Het grote privacy-gerichte DNS server topic

vrijdag 25 september 2015 14:43

Acties:

+3 Henk 'm!

azerty

Topicstarter

Mede-auteur:

ThinkPad

Als je op je privacy gesteld bent online, kan je natuurlijk niet blijven hangen bij de DNS servers van je provider. Dit topic geeft enkele alternatieve aanbieders van DNS servers die je privacy respecteren, en bied de mogelijkheid om hierover te discussiëren.

Inhoudsopgave

Terminologie

Deze sectie legt de basisbegrippen rond DNS uit. Mag je gerust overslaan als je er al mee bekend bent

DNS, wat is dat, en waarvoor dient het?

DNS, oftewel Domain Name System is een systeem dat op de achtergrond een domeinnaam (zoals tweakers.net) omzet naar een IP adres (213.239.154.20 bijvoorbeeld), zodat je niet alle IP adressen van je favoriete sites vanbuiten hoeft te kennen. Hiervoor stuurt je OS op de achtergrond een verzoek naar een DNS server om het IP adres te geven van website x, die dan laat weten dat je site x kunt bereiken op IP y.

Wat is er dan mis met de standaard DNS server?

Op zich is er niks mis met een standaard DNS server, maar er zijn een aantal zaken die afhankelijk van je voorkeuren minder interessant kunnen zijn: censuur (gerechtelijke blokkade voor domein x), downtime (zie recente storingen), privacy, ...

Dit topic is vooral bedoeld voor het laatste. Als jij een DNS verzoek voor server x verstuurt, houd de server dat bij in hun logs. Hierdoor kan je DNS provider een profiel (met opgevraagde sites) over jou opbouwen, mochten ze dit willen. Dit kan interessant zijn als ze je advertenties willen tonen, maar ze kunnen bijvoorbeeld ook requests hijacken naar hun eigen zoekmachine als er geen DNS records bekend zijn.

En wat doet DNSSEC dan precies?

DNSSEC, oftewel DNS System Security Extentions, is een set uitbreidingen die de veiligheid van het DNS systeem moeten verhogen. Niet alle servers ondersteunen dit al, maar het is aan te raden om hier van gebruik te maken indien mogelijk. Dit verhelpt enkel een paar mogelijke aanvallen; server logging kan hiermee niet omzeild worden.

Meer informatie over DNSSEC is te vinden in Het grote DNSSEC-topic

Overzicht van (privacy-gerichte) alternatieve DNS aanbieders

Hieronder kun je een lijst vinden met alternatieve DNS aanbieders. Er staat ook elke keer bij of ze officieel loggen of niet, wat voor de privacy het belangrijkste argument is.

Aanbieder	Logging	IP adressen	Land	DNSSEC?	Opmerking
OpenNIC	Afhankelijk van de server	http://servers.opennicproject.org/	Wereldwijd (afhankelijk van server)	Afhankelijk van server (meestal wel)	De DNS servers worden uitgebaat door vrijwilligers. Op de overzichtspagina staat voor elke server vermeld of ze DNSSEC hebben, of ze al dan niet loggen, ...
DNS.Watch	Nee	https://dns.watch/index	Duitsland
UncensoredDNS	Nee	https://blog.uncensoreddns.org/dns-servers/	Denemarken		Hoge beschikbaarheid
Quad9	Gedeeltelijk	https://www.quad9.net/	Wereldwijd
VyprDNS	Nee	https://www.goldenfrog.com/vyprvpn/features/vyprdns	Wereldwijd	Nee?	Moet samen met hun VPS gebruikt worden
Comodo Secure DNS	Ja	https://www.comodo.com/secure-dns/	VS
CloudFlare	Nee	1.1.1.1 (zie https://1.1.1.1/)	Wereldwijd	Nee

DNS server instellen

De DNS server kan ingesteld worden op het niveau van het apparaat, of op het niveau van de router.

Raspberry Pi als DNS cache en adblock

Pi-hole is een eenvoudig script dat op een RPi kan draaien en dat voor het lokale netwerk DNS server speelt, en tegelijkertijd ads blokkeert door ze naar de RPi te laten verwijzen.

Benchmarken van resolvesnelheid

Uiteraard wil je wel een beetje een vlotte DNS-resolver, zodat het laden van webpagina's niet onnodig lang duurt. Je kunt DNS-servers benchmarken op hun resolvesnelheid en of dit antwoord wat ze geven correct is. Een handig programmaatje hiervoor is 'namebench'. Als je de twee vinkjes bij 'Include' aan laat staan dan duurt het best een poosje (kwartier) voor hij klaar is, dus het is makkelijker om alleen zelf IP's in te geven. Na het benchmarken zal in je browser een testrapport geopend worden.

DNS Benchmark van GRC doet hetzelfde, maar gebruikt de 50 meest populaire domeinnamen op internet. namebench is wat beter, die gebruikt de domeinnamen die je met Google Chrome hebt opgevraagd en zal dus in veel gevallen (als je Chrome-gebruiker bent) een meer representatief resultaat geven.

Feedback op TS

Ik sta altijd open voor verbeteringen of aanpassingen in de TS, dus als je opmerkingen hebt mag je altijd een DM sturen!

Nieuwe aanbieder?

Als je een aanbieder weet die niet in de lijst staat, stuur mij dan een DM met de volgende code (om het mij gemakkelijk te maken):

code:

[tr]
    [td]Naam aanbieder[/]
    [td]Logt de aanbieder de verzoeken?[/]
    [td]123.123.123.123, of url naar pagina met IP's[/]
    [td]land van server[/]
    [td]heeft de server DNSSEC?[/]
    [td]opmerking hier[/]
[/]

[ Voor 63% gewijzigd door ThinkPad op 01-06-2019 15:01 ]

vrijdag 25 september 2015 16:12

Acties:

+2 Henk 'm!

Brahiewahiewa

boelkloedig

Sorry hoor: "privacy-gericht" en dan met Google komen?

QnJhaGlld2FoaWV3YQ==

vrijdag 25 september 2015 17:52

Acties:

0 Henk 'm!

azerty

Topicstarter

Brahiewahiewa schreef op vrijdag 25 september 2015 @ 16:12:
Sorry hoor: "privacy-gericht" en dan met Google komen?

Let goed op de gebruikte bewoording: privacy-gericht staat tussen haakjes, en je kan duidelijk opmaken uit de tabel dat er dus wel logging is, dus privacy-gericht is daar inderdaad niet van toepassing. Diegene die geen logging hebben staan niet toevallig vanboven

vrijdag 25 september 2015 19:25

Acties:

+1 Henk 'm!

Breezers

Even voor de minder geïnformeerde Tweakers onder ons:

Wat is DNS ?
Waarom heb ik DNS nodig ?
Welke gegevens vraag/krijg ik van een DNS server ?
Welke gegevens kan/bewaart een DNS server ?
Wat kan je met de onderschepte DNS gegevens ?

