Nee, nooit van gehoord (tot vanochtend in de 1 april thread) dus ook geen ervaring mee.

Is dat naar aanleiding van: https://www.security.nl/posting/556290/New+York+City+komt+met+gratis+beveiligingsapp+voor+burgers ?
Je komt bij IBM uit met het afvangen van webverkeer.

Hou nou toch eens op man!

Het is natuurlijk naar aanleiding van het onderstaande:

https://www.security.nl/posting/556525#posting556587

Kom op krakatau als je niet weet dat IBM een serieuze onderneming is maar dat ze er ook wel eens naast zitten dan snap je niets van ICT. Het kan ook zijn dat verblind bent om iedereen die Linux niet het ultieme foutloze vindt aan te moeten vallen. Dat zou wel een zeer trieste houding zijn.

https://www.linuxincluded.com/quad9-benchmark/ geeft het verhaal gewoon aan. Niets bijzonders.

Net zoals als de eerdere links, hier offtopic IBM runt wel degelijk de ICT bij Maersk en komen met een blockchain aanpak voor de ACID eis in het bijhouden wat ze vervoeren.
Je moet wel bereid zijn met ICT en de security informatieveiligheid bezig te zijn..

Ken je deze echt niet? https://www-935.ibm.com/services/index.html
https://www-03.ibm.com/press/us/en/pressrelease/33503.wss 2011 "IBM today announced that it has been selected by the City of New York to build a more efficient, smarter technology platform for CITIServ, the City's IT infrastructure modernization program." en https://www-03.ibm.com/press/us/en/pressrelease/21183.wss "New York City Schools Chancellor Joel I. Klein today announced the selection of IBM (NYSE: IBM) to develop the Achievement Reporting and Innovation System (ARIS), a first-of-its-kind data management system that will provide detailed information about student performance and progress to educators and parents" en je hebt voldoende aanwijzingen dat IBM een flinke vinger in het ICT gebeuren van NYC. Niet ongewoon het speelt meer als wordt het niet duidelijk uitgedragen.

De bekende gratis dns diensten als opendns google quad9 zijn niet gratis. Je betaald met je dns requests. quad9 is wel een uitzondering omdat het je ip adres zou afschermen voor ibm. Bij google en opendns is je ip adres ook een betaalmiddel. quad9 schijnt ook wel vlot te werken.

willen karma en krakatau even dimmen? ik bedoelde het helemaal niet n.a.v. iets.

@karma4,

Maar open recursieve DNS servers zijn onveilig vanwege het ontwerp alleen al. DNSCrypt en DNSSEC en header security maatregelen zijn elkaar aanvullende maatregelen. We hebben de druk op verkeerde plaatsen gelegd en 'genieten' nu met zijn allen van de gevolgen daarvan.

Bij MAERSK ging het toch grandioos fout destijds met de NON-PETYA aanval van besmette software vanuit Oekraïne?

Weer typisch denken dat de oplossing via 1-click oplossingen kan worden gerealiseerd of uit een doosje komt. Aangeprate dure prut voor incapabele aanvoerders, zoals de groot verdienende CEO's en managers. Je zal als IT-er daar maar tegen de stroom in moeten zwemmen of je bek moeten houden!

Als je de onveiligheidsproblematiek niet deelt en dan zoekt naar echt werkende oplossingen kom je nooit verder en vergeet niet dat er heel wat partijen zijn met heel veel invloed, ook van buiten de tent, die een beoogde toestand van inherente veiligheid nooit of te nimmer willen bereiken, want dat is slecht voor hun verdienmodel en hun surveillance controle bevoegdheid. Daarom blijft het aanmodderen met alle cyberonveiligheidskranen open.

Jodocus Oyevaer.

Quad1. :) Per 1 april gelanceerd. Geen grap overigens.
https://yro.slashdot.org/story/18/04/01/1625202/cloudflare-launches-1111-consumer-dns-service-with-a-focus-on-privacy

DNS via https. Iets meer vertrouwen in dan in OpenDNS (dat is van Cisco sinds 2015). Quad9 is goeddeels onbekend.

Ik vertrouw ze geen van allen, ik doe zelf de resolving wel.

Hou nou toch eens op man!

