[grnog] The new DNS (DoT/DoH)

Wed Sep 18 10:06:13 CEST 2019

Συμφωνώ πως δεν είναι κακό (για τον τελικό χρήστη) -- και αποδυκνείει τρανά αυτό που φωνάζαμε στις κανονιστικές αρχές ότι το DNS poisoning δεν είναι λύση. Είναι ο σωστός δρόμος, αλλά για εμάς τους network operators, είναι δύσκολος αυτός ο δρόμος.

On 18/09/2019 11:00 π.μ., Antonios Chariton (daknob) wrote:
Υπάρχουν και δίκτυα που κάνουν destination NAT το port 53 στον δικό τους DNS (ή route τα 8.8.8.8 / 1.1.1.1 locally), το οποίο σε καμία περίπτωση δεν είναι και τόσο καλό.. Και αυτό γίνεται γιατί οι εφαρμογές χρησιμοποιούν τους custom resolvers.

Μπορώ να πω πως ως Security person, το Passive DNS Query Monitoring είναι ίσως το 80% της ανίχνευσης επιθέσεων, μολυσμένων hosts, κτλπ. αυτές τις μέρες (για μη-δισεκατομμυριούχες εταιρείες) και μπορεί να βοηθήσει πάρα μα πάρα πολύ, αλλά από την άλλη καταλαβαίνω και αναγνωρίζω το πόσο σημαντική και ευαίσθητη είναι αυτή η πληροφορία για τον οποιονδήποτε, καθώς πραγματικά λέει τα πάντα. Και άντε, μπορεί να εμπιστεύεσαι τον ISP σου, τι γίνεται όμως με τον διπλανό στην καφετέρια; Τον ιδιοκτήτη του μαγαζιού; Τον …; Δεν έχεις επιλογή στο κλασικό DNS. Είναι all or nothing. Είτε τους εμπιστεύεσαι όλους, είτε κανέναν. Ενώ αν κάνεις deploy DoT / DoH, και ο client το χρησιμοποιεί, πάλι μπορείς να δεις εσύ όλα τα queries (ΜΕ ΠΑΡΑ ΠΟΛΛΗ ΠΡΟΣΟΧΗ ΠΑΝΤΑ), χωρίς τον ενδιάμεσο.

Άρα θα έλεγα πως σαν τεχνολογία δεν είναι κακό, καλό είναι, απλά εξαρτάται πως θα χρησιμοποιηθεί. Θα δουλέψει πάλι με το μοντέλο το παραδοσιακό του ISP DNS Resolver, ή θα βρουν την ευκαιρία 2-3 εταιρείες να πουν στο όνομα της ασφάλειας και της ιδιωτικότητας πως το παλιό μοντέλο δεν δουλεύει, και άρα θα πρέπει να πάμε στο κεντρικοποιημένο μοντέλο όπου DNS δίνουν μόνο 3 εταιρείες, και τέλος; Σαν εργαλεία αυτά τα δύο δεν προτιμούν το ένα αντί του άλλου. Είναι ουδέτερα. Απλά επειδή ακριβώς οι operators δεν κάνουν deploy αυτήν την τεχνολογία, το θεωρούν κάποιοι μια καλή δικαιολογία για να τους παρακάμψουν. The way I see it, εξαρτάται από τους GRNO και τους *NO τι θα γίνει.. Ήδη π.χ. Το Android χρησιμοποιεί τον ISP resolver αν υποστηρίζει αυτά τα πρωτόκολλα, και αλλάζει στο 8.8.8.8 μόνο αν δεν υποστηρίζονται.. Υπάρχει ακόμα κάποια ελπίδα.. :P

Αντώνης

On 18 Sep 2019, at 10:51, Polyrakis Andreas <apolyrakis at lamdahellix.com<mailto:apolyrakis at lamdahellix.com>> wrote:

Με τις #$@#%% που έχουν εφαρμόσει οι κυβερνήσεις διαφόρων χωρών πάνω στο
DNS (βλέπε περιορισμός παιγνίων, περιορισμός torrent κλπ στην Ευρώπη,
ακόμα αυστηρότερα σε Middle east και αλλού), οι εφαρμογές έχουν αρχίσει
να κάνουν δικό τους DNS resolving σε δικούς τους servers, παρακάμπτοντας
τον ISP/enterprise, προκειμένου να παρακάμψουν τη λογοκρισία και το
poisoning.

Καλή μας τύχη με το debugging, goodbye σε ένα καλό εργαλείο για να
καταλαβαίνουμε τι κάνουν οι χρήστες στα δίκτυά μας...