[ Voor 13% gewijzigd door Breezers op 25-09-2015 19:27 ]

“We don't make mistakes just happy little accidents” - Bob Ross

vrijdag 25 september 2015 19:30

Acties:

0 Henk 'm!

johnkeates

Wat heeft zo'n lijst voor zin als je het niet kan controleren en je net zo goed een lokale resolver kan draaien? Los daar van heeft het toch totaal geen zin als je DNS-verkeer onderschept wordt?

[ Voor 26% gewijzigd door johnkeates op 25-09-2015 19:30 ]

vrijdag 25 september 2015 19:53

Acties:

0 Henk 'm!

Thralas

Gebruik gewoon de servers van je provider of draai je eigen resolver als je denkt dat dat helpt.

Waarom die van je provider? Als je ergens voor betaalt is er immers minder incentive om verder met je gegevens aan de haal te gaan.

En ik zie uberhaupt niet helemaal in wat je ermee denkt te bereiken. Als je niet wilt dat een derde partij kennisneemt van je verkeer moet je het niet versturen. Of versleutelen. DNS is maar een klein aandeel van al het verkeer dat jij het internet opstuurt.

Of als je toch vanuit een paranoide invalshoek wilt redeneren, misschien wil je je DNS requests juist binnen het netwerk van je provider laten recursen, dan gaan ze vanaf daar enigzins op in de massa.

vrijdag 25 september 2015 21:47

Acties:

0 Henk 'm!

azerty

Topicstarter

Breezers schreef op vrijdag 25 september 2015 @ 19:25:
Even voor de minder geïnformeerde Tweakers onder ons:

Wat is DNS ?
Waarom heb ik DNS nodig ?
Welke gegevens vraag/krijg ik van een DNS server ?
Welke gegevens kan/bewaart een DNS server ?
Wat kan je met de onderschepte DNS gegevens ?

Bedankt voor de suggestie, heb een sectie toegevoegd

johnkeates schreef op vrijdag 25 september 2015 @ 19:30:
Wat heeft zo'n lijst voor zin als je het niet kan controleren en je net zo goed een lokale resolver kan draaien? Los daar van heeft het toch totaal geen zin als je DNS-verkeer onderschept wordt?

Tja... Nu vertrouw je op je provider om met de gelogde data niets te doen, ik vertrouw liever iemand anders waarvan ik weet dat ze geen censuur gaan toepassen, een goede uptime hebben en zeggen niks te loggen.

Ik ga een sectie toevoegen over het zelf draaien van een lokale resolver, dat is vanuit het standpunt van je privacy ook een goede optie.

En wat betreft het laatste standpunt, wel... Als het onderschept zou worden heeft het geen zin, maar ik mag toch hopen dat het overgrote deel nu nog niet onderschept is

vrijdag 25 september 2015 22:02

Acties:

+1 Henk 'm!

johnkeates

Ja, maar daar mee verleg je op z'n best het probleem. Nu vertrouw je je ISP niet, maar een provider die alleen maar DNS doet vertrouw je dan opeens wel? Het enige verschil is dat je nu twee partijen hebt die diensten leveren...

Als je een reden hebt om je ISP niet te vertrouwen lijkt het me vreemd om een provider die alleen DNS doet wel te vertrouwen. Je kan dan beter naar een andere ISP gaan, en als je die ook niet vertrouwt en dus alle providers niet vertrouwt, dat doe je dan nog op internet? Als je geen ISP vertrouwt, dan ga je dus van een scenario uit waarbij de ISP's slechte plannen hebben. Als dat zo is, dan is DNS echt niet het enige punt van logging of tapping. Je kan dan in theorie een VPN tunnel opzetten naar een server in een DC met een rechtstreekse uplink naar een IX, maar vertrouw je het DC or de IX dan wel? En stel dat je die vertrouwt, hoe zit het dan met de root servers? Of wat dacht je van de bronnen die je aanspreekt, wat als de logging en taps 'aan de andere kant' zitten?

Het idee dat je jezelf 'beschermt' door DNS niet bij je internet provider te doen maar bij een dns-provider klopt voor geen meter.

vrijdag 25 september 2015 22:20

Acties:

0 Henk 'm!

_-= Erikje =-_

Ik werk al jaren in isp land, als iets voor de isps waar ik gewerkt heb niet interessant was was het wel alle dns request loggen, enig idee hoeveel bagger een beetje dns server voor zijn kiezen krijgt?

vrijdag 25 september 2015 22:24

Acties:

0 Henk 'm!

johnkeates

_-= Erikje =-_ schreef op vrijdag 25 september 2015 @ 22:20:
Ik werk al jaren in isp land, als iets voor de isps waar ik gewerkt heb niet interessant was was het wel alle dns request loggen, enig idee hoeveel bagger een beetje dns server voor zijn kiezen krijgt?

Niet alleen dat, maar sinds de meeste general purpose user-oriented engines aan DNS-prefetching doen is er ook nog eens een groot aantal requests dat niet eens van gebruikersinteractie voort komt...

Komt er dus op neer dat ongerichte DNS logging weinig zin heeft.

zaterdag 26 september 2015 17:36

Acties:

0 Henk 'm!

EverLast2002

Heeft het kiezen voor een alternatieve DNS server ook niet te maken met censuur en website-blocking die een ISP kan hanteren ?

zaterdag 26 september 2015 18:58

Acties:

0 Henk 'm!

azerty

Topicstarter

EverLast2002 schreef op zaterdag 26 september 2015 @ 17:36:
Heeft het kiezen voor een alternatieve DNS server ook niet te maken met censuur en website-blocking die een ISP kan hanteren ?

Onder meer ja. In België in elk geval worden de ISP's verplicht tot blokkade van bijvoorbeeld thepiratebay. Vandaar dat de lijst iets uitgebreider is

zaterdag 26 september 2015 19:07

Acties:

0 Henk 'm!

pennywiser

_-= Erikje =-_ schreef op vrijdag 25 september 2015 @ 22:20:
Ik werk al jaren in isp land, als iets voor de isps waar ik gewerkt heb niet interessant was was het wel alle dns request loggen, enig idee hoeveel bagger een beetje dns server voor zijn kiezen krijgt?

Dat is wel zo, maar het is wel nog steeds vastgelegd en doorzoekbaar.

Hier draait een bind9 installatie welke niets logt, maar ook dat is niet waterdicht want de 13 root servers of mirrors loggen op hun beurt wel. Je ontkomt er dus bijna niet aan dat je aanvraag ergens gelogd wordt.

zaterdag 26 september 2015 19:08

Acties:

0 Henk 'm!

_-= Erikje =-_

Wij logden geen individuele queries, zou veel te veel io kosten om dat weg te schrijven

zaterdag 26 september 2015 19:09

Acties:

0 Henk 'm!

pennywiser

Klopt en die cache draait meestal ook alleen in geheugen. Bak uit en weg cache.

woensdag 7 oktober 2015 16:19

Acties:

0 Henk 'm!

azerty

Topicstarter

Heads up voor de personen die een OpenNIC DNS server van Fusl gebruiken:

Due to recent events (complications with my old employer resulting in getting fired) I will have to put this to stop and discontinue providing most* of the OpenNIC Tier2 servers named "fvz-rec-*".

It is a very hard decision for me to do this but the lack of income and the server costs of about 500€ per month forces it anyway sooner or later, else I'll be broke and things will get worse.