Het is natuurlijk naar aanleiding van het onderstaande:

https://www.security.nl/posting/556525#posting556587

Dat is de kern waar het om draait. Je hebt het plaatje goed compleet gemaakt.
Ad a/Als je de veiligheid van ip en dns probeert te regelen door een wasstraat toe te voegen dan kom je niet toe aan het oplossen van de basis. Je kunt er op korte termijn wat winst mee halen op langere termijn niet.
Ad b/ met het artikel Quad9 nyc vond ik het aardig om de achtergronden zien te vinden. Inderdaad beslissers gaan voor de belofte van 1 klik oplossingen van de grote dienstverleners. Met bezuinigingen gaat dat niet altijd goed. Het te breed openlaten staan op iets wat niet open hoeft te staan en waarvoor al lang Patches waren is niet best. 10 dagen extra inspanning en iedereen was weer blij. Het is het spel aan de top. Ik zou willen dat meer Ict ers dat zich bewust waren.

@karma4,

Het benoemend oor ons alleen al zou een belangrijk deel van de oplossing kunnen vormen
- al het overige maakt deel uit van het voortduren van het probleem.

Authenticatie issues bij voorbeeld bij grote CDNs, met alle ongewilde data-proliferatie van dien,
als concreet voorbeeld van zulke onveiligheid.

Alhoewel deze kennis delen niet alles ten gronde zal kunnen veranderen en oplossen.
Dat lukt zelfs met inzett van AI hardware oplossingen niet.

Technische IT is zich hier al veel langer van bewust, dat erken ik uit de praktijk bij de TINF opleiding op de HS.

Het is de rest van de "cut & paste" generale divisie, om het zo uit te drukken,
die we nog mee moeten zien te krijgen bij de verdere bewustwording van de veiligheidsproblematiek.

Dit op deze manier benoemen is niet arrogant bedoeld naar de nog onwetenden toe of naar diegenen,
die verder moeten zonder de juiste relevante kennis in de rugtas, maar het blijft voor mij tenminste de kern,
waatbij het bij IT security in de essentie om draaien moet.

Daar niet "bewegen" betekent stil blijven staan en steeds weer dezelfde rondjes moeten draaien.

Jodocus Oyevaer

Schijnt prima te zijn.


Security Now 638: Quad Nine
Meer online: https://www.youtube.com/watch?v=Uw9flVT33yw

Scroll maar even door tot ergens op het laatst, hier ongeveer > https://youtu.be/Uw9flVT33yw?t=5295

Dit is dus een prima keuze, tevens heeft Steve Gibson een tooltje (voor Windows) met de naam: DNS benchmark
https://www.grc.com/dns/benchmark.htm

Je kunt hier Quad 9 invullen (als hij er niet tussenstaat) om te kijken welke de snelste is, echter je moet alleen niet
gaan voor de snelheid maar voor zijn privacy. Dus kun je snel surfen met Quad 9 dan kun je hem prima invullen en gebruiken.

Kijk maar even wat Steve Gibson ervan vind.

Makkelijker kan ik het niet maken toch.

B.T.W. de enige reden dat ik Quad 9 niet gebruik omdat ik de VPN gebruik van Mullvad die zijn eigen DSN heeft,
anders zou ik sowieso switchen naar Quad 9.

Amerikaans dus alle requests gaan de bigdata machine in.

Als ik de privacy policy van die providers geloof, dan is jouw eerste stelling incorrect.

Met een programma als dnscrypt-proxy kan je nochthans eenvoudig al je DNS verkeer versleutelen.

https://github.com/jedisct1/dnscrypt-proxy/wiki/installation

Dit is de beschrijving van DNSEC [ur][https://www.sidn.nl/a/veilig-internet/dnssec[/url] De namen en het doorsture als ipnummers gebeurt buiten jouw machine. De link die jij geeft is iets wat op jou lokale machine draait.
Daarmee ben je terug op het niveau van aanpassingen in een lokale hostfile meet het geloof dat je de hele wereld daar oplost.
Bedenk dat ook ipnummers omgeleid kunnen worden. Voor een cold DR strategie aanpak is dat een normale aanpak.
Voor omleiden webverkeer naaar aangepaste eigen machines het meest effectief.

Beste karma4, wat hadden we nou afgesproken over jou en de techniek? Je komt weer met zo'n klok horen luiden maar geen idee waar de klepel hangt verhaaltje. Houd alsjeblieft je mond over zaken die je - blijkbaar - totaal niet begrijpt.

