DNS Cloudflare, attenzione alle CDN

gandalf2016 · 2020-08-24T17:34:12+00:00

eang Si verifica anche con Amazon cloudfront.
Youtube invece usando scripting lato browser ti mandanda sul server giusto

Eeang · 2020-08-24T17:35:06+00:00

stemax97 Ah ecco, quindi effettivamente Google e altri non sono affetti dal problema.
Interessante la soluzione che usi con pihole.

P.S.
Utilizzare un proprio server ricorsivo risolve il problema privacy? Non bisogna comunque inoltrare le query ad un DNS upstream?

gandalf2016 · 2020-08-24T17:40:26+00:00

eang Certo a un server root e poi tutta la catena, ma quello sempre per come funziona internet.
A meno che non hai server vicino usato da molti che ha molti dns in cache che è quello che si fa con Google e/o cloudflare o i dns dei provider.
https://www.iana.org/domains/root/servers

Il tema privacy era relativo più che altro a Google e alla profilazione.

[cancellato] · 2020-08-24T17:48:16+00:00

eang Utilizzare un proprio server ricorsivo risolve il problema privacy? Non bisogna comunque inoltrare le query ad un DNS upstream?

Da un certo punto lo peggiora perché arrivi a richiedere la risoluzione del nome al resolver direttamente con il tuo IP di casa.

Se usi un tuo DNS ricorsivo per definizione non hai un upstream cui inoltrare le query ma le risolvi step by step (appunto, ricorsivamente) a partire dai root resolver direttamente con il tuo software.

Mmatteocontrini · 2020-08-24T18:04:00+00:00

gandalf2016 anche Netflix, credo. Fanno quella cosa strana di avere un dominio per ogni punto di presenza della CDN, che viene fornito dalle API immagino in base all'IP sorgente bypassando il problema client subnet

[cancellato] · 2020-08-24T18:47:33+00:00

[cancellato] Da un certo punto lo peggiora perché arrivi a richiedere la risoluzione del nome al resolver direttamente con il tuo IP di casa.

Poi tanto arrivi con il tuo IP all'host restituito dal resolver, quindi a meno che il resolver non sia sempre di terze parti cambia poco. È vero che i server dei domini che passi vedono il tuo IP, però non c'è una singola entità che vede tutte le tue query, specialmente dopo che tramite i root server la cache comincia a riempirsi con i DNS dei vari TLD. Se fai una query per un dominio .it non passerà per i DNS del dominio .com e così via. Poi dipende da a chi è stato delegata la gestione del DNS - Clodflare fa anche quello, ad esempio, così come molti altri. Però non so se possono usare quei dati per le loro "analisi", perché sono di clienti paganti.

Vero che se il traffico non è cifrato l'ISP può cercare di "sniffare" tutte le query DNS.

giuse56 · 2020-08-24T19:54:46+00:00

DrGix anche io vivo a Trapani e sono tim fttc 100 mega. In che senso ti instrada i pacchetti in Sicilia?

giuse56 · 2020-08-24T19:58:01+00:00

gandalf2016 Che problema hanno i dns di cloudflare? Non l'ho capito bene

gandalf2016 · 2020-08-24T20:33:38+00:00

giuse56
Che alcune risorse e contenuti che sarebbero più vicini li allontano.
Non è una cosa voluta però è un effetto di una configurazione di privacy

giuse56 · 2020-08-24T20:39:01+00:00

gandalf2016 capisco.

Eeang · 2020-08-24T22:54:59+00:00

Questo thread mi ha mandato in crisi comunque XD
Al momento il mio DNS è su un raspberry pi su cui gira cloudflared (per il DoH, DNS over HTTPS) che usa 1.1.1.1 come upstream.

In realtà ho appena realizzato che il DoH in realtà serve a poco o nulla, perchè se è vero che il tuo ISP non vedrà le tue query DNS, vedrà comunque l'IP di destinazione che farai nelle request HTTP successive alle query DNS...

Quindi tanto vale davvero usare il DNS dell'ISP. O al massimo se l'ISP impone filtri DNS troppo stringenti si può usare un resolver locale tipo unbound, che quantomeno ti garantisce l'autenticità delle risposte tramite DNSSEC.

Vi torna?

Emmeci · 2020-08-24T23:11:38+00:00

Il tradeoff di usare i dns Cloduflare di avere più buffer in cambio di più privacy mi tengo la privacy. I DNS nazionali per vari motivi non voglio usarli, quelli di Google do già fin troppi datia loro per il datamining...

[cancellato] · 2020-08-25T06:29:17+00:00

eang Quindi tanto vale davvero usare il DNS dell'ISP. O al massimo se l'ISP impone filtri DNS troppo stringenti si può usare un resolver locale tipo unbound, che quantomeno ti garantisce l'autenticità delle risposte tramite DNSSEC.

