neprihlásený Utorok, 23. júla 2019, dnes má meniny Oľga   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
DNS služba Google začala podporovať DNS cez TLS

Značky: DNSGoogle

DSL.sk, 10.1.2019


Verejná služba rekurzívneho DNS servera Google Public DNS pridala podporu pre štandard DNS-over-TLS, pri ktorom klient komunikuje s DNS serverom cez zabezpečené TLS spojenie.

Protokol TLS je štandardným šifrovacím protokolom bežiacim nad TCP, ktorý je používaný vo viacerých zabezpečených aplikáciách a štandardoch.

Prenášané dáta cez TLS sú šifrované a nie sú prístupné ani pri odchytávaní dátovej prevádzky. Okrem iného ich tak nevidí a v dôsledku nemôže prípadne filtrovať ani poskytovateľ pripojenia.

Google v oznámení avizuje, že nový štandard nasadil spôsobom maximalizujúcim rýchlosť odozvy napriek streamovej povahe TCP, okrem iného podporuje TLS 1.3, TCP fast open, pipelining viacerých dotazov a odpovedanie v inom poradí.

Z bežných operačných systémov pre PC a mobily má zabudovanú podporu pre DNS cez TLS zatiaľ zrejme len Android 9. Pre pokročilých užívateľov Linuxu odporúča Google zase použiť lokálny DNS server stubby od dnsprivacy.org následne využívajúci Google Public DNS cez DNS-over-TLS.


      Zdieľaj na Twitteri



Najnovšie články:

Microsoft pri inštalácii Windows 10 sťažil vytvorenie lokálneho účtu
Apple má byť blízko kúpy divízie modemov od Intelu
Ceny RAM čipov sa mali náhle výrazne zvýšiť
Fedora zvažuje kontroverzný až nezmyselný krok, koniec podpory mnohých 64-bitových CPU
Štát ide zverejňovať zdrojové kódy svojich IT systémov
India úspešne odštartovala na Mesiac
Trailery pre viaceré sci-fi seriály
Firefox zvažuje pridanie Toru ako rozšírenia
EÚ mierne zmenila pravidlá .eu, občanom EÚ v Británii ich nezoberie
Indovia sa pokúsia pristáť na Mesiaci, po posune štartujú zajtra


Diskusia:
                               
 

preco vobec google nieco take poskytuje zadarmo?
Odpovedať Známka: 8.6 Hodnotiť:
 

Lebo mu to zisky prinesie niekde inde...
Odpovedať Známka: 8.5 Hodnotiť:
 

V ramci firemnej strategie "Don't be evil" je samozrejme vylucenie pripadneho zamerania cinnosti vyhradne na znizovanie potencialneho rastu ziskovosti eventualnej konkurencie pomerne priekazne logicke.
Odpovedať Známka: -0.9 Hodnotiť:
 

"Don't be evil" uz Google zo svojho manifestu odstranil. Uz je asi v poriadku byt aj evil.
Odpovedať Hodnotiť:
 

Lebo ked to zacne pouzivat Chrome alebo Firefox, tak si blokovanie reklam s pi-hole alebo inym vlastnym resolverom mozes strcit za klobuk.
Odpovedať Známka: 5.6 Hodnotiť:
 

Lebo je krasne pozerat a analyzovat co vsetko chceme resolvovat. Nemusim vediet na ake stranky chodis ak viem ake domeny navsevujes ... a dokonca viem aj z ktorej IP. Cize viem cielit reklamu aj bez GDPR.

Vsetky data su profilovane a anonymita neexistuje
Odpovedať Známka: 7.8 Hodnotiť:
 

Toto sa nerobi. Ide hlavne o dorucovanie reklam. Ked ISP zobrazuje reklamy na neexistujucich domenach a nahradza reklamy, tak je to na hrane zakona, ale Googlu to ubera z trzieb.
Odpovedať Hodnotiť:
 

platis svojimi datami...
vie ake domeny ta zaujimaju potom vie knim priradit oblast
a vie ze ty z tej IPcky sa zaujimas o xhamster alza zive sme.sk a pod...
hadaj co ti potom ponukne..
Zaroven ludi tlaci to zabezpeceneho spojenia a testuje tu technologiu v malom...

