Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Meningen over publieke DNS?

10-05-2012, 11:16 door Anoniem, 17 reacties
Hallo,

Thuis heb ik UPC en als ik een DNS benchmark run, dan is al snel te zien dat verschillende publieke DNS-servers sneller zijn. Nu wil ik dus gebruik gaan maken van OpenDNS. Weet iemand of een dergelijke DNS-server ook logfiles etc. opslaat? Zijn er verder bijkomende 'gevaren' bij het inzetten van een US-based public DNS?

b.v.d.
Reacties (17)
10-05-2012, 12:03 door SirDice
Door Anoniem: Thuis heb ik UPC en als ik een DNS benchmark run, dan is al snel te zien dat verschillende publieke DNS-servers sneller zijn. Nu wil ik dus gebruik gaan maken van OpenDNS. Weet iemand of een dergelijke DNS-server ook logfiles etc. opslaat?
Alleen wat nodig is voor de correcte werking.

Zijn er verder bijkomende 'gevaren' bij het inzetten van een US-based public DNS?
Dezelfde als de DNS servers van UPC. UPC stuurt DNS verzoeken toch door naar de root servers.
10-05-2012, 12:46 door Anoniem
Door SirDice:
Door Anoniem: Thuis heb ik UPC en als ik een DNS benchmark run, dan is al snel te zien dat verschillende publieke DNS-servers sneller zijn. Nu wil ik dus gebruik gaan maken van OpenDNS. Weet iemand of een dergelijke DNS-server ook logfiles etc. opslaat?
Alleen wat nodig is voor de correcte werking.

Zijn er verder bijkomende 'gevaren' bij het inzetten van een US-based public DNS?
Dezelfde als de DNS servers van UPC. UPC stuurt DNS verzoeken toch door naar de root servers.

Nee, verzoeken worden niet "doorgestuurd naar de root servers" . De rootserver instances zijn verspreid over de wereld (en dus niet impliciet 'allemaal in de VS' ), en worden door een resolver maar incidenteel gecontacteerd.

Wat de rootservers weten zijn NS records voor toplevel domeinen (.com, .net , .nl , .be etc).
Die antwoorden worden een resolver langdurig (hoge TTL) gecached .
10-05-2012, 13:04 door Anoniem
Zijn er verder bijkomende 'gevaren' bij het inzetten van een US-based public DNS?
OpenDNS houdt bij welke hostnames er zijn bezocht. Dat is ook inzichtelijk via hun control panel. Het heeft ook wel voordelen: zo was OpenDNS de eerste DNS provider die actief connecties van de Mac Flash trojan blockte. En DNS zone updates komen vaak wat sneller door. Alternatief voor OpenDNS is Google Public DNS (8.8.8.8 en 8.8.4.4). Is alleen een 'platte' DNS provider zonder inzage zoals je wel hebt bij OpenDNS.
10-05-2012, 14:35 door SirDice
Door Anoniem:
Door SirDice:
Door Anoniem: Thuis heb ik UPC en als ik een DNS benchmark run, dan is al snel te zien dat verschillende publieke DNS-servers sneller zijn. Nu wil ik dus gebruik gaan maken van OpenDNS. Weet iemand of een dergelijke DNS-server ook logfiles etc. opslaat?
Alleen wat nodig is voor de correcte werking.

Zijn er verder bijkomende 'gevaren' bij het inzetten van een US-based public DNS?
Dezelfde als de DNS servers van UPC. UPC stuurt DNS verzoeken toch door naar de root servers.

Nee, verzoeken worden niet "doorgestuurd naar de root servers" . De rootserver instances zijn verspreid over de wereld (en dus niet impliciet 'allemaal in de VS' ), en worden door een resolver maar incidenteel gecontacteerd.

Wat de rootservers weten zijn NS records voor toplevel domeinen (.com, .net , .nl , .be etc).
Die antwoorden worden een resolver langdurig (hoge TTL) gecached .
Doorsturen was misschien niet het juiste woord. Het eerste request is naar een van de root servers om te vragen wie er bijv. het .com TLD heeft. Vervolgens wordt bij een van die servers het bewuste .com domain opgevraagd. Dat ze cachen klopt maar de root servers worden wel degelijk geraadpleegd.

