Сторонние DNS сервисы


Разъясните, пожалуйста, как сказывается на анонимности, безопасности, использование сторонних DNS сервисов таких как – (OpenDNS, Google Public DNS и др.) вместо «провайдерских»? Мне кажется, что – при использовании сторонних DNS о посещаемых мной ресурсах будет уже знать не только мой провайдер, но и чужой дядя со стороны, чьи dns я и буду использовать. Или я не прав? И лучше использовать сторонние DNS, чем от своего провайдера…?

Комментарии
— SATtva (13/03/2012 10:23, исправлен 13/03/2012 10:23)   
Мне кажется, что – при использовании сторонних DNS о посещаемых мной ресурсах будет уже знать не только мой провайдер, но и чужой дядя со стороны, чьи dns я и буду использовать. Или я не прав?

Правы. DNS-запросы ведь в любом случае должны будут пройти через провайдера.


И лучше использовать сторонние DNS, чем от своего провайдера…?

Если работаете через Tor, то используются нэйм-сервера экзит-узла (его провайдера или сторонние), и об этих запросах Ваш провайдер не знает (если нет утечек, конечно). Как выглядит картина без Tor Вы сами ответили выше; нужно ли Вам это, Вам же и решать.

Гость (13/03/2012 17:51)   
Правы. DNS-запросы ведь в любом случае должны будут пройти через провайдера.

Вдруг провайдер не ведёт логи всех проходящих UDP-запросов, а вот логи своего DNS-сервера он ведёт почти точно. Мне так кажется. Конечно, при серьёзном подходе к анонимности рассчитывать на сторонний DNS глупо :)
Гость (14/03/2012 00:50)   
Если DNS-сервер начнёт фальсифицировать ответ, выдавая IP фишинговых сайтов вместо нужных, заметит ли это браузер? И тот же вопрос в случае https.
— unknown (14/03/2012 09:44, исправлен 14/03/2012 09:45)   
  1. Нет.
  2. Да.
— SATtva (17/03/2012 09:10)   
И тот же вопрос в случае https.

Если фишинговый сайт озаботится достоверным SSL-сертификатом, то подмену можно и не заметить.
Гость (27/03/2012 12:58)   
Отсюда вывод; не пользовать сторонние DNS ?
— SATtva (27/03/2012 22:12)   
Зависит от Ваших целей и задач. Минусы приведены выше. Если всерьёз обеспокоены сохранением анонимности, то все DNS-запросы в любом случае должны либо блокироваться, либо резолвиться исключительно через Tor, так что выбор того или иного локального DNS не принципиален.
Гость (31/03/2012 09:11)   
https://www.opendns.com/technology/dnscrypt/
Гость (02/04/2012 03:57)   
Почему бы не сделать DNS over IPsec? Тогда ничего дополнительного городить не надо: будет и шифрование, и аутентификация. Разве это не будет работать? Чем оно хуже рекомендуемых dnscrypt+dnssec?
— SATtva (02/04/2012 17:47)   
Геморрой с настройкой + оверхэд = фэйл.
Гость (02/04/2012 22:28)   
https://www.opendns.com/technology/dnscrypt/
только для Мак
Гость (09/04/2012 09:34)   
Там написано:
mac only at the moment
Т.е. вскоре должны появиться версии и под другие системы.
— SATtva (11/05/2012 13:27)   
Теперь и в Windows.
Гость (11/05/2012 16:07)   
Есть очень интересные разработки альтернативных DNS. Например, DIANNA[link1].
Форум http://dianna-project.org/foru.....x.php/board,2.0.html[link2]
Гость (01/06/2012 20:45)   

Интересно, каким образом это поможет от логгирования сайтов, по которым ходит пользователь? Ну зашифруем мы DNS-запросы, толку-то? Либо HTTP и видно все url, либо HTTPS и как минимум host name.
Тут выходов два, как уже сказали: резволвинг через Tor или провайдерские DNS, по крайней мере дальше провайдера это не пойдёт.

А от спуффинга есть DNSSEC, кто будет доверять OpenDNS с их политикой перенаправлять неизвестные домены на страницу с рекламой? Т.е. по сути они уже спуффят. Гугль, например, таким не занимается.


Что вам больше нравится:
  • логи будет вести Google/OpenDNS и, возможно, провайдер
  • возможно только провайдер

OpenDNS is the most secure DNS service available
Сами себя ещё званием наградили, надо же.
— SATtva (02/06/2012 23:02)   
кто будет доверять OpenDNS с их политикой перенаправлять неизвестные домены на страницу с рекламой?

Вроде эта фича отключабельная через персональные настройки.

Т.е. по сути они уже спуффят. Гугль, например, таким не занимается.

У гугла есть другие источники дохода. :)
Гость (03/06/2012 14:05)   
Вроде эта фича отключабельная через персональные настройки.
Википедия пишет[link3], что только в случае статического IP.

У гугла есть другие источники дохода.
Так я для сравнения их наглежа!
Гость (10/06/2012 02:07)   

По ссылке пишут
DNSSEC does a number of things. First, it provides authentication. (Is the DNS record I'm getting a response for coming from the owner of the domain name I'm asking about or has it been tampered with?)
Не очень понятно, что здесь подразумевалось. Я слышал о той проблеме, что текущий DNS-протокол таков, что корневые DNS-сервера могут не делегировать резолвинг локальным DNS, владеющим доменами, а отвечать за них сами. В частности, это позволяет корневым серверам отбирать абсолютно любой домен, вне зависимости от того, где он зарегистрирован и какого он уровня (второго, третьего, четвёртого и т.д.). Хотят ли в данной цитате сказать о том, что DNSSEC решает и эту проблему?
Гость (10/06/2012 03:48)   
Хотят ли в данной цитате сказать о том, что DNSSEC решает и эту проблему?
Частично ответ ясен: теоретически — да, а на практике резолвер будет возвращать что-то формальное, и уже приложение (например, браузер) должно думать, что с ним делать и запрашивать ли дополнительный вывод у резволвера. Решить эту DNS-проблему для всего, раз и навсегда просто формальным переходом на DNSSEC не получится, и, вообще, DNSSEC создавался для решения не этой проблемы, а для защиты от третьего атакующего на канале. Предполагалось, что этот протокол — для серверов, т.е. сами приложения вывод резолверов (а также подписи DNS-серверов в цепочке) проверять не будут.
— SATtva (10/06/2012 10:18, исправлен 10/06/2012 10:19)   
Хотят ли в данной цитате сказать о том, что DNSSEC решает и эту проблему?