Είναι όντως καλό θέμα για παρουσίασή και συζήτηση (ισως κάποιο panel;)

[Αντώνη, συγνώμη, δεν έχω απάντηση στις ερωτήσεις που θέτεις]

On 18/09/2019 10:38 π.μ., Antonios Chariton (daknob) wrote:
> Καλημέρα σας,
> Στέλνω εδώ αυτήν την ενδιαφέρουσα παρουσίαση:
> https://www.youtube.com/watch?v=pjin3nv8jAo από το NLNOG, πάνω στο
> “νέο” DNS, και πιο συγκεκριμένα το DNS over TLS (DoT), και DNS over
> HTTPS (DoH). Πιστεύω θα ήταν ενδιαφέρον να δούμε κατά πόσο οι
> resolvers των ελληνικών παρόχων είναι έτοιμοι και το υποστηρίζουν.
> Τους επόμενους μήνες (και ήδη γίνεται από κάποιους), οι συσκευές
> (Firefox, Chrome, Android, …) θα ελέγχουν για υποστήριξη DoT στον DHCP
> / ISP resolver, και εφ’ όσων δεν υπάρχει, θα χρησιμοποιούν
> αποκλειστικά τους 1.1.1.1 / 8.8.8.8. Ίσως θα ήταν μια καλή στιγμή, να
> αρχίσει να σχεδιάζεται κάποιο roll out, για να μην στέλνονται όλα τα
> DNS queries σε εταιρίες στις ΗΠΑ.. :-)
>
> Προσωπικά κατάφερα να μετατρέψω σχετικά εύκολα τους δικούς μου
> resolvers σε DoT, βάζοντας μπροστά το DNSDist, απλά δεν μπόρεσα να
> εκδόσω TLS Certificate για αυτούς, καθώς για να εκδοθεί για IP Address
> πρέπει να είναι Organization Validation (OV), το οποίο μπορεί να
> εκδοθεί μόνο σε στοιχεία οργανισμού, και όχι φυσικού προσώπου. Οπότε
> χρησιμοποιώ ένα με domain name, το οποίο προς το παρόν φαίνεται να
> δέχονται οι συσκευές.
> Για το DoH δεν έχω ασχοληθεί ακόμη, αλλά θα είναι φαντάζομαι επίσης
> κάτι αντίστοιχο. Όσον αφορά τα TLS Session IDs που μειώνουν το
> latency, λόγω χαμηλού latency στο δίκτυο δεν παρατήρησα διαφορά, είτε
> με αυτά ενεργά, είτε με αυτά ανενεργά, αλλά φαντάζομαι σε έναν ISP που
> μπορεί να έχει 10-20 ms από κάποιες συνδέσεις με τους DNS του θα είναι
> ίσως απαραίτητα.
>
> Υπάρχει κάποιος DNS resolver αυτήν την στιγμή που να υποστηρίζει ήδη
> τα παραπάνω πρωτόκολλα; Θα ήταν ενδιαφέρον να δούμε ίσως το πως
> υλοποιήθηκε εκεί, είτε σε αυτό το thread, είτε ως παρουσίαση στο
> επόμενο GRNOG :-)
>
> Αντώνης

[cid:image850340.PNG at 9514ee90.469ab8d0]

[cid:imageaea15b.PNG at 1926e385.40b57aa3]<http://www.lamdahellix.com/>
<http://www.lamdahellix.com>    Andreas Polyrakis
Business Development Manager, Interconnections and Ecosystems
Commercial Operations
Dir: (+30) 210 68 85 518
Tel.: (+30) 210 74 50 770
Mob: (+30) 6972832445

Email: apolyrakis at lamdahellix.com<mailto:apolyrakis at lamdahellix.com>
[cid:imagec952ad.PNG at 86dde24f.49bcb0c9]
[cid:image5a7f46.PNG at 921049f7.418d2f6e]<http://www.lamdahellix.com/>    [LinkedIn] <https://www.linkedin.com/company/lamda-hellix>      [Facebook] <https://www.facebook.com/pages/LAMDA-HELLIX/400107136708889>        [Twitter] <https://twitter.com/LAMDA_Hellix>    [YouTube] <https://www.youtube.com/user/lamdahellix/>

This email and any files transmitted with it are confidential. If you are not the intended recipient, you should not copy it, re-transmit it, use it or disclose its contents, but should return it to the sender immediately and delete the copy from your system. LAMDA HELLIX is not responsible for, nor endorses, any opinion, recommendation, conclusion, solicitation, offer or agreement or any information contained in this communication. LAMDA HELLIX cannot accept any responsibility for the accuracy or completeness of this message as it has been transmitted over a public network. If you suspect that the message may have been intercepted or amended, please call the sender.

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/7ced01f7/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image850340.PNG
Type: image/png
Size: 1086 bytes
Desc: image850340.PNG
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/7ced01f7/attachment.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: imageaea15b.PNG
Type: image/png
Size: 28356 bytes
Desc: imageaea15b.PNG
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/7ced01f7/attachment-0001.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: imagec952ad.PNG
Type: image/png
Size: 2005 bytes
Desc: imagec952ad.PNG
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/7ced01f7/attachment-0002.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image5a7f46.PNG
Type: image/png
Size: 2183 bytes
Desc: image5a7f46.PNG
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/7ced01f7/attachment-0003.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: imagef871de.PNG
Type: image/png
Size: 648 bytes
Desc: imagef871de.PNG
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/7ced01f7/attachment-0004.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: imaged21627.PNG
Type: image/png
Size: 568 bytes
Desc: imaged21627.PNG
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/7ced01f7/attachment-0005.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image1a582e.PNG
Type: image/png
Size: 696 bytes
Desc: image1a582e.PNG
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/7ced01f7/attachment-0006.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: imagea2adf5.PNG
Type: image/png
Size: 1764 bytes
Desc: imagea2adf5.PNG
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/7ced01f7/attachment-0007.png>