Vlákno názorů ke článku Soukromí v DNS prakticky od noob - Diky za clanek. Mam par dotazu jako noob...
-
noob (neregistrovaný)
Diky za clanek. Mam par dotazu jako noob v DNS, presto se zajimam o bezpecnost a anonymitu.
1/ mel jsem za to, ze Unbound bezi jako muj vlastni "recursive DNS server", tj az na obcasne stazeni/aktualizaci z ARPA serveru nepotrebuji DNS resolver (od ISP, googli, ..)?
2/ dnscrypt tedy nema smysl? (pokud mam nastaveno pouziti DNSSEC)
3/ co openDNS? https://blog.opendns.com/2010/02/23/opendns-dnscurve/
-
Zdravim,
ad 1/ Bavime-li se stale o Unboundu na Turrisu s vypnutym forwardovanim dotazu, pak mate pravdu a v tu chvili je Unbound v roli recursive DNS. V pripade zapnuteho forwardingu (viz administrace Foris), coz je mimochodem doporuceno CZ.NICem (kvuli rychlosti odezvy apod.), pote jsou DNS dotazy rekurzivne vyrizovany DNSkem ISP.
ad 2/ Dokud nebude mit Unbound implementovany EDNS0 Padding (dosud tomu tak neni, omlouvam se za chybu ve clanku), pote zde existuje moznost odhadnuti odeslanych DNS dotazu/odpovedi. DNSCrypt i DNS-over-TLS jsou sifrovaci protokoly, kdezto DNSSEC je zde pro validaci. Tedy jednotlive implementace se vzajemne doplnuji a obe budou mit stale smysl i pri nasazeni sifrovani.
ad 3/ Diky za odkaz, bohuzel o DNSCurve toho zatim moc nevim.
-
hugochavez (neregistrovaný)
"ad3/ ...o DNSCurve toho zatim moc nevim.."
V tom pripade vrele doporucuju brilantne vedenou prednasku navic prokladanou vtipem od uznavaneho kryptografa jmenem Daniel Bernstein (autor napr EC25519)
High-speed high-security cryptography: encrypting and authenticating the whole Internet
https://www.youtube.com/watch?v=ljt1cxUcZMMslides ktery tam pouziva jsou k sosnuti zde:
https://events.ccc.de/congress/2010/Fahrplan/attachments/1773_slides.pdfPrvni polovinu venuje rozboru slabin DNSSEC protokolu a moznych scenaru jeho zneuziti k amplification DDOS utoku, potom navrhuje reseni =prave DNSCurve + novy komunikacni protokol CurveCP.
Ten jeho napad vyeliminovat CA a verejny klic webu rovnou napalit natvrdo do URL je genialni, trochu se to podoba napadu od Bruce Schneiera kde pri pouziti dostatecne dlouheho URL s dobrou entropii je mozne vyeliminovat heslo, protoze obtiznost uhodnuti hesla je srovnatelna s obtiznosti uhodnuti jedinecne URL :o)"ad1/ ....o Unboundu na Turrisu s vypnutym forwardovanim dotazu, pak mate pravdu a v tu chvili je Unbound v roli recursive DNS. V pripade zapnuteho forwardingu (viz administrace Foris), coz je mimochodem doporuceno CZ.NICem (kvuli rychlosti odezvy apod.), pote jsou DNS dotazy rekurzivne vyrizovany DNSkem ISP."
Nevim teda jak je Unbound implementovan na Turrisu, ale duvodem proc si lid instalujou doma Unbound DNS server je prave to aby se vyhnuli "profilovani a zlovuli ci ruznym black-listum" od sveho ISP ci nejakeho chytraka po ceste. Neni mi jasne proc by forwardovani-a tim degradace Unboundu na preposilace dotazu" melo byt "doporucene reseni" a uz vubec mi neni jasne jakou vyhodu by to melo ohledne "rychlosti odezvy" pred vybudovanim VLASTNI CACHE na vlastnim LANu....?
Ja kdyz si udelam DNSbenchmark tak je vzdycky jasne nejrychlejsi muj vlastni lokalni Unbound, kdy napr. domeny ktere jsou nacachovane serviruje rychlosti 1ms az nemeritelno....
Navic Unbound ma funkci "pre-fetching" takze si klice a zaznamy SAM updatuje tesne predtim nez vyprsi TTL, cimz je cache ze ktere serviruje vzdy aktualni a OKAMZITE ready.
ČLÁNKY DO MAILU