Computerbeveiliging - Hoe je bad guys buiten de deur houdt

DNS van Cloudfare

01-10-2018, 19:16 door Anoniem, 24 reacties
De DNS van Google biedt de mogelijkheid om DNS beveiliging services toetepassen die een standaard ISP provider niet levert en zijn er nog andere reden om van de standaard DNS te veranderen..
We weten dat de DNS van Google DNS, de requests logt en dat willen sommigen natuurlijk niet.

Cloudfare suggereert dat het een privacy bewuste DNS server is, hebben mensen ervaring met de DNS van Cloudfare en vertrouwen jullie Cloudfare?
Welke beveiligingsmogelijkheden heb je als je de DNS van Cloudfare gebruikt behalve dat DNSSEC ondersteund?

Hoe zorgen jullie dat je DNS requests correct zijn?
Reacties (24)
02-10-2018, 09:32 door Bartbartbart
Je kunt toch veel beter zelf een cachingDNS draaien en daar zelf de beveiliging op te beheren die jij noodzakelijk acht? Ik weet niet wat voor beveiliging je zoekt, maar lokaal DNS verkeer valt door niemand te onderscheppen, je kunt wildcards gebruiken in je rules, je hebt een log, en je bent niet beperkt tot 1 of enkele externe DNS servers maar kan er vaak veel in stellen. En de servers die je daar in stelt hoeven dan dus geen extra beveiligingslaag meer aan te bieden.Ipv services als Google of Cloudfare zou ik zoeken naar anti censuur DNS services, die zijn er genoeg en als je er verschillende instelt dan worden de verzoeken die je maakt over meerdere services verdeeld en ook dat biedt weer een layer of security.
02-10-2018, 09:37 door Anoniem
Door Bartbartbart: Je kunt toch veel beter zelf een cachingDNS draaien en daar zelf de beveiliging op te beheren die jij noodzakelijk acht? Ik weet niet wat voor beveiliging je zoekt, maar lokaal DNS verkeer valt door niemand te onderscheppen, je kunt wildcards gebruiken in je rules, je hebt een log, en je bent niet beperkt tot 1 of enkele externe DNS servers maar kan er vaak veel in stellen. En de servers die je daar in stelt hoeven dan dus geen extra beveiligingslaag meer aan te bieden.Ipv services als Google of Cloudfare zou ik zoeken naar anti censuur DNS services, die zijn er genoeg en als je er verschillende instelt dan worden de verzoeken die je maakt over meerdere services verdeeld en ook dat biedt weer een layer of security.

Moet je daarvoor een aparte server of router voor hebben (dit kan niet via de modem van KPN neem ik)?
Heb je een voorbeeld van een anti censuur DNS service?

Hoe heb jij jouw DNS services beveiligd?
02-10-2018, 10:17 door Bartbartbart - Bijgewerkt: 02-10-2018, 10:18
Op windows gebruik ik daar AcrylicDNS voor, icm frontend ADPMonitor, maar je zult ook genoeg smaken hebben voor als plugin in bv DDWrt oid.
https://sourceforge.net/projects/acrylic/
(monitorlinkje is wel heel oud ondertussen, lol: http://dev.arqendra.net/index1.php )

In je netwerksettings stel je dan 127.0.0.1 als DNS in en in de instellingen van de caching DNS stel je de externe servers en andere instellingen in. Verder kun je met wildcards instellen dat bv alle adressen met ADS in de naam komen te vervallen, of alle adressen die eindigen op .facebook.net oid.

wbt de beschikbaarheid van censuurvrije DNS services moet je gewoon even wat op internet zoeken, zijn er genoeg van. hier een beginnetje: https://greycoder.com/list-uncensored-dns-providers/
02-10-2018, 10:26 door Anoniem
Door Bartbartbart: Op windows gebruik ik daar AcrylicDNS voor, icm frontend ADPMonitor, maar je zult ook genoeg smaken hebben voor als plugin in bv DDWrt oid.
https://sourceforge.net/projects/acrylic/
(monitorlinkje is wel heel oud ondertussen, lol: http://dev.arqendra.net/index1.php )