Uit je eigen link https://www.sidn.nl/a/veilig-internet/dnssec:

DNSSEC voegt een digitale handtekening toe aan de DNS-informatie

Dus DNSSEC voegt alleen een digitale handtekening toe. Daarmee wordt de DNS informatie niet versleuteld en kan dus nog steeds worden meegelezen. Het is dus totaal iets anders dan DNSCrypt (waarmee de DNS informatie zelf wordt versleuteld en derhalve niet kan worden meegelezen).


Ooit van een proxy gehoord? Alle DNS referenties die je lokale machine doet worden via die proxy (die op je lokale machine draait) afgehandeld. De communicatie met DNS servers op internet gebeurt volledig versleuteld.


Nu onspoort je verhaal volledig in schokkend dom gelul! Ten eerste gaat DNS resolving niet via je 'hostfile' dus jouw 'aanpassingen in een lokale hostfile' opmerking raakt kant nog wal. En de discussie over IP-adressen die omgeleid kunnen worden is een heel andere. We hebben het hier over DNS (wat een domainnaam vertaalt naar een IP-adres).

Jij ontspoort volledig krakatau dat is duidelijk. Je zou je communicatie skills verbeteren?
En potje worstelen waarbij de smaak van ham in het vooruitzicht is is op zijn tijd best leuk. Anderen mogen meegenieten.

https://en.wikipedia.org/wiki/Hosts_%28file%29, https://nl.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol Het onderwerp met quad9 is hoe je malafide websites weghoudt. Ipnummers dns-namen dat is wat je in blacklisting benadering nodig hebt. Principieel probleem met blacklisting is dat je nooit alles kan weten, dus altijd missers hebt.
Probleem met whitelisting is dat je constant alles moet aanpassen om te kunnen werken. Je zit duidelijk niet in een professionele organisatie (met alle kafka) waar die afwisselend door elkaar gebruikt worden. IDS SOC center etc.

Beste karma4, wat hadden we nou afgesproken over jou en de techniek? Je komt weer met zo'n klok horen luiden maar geen idee waar de klepel hangt verhaaltje. Houd alsjeblieft je mond over zaken die je - blijkbaar - totaal niet begrijpt.

Uit je eigen link https://www.sidn.nl/a/veilig-internet/dnssec:

DNSSEC voegt een digitale handtekening toe aan de DNS-informatie

Dus DNSSEC voegt alleen een digitale handtekening toe. Daarmee wordt de DNS informatie niet versleuteld en kan dus nog steeds worden meegelezen. Het is dus totaal iets anders dan DNSCrypt (waarmee de DNS informatie zelf wordt versleuteld en derhalve niet kan worden meegelezen).


Ooit van een proxy gehoord? Alle DNS referenties die je lokale machine doet worden via die proxy (die op je lokale machine draait) afgehandeld. De communicatie met DNS servers op internet gebeurt volledig versleuteld.

Ik zie niemand ingaan op de specifieke eigenschappen van Quad9. Het blokkeren dns requests naar kwaadaardige sites.

Bij OpenDNS kun je het blokkeren van kwaadaardige sites instellen als je een account neemt. Bij Quad9 is geen account nodig. Ze hebben net als Google en OpenDNS een eigen server in de regio Amsterdam, zodat ze 'dichtbij' zitten qua responsetijden.

Ik heb er vorig jaar eens naar gekeken en toen waren ze het snelste in de testen. Maar toen waren ze nog erg nieuw en zal ook het gebruik (belasting) gering geweest zijn.

Het lijkt mij een goed alternatief voor een pi-hole, als je dat zelf niet wilt opzetten. Quad 9 blokkeert alleen kwaadaardige sites, Bij een eigen pi-hole kun je ook advertentiesites blokkeren.

Ik heb voor de aardigheid eens 10 sites uit de "malwaredomains" lijst opgezocht met:

Alle sites die volgens de google dns nog bestonden werden netjes door Quad9 geblokkeerd. Of ze diezelfde lijst gebruiken weet ik niet. Dan zou je veel meer sites moeten testen.

We spreken hier zo vaak over censuur..... Maar valt hier ook niet onder?

Wie is er verantwoordelijk als mijn site hier ineens van de aardbodem verdwijnt.
Of als iemand dit huidige systeem kan manipuleren?