Best om zo snel mogelijk een vervangende server uit te kiezen op https://www.opennicproject.org/nearest-servers/ (of een alternatief te zoeken)...

woensdag 7 oktober 2015 20:03

Acties:

0 Henk 'm!

EverLast2002

Bedankt voor de tip. Paar weken geleden kreeg ik nog een melding tijdens het openen van een webpagina dat je je DNS server(s) moest aanpassen. Nu heb ik nog niks gezien (inmiddels al wel veranderd naar alternatieve servers).
Maar zou onderstaande DNS server ook horen bij het "fvz-rec-" rijtje dat wordt opgeheven ?

84.200.70.40 fvz-rec-be-okp-01.dnsrec.meo.ws Accelerated IT Services GmbH

-Edit: bij een nieuwe test op www.dnsleaktest.com komt dit tevoorschijn :

192.71.249.83 fvz-rec-be-okp-01.dnsrec.meo.ws Resilans AB

zijn DNS.WATCH en 192.71.249.83 dezelfde ??

[ Voor 19% gewijzigd door EverLast2002 op 07-10-2015 20:09 ]

donderdag 8 oktober 2015 16:47

Acties:

0 Henk 'm!

azerty

Topicstarter

EverLast2002 schreef op woensdag 07 oktober 2015 @ 20:03:
Bedankt voor de tip. Paar weken geleden kreeg ik nog een melding tijdens het openen van een webpagina dat je je DNS server(s) moest aanpassen. Nu heb ik nog niks gezien (inmiddels al wel veranderd naar alternatieve servers).
Maar zou onderstaande DNS server ook horen bij het "fvz-rec-" rijtje dat wordt opgeheven ?

84.200.70.40 fvz-rec-be-okp-01.dnsrec.meo.ws Accelerated IT Services GmbH

-Edit: bij een nieuwe test op www.dnsleaktest.com komt dit tevoorschijn :

192.71.249.83 fvz-rec-be-okp-01.dnsrec.meo.ws Resilans AB

zijn DNS.WATCH en 192.71.249.83 dezelfde ??

Ik heb gisteren met Fusl gemaild, en enkel de servers die gesponsord zijn in het rijtje van de "fvz-rec-" blijven in principe online.

Ik zou tijdelijk overschakelen op een non-Fusl server, en dan binnen een week of 2-3 kijken wat er nog online is. Voor zover ik mij kan herinneren was de server in België (in Oostkamp) gesponsord, en zou dus online moeten blijven.

De lijst met servers van Fusl die *wel* online blijven, is hier te vinden: http://dnsrec.meo.ws/. Daar kun je ook zien dat de Belgische server online blijft.

DNS.watch heeft zo te zien maar 2 resolvers: 84.200.69.80 en 84.200.70.40. Het lijkt me dus niet dat het hetzelfde is

[ Voor 7% gewijzigd door azerty op 08-10-2015 18:11 ]

donderdag 8 oktober 2015 21:57

Acties:

+1 Henk 'm!

EverLast2002

azerty schreef op donderdag 08 oktober 2015 @ 16:47:

DNS.watch heeft zo te zien maar 2 resolvers: 84.200.69.80 en 84.200.70.40. Het lijkt me dus niet dat het hetzelfde is

Oke, helder. Maar ik snap dan niet hoe 1 hostnaam aan 2 verschillende IP adressen komt...(ik ben geen DNS expert).

donderdag 8 oktober 2015 22:00

Acties:

0 Henk 'm!

azerty

Topicstarter

EverLast2002 schreef op donderdag 08 oktober 2015 @ 21:57:
[...]

Oke, helder. Maar ik snap dan niet hoe 1 hostnaam aan 2 verschillende IP adressen komt...(ik ben geen DNS expert).

Waar heb je dat gezien dan, dat 2 verschillende ip's naar 1 hostnaam terug te leiden zijn?

vrijdag 9 oktober 2015 08:21

Acties:

0 Henk 'm!

marcop82

2 (logische) netwerkkaarten (84.200.69.80 en 84.200.70.40) en 2 netwerken (84.200.69.80 en 84.200.70.40) kunnen gerust naar 1 hostname gaan. Daargelaten dat er andere oplossingen gebruikt zijn zoals een load-balancer of interne routing.

[ Voor 30% gewijzigd door marcop82 op 09-10-2015 08:24 ]

vrijdag 9 oktober 2015 12:29

Acties:

0 Henk 'm!

EverLast2002

azerty schreef op donderdag 08 oktober 2015 @ 22:00:

Waar heb je dat gezien dan, dat 2 verschillende ip's naar 1 hostnaam terug te leiden zijn?

Toen ik op mijn eigen pc 2x een dnsleaktest uitvoerde.

Uitslag test #1:
IP : 84.200.70.40
hostname : fvz-rec-be-okp-01.dnsrec.meo.ws

Uitslag test #2:
IP : 192.71.249.83
hostname : fvz-rec-be-okp-01.dnsrec.meo.ws

vrijdag 9 oktober 2015 22:45

Acties:

+1 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Privacy

De beste oplossing is het om zelf een DNS-resolver te draaien. Dat is helemaal niet moeilijk, voor de meeste mensen is het een kwestie van installeren en gaan. Als je DNSSEC serieus wil gebruiken dan moet je bijna een lokale resolver draaien, tenzij je de verbinding tussen jouw werkplek en de server op een andere manier weet te beveiligen of je interne netwerk volledig vertrouwt, anders is het nog steeds mogelijk om DNS te onderscheppen op weg van de resolver naar jouw PC.

Zelf ben ik fan van Unbound, dat is een razendsnelle DNS-resolver die uitblinkt in DNSSEC en ook nog eens lekker licht is.

This post is warranted for the full amount you paid me for it.

vrijdag 9 oktober 2015 23:52

Acties:

0 Henk 'm!

ThinkPad

Topicstarter

Maar op een gegeven moment zal het verkeer toch je huis uit gaan, welke DNS-servers gebruik jij daar dan vervolgens voor, CAPSLOCK2000 ?

[ Voor 4% gewijzigd door ThinkPad op 09-10-2015 23:52 ]

vrijdag 9 oktober 2015 23:58

Acties:

0 Henk 'm!

jan99999

Een dns request kan gewoon onderschept worden, want ik dacht dat dit werkt zonder encryptie, dus iedereen kan dit zien.
Je zult dus iets van vpn moeten opbouwen, en de vpn party(waar je internet opgaat en dns ophaalt) kunnen vertrouwen.

zaterdag 10 oktober 2015 02:16

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Privacy

DNSSEC zorgt inderdaad niet voor privacy, dat is alleen om zeker te weten dat de data die je ontvangt niet is veranderd.

DNS-verzoeken gaan nog steeds in cleartext de voordeur uit. Toch helpt het de privacy om je eigen resolver te draaien. Mijn DNS-verzoeken gaan namelijk niet allemaal naar dezelfde server. Wie mij wil afluisteren moet mijn internetverbinding aftappen. Als je één externe server gebruikt dan kan iedereen op het pad van jou naar die server dat afluisteren. Dan heb ik het maar niet over de beheerder van die server.