In je netwerksettings stel je dan 127.0.0.1 als DNS in en in de instellingen van de caching DNS stel je de externe servers en andere instellingen in. Verder kun je met wildcards instellen dat bv alle adressen met ADS in de naam komen te vervallen, of alle adressen die eindigen op .facebook.net oid.

wbt de beschikbaarheid van censuurvrije DNS services moet je gewoon even wat op internet zoeken, zijn er genoeg van. hier een beginnetje: https://greycoder.com/list-uncensored-dns-providers/

Dankjewel voor je deskundige antwoord, ben zelf een Mac gebruiker en had de volgende vraag:
IS AcryclisDNS vergelijkbaar met dns2socks?
Gebruik je het in combinatie met TLS?
Is deze aanpak niet kwetsbaar voor DNS vergiftiging?
Bedoel je met wildcards instellen domeinen blokkeren?

Heb je nogsteeds DNSSEC met jouw aanpak? Want anders ben je nogsteeds kwetsbaar voor MITM.
02-10-2018, 11:40 door Bartbartbart - Bijgewerkt: 02-10-2018, 11:57
Door Anoniem:
IS AcryclisDNS vergelijkbaar met dns2socks?
Gebruik je het in combinatie met TLS?
Is deze aanpak niet kwetsbaar voor DNS vergiftiging?
Bedoel je met wildcards instellen domeinen blokkeren?

Heb je nogsteeds DNSSEC met jouw aanpak? Want anders ben je nogsteeds kwetsbaar voor MITM.
Er is geen sprake van tunneling, TLS is optioneel en tegen MTIM kan dnsscrypt ingesteld worden https://dnscrypt.info/

http://mayakron.altervista.org/wikibase/show.php?id=AcrylicFAQ#9
Faq:
Is Acrylic affected by the DNS cache poisoning vulnerability CVE-2008-1447?

No, Acrylic is not affected because it does not support recursive queries thus ignoring any authoritative resource record contained in responses forged by an attacker (in affected systems they would overwrite valid entries.)

More technical details about the vulnerability and attack strategy, exposed by Dan Kaminsky at Black Hat 2008, can be found on the Black Hat Web Site.

Is Acrylic affected by other DNS cache poisoning vulnerabilities?

Yes, there are flaws in the way the DNS protocol has been designed as it does not enforce a strong authentication mechanism and has very low entropy (allowing a relatively high rate of success in forging responses.) No matter how carefully has been written any DNS resolver which does not rely on custom protocol extensions (like DNSSEC) is vulnerable to cache poisoning to a certain extent depending on how much entropy it is able to shove into the protocol.
02-10-2018, 11:55 door Anoniem


Yes, there are flaws in the way the DNS protocol has been designed as it does not enforce a strong authentication mechanism and has very low entropy (allowing a relatively high rate of success in forging responses.) No matter how carefully has been written any DNS resolver which does not rely on custom protocol extensions (like DNSSEC) is vulnerable to cache poisoning to a certain extent depending on how much entropy it is able to shove into the protocol.

We zullen dus altijd kwetsbaar blijven voor DNS?
Wat bedoel je met geen sprake van tunnelring, Dat een hacker niet een DNS tunnel kan creëren?
Ik dacht dat DNSSEC de kans op MITM ernstig verkleinde.., zat ik er even naast
02-10-2018, 13:19 door Anoniem
Ik dacht dat DNSSEC de kans op MITM ernstig verkleinde.., zat ik er even naast
DNSSEC verkleint de kans op DNS poisoning waardoor dus indirect een MitM wordt tegengegaan. Hierboven worden veel voorbeelden aangehaald die, hoewel goed bedoeld, vaak lastig te implementeren zijn voor eindgebruikers. Voor hen kan een simpele aanpassingen van de DNS in hun router naar 9.9.9.9 al een extra laag security toevoegen. Hier zit een stukje threat intelligence op van o.a. IBM, F-Secure, RiskIQ, Cisco e.a. Zitten verder geen kosten aan, zie quad9.net.
02-10-2018, 14:58 door Anoniem
Cloudfare suggereert dat het een privacy bewuste DNS server is, hebben mensen ervaring met de DNS van Cloudfare en vertrouwen jullie Cloudfare?

