Сторонние DNS сервисы
Разъясните, пожалуйста, как сказывается на анонимности, безопасности, использование сторонних DNS сервисов таких как – (OpenDNS, Google Public DNS и др.) вместо «провайдерских»? Мне кажется, что – при использовании сторонних DNS о посещаемых мной ресурсах будет уже знать не только мой провайдер, но и чужой дядя со стороны, чьи dns я и буду использовать. Или я не прав? И лучше использовать сторонние DNS, чем от своего провайдера…?
Ссылки
[link1] http://dianna-project.org/wiki/Design_Overview
[link2] http://dianna-project.org/forum/index.php/board,2.0.html
[link3] https://ru.wikipedia.org/wiki/OpenDNS#.D0.92.D0.BE.D0.BF.D1.80.D0.BE.D1.81.D1.8B_.D0.B1.D0.B5.D0.B7.D0.BE.D0.BF.D0.B0.D1.81.D0.BD.D0.BE.D1.81.D1.82.D0.B8_.D0.B8_.D1.81.D0.BA.D1.80.D1.8B.D1.82.D1.8B.D0.B5_.D1.80.D0.B5.D0.B4.D0.B8.D1.80.D0.B5.D0.BA.D1.82.D1.8B
[link4] https://addons.mozilla.org/en-US/firefox/addon/dnssec-validator/
[link5] http://habrahabr.ru/post/138490/
[link6] http://www.pgpru.com/comment53350
[link7] https://www.opendns.com/technology/dnscrypt/
Правы. DNS-запросы ведь в любом случае должны будут пройти через провайдера.
Если работаете через Tor, то используются нэйм-сервера экзит-узла (его провайдера или сторонние), и об этих запросах Ваш провайдер не знает (если нет утечек, конечно). Как выглядит картина без Tor Вы сами ответили выше; нужно ли Вам это, Вам же и решать.
Вдруг провайдер не ведёт логи всех проходящих UDP-запросов, а вот логи своего DNS-сервера он ведёт почти точно. Мне так кажется. Конечно, при серьёзном подходе к анонимности рассчитывать на сторонний DNS глупо :)
Если DNS-сервер начнёт фальсифицировать ответ, выдавая IP фишинговых сайтов вместо нужных, заметит ли это браузер? И тот же вопрос в случае https.
Если фишинговый сайт озаботится достоверным SSL-сертификатом, то подмену можно и не заметить.
Отсюда вывод; не пользовать сторонние DNS ?
Зависит от Ваших целей и задач. Минусы приведены выше. Если всерьёз обеспокоены сохранением анонимности, то все DNS-запросы в любом случае должны либо блокироваться, либо резолвиться исключительно через Tor, так что выбор того или иного локального DNS не принципиален.
https://www.opendns.com/technology/dnscrypt/
Почему бы не сделать DNS over IPsec? Тогда ничего дополнительного городить не надо: будет и шифрование, и аутентификация. Разве это не будет работать? Чем оно хуже рекомендуемых dnscrypt+dnssec?
Геморрой с настройкой + оверхэд = фэйл.
только для Мак
Там написано: Т.е. вскоре должны появиться версии и под другие системы.
Теперь и в Windows.
Есть очень интересные разработки альтернативных DNS. Например, DIANNA[link1].
Форум http://dianna-project.org/foru.....x.php/board,2.0.html[link2]
Интересно, каким образом это поможет от логгирования сайтов, по которым ходит пользователь? Ну зашифруем мы DNS-запросы, толку-то? Либо HTTP и видно все url, либо HTTPS и как минимум host name.
Тут выходов два, как уже сказали: резволвинг через Tor или провайдерские DNS, по крайней мере дальше провайдера это не пойдёт.
А от спуффинга есть DNSSEC, кто будет доверять OpenDNS с их политикой перенаправлять неизвестные домены на страницу с рекламой? Т.е. по сути они уже спуффят. Гугль, например, таким не занимается.
Что вам больше нравится:
Сами себя ещё званием наградили, надо же.
Вроде эта фича отключабельная через персональные настройки.
У гугла есть другие источники дохода. :)
Википедия пишет[link3], что только в случае статического IP.
Так я для сравнения их наглежа!