Er is ook een tegen argument. Als ik naar www.xxx.com zou gaan dan zien de nameservers van .com en xxx.com dat dit verzoek mijn IP komt. Als ik een centrale resolver zou gebruiken dan weten ze dat niet (maar de centrale resolver weer wel).

This post is warranted for the full amount you paid me for it.

zaterdag 10 oktober 2015 10:00

Acties:

0 Henk 'm!

EverLast2002

Je tegen argument snap ik. Ik heb thuis Unbound draaien icm pfSense. Wanneer ik de optie "forwarding" uitzet dan is mijn externe eigen IP adres zo te achterhalen. Bijv met DNSleaktest.com.
Zet ik forwarding uit dan zijn de ingevulde externe DNS servers zichtbaar.
Wat is nu eigenlijk aan te raden, optie 1 of 2 ?

zaterdag 10 oktober 2015 11:31

Acties:

0 Henk 'm!

azerty

Topicstarter

CAPSLOCK2000 schreef op zaterdag 10 oktober 2015 @ 02:16:
...

DNS-verzoeken gaan nog steeds in cleartext de voordeur uit. Toch helpt het de privacy om je eigen resolver te draaien. Mijn DNS-verzoeken gaan namelijk niet allemaal naar dezelfde server. Wie mij wil afluisteren moet mijn internetverbinding aftappen. Als je één externe server gebruikt dan kan iedereen op het pad van jou naar die server dat afluisteren. Dan heb ik het maar niet over de beheerder van die server.

...

Je zou eens kunnen kijken naar https://dnscrypt.org/, al betwijfel ik of de support daarvoor op de top level resolvers gaat werken.

Weet in elk geval dat een deel van de OpenNIC servers DNSCrypt ondersteund

vrijdag 6 november 2015 14:13

Acties:

0 Henk 'm!

PrivacyMind

Ik zou graag advertenties, trackers en malware willen blockeren doormiddel van een zelfopgezette DNS server. Nu gebruik ik een host file om mijn laptop, waarop ik advertenties, trackers en malware blokker. Maar ik zou graag bij alle apparaten in mijn netwerk deze sites blokkeren.

Edit 1: ik heb niet goed gezocht. Hierbij op het synology form staat hoe je je DNS op je synology kan gebruiken om websites te blokkeren.

[ Voor 66% gewijzigd door PrivacyMind op 23-09-2017 13:51 ]

zaterdag 24 september 2016 10:25

Acties:

0 Henk 'm!

garp

Kijk eens naar pi-hole.

Dat kan wat je wilt, wordt onderhouden en biedt mogelijkheden tot additionele, handmatige black- en whitelisting.

Geen idee hoe makkelijk het is te installeren op een Synology NAS, maar ik zou zeggen: duik lekker in de materie!

maandag 13 maart 2017 10:47

Acties:

0 Henk 'm!

rikster

LS.

Ik heb een pi-hole met DNSCrypt draaien thuis en dat werkte altijd naar tevredenheid. Sinds kort (na de laatste update van Pi-Hole en de RasPi) kan ik echter de domeinen vk.nl en volkskrant.nl soms niet benaderen (krant.volkskrant.nl werkt dan weer wel altijd), noch via de Volkskrant-app (op diverse Android apparaten) noch op de PC (FireFox 52.0 èn Chrome 56.0.2924.87 (ja, die is ouder, maar ik gebruik Chrome zelden... na een update naar 57.x.x doet ie het trouwnes nog steeds niet want ERR_NAME_NOT_RESOLVED))

nslookup geeft als adres voor de servers 0.0.0.0, b.v.:

Non-authoritative answer:
Name: ssl-nl.persgroep.edgekey.net
Address: 0.0.0.0
Aliases: www.volkskrant.nl

Tijdelijk disabelen van de pi-hole werkt ook niet. Het lijkt dus (inderdaad) een DNS-probleem. De pi-hole gebruikt dnsmasq als lokale DNS-sever, maar ik kan daarvoor geen vreemde bugs vinden die dit verschijnsel kunnen verklaren.

Iemand een idee? $_/-\o_$

maandag 13 maart 2017 11:18

Acties:

+1 Henk 'm!

Belgar

Archmaster ranzige code..

Heb je al de verschillende crypt end-points uitgesloten? Ik heb eenzelfde instelling, maar ik krijg op de genoemde domeinen gewoon netjes antwoord.

Ik heb even edgekey gechecked en die specifieke url resolved inderdaad naar "local" voor mij, maar in geen van mijn antwoorden wordt verwezen naar edgekey.

...Als het maar werkt

maandag 13 maart 2017 14:49

Acties:

0 Henk 'm!

rikster

@ Belgar
Dank! Een switch naar een ander end-point loste het probleem inderdaad op.
Dat ik daar zelf niet opgekomen ben...suf. Ik schuif hyet af op mijn jet-lag! :-)

zaterdag 1 april 2017 01:51

Acties:

0 Henk 'm!

rain2reign

Ik zag bij de reacties van nieuws: Ziggo heeft dns-storing - update artikel de naam Freenom World DNS Resolver langskomen. Iemand enige ervaring of weet hoe deze gericht staat met betrekking tot privacy?

Ik ben een totale leeghoofd met dit soort dinges als DNS, dus ik dacht ik waag een vraag.

maandag 3 april 2017 17:21

Acties:

0 Henk 'm!

SRich

Ken je zelf iets instellen of niet ?

Het grote adblocking topic

zaterdag 18 november 2017 21:55

Acties:

+1 Henk 'm!

stormfly

https://quad9.net/#/

weer een leuke speler erbij/ontdekt.

donderdag 23 november 2017 10:12

Acties:

0 Henk 'm!

8-Track

stormfly schreef op zaterdag 18 november 2017 @ 21:55:
https://quad9.net/#/

weer een leuke speler erbij/ontdekt.

Quad9 kan voor serieuze privacy ook DNS-over-TLS. Hier staat een how-to om het op te zetten met Stubby (draait op Windows/macOS/Linux). Op GitHub is ook een Docker image beschikbaar.

Bonus linkje: een stub resolver voor Google DNS-over-HTTPS.

maandag 27 november 2017 08:22

Acties:

0 Henk 'm!

St00mwals

stormfly schreef op zaterdag 18 november 2017 @ 21:55:
https://quad9.net/#/

weer een leuke speler erbij/ontdekt.

En nog simpel in te stellen en te onthouden ook:
9.9.9.9

zondag 4 februari 2018 17:51

Acties:

0 Henk 'm!

Tigertje

Al jaren maak ik gebruik van DNS Watch en vandaag lag die ineens eruit.
Momenteel is de website zelfs niet meer bereikbaar. Voor nu overgestapt naar UncensoredDNS. Meer mensen met problemen?

zondag 4 februari 2018 21:09

Acties:

0 Henk 'm!

MaxPoweR

-=StopTech=-

Quad 9, gebruik het al een tijdje 👍🏼

maandag 5 februari 2018 18:28

Acties:

0 Henk 'm!

mclegodude

Jelle Z'n dns er maar even uit halen, niet echt te vertrouwen : nieuws: Nederlandse politie arresteert verdachte op verdenking uitvoeren ddos...

maandag 2 april 2018 10:44

Acties:

+2 Henk 'm!