Vertrouw je Google ? Vertrouw je Facebook ? Vertrouw je enig commercieel bedrijf, dat jou ''gratis'' diensten aanbiedt (terwijl ze er zelf flink in moeten investeren) ? Zijn dit zaken waar je anno 2018 nog echt over na moet denken ? ;)
02-10-2018, 20:01 door Anoniem
Gewoon DNS van je provider kiezen. Die ziet toch al waar je heen gaat met je computertje.
Immers als je een verbinding daadwerkelijk start dan moet daarin het IP-adres staan van de site waar je naar toe wil.
En als ze het willen is het een koud kunstje om hierop een omgekeerde DNS te doen om de domeinnaam tevoorschijn
te toveren. En anders moet je iets erbij nemen als Tor of VPN of misschien het beste: een combinatie van beide.
Houd er wel rekening mee dat daar ook wel eens wat kan worden geregistreerd.
03-10-2018, 06:19 door Anoniem
De toegevoegde waarde zit in automatische filtering van bekende malware sites. De DNS omgeving is snel, sneller dan andere standaard omgevingen. De dienst is vergelijkbaar met die van Quad9 (9.9.9.9).

xs4all biedt soortgelijke diensten, die zou ik een stapje eerder vertrouwen.

De vraag is en blijft: vertrouw je ze genoeg? Als dat niet het geval is dan kun je het zelf (beter) bouwen op pihole.
03-10-2018, 07:24 door Anoniem
Door Anoniem: Gewoon DNS van je provider kiezen. Die ziet toch al waar je heen gaat met je computertje.
Immers als je een verbinding daadwerkelijk start dan moet daarin het IP-adres staan van de site waar je naar toe wil.
En als ze het willen is het een koud kunstje om hierop een omgekeerde DNS te doen om de domeinnaam tevoorschijn
te toveren. En anders moet je iets erbij nemen als Tor of VPN of misschien het beste: een combinatie van beide.
Houd er wel rekening mee dat daar ook wel eens wat kan worden geregistreerd.

Gewoon de DNS van je VPN provider kiezen, gaat alles mooi versleuteld over de lijn en geeft gluurders geen kans om je verkeer of je DNS requests te zien.
03-10-2018, 09:32 door Anoniem
Niet-inhoudelijk detail: ik zie hier consequent "Cloudfare" geschreven worden, maar het heet "Cloudflare", met een L ertussen.
03-10-2018, 09:55 door jennifer
Door Anoniem: Gewoon DNS van je provider kiezen. Die ziet toch al waar je heen gaat met je computertje.
Immers als je een verbinding daadwerkelijk start dan moet daarin het IP-adres staan van de site waar je naar toe wil.
En als ze het willen is het een koud kunstje om hierop een omgekeerde DNS te doen om de domeinnaam tevoorschijn
te toveren. En anders moet je iets erbij nemen als Tor of VPN of misschien het beste: een combinatie van beide.
Houd er wel rekening mee dat daar ook wel eens wat kan worden geregistreerd.