По ссылке пишут Не очень понятно, что здесь подразумевалось. Я слышал о той проблеме, что текущий DNS-протокол таков, что корневые DNS-сервера могут не делегировать резолвинг локальным DNS, владеющим доменами, а отвечать за них сами. В частности, это позволяет корневым серверам отбирать абсолютно любой домен, вне зависимости от того, где он зарегистрирован и какого он уровня (второго, третьего, четвёртого и т.д.). Хотят ли в данной цитате сказать о том, что DNSSEC решает и эту проблему?
Частично ответ ясен: теоретически — да, а на практике резолвер будет возвращать что-то формальное, и уже приложение (например, браузер) должно думать, что с ним делать и запрашивать ли дополнительный вывод у резволвера. Решить эту DNS-проблему для всего, раз и навсегда просто формальным переходом на DNSSEC не получится, и, вообще, DNSSEC создавался для решения не этой проблемы, а для защиты от третьего атакующего на канале. Предполагалось, что этот протокол — для серверов, т.е. сами приложения вывод резолверов (а также подписи DNS-серверов в цепочке) проверять не будут.
Теоретически, вышестоящая DNS-зона может подделать любую нижестоящую запись — для этого надо пересоздать всю цепочку ключей вплоть до целевой зоны. Риск такого события не входит в модель угрозы.
Клиент DNSSEC — это и есть локальный резолвер; это не обязательно полноценный рекурсивный DNS-клиент, это может быть и минималистичный stub-резолвер (см. описание CD- и AD-битов DNSSEC). Да, приложения не проверяют правильность возвращаемых им ответов, но если локальная система не скомпрометирована, этим ответам предполагается возможным доверять, поскольку проверку цепочки подписей осуществляет локальный резолвер.
Откуда берутся публичные (или какие?) ключи для проверки цепочки подписей? Как DNS-клиент может убедиться в том, что «вышестоящая DNS-зона не подделывала нижестоящую запись» и «не пересоздавала всю цепочку ключей»?
P.S.: У многих толстых приложений, вроде бы, свой резолвер, если ничего не путаю — штатным резолвером не многие пользуются.
Примерный ответ: какие должны быть ключи — никто не знает, т.е. проверку ключей надо имплементить на стороне приложения и привязываться к какой-то совей модели проверки валидности ключей. На уровне firefox имеется вот такой[link4] addon, это проверяющий. Какие-то люди даже рассмотрели[link5] более сложный случай: возможность проверки самоподписного SSL-сертификата посредством публикации его отпечатка в DNS, при этом сам DNS защищён DNSSEC. Впрочем, DNSSEC содержит слишком много точек уязвимости — SSL лучше с его end-to-end, имхо.
Нда, согласно сайту аддона, http://www.dnssec-validator.cz, у большинства доменов дела тухло обстоят, даже если выбрать рекомендуемый nic.cz в качестве DNS-сервера в настройках аддона (прощай, приватность):
SATtva, почему домен pgpru.com не подписан?
Потому что при наличии SSL-сертификата в этом нет существенного смысла. Это не значит, что смысла нет совсем (затрудняется организация подмены сертификата/домена, например), так что в принципе можно озаботиться этим вопросом.
Что-то у других уважаемых ресурсов из приведённого на картинках списка с этим тоже не очень.
Да, мне тоже не понятно почему. Обычно подписаны домены всяких там коммерческих компаний, связанных с CA.
Спасибо.
Но я только самого главного не понял: как dnssec-validator проверяет подписи в цепочке? Для этого же нужно либо доверие к какому-то эффективному центру сертификации, либо доверие к руками заданным отпечаткам, которые пользователь сам по доверенному каналу получил. А тут для кучи доменов и при этом в автоматчиеском режиме. Как такое может быть?
А, понял[link6]. Вопрос снят.
поставил OpenDNSCrypt. сидит в трее не кашляет. наверно работает )))
Для проверки — Wireshark.
Если вы про это[link7], то версии под Linux вроде пока ещё нету, потому не протестировать :(
а что в вирт машине? или принципиально только в Линуксе?
Ставить виртуальную машину с виндой только для того, чтобы надёжней сверять DNS? Жесть.
Все настолько серьезно?