Vertrauenswürdigkeit von OpenNIC-DNS-Server

Obwohl der DNS-Server von Google ein beliebter alternativer DNS-Server ist, der von Ihrem ISP bereitgestellt wird, sind die Auswirkungen auf den Datenschutz für mich zu lästig. Bei der Betrachtung der Privatsphäre unter Berücksichtigung alternativer DNS-Server stellte ich fest, dass der OpenNIC-Pool ziemlich beliebt ist.

Ich bin mir jedoch nicht sicher, wie ich mich über die Vertrauenswürdigkeit dieser Server fühle. Sie haben ihre eigenen Erweiterungen für die Root-Zone außerhalb der IANA-Autorität implementiert. Was würde sie aufhalten (außer öffentlicher Prüfung) von der Neudefinition von Teilen der Root-Zone, die IANA definiert?

Ich verstehe, dass es als schädlich angesehen wird, DNS-Abfragen in großem Maßstab direkt an die DNS-Stamm-Nameserver weiterzuleiten, aber es scheint, dass die einzige Möglichkeit, sowohl korrekte* als auch private Ergebnisse sicherzustellen, darin besteht, einen rekursiven Caching-Resolver in Ihrem lokalen Netzwerk zu haben. Für ein einzelnes Heimnetzwerk wäre dies für die Root-Server nicht belastend, würde aber definitiv nicht auf alle skaliert Haushalt.

Sollte ich OpenNIC verwenden oder an die Root-Server weiterleiten? Mein eigener ISP kommt nicht in Frage, weil sie routinemäßig DNS-Hijack.

* ohne weit verbreitete DNSSEC-Annahme, die den Korrektheitsaspekt, aber nicht den Datenschutzaspekt lösen würde.

Author: Huckle, 2018-01-22
Source

1 answers

Die Frage nach der Wahrheit ist im Kern keine technische, so dass Sie niemals eine Frage wie "Sollte ich X vertrauen" vollständig beantworten können, insbesondere wenn Sie "hinzufügen"... nicht zu tun Aktion Y in einer "fernen Zukunft".

Insbesondere, da Sie in Ihrer Frage sowohl unsicher über den Anbieter selbst als auch darüber, was auf dem Pfad zwischen dem Anbieter und Ihnen passiert, zu sein scheinen.

Wenn Sie mehr Kontrolle über Ihren Auflösungsprozess haben möchten, haben Sie hauptsächlich keine andere Wahl, als Ihren eigenen rekursiven Prozess auszuführen caching-Nameserver, entweder direkt auf Ihrem Host oder auf einem anderen Server, dem Sie vertrauen würden. Insbesondere wenn Sie die Verwendung der von DNSSEC bereitgestellten Funktionen vollständig sicherstellen möchten: Wenn Sie einen entfernten Validierungsserver verwenden, vertrauen Sie darauf, dass alle DNSSEC-Berechnungen für Sie korrekt ausgeführt werden.

Also werde ich nicht einmal versuchen zu beurteilen, ob 1.1.1.1 (CloudFlare) oder 8.8.8.8 (Google) oder 9.9.9.9 (IBM+PCH+GlobalCyberAlliance) oder OpenNIC oder ein anderes auf https://en.wikipedia.org/wiki/Public_recursive_name_server oder anderswo ist vertrauenswürdiger oder vertrauenswürdiger als ein anderer. Es ist auch eine sehr persönliche Meinung (wem geben Sie Ihr Vertrauen), und es verschiebt sich im Laufe der Zeit.

Ihre Behauptung " aber es würde definitiv nicht auf jeden Haushalt skalieren."ist nicht so klar geschnitten. Die Bewegung ist mehr und mehr für die Menschen ihre DNS-Auflösung im Haus zu handhaben (oder auf eine der vorherigen öffentlichen weiterleiten), und die Root-Server haben viel Kapazität. Beachten Sie, dass das Problem möglicherweise nicht dort liegt, da sich dieses Zonefile langsam bewegt, klein ist und überall zwischengespeichert wird. Das Problem könnte bei einigen TLD-Nameservern wie .COM, bei denen die Zonefile sowohl Millionen von Einträgen als auch reguläre Änderungen enthält, die möglicherweise nicht klein sind, weitaus größer sein.

Sie haben verschiedene Optionen auf dem Tisch, die Sie manchmal mischen und anpassen können:

  1. Verwenden Sie QNAME Minimierung (unterstützt von einigen der oben genannten öffentlichen Dienste) auf den Nameserver, die Sie sind wobei. Dies gibt jedem Nameserver weniger Informationen, während das DNS-Protokoll genau wie zuvor funktioniert
  2. Sie können das Now - Standard-DNS [[24]}über TLS verwenden, um einen beliebigen Nameserver abzufragen, der Ihnen dies anbietet (wiederum tun einige der öffentlichen dies oder planen dies) oder sogar "bald" DNS über HTTPS. Auf diese Weise verschieben Sie natürlich nur das Problem: Sie sind sicher gegen Entführer im Pfad, aber Sie müssen die Authentifizierung des Endpunkts einrichten, mit dem Sie sich austauschen; wieder einfacher, wenn Sie es selbst verwalten.
  3. Einige empfehlen, einfach" mehrere " öffentliche DNS-Server auf zufällige Weise zu verwenden (damit keiner von ihnen Ihren gesamten Datenverkehr erhält) und sogar Ergebnisse zu vergleichen
  4. Sie haben auch einige subtilere Tools, wie Stubby (mit der getdns-API), die versuchen, Ihnen die besten Funktionen in Bezug auf die Privatsphäre zu bieten, können aber auch so konfiguriert werden, dass Sie auf frühere unsichere Mechanismen zurückgreifen, wenn Sie die Verfügbarkeit gegenüber der Sicherheit bevorzugen. Software wie dnssec-trigger versucht auch, Ihnen zuerst DNSSEC-Vorteile zu bieten, indem Sie Ihre Standard-Nameserver verwenden und überprüfen, ob sie tatsächlich korrekt funktionieren, und bei Bedarf Anfragen selbst behandeln.
  5. Um erschöpfend zu sein, muss ich DNSCrypt (offen, aber nicht standardisiert) auflisten, um Spoofing zu verhindern. Sie benötigen jedoch bestimmte Clients und Server, um mit diesem Protokoll zu kommunizieren.

Um Ihr Wissen zu erweitern, kann dieses Wiki ein guter Anfang sein: https://dnsprivacy.org/wiki/

 8
Author: Patrick Mevzek,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-05-01 22:21:19