De DNS van je provider biedt geen DNSSEC aan vaak. Ik ben zelf bijvoorbeeld klant bij KPN en heb geen DNS. Daarom heb ik ook de DNS van Cloudfare.
Verschillende testen suggereren ook dat de DNS van Cloudfare het snelste is.
https://www.dnsperf.com/#!dns-resolvers,Europe
03-10-2018, 10:05 door Bartbartbart - Bijgewerkt: 03-10-2018, 10:07
Door Anoniem: En anders moet je iets erbij nemen als Tor of VPN of misschien het beste: een combinatie van beide.
Houd er wel rekening mee dat daar ook wel eens wat kan worden geregistreerd.

Uiteraard combineer je dit met een niet loggende VPN.

Door Anoniem:
De toegevoegde waarde zit in automatische filtering van bekende malware sites. De DNS omgeving is snel, sneller dan andere standaard omgevingen. De dienst is vergelijkbaar met die van Quad9 (9.9.9.9).
Behalve lak aan privacy is censuur op dit moment ook erg hip op het internet.
Iedere speler die ook maar een klein beetje officieel is moet alles maar blokkeren, van Torrentsites tot FakeNews. Dit mag in China niet, dat mag in Duitsland niet, zus mag in Amerika niet en zo mag in Turkije niet. Search engines en vooral ook DNS providers zijn hier instrumentaal in.
En malware wegfilterende diensten hebben een absolute vrijkaart om hier extra resoluut in te zijn. Torrents, streaming, piracy?.. Zijn malware, ..virussen!- del.
En zeker bij termen als Fakenews moet je je goed bewust zijn van het feit dat bv republikeinse claims, fake news is voor de democraten en visa versa. Het is een subjectief in te vullen wildcard.

TLDR: Stay away from official DNS hostings (of gebruik er ten minste een heleboel tegelijk)
03-10-2018, 10:30 door Bartbartbart - Bijgewerkt: 03-10-2018, 10:32
Door jennifer:
Verschillende testen suggereren ook dat de DNS van Cloudfare het snelste is.
https://www.dnsperf.com/#!dns-resolvers,Europe
Een caching DNS (Een DNS server die je lokaal draait en die al jouw eerder bezochte paginas lokaal in een cache bewaard welke het eerst raadpleegt alvorens externe DNS servers te benaderen) is altijd het snelste en meest privaat. Bovendien is de snelheid van externe DNS servers dan slechts nog relevant voor nooit eerder bezochte paginas, en dat zal voor veel mensen slechts een klein deel van hun totale verkeer zijn.

**Hoe zit het eigenlijk met Google Safe browsing in browsers.. Die wordt toch ook benaderd voor ieder adres die je bezoekt? Als het toegang pas na die verificatie toestaat, en die verbinding trager is dan naar je DNS dan heb je daar alsnog een bottleneck. (maar beter gewoon uitzetten dus dat private browsing, wegens - privacy)
03-10-2018, 11:32 door Anoniem
Voor mijn domeinen gebruik ik Cloudflare DNS. Werkt perfect en snel.

Op de eigen locatie maak ik gebruik van Pi-Hole en Unbound: https://docs.pi-hole.net/guides/unbound/
03-10-2018, 14:19 door Anoniem
Door jennifer:
Door Anoniem: Gewoon DNS van je provider kiezen. Die ziet toch al waar je heen gaat met je computertje.
Immers als je een verbinding daadwerkelijk start dan moet daarin het IP-adres staan van de site waar je naar toe wil.
En als ze het willen is het een koud kunstje om hierop een omgekeerde DNS te doen om de domeinnaam tevoorschijn
te toveren. En anders moet je iets erbij nemen als Tor of VPN of misschien het beste: een combinatie van beide.
Houd er wel rekening mee dat daar ook wel eens wat kan worden geregistreerd.

