Ciao a tutti, chiedevo chiarimenti sul funzionamento e sulle potenzialità del proxy DNS. Sarò un po' lungo e me ne scuso, grazie a chi mi aiuterà.

PREMESSA: Consideriamo una normalissima rete domestica di un utente che utilizza ad esempio un TIM HUB con configurazioni standard con una FTTC TIM. Se dal suo PC vuole raggiungere il sito fibra.click viene mandata una richiesta DNS usando la porta 53 UDP al TIM HUB (poichè essendo configurato il PC con il DHCP, il DNS risulta essere lo stesso TIM HUB). Il TIM-HUB a questo punto "gira" la richiesta DNS ai server DNS Telecom e il nome viene risolto. Il TIM HUB non fa altro che inoltrare la richiesta DNS che aveva ricevuto dal PC, quindi potremmo dire che NON è un DNS proxy, ma una sorta di router, giusto?
Nella frame ethernet che arriva al DNS TIM è presente anche l'IP del PC da cui la richiesta è stata originata, giusto?

A quanto so io un proxy DNS riceve le richieste, ma non le inoltra, bensì le fa ex-novo: il server DNS pubblico non sa l'IP del PC da cui arrivano, corretto?

Inoltre fa cache un Proxy, casa che il TIM HUB sopra non fa.

Stavo facendo un po' di prove con Endian Firewall

Grazie ancora

    Matteo_Mabesolani Il TIM Hub tecnicamente è un DNS forwarder infatti, il proxy giustamente rigenera le richieste e ne mantiene in cache il risultato, oppure viene usato anche per dare risposte fasulle ai client per domini di cui non vuoi la risoluzione. Inoltre i proxy DNS possono essere impostati in modo da impedire qualsiasi comunicazione con altri server DNS (quindi sul router di casa la porta 53 viene presidiata e qualsiasi richiesta viene mandata al DNS interno, ignorando altri server).

        • [cancellato]

        • Messaggio #3
        • Modificato

        Matteo_Mabesolani quindi potremmo dire che NON è un DNS proxy, ma una sorta di router, giusto?

        Il concetto di "router" quando si parla di DNS non esiste. Per proxy di solito si intende un servizio locale che fa le veci di uno remoto - con più o meno funzionalità (es. caching, load balancing, ecc.). È un termine molto generico usato in differenti contesti.

        Nel caso del DNS di solito un "proxy" è implementato come un forwarder, che di solito ha un minimo di caching per accelerare le risposte, e permette di impostare risoluzioni locali o condizionali. Quindi processa il pacchetto localmente e se non risolve localmente fa una richiesta ai server upstream, processa la risposta (aggiornando la cache) e poi risponde al client. E nel pacchetto DNS non c'è l'IP che ha fatto la richiesta originale (che tanto se è un IP privato serve a poco).

        Sei sicuro che il TIM Hub non faccia nessuna cache? Di solito vengono usati software come dnsmasq o simili che sono leggeri e comunque fanno caching, riduce anche il carico sui DNS degli ISP - a meno che per qualche motivo di data slurping vogliano vedere tutte le query.

          x_term Il TIM Hub tecnicamente è un DNS forwarder infatti, il proxy giustamente rigenera le richieste e ne mantiene in cache il risultato

          Davvero? Pensavo facessero semplicemente da DNS ricorsivo con conseguente cache locale

          • x_term ha risposto a questo messaggio

              matteocontrini sì, aspe forse ho messo male quella virgola... intendevo proprio che quello del TIM Hub è un semplice forwarder, il proxy è un'altra cosa perchè ha un comportamento diverso.

                  x_term sì no hai ragione, mi ero confuso un attimo io... Il router di casa inoltra al DNS dell'ISP e basta, non fa tutta la risoluzione ovviamente

                    Ciao e grazie della risposta a entrambi anzitutto.

                    x_term Il TIM Hub tecnicamente è un DNS forwarder infatti, il proxy giustamente rigenera le richieste e ne mantiene in cache il risultato, oppure viene usato anche per dare risposte fasulle ai client per domini di cui non vuoi la risoluzione.

                    Perfetto, non mi veniva il nome. In TIM HUB è un "inoltratore" DNS, non un Proxy. Quindi non dovrebbe fare cache, giusto?

                    x_term Inoltre i proxy DNS possono essere impostati in modo da impedire qualsiasi comunicazione con altri server DNS (quindi sul router di casa la porta 53 viene presidiata e qualsiasi richiesta viene mandata al DNS interno, ignorando altri server).

                    Ho fatto una prova infatti:
                    1-Ho spento il DNS Proxy e lasciato abilitato solo il forwarding;
                    2-Ho bloccato la 53 UDP verso internet per tutti gli host;
                    3-Ho messo ad un client l'impostazione statica del DNS mettendo 8.8.8.8 e il client non riesce ad avere la risoluzione del nome.
                    4- ho abilitato il DNS proxy e il client risolve il nome nonostante abbia impostato 8.8.8.8 ma in realtà è il DNS proxy che gli prende la richiesta DNS, la risolve chiedendola al DNS che ha impostato (esempio il dns TIM). L'utente finale però non se ne accorge e crede che sia 8.8.8.8 a risolvergliela (a questo punto si potrebbe pure togliere il blocco per la 53 udp, ma meglio lascialo che male non fa).

                    • jackyes ha risposto a questo messaggio

                          @x_term Ti chiedo quindi altre cosette:

                          -Il vantaggio di avere un DNS Proxy in una rete locale è che si può forzare a tutti l'utilizzo del DNS che si impone in modo del tutto trasparente e senza che l'utente finale se ne accorga. Un semplice blocco della 53 UDP costringerebbe comunque a dover modificare le impostazioni del dispositivo. Se fa cache si risparmiano richieste verso un server DNS pubblico, inoltre posso impedirgli di risolvere alcuni nomi.

