), kunhan saavat valmiiksi niin eiköhän täällä suomessakin parane hieman.

 

[runboy93]

Ei vieläkään ole saapunut suomeen clusteria nopeudet edelleen todella huonoja keskimääräisesti.

Sitten on tuo 9.9.9.9 connect sovellus, joka on vielä beta testauksessa.