377973

Cloudflare is nu ook privacy vriendelijk. Een non logging DNS over https service. https://1.1.1.1

maandag 2 april 2018 22:03

Acties:

0 Henk 'm!

GeforceAA

377973 schreef op maandag 2 april 2018 @ 10:44:
Cloudflare is nu ook privacy vriendelijk. Een non logging DNS over https service. https://1.1.1.1

Is het voor Europeanen niet verstandiger de DNS van je provider te gebruiken ivm beste routing naar de content?

maandag 2 april 2018 22:08

Acties:

0 Henk 'm!

377973

GeforceAA schreef op maandag 2 april 2018 @ 22:03:
[...]

Is het voor Europeanen niet verstandiger de DNS van je provider te gebruiken ivm beste routing naar de content?

Nee want die loggen precies wat je doet. Daarom dit topic ook.

maandag 2 april 2018 22:37

Acties:

0 Henk 'm!

2Dutch

No worries eeh!

GeforceAA schreef op maandag 2 april 2018 @ 22:03:
Is het voor Europeanen niet verstandiger de DNS van je provider te gebruiken ivm beste routing naar de content?

Maakt niet uit, de grotere netwerkproviders hebben zulke deals/routing dat ze een 'lokale' ISP prima matchen of zelfs overtreffen. Bovendien moet je maar eens opletten hoeveel meldingen over "mijn internet doet het niet" worden veroorzaakt door geneuzel met een DNS. Bij Ziggo was het ook een tijdje raak. Ik gebruik zelf al vele jaren openDNS, maar zal deze nieuwe en erg rappe+niet loggende DNS binnenkort eens gaan uitproberen/instellen

| The bitterness of poor quality remains long after the sweetness of low price is forgotten |

maandag 2 april 2018 22:40

Acties:

+1 Henk 'm!

377973

2Dutch schreef op maandag 2 april 2018 @ 22:37:
[...]

Maakt niet uit, de grotere netwerkproviders hebben zulke deals/routing dat ze een 'lokale' ISP prima matchen of zelfs overtreffen. Bovendien moet je maar eens opletten hoeveel meldingen over "mijn internet doet het niet" worden veroorzaakt door geneuzel met een DNS. Bij Ziggo was het ook een tijdje raak. Ik gebruik zelf al vele jaren openDNS, maar zal deze nieuwe en erg rappe+niet loggende DNS binnenkort eens gaan uitproberen/instellen

Ik gebruik hem nu merk geen verschil met XS4ALL of google.

dinsdag 3 april 2018 08:38

Acties:

+1 Henk 'm!

2Dutch

No worries eeh!

377973 schreef op maandag 2 april 2018 @ 22:40:
Ik gebruik hem nu merk geen verschil met XS4ALL of google.

Denk dat de verschillen ook zo klein zijn dat je het niet meer merkt. Maar dat geeft an sich niet, het 'niet loggen' is natuurlijk al helemaal prima

| The bitterness of poor quality remains long after the sweetness of low price is forgotten |

maandag 14 mei 2018 22:38

Acties:

0 Henk 'm!

retep69

Net even een test gedraaid met de nieuwe dienst van cloudfare (1.0.0.1 en 1.1.1.1). De response is erg snel. Qua privacy geven ze aan dat ze de query data 24 uur bewaren (wellicht om meta data te generen die ze wel langer opslaan). Tevens is tor geblocked, dus dat lijkt me ook een redelijke showstopper.

dinsdag 29 mei 2018 21:59

Acties:

0 Henk 'm!

his.dudeness

The Dude Abides.

Is het niet handig om juist opzoek te gaan naar DNS servers in Nederland of in ieder geval in Europa? Kwa snelheid en privacy zal dat erg schelen lijkt mij.

Edit: Ik had ergens een lijst van DNS servers gevonden die in Nederland gehost zijn (al stonden er een boel Amerikaanse servers tussen)
Ik heb toen een benchmark software gebruikt om te kijken welke het deden en hoe snel ze waren. Resultaat hier (Excel) of hier (png), benchmark software hier, en het lijst waar ik de meeste van weg heb gegooid uit de benchmark (omdat ze te slecht waren).

Misschien een goed idee om een heleboel DNS servers hiermee te testen en steeds de beste met elkaar vergelijken (en resultaten hier delen)?

retep69 schreef op maandag 14 mei 2018 @ 22:38:
Tevens is tor geblocked, dus dat lijkt me ook een redelijke showstopper.

Ja, nutteloos dus.

[ Voor 78% gewijzigd door his.dudeness op 30-05-2018 00:20 ]

woensdag 30 mei 2018 12:54

Acties:

0 Henk 'm!

ThinkPad

Topicstarter

Je kunt ook zelf een resolver draaien. Met bijv. pfSense als router kan dat. Die vraagt de rootservers waar hij de informatie moet vinden.

Veel privacyvriendelijker kan het volgens mij. Enige nadeel is dat DNS-verzoeken die niet uit de cache komen wat trager zijn, maar ook dat valt wel mee (miliseconden, <1s dus amper merkbaar tijdens browsen).

woensdag 30 mei 2018 14:50

Acties:

0 Henk 'm!

SRich

retep69 schreef op maandag 14 mei 2018 @ 22:38:
Net even een test gedraaid met de nieuwe dienst van cloudfare (1.0.0.1 en 1.1.1.1). De response is erg snel. Qua privacy geven ze aan dat ze de query data 24 uur bewaren (wellicht om meta data te generen die ze wel langer opslaan). Tevens is tor geblocked, dus dat lijkt me ook een redelijke showstopper.

TOR blokken is wel redelijk uniek, kan je die ook niet bijpassen via de opties die de browser bied?

Het grote adblocking topic

zaterdag 14 juli 2018 09:52

Acties:

0 Henk 'm!

HollowGamer

dns.watch lijkt down, heeft iemand een idee waar je status updates kan zien?
Weet iemand toevallig een goed alternatief? Ik gebruik nu weer de Google DNS.

zaterdag 14 juli 2018 10:25

Acties:

+1 Henk 'm!

Ids

HollowGamer schreef op zaterdag 14 juli 2018 @ 09:52:
dns.watch lijkt down, heeft iemand een idee waar je status updates kan zien?
Weet iemand toevallig een goed alternatief? Ik gebruik nu weer de Google DNS.

Yup, ik had vanochtend ook al geen verbinding. Gebruik nu een combinatie van Free DNS (37.235.1.174, 37.235.1.177) en Censurfridns.DK (91.239.100.100, 89.233.43.71)

En de statusupdates oid zou ik ook niet weten, begin dit jaar was er ook een storing bij DNS.Watch maar behalve een verdwaald berichtje op Twitter van iemand die ook geen verbinding had was er niks te vinden.

[ Voor 17% gewijzigd door Ids op 14-07-2018 10:29 ]

zaterdag 14 juli 2018 11:20

Acties:

+2 Henk 'm!