De DNS van je provider biedt geen DNSSEC aan vaak. Ik ben zelf bijvoorbeeld klant bij KPN en heb geen DNS. Daarom heb ik ook de DNS van Cloudfare.
Verschillende testen suggereren ook dat de DNS van Cloudfare het snelste is.
https://www.dnsperf.com/#!dns-resolvers,Europe
xs4all gebruikt wel DNSSEC.
03-10-2018, 15:54 door Anoniem
Door Anoniem:
Door Anoniem: Gewoon DNS van je provider kiezen. Die ziet toch al waar je heen gaat met je computertje.
Immers als je een verbinding daadwerkelijk start dan moet daarin het IP-adres staan van de site waar je naar toe wil.
En als ze het willen is het een koud kunstje om hierop een omgekeerde DNS te doen om de domeinnaam tevoorschijn
te toveren. En anders moet je iets erbij nemen als Tor of VPN of misschien het beste: een combinatie van beide.
Houd er wel rekening mee dat daar ook wel eens wat kan worden geregistreerd.

Gewoon de DNS van je VPN provider kiezen, gaat alles mooi versleuteld over de lijn en geeft gluurders geen kans om je verkeer of je DNS requests te zien.

Proest. Dat geeft je VPN provider nog meer inzicht. Niet zo naief doen. VPN providers zijn a) ook commercieel en b) moeten zich aan de lokale wet houden. Ze claimen niet te loggen, maar bewijzen kunnen ze het niet (integendeel).
03-10-2018, 16:32 door Anoniem
@TS
Zoveel reacties en niks nuttigs gehoord tot nu toe:
Dnscrypt in combinatie met Dnsmasq en Dnssec gebruiken en hosts blokkeren die van malware sites afkomstig zijn!
03-10-2018, 16:39 door [Account Verwijderd] - Bijgewerkt: 03-10-2018, 16:42
https://github.com/teusink/Home-Security-by-Pi

Raspberry Pi + Pi-hole + DNSSEC + DNS-over-HTTPS (Cloudflare) + interne DNS + OpenVPN server

Al het verkeer in je netwerk heeft dan DNSSEC, en encrypted DNS-verkeer. Zit je extern, kun je de VPN aanslingeren en heb je DNS en Internet als het ware je thuis bent. En dat zonder DNS-lek ;)
03-10-2018, 16:48 door [Account Verwijderd]
Door Anoniem:
Cloudfare suggereert dat het een privacy bewuste DNS server is, hebben mensen ervaring met de DNS van Cloudfare en vertrouwen jullie Cloudfare?

Vertrouw je Google ? Vertrouw je Facebook ? Vertrouw je enig commercieel bedrijf, dat jou ''gratis'' diensten aanbiedt (terwijl ze er zelf flink in moeten investeren) ? Zijn dit zaken waar je anno 2018 nog echt over na moet denken ? ;)

Je moet altijd opletten bij welke bedrijven je een dienst afneemt, maar Cloudflare is te vertrouwen. Er zijn ook bedrijven die een gratis dienst aanbieden omdat ze geloven dat iedereen het moet hebben. Vervolgens vragen ze geld voor meer opties en functionaliteiten. ProtonMail en ProtonVPN is hier een goed voorbeeld van.

Cloudflare krijgt genoeg inkomsten van hun andere diensten en hun transparancy reports laten ook zien dat ze niet zoals Google in bijna alle gevallen maar informatie overhandigen wanneer erom gevraagd wordt. Daarnaast: Cloudflare DNS wordt continu geaudit door een betrouwbaar bedrijf en zelfs Mozilla/Firefox hebben er vertrouwen in, daarom implementeren zij DNS over HTTPS in samenwerking met Cloudflare in een toekomstige versie, zodat DNS standaard versleuteld is en via Cloudflare gaat.

Zeggen dat het een gratis dienst is en dus is het per definitie al onbetrouwbaar, is een beetje te kort door de bocht. Er is altijd onderzoek nodig naar een dienst en zulke opmerkingen zijn te makkelijk.
03-10-2018, 18:49 door Anoniem
Door MvWoensel:
Door Anoniem:
Cloudfare suggereert dat het een privacy bewuste DNS server is, hebben mensen ervaring met de DNS van Cloudfare en vertrouwen jullie Cloudfare?