Het merendeel van de root servers staat in de VS, 10 stuks. Verder staat er 1 in Amsterdam, 1 in Stockholm en 1 in Tokyo.
10-05-2012, 14:45 door 0101
Door SirDice: Het merendeel van de root servers staat in de VS, 10 stuks. Verder staat er 1 in Amsterdam, 1 in Stockholm en 1 in Tokyo.
En dat is dus volkomen onzin: http://www.root-servers.org/
10-05-2012, 15:32 door Anoniem
Door SirDice:
Door Anoniem:
Door SirDice:
Door Anoniem: Thuis heb ik UPC en als ik een DNS benchmark run, dan is al snel te zien dat verschillende publieke DNS-servers sneller zijn. Nu wil ik dus gebruik gaan maken van OpenDNS. Weet iemand of een dergelijke DNS-server ook logfiles etc. opslaat?
Alleen wat nodig is voor de correcte werking.

Zijn er verder bijkomende 'gevaren' bij het inzetten van een US-based public DNS?
Dezelfde als de DNS servers van UPC. UPC stuurt DNS verzoeken toch door naar de root servers.

Nee, verzoeken worden niet "doorgestuurd naar de root servers" . De rootserver instances zijn verspreid over de wereld (en dus niet impliciet 'allemaal in de VS' ), en worden door een resolver maar incidenteel gecontacteerd.

Wat de rootservers weten zijn NS records voor toplevel domeinen (.com, .net , .nl , .be etc).
Die antwoorden worden een resolver langdurig (hoge TTL) gecached .
Doorsturen was misschien niet het juiste woord. Het eerste request is naar een van de root servers om te vragen wie er bijv. het .com TLD heeft. Vervolgens wordt bij een van die servers het bewuste .com domain opgevraagd. Dat ze cachen klopt maar de root servers worden wel degelijk geraadpleegd.

Het merendeel van de root servers staat in de VS, 10 stuks. Verder staat er 1 in Amsterdam, 1 in Stockholm en 1 in Tokyo.

rootservers worden, zoals ik schreef, _zo af en toe_ geraadpleegd. Omdat de TTL voor toplevel records erg lang is.
rootservers zien dus (gelukkig) qua load maar een heel erg kleine fractie van de queries die resolvers doen.
(De .nl NS records hebben een TTL van 2 dagen ! )

En dus is "monitoren van rootservers", wat je lijkt te impliceren, erg kansloos als het gaat om security/surveillance.

Ik schreef "instances" omdat ik weet hoe (root) DNS werkt.
Er zijn veel meer dan 13 root DNS'en. De 13 magische adressen worden ge-anycast (op meer plekken aangeboden), waarbij verkeer naar de "dichtsbijzijnde" (qua network topologie) gaat.
Er is K-root in "Amsterdam", dwz, RIPE is de operator, maar die draait op een aantal plekken over de wereld.

Idem voor het overgrote deel van de andere root DNS'en, die zijn ook ge-anycast.

De google resolvers doen dat kunstje ook; Ik zit , in Nederland op 6-8 msec van 8.8.8.8 . Die kan dus niet veel verder dan 800 KM van mij af staan. Het is echt niet zo dat google's publieke DNS resolver (alleen) in de EU staat....
10-05-2012, 16:00 door Anoniem
Hmmm, dank voor de reacties. Is het nu dus aan te raden om een Public DNS in te zetten? Voor mij nog steeds een beetje onduidelijk.
10-05-2012, 17:40 door SirDice
Door 0101:
Door SirDice: Het merendeel van de root servers staat in de VS, 10 stuks. Verder staat er 1 in Amsterdam, 1 in Stockholm en 1 in Tokyo.
En dat is dus volkomen onzin: http://www.root-servers.org/
Kijk eens naar de operator, hoeveel niet-Amerikaanse bedrijven/instellingen zie jij daar tussen staan?
10-05-2012, 17:45 door SirDice
Door Anoniem: rootservers worden, zoals ik schreef, _zo af en toe_ geraadpleegd. Omdat de TTL voor toplevel records erg lang is.
Als je met een nieuwe server begint zal die eerste keer toch echt gedaan moeten worden. Dat die informatie (lang) gecached wordt is een tweede. Het eerste verzoek zal hoe dan ook naar de root servers moeten.

rootservers zien dus (gelukkig) qua load maar een heel erg kleine fractie van de queries die resolvers doen.
(De .nl NS records hebben een TTL van 2 dagen ! )
Dat klopt.