Vi torna?

Usare DNS dell'ISP è una soluzione per i "tecnici" sconsigliabile sia perché appunto è un facile punto di raccolta di dati statistici sulla navigazione (molto più semplice esaminare un log query che andare ad analizzare il traffico di rete, pur se è possibile farlo) e perché in passato avevano la facile tendenza a mandarti su pagine pubblicitarie al posto che restituirti NXDOMAIN.
Unbound nella propria rete con validazione DNSSEC e risoluzione ricorsiva è una delle soluzioni migliori, si perdono i filtri che gli ISP devono imporre per legge (siti sequestrati dalla GdF e portali di scommesse illegali che non sottostanno ai monopoli AAMS), però si è tranquilli che le risposte non possono venir alterate da soggetti terzi (per i resolver che firmano le zone con DNSSEC, lasciamo perdere che è un'altra storia infinita, un po' come IPv6).

Mmkonsel · 2020-08-25T09:12:25+00:00

[cancellato] quindi per un utente come il sottoscritto, che dispone:

ffth tiscali of
fritzbox 7530
pc muletto acceso h24 con ubuntu , 8 giga di ram e disco a volontà

Qual'è la configurazione migliore per gestire il servizio DNS? Installare unbound su Linux e far puntare il 7530 a lui come dns server?

Grazie per l'aiuto

[cancellato] · 2020-08-25T09:17:17+00:00

mkonsel Se vuoi usare un tuo resolver, sì, anzi potresti banalmente andare a far puntare direttamente i cilent al muletto andando a cambiare le impostazioni del DHCP.
Ah, le risorse occupate da un resolver DNS sono infime, ne ho 3 che girano su un OrangePi Zero + altra roba

Mmkonsel · 2020-08-25T10:07:49+00:00

[cancellato] io ho anche dei Raspberry, dal modello zero al 3, inutilizzatiml. Ne dedico uno a questi servizi di rete? Ha senso? Il muletto ha una cpu j3710 quad core...

[cancellato] · 2020-08-25T10:18:19+00:00

mkonsel A tua scelta! Come ti va meglio.
Puoi dare un'occhiata anche al progetto PiHole se vuoi anche prendere la palla al balzo per abilitare qualche filtraggio di base.
Ci sono anche delle guide per integrarlo con Unbound

Mmkonsel · 2020-08-25T10:19:59+00:00

Nell'attuale configurazione, dove i client puntano il router come dns, e il 7530 punta i dns Tiscali impostati in automatico, ho fatto qualche prova dal muletto linux con il comando DIG. Se cerco www.google.com da @192.168.2.1 , ottengo risposte tra 0 e 4 ms. Se imposto @1.1.1.1 o @8.8.8.8, ottengo 13-20 ms di risposta. Che significa? Che il 7530 fa già da cache delle query DNS?

Mmkonsel · 2020-08-25T10:22:08+00:00

Aggiungo che ho fatto il dig con @213.205.32.70 (dns tiscali), e ottengo comunque 4ms, quindi il 7530 non fa cache.

while true; do dig www.dropbox.com @213.205.32.70 | grep time; sleep 2; done
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 16 msec
;; Query time: 0 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec

Con 4ms di risposta alle query dal dns del provider, ha comunque senso realizzare un proprio resolver dns casalingo?

Intendo dal punto di vista performance... È chiaro che dal punto di vista privacy e sicurezza, il resolver dns ha i suoi vantaggi.

[cancellato] · 2020-08-25T13:41:36+00:00

mkonsel Qual'è la configurazione migliore per gestire il servizio DNS? Installare unbound su Linux e far puntare il 7530 a lui come dns server?

Ti conviene a quel punto impostare direttamente il DNS server sui client, per quelli con DHCP basta poi configurare il server DHCP con il nuovo indirizzo. Puoi anche lasciare il Fritz come secondo server DNS in caso che il primo abbia problemi.

Una nota però: spesso DNS e DHCP lavorano insieme per la risoluzione dei nomi host locali, associando gli IP rilasciati dal DHCP ai client con il nome host nella opportuna zona DNS. Non so se il Fritz lo faccia. Se si utilizza un server DNS separato questa funzionalità viene persa finché non si configurano opportunamente server DHCP e DNS.

eang erchè se è vero che il tuo ISP non vedrà le tue query DNS, vedrà comunque l'IP di destinazione che farai nelle request HTTP successive alle query DNS...

Dalla query DNS veri però il nome host. Dietro un IP ci possono essere più "host" web che condividono l'IP, specialmente quando di mezzo ci sono reverse proxy e altre funzionalità di caching, balancing, ecc. che possono anche far sì che l'IP non sia sempre lo stesso. Vedi appunto caso CDN dove l'ip risolto può dipendere da dove fai la query.