Теоретически, вышестоящая DNS-зона может подделать любую нижестоящую запись — для этого надо пересоздать всю цепочку ключей вплоть до целевой зоны. Риск такого события не входит в модель угрозы.


Предполагалось, что этот протокол — для серверов, т.е. сами приложения вывод резолверов (а также подписи DNS-серверов в цепочке) проверять не будут.

Клиент DNSSEC — это и есть локальный резолвер; это не обязательно полноценный рекурсивный DNS-клиент, это может быть и минималистичный stub-резолвер (см. описание CD- и AD-битов DNSSEC). Да, приложения не проверяют правильность возвращаемых им ответов, но если локальная система не скомпрометирована, этим ответам предполагается возможным доверять, поскольку проверку цепочки подписей осуществляет локальный резолвер.

Гость (10/06/2012 19:49)   
Откуда берутся публичные (или какие?) ключи для проверки цепочки подписей? Как DNS-клиент может убедиться в том, что «вышестоящая DNS-зона не подделывала нижестоящую запись» и «не пересоздавала всю цепочку ключей»?
P.S.: У многих толстых приложений, вроде бы, свой резолвер, если ничего не путаю — штатным резолвером не многие пользуются.
Гость (11/06/2012 05:02)   
Примерный ответ: какие должны быть ключи — никто не знает, т.е. проверку ключей надо имплементить на стороне приложения и привязываться к какой-то совей модели проверки валидности ключей. На уровне firefox имеется вот такой[link4] addon, это проверяющий. Какие-то люди даже рассмотрели[link5] более сложный случай: возможность проверки самоподписного SSL-сертификата посредством публикации его отпечатка в DNS, при этом сам DNS защищён DNSSEC. Впрочем, DNSSEC содержит слишком много точек уязвимости — SSL лучше с его end-to-end, имхо.
Гость (11/06/2012 06:10)   
Нда, согласно сайту аддона, http://www.dnssec-validator.cz, у большинства доменов дела тухло обстоят, даже если выбрать рекомендуемый nic.cz в качестве DNS-сервера в настройках аддона (прощай, приватность):









SATtva, почему домен pgpru.com не подписан?
— SATtva (13/06/2012 10:43)   
SATtva, почему домен pgpru.com не подписан?

Потому что при наличии SSL-сертификата в этом нет существенного смысла. Это не значит, что смысла нет совсем (затрудняется организация подмены сертификата/домена, например), так что в принципе можно озаботиться этим вопросом.
— unknown (13/06/2012 11:03)   
Что-то у других уважаемых ресурсов из приведённого на картинках списка с этим тоже не очень.
Гость (13/06/2012 19:08)   

Да, мне тоже не понятно почему. Обычно подписаны домены всяких там коммерческих компаний, связанных с CA.


Спасибо.

Но я только самого главного не понял: как dnssec-validator проверяет подписи в цепочке? Для этого же нужно либо доверие к какому-то эффективному центру сертификации, либо доверие к руками заданным отпечаткам, которые пользователь сам по доверенному каналу получил. А тут для кучи доменов и при этом в автоматчиеском режиме. Как такое может быть?
Гость (13/06/2012 19:14)   
А, понял[link6]. Вопрос снят.
Гость (13/06/2012 21:20)   
поставил OpenDNSCrypt. сидит в трее не кашляет. наверно работает )))
— SATtva (14/06/2012 08:24)   
Для проверки — Wireshark.
Гость (19/06/2012 00:21)   
поставил OpenDNSCrypt. сидит в трее не кашляет. наверно работает
Если вы про это[link7], то версии под Linux вроде пока ещё нету, потому не протестировать :(
Гость (19/06/2012 02:34)   
Если вы про wwwэто, то версии под Linux вроде
а что в вирт машине? или принципиально только в Линуксе?
Гость (08/07/2012 05:16)   
Ставить виртуальную машину с виндой только для того, чтобы надёжней сверять DNS? Жесть.
— Budko (09/07/2012 07:54)   
Все настолько серьезно?

Ссылки
[link1] http://dianna-project.org/wiki/Design_Overview

[link2] http://dianna-project.org/forum/index.php/board,2.0.html

[link3] https://ru.wikipedia.org/wiki/OpenDNS#.D0.92.D0.BE.D0.BF.D1.80.D0.BE.D1.81.D1.8B_.D0.B1.D0.B5.D0.B7.D0.BE.D0.BF.D0.B0.D1.81.D0.BD.D0.BE.D1.81.D1.82.D0.B8_.D0.B8_.D1.81.D0.BA.D1.80.D1.8B.D1.82.D1.8B.D0.B5_.D1.80.D0.B5.D0.B4.D0.B8.D1.80.D0.B5.D0.BA.D1.82.D1.8B

[link4] https://addons.mozilla.org/en-US/firefox/addon/dnssec-validator/

[link5] http://habrahabr.ru/post/138490/

[link6] http://www.pgpru.com/comment53350

[link7] https://www.opendns.com/technology/dnscrypt/