Ono to zabezpecene je trosku 2 secna zbran
napriklad dokazes odstrihnut stary SW ktory nema podporu
dokazes odstrihnut klientov ktory nemaju certifikat ako overit... (lebo nemozu importovat novy danej cert autority)
(napriklad niektore HW prehravace nevedia stiahnut mp3 podcasty update FW nieje a len preto ze stranka presla na povinny TLS a pouziva hash funkciu ktoru HW prehravac este nepozna - mozes si trhnut alebo proxovat.)
A mozes sa chvalit ze to robis preto aby si chranil uzivatelov.
Odpovedať Hodnotiť:
 

a ja ze preco sa mi zrychlilo DSL pripojenie od telekomunistu na oticke rychlosti od Antiku...
Odpovedať Známka: 0.0 Hodnotiť:
 

heh.. opticke samozrejme
Odpovedať Známka: -3.3 Hodnotiť:
 

Cize zatial sa to da pouzit len na WiFi pri Android 9?
Odpovedať Známka: 10.0 Hodnotiť:
 

Takže na Windows PC je to zatiaľ nepoužiteľné...
Odpovedať Hodnotiť:
 

Ako vela inych veci. Kym sa Microsoft rozhybe, medzitym mu parkrat ujde vlak.

Doteraz nevie ani taku primitivnu vec, ako viacero DNS pri VPN. Takze kolegovia s Windows doteraz nemaju pristup k sluzbam v nasej LAN, ked su pripojeni k zakaznikovi cez VPN (takze vacsina z nich to riesi VPN-kou vo virtualke).
Odpovedať Hodnotiť:
 

Vies si u seba nakonfigurovat BIND vo forward mode a kazdu zonu smerovat na iny DNS. Vsetkym adapterom na PC nastavit potom DNS 127.0.0.1 a netreba virtualko
Odpovedať Známka: -5.0 Hodnotiť:
 

Samozrejme ze vie. Ale len kvoli moznosti byt vzornym zamestnancom to ziadny odbornik robit priekazne nebude.
Odpovedať Známka: -3.3 Hodnotiť:
 

My co mame normalny os s normalnym resolverom, co zvlada mat rozlicne zony forwardovane po rozlicnych interface si bind (btw: bezi dnsmasq pod windows? rychly google hovori ze nie) konfigurovat nebudeme a co robia windowsaci je ich vec ;)
Odpovedať Hodnotiť:
 

e? WTF? Ved vo Win ma VPN vlastny virtualny adapter s vlastnym DNS a pocet DNS serverov obmedzeny nie je. O com to rozpravas? Nie nahodou o split tunnelingu? Neviem ako je na tom Win s vlastnym VPN klientom, vzdy som v praci mal firemny program na VPN, ale podpora split tunnelingu zalezi od neho.
Odpovedať Hodnotiť:
 

Ale nevies mu povedat, ktoru zonu ma resolvovat na ktorom dns, takze posle query na prvy, dostane naspat nxdomain a dalsieho sa uz nespyta.

To, ze mas nastavene X dns serverov esxte nic neznamena. Aj v Linuxe/macOS, to co je v /etc/resolv.conf je rovnocenne, kazdy z nich ma vraciat rovnaku odpoved a podla toho s nimi systemovy resolver zachadza. Preto musi mat sposob, ako mu dat vediet, ze nejaka specialna zona (teda split-horizon vo firmach) ma mat specialne zaobchadzanie a nie kazdy DNS ju vie resolvnut. Co Windows nema.
Odpovedať Hodnotiť:
 

Nechapem, co tym chces povedat a co to ma spolocne s povodnym prispevkom. VPN subnety idu podla routovacej tabulky do VPN tunela a pouzivaju DNS virtualneho adaptera, ostatne DNS fyzickeho adaptera. Naco by mal na jeden request odpovedat viac ako jeden server, najma ak su odpovede identicke. Neviem preco to komplikujes este aj DNS zonami a split-brainom, ked mas vsetko smerovane na zaklade routingu na spravny DNS server. Neviem co tym chces dosiahnut.
Odpovedať Hodnotiť:
 

> VPN tunela a pouzivaju DNS virtualneho adaptera, ostatne DNS fyzickeho adaptera.

