Confiabilidade dos servidores DNS OpenNIC

2

Embora o servidor 8.8.8.8 DNS do Google seja um servidor DNS alternativo popular para os fornecidos pelo seu ISP, as implicações de privacidade são muito incômodas para mim. Ao olhar para a privacidade respeitando servidores DNS alternativos, descobri que o pool OpenNIC é bastante popular.

Eu não tenho certeza como me sinto sobre a confiabilidade desses servidores no entanto. Eles implementaram suas próprias extensões para a zona de raiz fora da autoridade da IANA. O que os impediria (além do escrutínio público) de redefinir partes da zona de raiz que a IANA define?

Entendo que é considerado nocivo encaminhar consultas DNS diretamente para os servidores de nomes raiz do DNS em grande escala, mas parece que a única maneira de garantir os resultados corretos e privados seria ter um resolvedor recursivo em cache no seu rede local. Para uma única rede doméstica, isso não seria oneroso para os servidores-raiz, mas definitivamente não aumentaria para todos os lares.

Então devo usar o OpenNIC ou encaminhar para os servidores raiz? Meu próprio ISP está fora de questão porque eles rotineiramente sequestram DNS.

* sem adoção generalizada de DNSSEC, o que resolveria o aspecto de correção, mas não o de privacidade.

    
por Huckle 22.01.2018 / 01:44

1 resposta

3

A questão da verdade não é técnica em sua essência, então você nunca pode responder uma pergunta como "Devo confiar em X", especificamente se você adicionar "... não para fazer a ação Y em algum Z distante futuro ".

Especialmente porque na sua pergunta você parece não ter certeza sobre o provedor em si e sobre o que acontece no caminho entre o provedor e você.

Se você quer ter mais controle sobre o seu processo de resolução, você não tem outra escolha senão rodar seu próprio servidor de nomes de cache recursivo, seja em seu host diretamente ou em algum outro em que você confiaria. Especialmente se você quiser certificar-se completamente de usar os recursos fornecidos pelo DNSSEC: se você usa um servidor de nomes de validação distante, você confia nele para fazer todos os cálculos do DNSSEC corretamente para você.

Por isso, nem vou tentar avaliar se 1.1.1.1 (CloudFlare) ou 8.8.8.8 (Google) ou 9.9.9.9 (IBM + PCH + GlobalCyberAlliance) ou OpenNIC ou qualquer outro em link ou então é confiável ou mais confiável do que outro. É também uma opinião extremamente pessoal (para quem você confia) e muda ao longo do tempo.

Sua afirmação ", mas definitivamente não se ajustaria a todos os lares". não é tão claro. O movimento é cada vez mais para as pessoas lidarem com sua resolução de DNS internamente (ou encaminhar para uma das públicas anteriores), e os servidores raiz têm bastante capacidade. Note que o problema pode não estar lá, já que este arquivo de zona se move lentamente, é pequeno e está em cache em todos os lugares. O problema pode estar muito mais em alguns servidores de nomes de TLDs, como .COM , em que o arquivo de zona tem milhões de entradas e alterações regulares que podem não ser pequenas.

Você tem várias opções na tabela, às vezes você pode misturar e combinar:

  1. Use a minimização de QNAME (suportada por alguns dos serviços públicos acima) nos servidores de nomes que você está usando. Isso fornece menos informações para cada servidor de nomes, deixando o protocolo DNS funcionando exatamente como antes
  2. Você pode usar o agora padrão DNS através de TLS para poder consultar qualquer servidor de nomes que o ofereça (outra vez, o público faz, ou está planejando fazer) ou até mesmo "em breve" DNS sobre HTTPS. Ao fazer isso, é claro, você apenas move o problema: você está seguro contra invasores no caminho, mas precisa estabelecer autenticação do terminal com o qual está trocando; novamente, mais simples, se você mesmo gerencia.
  3. Alguns estão recomendando apenas usar "vários" servidores DNS públicos, de maneira aleatória (para que nenhum deles receba todo o tráfego) e até comparando os resultados
  4. Você também tem algumas ferramentas mais sutis, como Stubby (usando a API getdns) que tenta oferece a você os melhores recursos em termos de privacidade, mas também pode ser configurado para retornar ao mecanismo inseguro anterior, se você preferir a disponibilidade à segurança. Software como dnssec-trigger também tenta dar a você os benefícios do DNSSEC primeiro usando seus servidores de nomes padrão e verificando se eles realmente trabalhe corretamente e lidará com as solicitações em si, se necessário.
  5. Para ser exaustivo, preciso listar o DNSCrypt (aberto, mas não padronizado) que visa impedir a falsificação. Você precisa, no entanto, de clientes e servidores específicos para se comunicar usando esse protocolo.

Para expandir seu conhecimento, este wiki pode ser um bom começo: link

    
por 01.05.2018 / 21:22