En dus is "monitoren van rootservers", wat je lijkt te impliceren, erg kansloos als het gaat om security/surveillance.
Ik impliceer helemaal niets. De OP heeft het over "bijkomende" gevaren. Ik zeg alleen dat het niet zo gek veel uitmaakt of je de DNS van je provider gebruikt of wanneer je een eigen 'caching-only' server opzet.
10-05-2012, 21:19 door Anoniem
Door Anoniem: Hmmm, dank voor de reacties. Is het nu dus aan te raden om een Public DNS in te zetten? Voor mij nog steeds een beetje onduidelijk.

Aan te raden voor wat ?
Als je interessant bent voor de nederlandse overheid maakt het echt geen verschil, want die tappen je lijn dus of je nu UPC of een andere DNS gebruikt, ze zien die queries (en de rest van de data) toch wel, of ze nu naar de ene of naar de andere DNS gaan.

Of de amerikaanse overheid massaal publieke DNS resolvers (opendns, google dns) die in de VS gevestigd zijn aftapt en ook nog wat zinvols weet te vinden in die datavolumes (laat staan dat jij iemand bent die interessant is) weet ik niet.
Gok maar, of zo.

Technische kwaliteit zal allemaal wel behoorlijk zijn, ondanks die recente storing van UPC.
Sommige DNS diensten bieden extras, zoals het niet-beantwoorden van queries voor een "malware" hostname, of eventueel een pornosite hostname. Dat is gewoonlijk een extra dienst waarvoor je moet inschrijven.

Ik weet niet of hetzij UPC, hetzij de 'algemene' (google,opendns) publieke DNSen misschien standaard bijvoorbeeld malware of botnet controller hostnamen al niet resolven.
Als je dat juist wel of juist niet wilt moet je een tijdje zoeken naar policies en hearsay om daarop je keus te baseren.
10-05-2012, 23:07 door Anoniem
Door SirDice:
Door Anoniem: rootservers worden, zoals ik schreef, _zo af en toe_ geraadpleegd. Omdat de TTL voor toplevel records erg lang is.
Als je met een nieuwe server begint zal die eerste keer toch echt gedaan moeten worden. Dat die informatie (lang) gecached wordt is een tweede. Het eerste verzoek zal hoe dan ook naar de root servers moeten.

Het eerste verzoek van _iemand_ die een verse (of gereloade) resolver gebruikt gaat langs _een_ root server instance .
OP was aan het kiezen tussen UPC resolvers en publieke DNSen.

Dus _een_ DNS request van iemand per paar dagen (van de tig duizend per seconde, voorzichtig geschat) van de UPC resolvers triggert een refresh van toplevel records en komt dus langs _een_ root server instance.

De kans voor OP dat het precies zijn request is (en dan nog...) dat langs _een_ rootserver instance ergens (grotere kans op een root server 'dichtbij') is wel erg klein.

En qua verkeersanalyse is het de UPC resolver die als IP source gezien wordt op de root DNS.

rootservers zien dus (gelukkig) qua load maar een heel erg kleine fractie van de queries die resolvers doen.
(De .nl NS records hebben een TTL van 2 dagen ! )
Dat klopt.

En dus is "monitoren van rootservers", wat je lijkt te impliceren, erg kansloos als het gaat om security/surveillance.
Ik impliceer helemaal niets. De OP heeft het over "bijkomende" gevaren. Ik zeg alleen dat het niet zo gek veel uitmaakt of je de DNS van je provider gebruikt of wanneer je een eigen 'caching-only' server opzet.