Frogmen

Ik vraag mij nog steeds af zeker met de huidige GDPR/AVG waarom je in Nederland niet gewoon de DNS van je provider zou gebruiken. Sorry als ik alleen al bovenstaande lees is het een oplossing voor iets wat geen probleem is, maar wel nieuwe risico's introduceert.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zaterdag 14 juli 2018 12:58

Acties:

0 Henk 'm!

Toet3r

¿?

HollowGamer schreef op zaterdag 14 juli 2018 @ 09:52:
dns.watch lijkt down, heeft iemand een idee waar je status updates kan zien?
Weet iemand toevallig een goed alternatief? Ik gebruik nu weer de Google DNS.

Snapte in eerste instantie ook al niet waarom mijn internet het niet deed.
Ben nu weer terug op de dns servers van me isp maar dat vind ik niet echt ideaal.

Pi-Hole: open-source netwerk advertentie blocker

zaterdag 14 juli 2018 15:25

Acties:

0 Henk 'm!

HollowGamer

Frogmen schreef op zaterdag 14 juli 2018 @ 11:20:
Ik vraag mij nog steeds af zeker met de huidige GDPR/AVG waarom je in Nederland niet gewoon de DNS van je provider zou gebruiken. Sorry als ik alleen al bovenstaande lees is het een oplossing voor iets wat geen probleem is, maar wel nieuwe risico's introduceert.

Een van de redenen is dat Ziggo niet lekker/helemaal niet werkt met GTA V.
Het lijkt erop dat Rockstar deze range blokkeert. Verder is de DNS niet heel betrouwbaar geweest van Ziggo.

zaterdag 14 juli 2018 16:00

Acties:

0 Henk 'm!

Frogmen

Vreemd DNS blokkade beweer je lijkt mij heel erg vreemd, zeker omdat een bedrijf als Ziggo dat meteen op een rechtszaak zou komen te staan als er geen rechterlijk bevel is. Volgens mij is piratebay de enige url met een actieve blokkade.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zaterdag 14 juli 2018 16:02

Acties:

0 Henk 'm!

HKLM_

Frogmen schreef op zaterdag 14 juli 2018 @ 16:00:
Vreemd DNS blokkade beweer je lijkt mij heel erg vreemd, zeker omdat een bedrijf als Ziggo dat meteen op een rechtszaak zou komen te staan als er geen rechterlijk bevel is. Volgens mij is piratebay de enige url met een actieve blokkade.

Je leest niet goed

ziggo blokkeerd niks maar rockstar.

Cloud ☁️

zaterdag 14 juli 2018 16:06

Acties:

+1 Henk 'm!

Frogmen

HKLM_ schreef op zaterdag 14 juli 2018 @ 16:02:
[...]

Je leest niet goed ziggo blokkeerd niks maar rockstar.

Als dat zo zou zijn heeft wisseling van DNS ook geen nut. Misschien is een les hoe werkt het internet nuttig!

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zaterdag 14 juli 2018 16:15

Acties:

+1 Henk 'm!

HKLM_

Frogmen schreef op zaterdag 14 juli 2018 @ 16:06:
[...]

Als dat zo zou zijn heeft wisseling van DNS ook geen nut. Misschien is een les hoe werkt het internet nuttig!

Voor je zelf neem ik aan?

Cloud ☁️

maandag 16 juli 2018 04:32

Acties:

+1 Henk 'm!

crizyz

ne.t.weaker

Frogmen schreef op zaterdag 14 juli 2018 @ 11:20:
Ik vraag mij nog steeds af zeker met de huidige GDPR/AVG waarom je in Nederland niet gewoon de DNS van je provider zou gebruiken. Sorry als ik alleen al bovenstaande lees is het een oplossing voor iets wat geen probleem is, maar wel nieuwe risico's introduceert.

Gaat andersom natuurlijk net zo goed.

Toen ik een paar jaartjes terug nog internet van KPN had, en half Nederland 'geen internet' had doordat hun DNS plat lag, merkte ik er niks van.

En ja, als er iets mis gaat tussen de DNS van Ziggo en sommige servers van Rockstar, wil het wel helpen om een andere DNS te gebruiken uiteraard.

Wie wat blokt is niet helemaal duidelijk, ze wijzen beide met het vingertje naar elkaar, maar dat er iets mis gaat tussen die twee staat wel vast.

Watch.dns lag bij mij er niet compleet uit, maar wel erg traag internet, had flink wat packet loss op hun ip's.

[ Voor 6% gewijzigd door crizyz op 16-07-2018 04:33 ]

maandag 16 juli 2018 15:20

Acties:

0 Henk 'm!

beerten

Wat is het nut van (private) dns-servers als je internetverkeer uitgelezen kan worden? Als je privacy wilt, zul je aan de VPN moeten. En een goede vpn-aanbieder biedt zijn eigen DNS-servers aan.

Voor huis-tuin-keukengebruik kan ik uit ervaring OpenDNS afraden. Mijn kinderen konden al geen filmpjes kijken op NPO, publieke omroep.

woensdag 18 juli 2018 00:12

Acties:

0 Henk 'm!

TrJ

debian

website dns.watch is weer up maar nergens vermelding over downtime. Ik houd het voorlopig even bij de servers van cloudflare op mijn router.

woensdag 18 juli 2018 20:41

Acties:

+1 Henk 'm!

Frogmen

beerten schreef op maandag 16 juli 2018 @ 15:20:
Wat is het nut van (private) dns-servers als je internetverkeer uitgelezen kan worden? Als je privacy wilt, zul je aan de VPN moeten. En een goede vpn-aanbieder biedt zijn eigen DNS-servers aan.

Voor huis-tuin-keukengebruik kan ik uit ervaring OpenDNS afraden. Mijn kinderen konden al geen filmpjes kijken op NPO, publieke omroep.

Want een VPN provider kan je wel vertrouwen en je eigen provider niet. Want wij van WC eend zeggen gebruik WC eend.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

donderdag 19 juli 2018 10:05

Acties:

0 Henk 'm!

beerten

Frogmen schreef op woensdag 18 juli 2018 @ 20:41:
[...]

Want een VPN provider kan je wel vertrouwen en je eigen provider niet. Want wij van WC eend zeggen gebruik WC eend.

Waar begin ik over vertrouwen? Ik stel alleen dat uitsluitend 'private dns' niet erg zinvol is.

donderdag 19 juli 2018 16:57

Acties:

0 Henk 'm!

HollowGamer

beerten schreef op maandag 16 juli 2018 @ 15:20:
Wat is het nut van (private) dns-servers als je internetverkeer uitgelezen kan worden? Als je privacy wilt, zul je aan de VPN moeten. En een goede vpn-aanbieder biedt zijn eigen DNS-servers aan.

Voor huis-tuin-keukengebruik kan ik uit ervaring OpenDNS afraden. Mijn kinderen konden al geen filmpjes kijken op NPO, publieke omroep.

Geen idee waarom OpenDNS niet werkt met NPO, maar het lijkt dat deze standaard bepaalde zaken blokkeert.
Ik raad je tevens OpenDNS af omdat deze in Amerika zit en niet echt een schoon verleden heeft (zie Wikipedia).