                          -Un Proxy HTTP/HTTPS invece è utile nel controllo della navigazione e fa comunque cache, l'unica seccatura è che bisogna installare il certificato sui dispositivi.

                          A livello pratico sono delle cose che possono essere utili per una rete domestica o una piccola LAN aziendale?

                          • [cancellato]

                          • Messaggio #10

                          Quello non è un DNS proxy. Se intercetta e ridireziona una query DNS ad un server diverso da quello richiesto quello è DNS Hijacking. Che può anche essere illegale.

                            [cancellato] Quello non è un DNS proxy. Se intercetta e ridireziona una query DNS ad un server diverso da quello richiesto quello è DNS Hijacking. Che può anche essere illegale.

                            Scusa, ma il proxy dovrebbe presidiare e risolvere gli indirizzi e non consentire di usarne altri. Hadx diceva:

                            x_term quindi sul router di casa la porta 53 viene presidiata e qualsiasi richiesta viene mandata al DNS interno, ignorando altri server

                                [cancellato] quello è DNS Hijacking. Che può anche essere illegale

                                sulla rete domestica/aziendale non c'è nulla di illegale... 😬

                                    • [cancellato]

                                    • Messaggio #13

                                    Un proxy in un certo senso fa sempre man in the middle - e può essere di uso volontario o no. Il problema è quando cambia la richiesta che è stata fatta. C'è una differenza fra un proxy che fa solo inoltro e caching, ed uno che invece manipola la richiesta e la ridireziona.

                                    È vero che la richiesta potrebbe venire manipolata per motivi di sicurezza e ci sono buone ragioni per farlo, ma se viene fatto in maniera subdola e non nota all'utente si sconfina nell'hijacking.

                                    Ad esempio un conto in una LAN è bloccare la 53 verso la WAN tranne che per il DNS interno. Per chi imposta altri DNS tranne quelli interni la risoluzione non funzionerà. Un altra cosa intercettare tutte le richieste e girarle ad un altro DNS senza che l'utente lo sappia (persino una richiesta DNS può contenere dati sensibili). Difatti gli ISP che l'hanno fatto o lo fanno non hanno certo il plauso degli utenti.

                                    C'è da dire che con un certo numero di software che non usa i DNS di sistema ma i propri proprio per evitare blocchi utente, può diventare una sorta di difesa necessaria - ma il problema è a monte, non dovrebbero proprio esserci software che ignorano i DNS di sistema.

                                    Per un proxy web vale la stessa cosa, specialmente se è "trasparente" - che è una forma di hijacking - non ti aspetti che se digiti google.it finisci su bing.it.

                                    Cosa diversa bloccare l'accesso per motivi di sicurezza - ma anche in questo caso gli utenti devono essere informati che c'è un proxy che fa il log delle richieste e che può bloccare l'accesso.

                                    • [cancellato]

                                    • Messaggio #14

                                    x_term sulla rete domestica/aziendale non c'è nulla di illegale...

                                    Dipende. GDPR & C. non è che non valgono lì. Sulla rete domestica te la puoi probabilmente cavare meglio a meno che non ti impegni a commettere azioni illegali - o divorzi e l'ex ti denuncia per avere violato la sua privacy.

                                    Sulla rete aziendale la situazione è nettamente più complicata dal punto di vista legale, specialmente per quello che riguarda i dati sensibili. In Italia più che in altri paesi dove le protezione per i lavoratori sono molto più basse.

                                    Io consiglio sempre di evitare attività "coperte" che accedano a dati all'insaputa dei lavoratori, dei clienti, ecc. È meglio bloccare esplicitamente che ridirezionare di nascosto. E i lavoratori devono essere a conoscenza delle policy esistenti.

                                      4 giorni dopo

                                      Matteo_Mabesolani
                                      Ti confermo che anche sulla mia rete, TIM usa un DNS proxy e instrada alcune,non tutte, richieste dns (indipendentemente dal server di destinazione impostato) ai loro dns invece di quelli impostati da me.
                                      Consiglio di passare immediatamente a DOT ( Dns Over TL) ed evitare questo hijacking. Considero questo
                                      comportamento di TIM scandaloso.
                                      Ho risolto mettendo un server dns interno che tramite DOT fa il forwarding su NextDNS (che supporta DOT).
                                      Sto ancora studiando la cosa ma l immagine seguente rappresenta bene il caso che penso si stia verificando:

                                      Come prima cosa consiglio se avete cambiato i DNS da quelli di default di verificare su dnsleaktest che tutto sia regolare.
                                      Inoltre Matteo, se la tua unica necessita è avere un filtraggi DNS mi orienterei su Pi-hole anziche Endian. Se invece necessiti anche di un buon firewall (IPS in line, web proxy, antivirus,ecc) ti consiglierei OPNsense.
                                      Saluti e rimango a disposizione per chiarimenti.

                                      • Ray83 ha risposto a questo messaggio
                                          2 anni dopo

                                          jackyes Accadeva questo anche anni fa con Vodafone e la "Vodafone Station 2" che non aveva manco l'opzione per impostare altri DNS. Ovviamente se cambiavi DNS dal PC ti intercettavano le richieste e ti rispondeva il DNS di Vodafone. AI tempi l'unica soluzione era installare DNSCrypt sul PC. Oggi invece basta usare un modem/router serio di terze parti con DNS over TLS o HTTPS. I provider rivendono i nostri dati per cui hanno tutto l'interesse a obbligare l'utilizzo dei loro DNS e a rifilare i loro modem/router. Come DNS Proxy io invece consiglio AdGuard Home, molto meglio di Pi-hole.

                                            Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                            P.I. IT16712091004 - info@fibraclick.it

                                            ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile