https://blog.root.cz/oldpwd/ https://i.iinfo.cz/r/rss-88x31.gif 88 31 https://blog.root.cz/oldpwd/ Poslední přidané názory v blogu My_$OLDPWD cs Thu, 02 Feb 2017 01:19:44 GMT https://blog.root.cz/oldpwd/soukromi-v-dns-prakticky/#o906291?utm_source=rss&utm_medium=text&utm_campaign=rss PS: prednaska je z r.2010 tak je potreba k tomu prihlednout, ale v podstate vsechno je stale platne jen s tim rozdilem ze se rapidne zvedly kapacity utoku =dnes uz DDOS 600Gbps neni zadna vyjimka. hugochavez Thu, 02 Feb 2017 01:19:44 GMT blog.root.cz-blogComment-906291 https://blog.root.cz/oldpwd/soukromi-v-dns-prakticky/#o906289?utm_source=rss&utm_medium=text&utm_campaign=rss "ad3/ ...o DNSCurve toho zatim moc nevim.." V tom pripade vrele doporucuju brilantne vedenou prednasku navic prokladanou vtipem od uznavaneho kryptografa jmenem Daniel Bernstein (autor napr EC25519) High-speed high-security cryptography: encrypting and authenticating the whole Internet https://www.youtube.com/watch?v=ljt1cxUcZMM slides ktery tam pouziva jsou k sosnuti zde: https://events.ccc.de/congress/2010/Fahrplan/attachments/1773_slides.pdf Prvni polovinu venuje rozboru slabin DNSSEC protokolu a moznych scenaru jeho zneuziti k amplification DDOS utoku, potom navrhuje reseni =prave DNSCurve + novy komunikacni protokol CurveCP. Ten jeho napad vyeliminovat CA a verejny klic webu rovnou napalit natvrdo do URL je genialni, trochu se to podoba napadu od Bruce Schneiera kde pri pouziti dostatecne dlouheho URL s dobrou entropii je mozne vyeliminovat heslo, protoze obtiznost uhodnuti hesla je srovnatelna s obtiznosti uhodnuti jedinecne URL :o) "ad1/ ....o Unboundu na Turrisu s vypnutym forwardovanim dotazu, pak mate pravdu a v tu chvili je Unbound v roli recursive DNS. V pripade zapnuteho forwardingu (viz administrace Foris), coz je mimochodem doporuceno CZ.NICem (kvuli rychlosti odezvy apod.), pote jsou DNS dotazy rekurzivne vyrizovany DNSkem ISP." Nevim teda jak je Unbound implementovan na Turrisu, ale duvodem proc si lid instalujou doma Unbound DNS server je prave to aby se vyhnuli "profilovani a zlovuli ci ruznym black-listum" od sveho ISP ci nejakeho chytraka po ceste. Neni mi jasne proc by forwardovani-a tim degradace Unboundu na preposilace dotazu" melo byt "doporucene reseni" a uz vubec mi neni jasne jakou vyhodu by to melo ohledne "rychlosti odezvy" pred vybudovanim VLASTNI CACHE na vlastnim LANu....? Ja kdyz si udelam DNSbenchmark tak je vzdycky jasne nejrychlejsi muj vlastni lokalni Unbound, kdy napr. domeny ktere jsou nacachovane serviruje rychlosti 1ms az nemeritelno.... Navic Unbound ma funkci "pre-fetching" takze si klice a zaznamy SAM updatuje tesne predtim nez vyprsi TTL, cimz je cache ze ktere serviruje vzdy aktualni a OKAMZITE ready. hugochavez Thu, 02 Feb 2017 01:16:00 GMT blog.root.cz-blogComment-906289 https://blog.root.cz/oldpwd/soukromi-v-dns-prakticky/#o906120?utm_source=rss&utm_medium=text&utm_campaign=rss Zdravim, ad 1/ Bavime-li se stale o Unboundu na Turrisu s vypnutym forwardovanim dotazu, pak mate pravdu a v tu chvili je Unbound v roli recursive DNS. V pripade zapnuteho forwardingu (viz