Computerbeveiliging - Hoe je bad guys buiten de deur houdt

quad9

02-04-2018, 11:42 door Anoniem, 22 reacties
kent iemand quad9 (9.9.9.9) DNS? Wat zijn de ervaringen? Wat zijn alternatieven (zonder meteen piholes op te zetten etc) voor de huis tuin en keuken gebruikers? Hoe tov OpenDNS?
Reacties (22)
02-04-2018, 11:57 door Anoniem
Nee, nooit van gehoord (tot vanochtend in de 1 april thread) dus ook geen ervaring mee.
02-04-2018, 12:08 door karma4
Is dat naar aanleiding van: https://www.security.nl/posting/556290/New+York+City+komt+met+gratis+beveiligingsapp+voor+burgers ?
Je komt bij IBM uit met het afvangen van webverkeer.
02-04-2018, 12:22 door Krakatau
Door karma4: Is dat naar aanleiding van: https://www.security.nl/posting/556290/New+York+City+komt+met+gratis+beveiligingsapp+voor+burgers ?
Je komt bij IBM uit met het afvangen van webverkeer.

Hou nou toch eens op man!

Het is natuurlijk naar aanleiding van het onderstaande:

https://www.security.nl/posting/556525#posting556587

Door Krakatau:
Door karma4: Nooit meer die pishing aanvallen door een blokchain technologie op de dns zijn die voor de aanvallers te moeilijk geworden.
Met behulp van Watsons IBM Forex wordt de gratis app quad9 daarvoor wereldwijd gratis verspreid. NY was de eerste stap.

Wat hadden we nou afgesproken karma4? Je zou je niet meer over de techniek uitlaten want dat zijn vaak van die klok horen luiden maar de klepel niet weten te hangen verhaaltjes. Zoals nu ook weer met je Quad9 - DNS - Blockchain verhaal. Echter:

a) QuadDNS heeft helemaal niets met blockchain technologie te maken (*);
b) Je hoeft om QuadDNS te gebruiken alleen maar 9.9.9.9 in te stellen bij je DNS instellingen.

Nee, het helpt niet om nu "1 aprilgrap" te gaan roepen!

(*)
In order to determine which domains are bad, Quad9's DNS servers check each resolution request against the IBM X-Force threat intelligence database -- a database that Quad9 augments with data from 18 additional threat intelligent systems and threat intelligence fed back into the system from users who contribute incident reports.

https://www.securitynow.com/author.asp?section_id=610&doc_id=738325
02-04-2018, 12:38 door karma4 - Bijgewerkt: 02-04-2018, 13:07
Door Krakatau: [Hou nou toch eens op man .... Het is natuurlijk naar aanleiding van het onderstaande:
Kom op krakatau als je niet weet dat IBM een serieuze onderneming is maar dat ze er ook wel eens naast zitten dan snap je niets van ICT. Het kan ook zijn dat verblind bent om iedereen die Linux niet het ultieme foutloze vindt aan te moeten vallen. Dat zou wel een zeer trieste houding zijn.

https://www.linuxincluded.com/quad9-benchmark/ geeft het verhaal gewoon aan. Niets bijzonders.

Net zoals als de eerdere links, hier offtopic IBM runt wel degelijk de ICT bij Maersk en komen met een blockchain aanpak voor de ACID eis in het bijhouden wat ze vervoeren.
Je moet wel bereid zijn met ICT en de security informatieveiligheid bezig te zijn..

Ken je deze echt niet? https://www-935.ibm.com/services/index.html
https://www-03.ibm.com/press/us/en/pressrelease/33503.wss 2011 "IBM today announced that it has been selected by the City of New York to build a more efficient, smarter technology platform for CITIServ, the City's IT infrastructure modernization program." en https://www-03.ibm.com/press/us/en/pressrelease/21183.wss "New York City Schools Chancellor Joel I. Klein today announced the selection of IBM (NYSE: IBM) to develop the Achievement Reporting and Innovation System (ARIS), a first-of-its-kind data management system that will provide detailed information about student performance and progress to educators and parents" en je hebt voldoende aanwijzingen dat IBM een flinke vinger in het ICT gebeuren van NYC. Niet ongewoon het speelt meer als wordt het niet duidelijk uitgedragen.
02-04-2018, 12:46 door Anoniem
De bekende gratis dns diensten als opendns google quad9 zijn niet gratis. Je betaald met je dns requests. quad9 is wel een uitzondering omdat het je ip adres zou afschermen voor ibm. Bij google en opendns is je ip adres ook een betaalmiddel. quad9 schijnt ook wel vlot te werken.
02-04-2018, 12:58 door Anoniem
willen karma en krakatau even dimmen? ik bedoelde het helemaal niet n.a.v. iets.
02-04-2018, 13:02 door Anoniem
@karma4,