Vertrouw je Google ? Vertrouw je Facebook ? Vertrouw je enig commercieel bedrijf, dat jou ''gratis'' diensten aanbiedt (terwijl ze er zelf flink in moeten investeren) ? Zijn dit zaken waar je anno 2018 nog echt over na moet denken ? ;)

Je moet altijd opletten bij welke bedrijven je een dienst afneemt, maar Cloudflare is te vertrouwen. Er zijn ook bedrijven die een gratis dienst aanbieden omdat ze geloven dat iedereen het moet hebben. Vervolgens vragen ze geld voor meer opties en functionaliteiten. ProtonMail en ProtonVPN is hier een goed voorbeeld van.

Cloudflare krijgt genoeg inkomsten van hun andere diensten en hun transparancy reports laten ook zien dat ze niet zoals Google in bijna alle gevallen maar informatie overhandigen wanneer erom gevraagd wordt. Daarnaast: Cloudflare DNS wordt continu geaudit door een betrouwbaar bedrijf en zelfs Mozilla/Firefox hebben er vertrouwen in, daarom implementeren zij DNS over HTTPS in samenwerking met Cloudflare in een toekomstige versie, zodat DNS standaard versleuteld is en via Cloudflare gaat.

Zeggen dat het een gratis dienst is en dus is het per definitie al onbetrouwbaar, is een beetje te kort door de bocht. Er is altijd onderzoek nodig naar een dienst en zulke opmerkingen zijn te makkelijk.
Tuurlijk. Opgericht door 3 lieden die voorheen betrokken waren bij Project Honeypot.
Dat klinkt behoorlijk vertrouwenwekkend. (NOT)
https://en.wikipedia.org/wiki/Cloudflare
Google ook. In wezen is dat ook een honeypot. Ze trekken je naar zich toe door excellente services te bieden.
Mensen staren zich blind op die 1 of 2 milliseconden winst. "Oh, oele oele oele! 2 millisconden sneller."
Pas op, zeg ik, kijk uit, want je weet niet waar je mee te maken hebt en wat er ooit nog uit voortkomt.
Als effe kan, ja dan... Als het effe kan ja dan...
als het effe kan zoek je zoveel mogelijk een Europese service die je wettelijk beschermd.
En anders moet je een weloverwogen keuze maken en beginnen bij jezelf te zeggen "Verhip, heb ik dit eigenlijk wel echt zo beslist nodig???"
03-10-2018, 19:31 door Anoniem
Xs4all is nu aan het testen met DNS-TLS en zo is het DNS verkeer zelf encrypted. Je hoeft dan zo niet naar een derde partij als je klant bent van Xs4all.
Je kunt zo ook gebruik blijven maken van de CDN servers in hun netwerk.
03-10-2018, 21:12 door Bartbartbart - Bijgewerkt: 03-10-2018, 21:13
MvWoenselCloudflare DNS wordt continu geaudit door een betrouwbaar bedrijf en zelfs Mozilla/Firefox hebben er vertrouwen in,
Datgene wat mozilla te vertrouwen vindt, is dat niet noodzakelijkerwijs ook voor anderen. Cloudflare is in mijn ogen niets anders dan een commercieel bedrijf met commerciele doeleinden en gebruikersinformatie is een waardevol goed. kwestie van tijd tot uit komt dat ze het al die tijd hebben misbruikt. Ideologische diensten zijn veel betrouwbaarder als je het mij vraagt.

Door Anoniem: Xs4all is nu aan het testen met DNS-TLS en zo is het DNS verkeer zelf encrypted. Je hoeft dan zo niet naar een derde partij als je klant bent van Xs4all.
Je kunt zo ook gebruik blijven maken van de CDN servers in hun netwerk.
Ook xs4all moet zich houden aan bv het blokkeren van thepiratebay op DNS niveau.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.