administrace Foris), coz je mimochodem doporuceno CZ.NICem (kvuli rychlosti odezvy apod.), pote jsou DNS dotazy rekurzivne vyrizovany DNSkem ISP. ad 2/ Dokud nebude mit Unbound implementovany EDNS0 Padding (dosud tomu tak neni, omlouvam se za chybu ve clanku), pote zde existuje moznost odhadnuti odeslanych DNS dotazu/odpovedi. DNSCrypt i DNS-over-TLS jsou sifrovaci protokoly, kdezto DNSSEC je zde pro validaci. Tedy jednotlive implementace se vzajemne doplnuji a obe budou mit stale smysl i pri nasazeni sifrovani. ad 3/ Diky za odkaz, bohuzel o DNSCurve toho zatim moc nevim. Ondrej K Tue, 31 Jan 2017 19:14:13 GMT blog.root.cz-blogComment-906120 https://blog.root.cz/oldpwd/soukromi-v-dns-prakticky/#o906119?utm_source=rss&utm_medium=text&utm_campaign=rss Dekuji Ondreji za komentar! Samozrejme mate pravdu a ihned to opravim. Prestoze jsem dokumentaci k Unboundu nekolikrat cetl, tohle byla hodne mylna domnenka. Taktez po kontrole nekolika zdroju, vidim, ze podporu na serverove strane ma stale a pouze Knot Resolver. Ondrej K Tue, 31 Jan 2017 18:47:53 GMT blog.root.cz-blogComment-906119 https://blog.root.cz/oldpwd/soukromi-v-dns-prakticky/#o906118?utm_source=rss&utm_medium=text&utm_campaign=rss Riziko v zapnutem "ICMP echo request" nijak prevratne rozhodne neni. Nicmene, jak uz sama kolonka v obr. vysledku napovida: It's preferable for it to be less visible. Vsechna tato nastaveni kolem DNS byla demonstrovana na domacim routeru a nikdy jsem na nej nepotreboval pingovat z prostredi internetu. Osobne preferuji pristup - zakaz vse a nasledne povol jen nezbytne sluzby/aplikace pro chod systemu. Z pohledu utocnika, je to dalsi moznost, jak si overit, zdali na uvedene adrese bezi nejake zarizeni a az pote zacit utocit. Vice napr. na http://superuser.com/a/572187 Ondrej K Tue, 31 Jan 2017 18:39:41 GMT blog.root.cz-blogComment-906118 https://blog.root.cz/oldpwd/soukromi-v-dns-prakticky/#o906115?utm_source=rss&utm_medium=text&utm_campaign=rss Diky za clanek. Mam par dotazu jako noob v DNS, presto se zajimam o bezpecnost a anonymitu. 1/ mel jsem za to, ze Unbound bezi jako muj vlastni "recursive DNS server", tj az na obcasne stazeni/aktualizaci z ARPA serveru nepotrebuji DNS resolver (od ISP, googli, ..)? 2/ dnscrypt tedy nema smysl? (pokud mam nastaveno pouziti DNSSEC) 3/ co openDNS? https://blog.opendns.com/2010/02/23/opendns-dnscurve/ noob Tue, 31 Jan 2017 17:50:52 GMT blog.root.cz-blogComment-906115 https://blog.root.cz/oldpwd/soukromi-v-dns-prakticky/#o906078?utm_source=rss&utm_medium=text&utm_campaign=rss Proč vypnout ping na server? Je v tom nějaké bezpečnostní riziko? ( nerejpu, zajímá mě to) Karel Tue, 31 Jan 2017 12:55:18 GMT blog.root.cz-blogComment-906078 https://blog.root.cz/oldpwd/soukromi-v-dns-prakticky/#o906035?utm_source=rss&utm_medium=text&utm_campaign=rss Díky za text. Mám jednu technickou poznámku: Volba edns-buffer-size: nenastavuje edns padding, ale pouze anoncovanou velikost edns0 bufferu, tedy velikost paketu, kterou je server maximálně schopen přijmout prostřednictvím UDP, bez přepínání na TCP. Ondřej Caletka Tue, 31 Jan 2017 09:17:17 GMT blog.root.cz-blogComment-906035