Maar open recursieve DNS servers zijn onveilig vanwege het ontwerp alleen al. DNSCrypt en DNSSEC en header security maatregelen zijn elkaar aanvullende maatregelen. We hebben de druk op verkeerde plaatsen gelegd en 'genieten' nu met zijn allen van de gevolgen daarvan.

Bij MAERSK ging het toch grandioos fout destijds met de NON-PETYA aanval van besmette software vanuit Oekraïne?

Weer typisch denken dat de oplossing via 1-click oplossingen kan worden gerealiseerd of uit een doosje komt. Aangeprate dure prut voor incapabele aanvoerders, zoals de groot verdienende CEO's en managers. Je zal als IT-er daar maar tegen de stroom in moeten zwemmen of je bek moeten houden!

Als je de onveiligheidsproblematiek niet deelt en dan zoekt naar echt werkende oplossingen kom je nooit verder en vergeet niet dat er heel wat partijen zijn met heel veel invloed, ook van buiten de tent, die een beoogde toestand van inherente veiligheid nooit of te nimmer willen bereiken, want dat is slecht voor hun verdienmodel en hun surveillance controle bevoegdheid. Daarom blijft het aanmodderen met alle cyberonveiligheidskranen open.

Jodocus Oyevaer.
02-04-2018, 13:14 door Anoniem
Door Anoniem: kent iemand quad9 (9.9.9.9) DNS? Wat zijn de ervaringen? Wat zijn alternatieven (zonder meteen piholes op te zetten etc) voor de huis tuin en keuken gebruikers? Hoe tov OpenDNS?

Quad1. :) Per 1 april gelanceerd. Geen grap overigens.
https://yro.slashdot.org/story/18/04/01/1625202/cloudflare-launches-1111-consumer-dns-service-with-a-focus-on-privacy

DNS via https. Iets meer vertrouwen in dan in OpenDNS (dat is van Cisco sinds 2015). Quad9 is goeddeels onbekend.

Ik vertrouw ze geen van allen, ik doe zelf de resolving wel.
02-04-2018, 13:24 door Krakatau
Door karma4: Is dat naar aanleiding van: https://www.security.nl/posting/556290/New+York+City+komt+met+gratis+beveiligingsapp+voor+burgers ?
Je komt bij IBM uit met het afvangen van webverkeer.

Hou nou toch eens op man!

Het is natuurlijk naar aanleiding van het onderstaande:

https://www.security.nl/posting/556525#posting556587

Door Krakatau:
Door karma4: Nooit meer die pishing aanvallen door een blokchain technologie op de dns zijn die voor de aanvallers te moeilijk geworden.
Met behulp van Watsons IBM Forex wordt de gratis app quad9 daarvoor wereldwijd gratis verspreid. NY was de eerste stap.

Wat hadden we nou afgesproken karma4? Je zou je niet meer over de techniek uitlaten want dat zijn vaak van die klok horen luiden maar de klepel niet weten te hangen verhaaltjes. Zoals nu ook weer met je Quad9 - DNS - Blockchain verhaal. Echter:

a) QuadDNS heeft helemaal niets met blockchain technologie te maken (*);
b) Je hoeft om QuadDNS te gebruiken alleen maar 9.9.9.9 in te stellen bij je DNS instellingen.

Nee, het helpt niet om nu "1 aprilgrap" te gaan roepen!

(*)
In order to determine which domains are bad, Quad9's DNS servers check each resolution request against the IBM X-Force threat intelligence database -- a database that Quad9 augments with data from 18 additional threat intelligent systems and threat intelligence fed back into the system from users who contribute incident reports.

https://www.securitynow.com/author.asp?section_id=610&doc_id=738325
02-04-2018, 20:20 door karma4
Door Anoniem: @karma4,
........

