<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Υπάρχουν και δίκτυα που κάνουν destination NAT το port 53 στον δικό τους DNS (ή route τα 8.8.8.8 / 1.1.1.1 locally), το οποίο σε καμία περίπτωση δεν είναι και τόσο καλό.. Και αυτό γίνεται γιατί οι εφαρμογές χρησιμοποιούν τους custom resolvers.<div class=""><br class=""></div><div class="">Μπορώ να πω πως ως Security person, το Passive DNS Query Monitoring είναι ίσως το 80% της ανίχνευσης επιθέσεων, μολυσμένων hosts, κτλπ. αυτές τις μέρες (για μη-δισεκατομμυριούχες εταιρείες) και μπορεί να βοηθήσει πάρα μα πάρα πολύ, αλλά από την άλλη καταλαβαίνω και αναγνωρίζω το πόσο σημαντική και ευαίσθητη είναι αυτή η πληροφορία για τον οποιονδήποτε, καθώς πραγματικά λέει τα πάντα. Και άντε, μπορεί να εμπιστεύεσαι τον ISP σου, τι γίνεται όμως με τον διπλανό στην καφετέρια; Τον ιδιοκτήτη του μαγαζιού; Τον …; Δεν έχεις επιλογή στο κλασικό DNS. Είναι all or nothing. Είτε τους εμπιστεύεσαι όλους, είτε κανέναν. Ενώ αν κάνεις deploy DoT / DoH, και ο client το χρησιμοποιεί, πάλι μπορείς να δεις εσύ όλα τα queries (ΜΕ ΠΑΡΑ ΠΟΛΛΗ ΠΡΟΣΟΧΗ ΠΑΝΤΑ), χωρίς τον ενδιάμεσο.</div><div class=""><br class=""></div><div class="">Άρα θα έλεγα πως σαν τεχνολογία δεν είναι κακό, καλό είναι, απλά εξαρτάται πως θα χρησιμοποιηθεί. Θα δουλέψει πάλι με το μοντέλο το παραδοσιακό του ISP DNS Resolver, ή θα βρουν την ευκαιρία 2-3 εταιρείες να πουν στο όνομα της ασφάλειας και της ιδιωτικότητας πως το παλιό μοντέλο δεν δουλεύει, και άρα θα πρέπει να πάμε στο κεντρικοποιημένο μοντέλο όπου DNS δίνουν μόνο 3 εταιρείες, και τέλος; Σαν εργαλεία αυτά τα δύο δεν προτιμούν το ένα αντί του άλλου. Είναι ουδέτερα. Απλά επειδή ακριβώς οι operators δεν κάνουν deploy αυτήν την τεχνολογία, το θεωρούν κάποιοι μια καλή δικαιολογία για να τους παρακάμψουν. The way I see it, εξαρτάται από τους GRNO και τους *NO τι θα γίνει.. Ήδη π.χ. Το Android χρησιμοποιεί τον ISP resolver αν υποστηρίζει αυτά τα πρωτόκολλα, και αλλάζει στο 8.8.8.8 μόνο αν δεν υποστηρίζονται.. Υπάρχει ακόμα κάποια ελπίδα.. :P</div><div class=""><br class=""></div><div class="">Αντώνης<br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On 18 Sep 2019, at 10:51, Polyrakis Andreas <<a href="mailto:apolyrakis@lamdahellix.com" class="">apolyrakis@lamdahellix.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div style="caret-color: rgb(0, 0, 0); font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Verdana; font-size: 10pt;" class=""><font style="font-family: Verdana;" class=""><font style="font-size: 10pt;" class="">Με τις #$@#%% που έχουν εφαρμόσει οι κυβερνήσεις διαφόρων χωρών πάνω στο<br class="">DNS (βλέπε περιορισμός παιγνίων, περιορισμός torrent κλπ στην Ευρώπη,<br class="">ακόμα αυστηρότερα σε Middle east και αλλού), οι εφαρμογές έχουν αρχίσει<br class="">να κάνουν δικό τους DNS resolving σε δικούς τους servers, παρακάμπτοντας<br class="">τον ISP/enterprise, προκειμένου να παρακάμψουν τη λογοκρισία και το<br class="">poisoning.