Een goede en secure DNS heeft een aantal zaken als DNSSEC, slaat geen logging/queries op en bevindt zich niet in Amerika. Privacy heeft dus wel degelijk een toevoeging bij het kiezen van een alternatieve DNS, maar dit had je waarschijnlijk wel geweten als je de topic-start had gelezen onder 'Wat is er dan mis met de standaard DNS server?'.

vrijdag 20 juli 2018 00:36

Acties:

0 Henk 'm!

beerten

HollowGamer schreef op donderdag 19 juli 2018 @ 16:57:
[...]

Geen idee waarom OpenDNS niet werkt met NPO, maar het lijkt dat deze standaard bepaalde zaken blokkeert.
Ik raad je tevens OpenDNS af omdat deze in Amerika zit en niet echt een schoon verleden heeft (zie Wikipedia).

Een goede en secure DNS heeft een aantal zaken als DNSSEC, slaat geen logging/queries op en bevindt zich niet in Amerika. Privacy heeft dus wel degelijk een toevoeging bij het kiezen van een alternatieve DNS, maar dit had je waarschijnlijk wel geweten als je de topic-start had gelezen onder 'Wat is er dan mis met de standaard DNS server?'.

DNS is niet onbelangrijk. Voor mij is het slechts een onderdeel in een groter geheel. Prima natuurlijk dat je minder profileerbaar en traceerbaar bent. Er zijn echter veel meer manieren om je online activiteiten te koppelen aan je identiteit. Je eigen IP-adres is de meest voor de hand liggende. Hier komt VPN om de hoek. Een goede VPN aanbieder heeft zijn eigen DNS-servers. (Of je iedere VPN-aanbieder kunt vertrouwen is een andere discussie)
Het doodsimpele cookie. En als je die weigert is er nog https://amiunique.org/ Een browser geeft allerlei gegevens vrij als taal, besturingssyteem, browser ID's, geinstalleerde plugins etc. Zelfs de manier waarop een met .css stylesheet opgemaakte afbeelding wordt gerenderd is van invloed. Een kenner van webtecnieken zal vast meer technieken op kunnen hoesten.

TS: persoonlijk vind ik een opmerkingen in de OP van dit topic op zijn plaats. DNS-servers zijn zeer zeker niet omnbelangrijk, edoch een onderdeel van een groter geheel.
Het grote VPN topic, privacy topic

[ Voor 3% gewijzigd door beerten op 20-07-2018 00:39 ]

vrijdag 20 juli 2018 14:11

Acties:

0 Henk 'm!

Frogmen

Wat nog veel meer mensen vergeten in dit grote geheel is dat het vooral marketeers zijn die deze data verzamelen verkopen gebruiken en menen er de omzet mee te kunnen verhogen. Hierbij is men niet geinterresseerd in jouw als individu, maar wel in je gedrag als mens en hoe ze jouw kunnen verleiden tot koop. Hierbij beweren ze steeds van alles alleen of het waar is is nog lastiger te achterhalen en steeds weer een afweging. Bijvoorbeeld Google Ads is leuk krijg je traffic maar kost ook geld, voordat je het weet gaat je winst op aan Google dus is dat steeds weer een afweging.
Het punt in deze is dus vooral dat je gedrag van belang is en niet jouw individu. Overigens ben ik nog nooit iets tegen gekomen met DNS logs die verkocht of gebruikt werden in deze, zeker niet in Nederland. De hoeveelheid is al gauw zo groot dat verwerking erg lastig wordt.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 20 juli 2018 16:18

Acties:

+1 Henk 'm!

Bl@ckbird

@Frogmen, @beerten, @HollowGamer:

Geen idee waarom OpenDNS NPO blokkeert, maar bij mij werkt het gewoon.

OpenDNS / Cisco Umbrella verkoopt geen data, maar het is een big data analytics bedrijf op het gebied van netwerk security. Hoe meer mensen (de betaalde of gratis versie van) OpenDNS / Umbrella gebruiken, hoe meer inzicht men krijgt in malware, botnets, phishing aanvallen, key-exchange van ransomware, etc.
Met de gratis versie wordt dit niet geblokkeerd. Met de betaalde versie (Cisco Umbrella) kan je deze meuk blokkeren. URL filtering op basis van categorieën is ook mogelijk, maar dit is maar een kleine gedeelte van de volledige functionaliteit. Het is de snelste security tool die je kan implementeren; je wijst de DHCP server naar OpenDNS/Umbrella en je bent beschermt.

Met de enterprise variant kan je ook Cisco Anyconnect VPN client gebruiken of een lichtgewicht client. Hiermee kan je integreren via MS Active Directory. Je ziet dan ook een username bij een IP adres. OpenDNS / Cisco Umbrella heeft niets met privacy van doen, maar als je er mee kan voorkomen dat je klantgegevens, betaalgegevens of andere data gelekt wordt, dan heeft OpenDNS / Cisco Umbrella alles met privacy van doen.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

zaterdag 21 juli 2018 12:31

Acties:

0 Henk 'm!

HomeServ

Linux only?

In hoeverre is het zelf draaien van een (of meerdere) dns server(s) privacy gevoelig?
Je haalt toch gegevens op via Root servers om het vervolgens bij een nameserver op te vragen.

zondag 22 juli 2018 11:22

Acties:

+1 Henk 'm!

ijdod

HollowGamer schreef op donderdag 19 juli 2018 @ 16:57:
maar dit had je waarschijnlijk wel geweten als je de topic-start had gelezen onder 'Wat is er dan mis met de standaard DNS server?'.

Dat moet nodig geupdate worden nav de AVG. Censuur en beschikbaarheid zijn valide punten, pricacy kan dat zijn, maar daar IP adressen een keihard persoonsgegevens zijn, en logging de verwerking hiervan is, zal een provider daar heel duidelijk in moeten zijn.... uiteraard beschermd de AVG je niet tegen een legitiem (juridisch gezien) verzoek om specifiek jouw logging in te zien. Hoe belangrijk dat is, moet ieder voor zich bepalen, maar ik denk dat enige nuance daar wel op zijn plaats is.

HomeServ schreef op zaterdag 21 juli 2018 @ 12:31:
In hoeverre is het zelf draaien van een (of meerdere) dns server(s) privacy gevoelig?
Je haalt toch gegevens op via Root servers om het vervolgens bij een nameserver op te vragen.

Dat hangt er van af wat je precies wilt beschermen, en hoe je eea ingericht hebt (waar staat je eigen DNS). In de context van je ISP die hun DNS logging kan inzien: veilig. Alle servers die gequeried worden om je request te resolven (ROOT, TLD, enz) zullen je requests kunnen loggen. DNS leaking is ook een risico, maar in feite niet anders dan normaal.

Root don't mean a thing, if you ain't got that ping...

zondag 22 juli 2018 19:17

Acties:

0 Henk 'm!

HomeServ

Linux only?

ijdod schreef op zondag 22 juli 2018 @ 11:22:
[...]
Dat hangt er van af wat je precies wilt beschermen, en hoe je eea ingericht hebt (waar staat je eigen DNS). In de context van je ISP die hun DNS logging kan inzien: veilig. Alle servers die gequeried worden om je request te resolven (ROOT, TLD, enz) zullen je requests kunnen loggen. DNS leaking is ook een risico, maar in feite niet anders dan normaal.