Als je de onveiligheidsproblematiek niet deelt en dan zoekt naar echt werkende oplossingen kom je nooit verder en vergeet niet dat er heel wat partijen zijn met heel veel invloed, ook van buiten de tent, die een beoogde toestand van inherente veiligheid nooit of te nimmer willen bereiken, want dat is slecht voor hun verdienmodel en hun surveillance controle bevoegdheid. Daarom blijft het aanmodderen met alle cyberonveiligheidskranen open.

Jodocus Oyevaer.
Dat is de kern waar het om draait. Je hebt het plaatje goed compleet gemaakt.
Ad a/Als je de veiligheid van ip en dns probeert te regelen door een wasstraat toe te voegen dan kom je niet toe aan het oplossen van de basis. Je kunt er op korte termijn wat winst mee halen op langere termijn niet.
Ad b/ met het artikel Quad9 nyc vond ik het aardig om de achtergronden zien te vinden. Inderdaad beslissers gaan voor de belofte van 1 klik oplossingen van de grote dienstverleners. Met bezuinigingen gaat dat niet altijd goed. Het te breed openlaten staan op iets wat niet open hoeft te staan en waarvoor al lang Patches waren is niet best. 10 dagen extra inspanning en iedereen was weer blij. Het is het spel aan de top. Ik zou willen dat meer Ict ers dat zich bewust waren.
02-04-2018, 22:05 door Anoniem
@karma4,

Het benoemend oor ons alleen al zou een belangrijk deel van de oplossing kunnen vormen
- al het overige maakt deel uit van het voortduren van het probleem.

Authenticatie issues bij voorbeeld bij grote CDNs, met alle ongewilde data-proliferatie van dien,
als concreet voorbeeld van zulke onveiligheid.

Alhoewel deze kennis delen niet alles ten gronde zal kunnen veranderen en oplossen.
Dat lukt zelfs met inzett van AI hardware oplossingen niet.

Technische IT is zich hier al veel langer van bewust, dat erken ik uit de praktijk bij de TINF opleiding op de HS.

Het is de rest van de "cut & paste" generale divisie, om het zo uit te drukken,
die we nog mee moeten zien te krijgen bij de verdere bewustwording van de veiligheidsproblematiek.

Dit op deze manier benoemen is niet arrogant bedoeld naar de nog onwetenden toe of naar diegenen,
die verder moeten zonder de juiste relevante kennis in de rugtas, maar het blijft voor mij tenminste de kern,
waatbij het bij IT security in de essentie om draaien moet.

Daar niet "bewegen" betekent stil blijven staan en steeds weer dezelfde rondjes moeten draaien.

Jodocus Oyevaer
03-04-2018, 01:00 door Anoniem
Schijnt prima te zijn.


Security Now 638: Quad Nine
Meer online: https://www.youtube.com/watch?v=Uw9flVT33yw
03-04-2018, 01:40 door Anoniem
Door Anoniem: Schijnt prima te zijn.


Security Now 638: Quad Nine
Meer online: https://www.youtube.com/watch?v=Uw9flVT33yw


Scroll maar even door tot ergens op het laatst, hier ongeveer > https://youtu.be/Uw9flVT33yw?t=5295

Dit is dus een prima keuze, tevens heeft Steve Gibson een tooltje (voor Windows) met de naam: DNS benchmark
https://www.grc.com/dns/benchmark.htm

Je kunt hier Quad 9 invullen (als hij er niet tussenstaat) om te kijken welke de snelste is, echter je moet alleen niet
gaan voor de snelheid maar voor zijn privacy. Dus kun je snel surfen met Quad 9 dan kun je hem prima invullen en gebruiken.

Kijk maar even wat Steve Gibson ervan vind.

Makkelijker kan ik het niet maken toch.

B.T.W. de enige reden dat ik Quad 9 niet gebruik omdat ik de VPN gebruik van Mullvad die zijn eigen DSN heeft,
anders zou ik sowieso switchen naar Quad 9.
03-04-2018, 06:55 door Anoniem
Door Anoniem: kent iemand quad9 (9.9.9.9) DNS? Wat zijn de ervaringen? Wat zijn alternatieven (zonder meteen piholes op te zetten etc) voor de huis tuin en keuken gebruikers? Hoe tov OpenDNS?

Amerikaans dus alle requests gaan de bigdata machine in.
03-04-2018, 09:30 door [Account Verwijderd] - Bijgewerkt: 03-04-2018, 09:31
Door Anoniem: De bekende gratis dns diensten als opendns google quad9 zijn niet gratis. Je betaald met je dns requests. quad9 is wel een uitzondering omdat het je ip adres zou afschermen voor ibm. Bij google en opendns is je ip adres ook een betaalmiddel. quad9 schijnt ook wel vlot te werken.