<br class=""><br class="">Καλή μας τύχη με το debugging, goodbye σε ένα καλό εργαλείο για να<br class="">καταλαβαίνουμε τι κάνουν οι χρήστες στα δίκτυά μας...<br class=""><br class="">Είναι όντως καλό θέμα για παρουσίασή και συζήτηση (ισως κάποιο panel;)<br class=""><br class="">[Αντώνη, συγνώμη, δεν έχω απάντηση στις ερωτήσεις που θέτεις]<br class=""><br class=""><br class=""><br class="">On 18/09/2019 10:38 π.μ., Antonios Chariton (daknob) wrote:<br class="">> Καλημέρα σας,<br class="">> Στέλνω εδώ αυτήν την ενδιαφέρουσα παρουσίαση:<br class="">> <a href="https://www.youtube.com/watch?v=pjin3nv8jAo" class="">https://www.youtube.com/watch?v=pjin3nv8jAo</a> από το NLNOG, πάνω στο<br class="">> “νέο” DNS, και πιο συγκεκριμένα το DNS over TLS (DoT), και DNS over<br class="">> HTTPS (DoH). Πιστεύω θα ήταν ενδιαφέρον να δούμε κατά πόσο οι<br class="">> resolvers των ελληνικών παρόχων είναι έτοιμοι και το υποστηρίζουν.<br class="">> Τους επόμενους μήνες (και ήδη γίνεται από κάποιους), οι συσκευές<br class="">> (Firefox, Chrome, Android, …) θα ελέγχουν για υποστήριξη DoT στον DHCP<br class="">> / ISP resolver, και εφ’ όσων δεν υπάρχει, θα χρησιμοποιούν<br class="">> αποκλειστικά τους 1.1.1.1 / 8.8.8.8. Ίσως θα ήταν μια καλή στιγμή, να<br class="">> αρχίσει να σχεδιάζεται κάποιο roll out, για να μην στέλνονται όλα τα<br class="">> DNS queries σε εταιρίες στις ΗΠΑ.. :-)<br class="">><br class="">> Προσωπικά κατάφερα να μετατρέψω σχετικά εύκολα τους δικούς μου<br class="">> resolvers σε DoT, βάζοντας μπροστά το DNSDist, απλά δεν μπόρεσα να<br class="">> εκδόσω TLS Certificate για αυτούς, καθώς για να εκδοθεί για IP Address<br class="">> πρέπει να είναι Organization Validation (OV), το οποίο μπορεί να<br class="">> εκδοθεί μόνο σε στοιχεία οργανισμού, και όχι φυσικού προσώπου. Οπότε<br class="">> χρησιμοποιώ ένα με domain name, το οποίο προς το παρόν φαίνεται να<br class="">> δέχονται οι συσκευές.<br class="">> Για το DoH δεν έχω ασχοληθεί ακόμη, αλλά θα είναι φαντάζομαι επίσης<br class="">> κάτι αντίστοιχο. Όσον αφορά τα TLS Session IDs που μειώνουν το<br class="">> latency, λόγω χαμηλού latency στο δίκτυο δεν παρατήρησα διαφορά, είτε<br class="">> με αυτά ενεργά, είτε με αυτά ανενεργά, αλλά φαντάζομαι σε έναν ISP που<br class="">> μπορεί να έχει 10-20 ms από κάποιες συνδέσεις με τους DNS του θα είναι<br class="">> ίσως απαραίτητα.<br class="">><br class="">> Υπάρχει κάποιος DNS resolver αυτήν την στιγμή που να υποστηρίζει ήδη<br class="">> τα παραπάνω πρωτόκολλα; Θα ήταν ενδιαφέρον να δούμε ίσως το πως<br class="">> υλοποιήθηκε εκεί, είτε σε αυτό το thread, είτε ως παρουσίαση στο<br class="">> επόμενο GRNOG :-)<br class="">><br class="">> Αντώνης</font></font></div></div></blockquote></div></div></body></html>