Op een security forum, bij een vraag over gebruik van "US based" publieke DNS diensten die eventueel logfiles bijhouden

impliceer je helemaal niets door te stellen dat requests "toch ook doorgestuurd worden naar root DNSen" en dat "10 van de 13" root servers Amerikaans zijn ?

OP heeft het alleen over UPC DNS in vergelijking met publieke maar US-based DNS resolver. Pas in deze post noem je een eigen caching resolver als (derde) optie.

Bij gebruik van de UPC resolver is qua IP verkeer niet zichtbaar wie de query doet buiten het UPC netwerk; Het zijn de caching resolvers die hun eigen IP adres gebruiken bij queries in de DNS boom.
Als OP zelf een full resolver gaat draaien (geen forwarder naar UPC) zijn alle DNS queries afkomstig van zijn eigen IP.
10-05-2012, 23:09 door Anoniem
Door SirDice:
Als je met een nieuwe server begint zal die eerste keer toch echt gedaan moeten worden. Dat die informatie (lang) gecached wordt is een tweede. Het eerste verzoek zal hoe dan ook naar de root servers moeten.

Onjuist. Enkel de eerste query voor een nieuw top-level domain]/b] zal een onge'cache'te hit op een root-nameserver opleveren. De rest van de query komt nooit in de buurt van een root-nameserver.

'.' (root) krijgt een vraag voor '.nl' en geeft als antwoord de nl-nameservers. De nl-nameservers krijgen '.security.nl.' als query en verwijzen naar Pine. Pine krijgt een query voor 'www.security.nl.' en geeft 213.156.0.140 als antwoord. Uitgaande van dat jij de eerste bent die de query doet. Als alles in de query-cache staat krijg je alle of bijna alle antwoorden uit de cache van je resolver.
11-05-2012, 12:11 door joep da poope
En dan heb je natuurlijk ook nor Norton DNS. Deze blokkeerd ook de malware, en eventueel nog meer.
11-05-2012, 16:17 door Vergeten
Mooie bug hoor Security.nl, dat als je BB code's niet afsluit dat de volgende posts dit ook gewoon krijgen. Daar kan je leuk mee spelen Daarnaast zijn alle opties onder me ook "vet" gedrukt.

Edit: Dank u Security.nl

Om toch even On-Topic te gaan, ik gebruik zelf gewoon de DNS van mijn provider omdat ik nog steeds niet echt een reden zie om dit te veranderen. Maar soms gebruik ik DNS van Google wat ook uitstekend werkt.
11-05-2012, 17:40 door 0101
Offtopic:
Door SirDice:
Door 0101:
Door SirDice: Het merendeel van de root servers staat in de VS, 10 stuks. Verder staat er 1 in Amsterdam, 1 in Stockholm en 1 in Tokyo.
En dat is dus volkomen onzin: http://www.root-servers.org/
Kijk eens naar de operator, hoeveel niet-Amerikaanse bedrijven/instellingen zie jij daar tussen staan?
Wie heeft het hier over bedrijven?
11-05-2012, 23:08 door Anoniem
http://code.google.com/p/namebench/
Gewoon even een benchmark test doen dan weet je snel genoeg of je beter kan overstappen of blijven.
Ik zou voor de snelste gaan in mijn geval was dat de DNS van mijn ISP.

OpenDNS heeft wel wat andere voordelen, maar vind ik zelf niet echt boeiend genoeg.
12-05-2012, 13:16 door Anoniem
Ik gebruik opendns,heb ik in de router ingesteld als standaard dns,zowel primary als secundary.
Daarnaast gebruik ik ook dnscrypt,alles onder Linux.
Namelijk ik heb het idee dat inderdaad deze dns sneller is dan die van UPC.
Ook heeft opendns zijn voordelen,want dan heb je als het goed is ook minder of geen last van al dat data mining gedoe van de bewaarplicht telecomgegevens.
Die bewaarplicht slaat nergens op.
Ik heb wel eens waar niks te verbergen,maar het geeft mij geen fijn gevoel dat overheden zonder pardon dus alles bewaren wat met telecom te maken heeft.
Het gaat ze immers niks aan,hoe lang ik met wie mail,bel en zo voort.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.