Als ik de privacy policy van die providers geloof, dan is jouw eerste stelling incorrect.
03-04-2018, 09:34 door Krakatau
Door Anoniem: @karma4,

Maar open recursieve DNS servers zijn onveilig vanwege het ontwerp alleen al. DNSCrypt en DNSSEC en header security maatregelen zijn elkaar aanvullende maatregelen.

...

Jodocus Oyevaer.

Met een programma als dnscrypt-proxy kan je nochthans eenvoudig al je DNS verkeer versleutelen.

https://github.com/jedisct1/dnscrypt-proxy/wiki/installation
03-04-2018, 11:47 door karma4
Door Krakatau:
Met een programma als dnscrypt-proxy kan je nochthans eenvoudig al je DNS verkeer versleutelen.
https://github.com/jedisct1/dnscrypt-proxy/wiki/installation
Dit is de beschrijving van DNSEC [ur][https://www.sidn.nl/a/veilig-internet/dnssec[/url] De namen en het doorsture als ipnummers gebeurt buiten jouw machine. De link die jij geeft is iets wat op jou lokale machine draait.
Daarmee ben je terug op het niveau van aanpassingen in een lokale hostfile meet het geloof dat je de hele wereld daar oplost.
Bedenk dat ook ipnummers omgeleid kunnen worden. Voor een cold DR strategie aanpak is dat een normale aanpak.
Voor omleiden webverkeer naaar aangepaste eigen machines het meest effectief.
03-04-2018, 13:27 door Krakatau - Bijgewerkt: 03-04-2018, 13:28
Door karma4:
Door Krakatau:
Met een programma als dnscrypt-proxy kan je nochthans eenvoudig al je DNS verkeer versleutelen.
https://github.com/jedisct1/dnscrypt-proxy/wiki/installation
Dit is de beschrijving van DNSEC [ur][https://www.sidn.nl/a/veilig-internet/dnssec[/url]

Beste karma4, wat hadden we nou afgesproken over jou en de techniek? Je komt weer met zo'n klok horen luiden maar geen idee waar de klepel hangt verhaaltje. Houd alsjeblieft je mond over zaken die je - blijkbaar - totaal niet begrijpt.

Uit je eigen link https://www.sidn.nl/a/veilig-internet/dnssec:

DNSSEC voegt een digitale handtekening toe aan de DNS-informatie

Dus DNSSEC voegt alleen een digitale handtekening toe. Daarmee wordt de DNS informatie niet versleuteld en kan dus nog steeds worden meegelezen. Het is dus totaal iets anders dan DNSCrypt (waarmee de DNS informatie zelf wordt versleuteld en derhalve niet kan worden meegelezen).

Door karma4: De namen en het doorsture als ipnummers gebeurt buiten jouw machine. De link die jij geeft is iets wat op jou lokale machine draait.

Ooit van een proxy gehoord? Alle DNS referenties die je lokale machine doet worden via die proxy (die op je lokale machine draait) afgehandeld. De communicatie met DNS servers op internet gebeurt volledig versleuteld.

Door karma4: Daarmee ben je terug op het niveau van aanpassingen in een lokale hostfile meet het geloof dat je de hele wereld daar oplost.
Bedenk dat ook ipnummers omgeleid kunnen worden. Voor een cold DR strategie aanpak is dat een normale aanpak.
Voor omleiden webverkeer naaar aangepaste eigen machines het meest effectief.

Nu onspoort je verhaal volledig in schokkend dom gelul! Ten eerste gaat DNS resolving niet via je 'hostfile' dus jouw 'aanpassingen in een lokale hostfile' opmerking raakt kant nog wal. En de discussie over IP-adressen die omgeleid kunnen worden is een heel andere. We hebben het hier over DNS (wat een domainnaam vertaalt naar een IP-adres).
03-04-2018, 13:56 door karma4
Door Krakatau: ....
Nu onspoort je verhaal volledig in schokkend dom gelul! Ten eerste gaat DNS resolving niet via je 'hostfile' dus jouw 'aanpassingen in een lokale hostfile' opmerking raakt kant nog wal. En de discussie over IP-adressen die omgeleid kunnen worden is een heel andere. We hebben het hier over DNS (wat een domainnaam vertaalt naar een IP-adres).