Presne toto nie je pravda. On totiz nevie, ake domeny vie resolvovat ten-ktory DNS na prislusnych adapteroch, takze vsetko ide do prveho v poradi, ten vrati bud vysledok alebo nxdomain. Do druheho by to islo, az keby prvy timeoutol.

Takze ked mas VPN, a DNS na VPN adapteri funguje, tvojho lokalneho sa nikdy nic nespyta. Nema preco. On nema odkial vediet, ze query na domena.tvojalokalnasiet.sk ma posielat na konkretny DNS, este nevie do ktoreho subnetu/na ktory adapter patri, pretoze to sa danou query snazi zistit.
Odpovedať Hodnotiť:
 

Ale jasne ze vie. Staci pouzit proxy vo VPN subnete. Malokedy nejaky nemas vo firmach k dispozicii. Bez pouzitia proxy pojdu poziadavky lokalne, ziadne carovanie s DNS zonami, stacia dva browsery, jeden s a jeden bez proxy.
Odpovedať Hodnotiť:
 

Proxy je sluzba na inej vrstve ako DNS, a riesi iba konkretne protokoly. Ked budes mat taketo siete tri, pouzijes tri browsery s dvoma rozlicnymi proxy? Ked budes mat takych sieti 10, pouzijes 10 browserov? A ako vyriesis ine protokoly, ako tie, co riesi proxy, napr. rdp alebo ssh?

A tu sa dostavame zase k tomu, ze resolver vo windows nevie smerovat query na konkretne zony na konkretne DNS servery, t.j. to, o com som hovoril na zaciatku. Na systemoch, co to vedia, sa netreba skrabat lavou rukou za pravym uchom a spoliehat sa, ze snad tam bude proxy, ktora vie resolvovat svoju zonu.
Odpovedať Hodnotiť:
 

Zaujimave, ze som tak pracoval skoro 10 rokov. Aj s RDP a SSH a bez proxy. Win to mozno nevie, ale poriadny VPN klient ano.
Odpovedať Hodnotiť:
 

Mozno ano, mozno nie, ale VPN klienta si nenavyberas, bud pouzijes toho co pouziva zakaznik, alebo si najdu inu firmu ktora s tym nebude mat problem.
Odpovedať Hodnotiť:
 

P.S.: to uz je lepsie riesenie bind, spomenuty vyssie, beziaci na localhoste a nakonfigurovany na forward.
Odpovedať Hodnotiť:
 

nainštaluj si android emulátor :D
Odpovedať Hodnotiť:
 

install arch
Odpovedať Hodnotiť:
 

Ja by som tie internety zakázala,priekazne.
Odpovedať Známka: 2.0 Hodnotiť:
 

DNS cez TLS je EMS bez DRS, yo...
Odpovedať Hodnotiť:
 

treba rychlo zabudat ssl session id, tym sa klient
identifikuje dost jednoznacne aj ked je za nat-om s vela klientmi.
Odpovedať Hodnotiť:
 

Môj lokálny provider kupuje konektivity od energotelu. Tvrdí že s DNS dotazmi nerobí nič. Ale keď si nastavím /etc/resolv.conf na 9.9.9.9 alebo 1.1.1.1 a spustím dnsleak test https://dnsleaktest.com/ tak mi to napíše že používam openDNS a semtam aj google DNS resolver.

Asi to bude energotel.

Obchádzam to tak, že som si lokálne spustil dnscrypt-proxy a resolver je nastavený na 127.0.0.1 a teraz ten dns leak test píše tie DNS ktoré si nastavím v tom dnscrypte.

Rozmýšlam, že by som dnscrypt nahradil stubby resolverom. Čo myslíte, má to význam? vďaka
Odpovedať Hodnotiť:
 

Dobre robis, tiez uzivam dnscrypt-proxy a je to topka. Nevidim jediny dovod preco pouzivat DNS providera alebo nebodaj GOOGLE. Napriklad Telekom mal nedavno a mozno este ma problem s DNS spoofingom.

DNSCRYPT, rocks

Odpovedať Hodnotiť:
 

Medzi klientom a DNS šifrovane a potom v googli šup do databázy
Odpovedať Hodnotiť:

Pridať komentár