Jij ontspoort volledig krakatau dat is duidelijk. Je zou je communicatie skills verbeteren?
En potje worstelen waarbij de smaak van ham in het vooruitzicht is is op zijn tijd best leuk. Anderen mogen meegenieten.

https://en.wikipedia.org/wiki/Hosts_%28file%29, https://nl.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol Het onderwerp met quad9 is hoe je malafide websites weghoudt. Ipnummers dns-namen dat is wat je in blacklisting benadering nodig hebt. Principieel probleem met blacklisting is dat je nooit alles kan weten, dus altijd missers hebt.
Probleem met whitelisting is dat je constant alles moet aanpassen om te kunnen werken. Je zit duidelijk niet in een professionele organisatie (met alle kafka) waar die afwisselend door elkaar gebruikt worden. IDS SOC center etc.
03-04-2018, 14:12 door Krakatau - Bijgewerkt: 03-04-2018, 14:14
Door karma4:
Door Krakatau:
Met een programma als dnscrypt-proxy kan je nochthans eenvoudig al je DNS verkeer versleutelen.
https://github.com/jedisct1/dnscrypt-proxy/wiki/installation
Dit is de beschrijving van DNSEC [ur][https://www.sidn.nl/a/veilig-internet/dnssec[/url]

Beste karma4, wat hadden we nou afgesproken over jou en de techniek? Je komt weer met zo'n klok horen luiden maar geen idee waar de klepel hangt verhaaltje. Houd alsjeblieft je mond over zaken die je - blijkbaar - totaal niet begrijpt.

Uit je eigen link https://www.sidn.nl/a/veilig-internet/dnssec:

DNSSEC voegt een digitale handtekening toe aan de DNS-informatie

Dus DNSSEC voegt alleen een digitale handtekening toe. Daarmee wordt de DNS informatie niet versleuteld en kan dus nog steeds worden meegelezen. Het is dus totaal iets anders dan DNSCrypt (waarmee de DNS informatie zelf wordt versleuteld en derhalve niet kan worden meegelezen).

Door karma4: De namen en het doorsture als ipnummers gebeurt buiten jouw machine. De link die jij geeft is iets wat op jou lokale machine draait.

Ooit van een proxy gehoord? Alle DNS referenties die je lokale machine doet worden via die proxy (die op je lokale machine draait) afgehandeld. De communicatie met DNS servers op internet gebeurt volledig versleuteld.
03-04-2018, 15:14 door Briolet - Bijgewerkt: 03-04-2018, 15:14
Door Anoniem: kent iemand quad9 (9.9.9.9) DNS? Wat zijn de ervaringen? Wat zijn alternatieven (zonder meteen piholes op te zetten etc) voor de huis tuin en keuken gebruikers? Hoe tov OpenDNS?

Ik zie niemand ingaan op de specifieke eigenschappen van Quad9. Het blokkeren dns requests naar kwaadaardige sites.

Bij OpenDNS kun je het blokkeren van kwaadaardige sites instellen als je een account neemt. Bij Quad9 is geen account nodig. Ze hebben net als Google en OpenDNS een eigen server in de regio Amsterdam, zodat ze 'dichtbij' zitten qua responsetijden.

Ik heb er vorig jaar eens naar gekeken en toen waren ze het snelste in de testen. Maar toen waren ze nog erg nieuw en zal ook het gebruik (belasting) gering geweest zijn.

Het lijkt mij een goed alternatief voor een pi-hole, als je dat zelf niet wilt opzetten. Quad 9 blokkeert alleen kwaadaardige sites, Bij een eigen pi-hole kun je ook advertentiesites blokkeren.

Ik heb voor de aardigheid eens 10 sites uit de "malwaredomains" lijst opgezocht met:
host xxxxx 8.8.8.8
en
host xxxxx 9.9.9.9

Alle sites die volgens de google dns nog bestonden werden netjes door Quad9 geblokkeerd. Of ze diezelfde lijst gebruiken weet ik niet. Dan zou je veel meer sites moeten testen.
04-04-2018, 18:32 door Anoniem
We spreken hier zo vaak over censuur..... Maar valt hier ook niet onder?

Wie is er verantwoordelijk als mijn site hier ineens van de aardbodem verdwijnt.
Of als iemand dit huidige systeem kan manipuleren?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.