Heb 3 DNS servers in mijn eigen netwerk draaien.
Dus alles requests die niet binnen mijn zones staan gaan m'n netwerk uit.

Verder niets ingesteld om uitgaande requests te beveiligen.

maandag 23 juli 2018 08:07

Acties:

0 Henk 'm!

Frogmen

HomeServ schreef op zondag 22 juli 2018 @ 19:17:
[...]

Heb 3 DNS servers in mijn eigen netwerk draaien.
Dus alles requests die niet binnen mijn zones staan gaan m'n netwerk uit.

Verder niets ingesteld om uitgaande requests te beveiligen.

Waarom drie? Maar dat doet voor deze discussie niet ter zake, feit is dat alles wat de DNS server niet kent hij bij een hoger gelegen DNS server zal gaan opvragen. De DNS server die je ingesteld hebt op je DNS server.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 23 juli 2018 08:21

Acties:

0 Henk 'm!

HomeServ

Linux only?

Frogmen schreef op maandag 23 juli 2018 @ 08:07:
[...]

Waarom drie? Maar dat doet voor deze discussie niet ter zake, feit is dat alles wat de DNS server niet kent hij bij een hoger gelegen DNS server zal gaan opvragen. De DNS server die je ingesteld hebt op je DNS server.

Waarom drie? Zodat als ik een systeem herstart niet m'n hele netwerk zonder DNS zit.
Ik heb geen DNS servers opgegeven in mijn DNS servers. Alles wordt direct via de Root servers bij de betreffende nameservers opgevraagd.
Dus geen Google, CloudFlare oid. als lookup.

maandag 23 juli 2018 08:29

Acties:

0 Henk 'm!

Frogmen

HomeServ schreef op maandag 23 juli 2018 @ 08:21:
[...]

Waarom drie? Zodat als ik een systeem herstart niet m'n hele netwerk zonder DNS zit.
Ik heb geen DNS servers opgegeven in mijn DNS servers. Alles wordt direct via de Root servers bij de betreffende nameservers opgevraagd.
Dus geen Google, CloudFlare oid. als lookup.

Root servers zijn toch ook gewoon DNS servers alleen nog hoger in de DNS structuur. Het lijkt leuk maar in de praktijk zal het trager werken. Maar waarschijnlijk zijn het Microsoft servers die naar ik gok als je niets instelt gewoon de Microsoft DNS servers gebruiken. Anders kan het niet werken, zonder een DNS structuur werkt het internet niet.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 23 juli 2018 13:34

Acties:

0 Henk 'm!

Cyb

Enkele dagen terug kwam dit bericht voorbij: nieuws: Beveiligingsbedrijf: veel iot-apparaten zijn kwetsbaar voor dns-rebin...

D.m.v. DNS-rebinding kan een willekeurige website (of wat trackers die op een website geinstalleerd staan) jouw thuisnetwerk in kaart brengen en vervolgens apparaten met onvoldoende beveiliging, hacken.

DNS-rebinding bestaat al een tijd, maar ik heb er eigenlijk nooit echt naar gekeken. Maar nu ik een beetje weet hoe de techniek werkt, zie ik er eigenlijk veel risico's in. Trackers/datahandelaren kunnen het ook gebruiken om meer gegevens van je te achterhalen over je thuisnetwerk.

Een goede oplossing tegen DNS rebinding is het gebruik van een DNS server die niet naar lokale adressen resolved. OpenDNS is daar een voorbeeld van: https://umbrella.cisco.co...to-dns-rebinding-attacks/
Maar OpenDNS is kwa privacy misschien niet echt aan te raden:
https://www.infoworld.com...-and-how-to-avoid-it.html, mei 2014:

OpenDNS makes no bones about the fact that it collects and saves DNS logs -- you're able to access your own logs as a feature of setting up a (paid) account. While OpenDNS has an extensive privacy policy, I don't see anything that says explicitly, "we don't sell your DNS logs."

Ziggo DNS doet helaas weinig tegen DNS rebinding, evenmin de Google DNS servers, en Linksys WTCxxxx router DNS. (Zelf getest d.m.v. een test domein.) Net even DD-WRT er op gezet, en dat werkt wel, namelijk met de optie "No DNS Rebind" die standaard al aan staat.

maandag 23 juli 2018 13:46

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Alias geplaatst in Privacy & Beveiliging

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 23 juli 2018 14:03

Acties:

0 Henk 'm!

HomeServ

Linux only?

Frogmen schreef op maandag 23 juli 2018 @ 08:29:
[...]

Root servers zijn toch ook gewoon DNS servers alleen nog hoger in de DNS structuur. Het lijkt leuk maar in de praktijk zal het trager werken. Maar waarschijnlijk zijn het Microsoft servers die naar ik gok als je niets instelt gewoon de Microsoft DNS servers gebruiken. Anders kan het niet werken, zonder een DNS structuur werkt het internet niet.

Als ik een benchmark doe kom ik er niet slechter vanaf dan Cloudflare of Google.
En nee, geen Microsoft DNS servers maar gewoon bind9/named onder linux.
2x op Raspberries en eentje in een container op m'n linux server.

maandag 23 juli 2018 18:20

Acties:

0 Henk 'm!

Frogmen

Dat is misschien ook het hele probleem het idee namelijk achter DNS is dat je een server gebruikt die zo dicht mogelijk bij je is en als die iets niet weet ga je hogerop in de hiarchie. Als iedereen meteen de rootservers zou gebruiken werkt het niet meer want die krijgen teveel requests.
Kanttekening hierbij is natuurlijk dat het met de huidige bandbreedte en rekenkracht een beetje achterhaald is en de verschillen niet zo groot. Anderzijds zijn je requests juist bij een Europese DNS server goed beschermd qua privacy onder de AVG.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 24 juli 2018 13:07

Acties:

0 Henk 'm!

Bl@ckbird

Cyb schreef op maandag 23 juli 2018 @ 13:34:
[...]
Een goede oplossing tegen DNS rebinding is het gebruik van een DNS server die niet naar lokale adressen resolved. OpenDNS is daar een voorbeeld van: https://umbrella.cisco.co...to-dns-rebinding-attacks/
Maar OpenDNS is kwa privacy misschien niet echt aan te raden:
https://www.infoworld.com...-and-how-to-avoid-it.html, mei 2014

Alle aangehaalde artikelen over OpenDNS en privacy zijn van voor 2015. Dus voor de overname van Cisco.
Issues met privacy kan Cisco echt niet hebben, want dit kost ze gewoon klanten.

Voor een geupdate privacy statement, zie:
https://www.cisco.com/c/d...la-privacy-data-sheet.pdf

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

dinsdag 24 juli 2018 13:36

Acties:

+1 Henk 'm!

JackBol

Security is not an option!

Bl@ckbird schreef op dinsdag 24 juli 2018 @ 13:07:
[...]

Alle aangehaalde artikelen over OpenDNS en privacy zijn van voor 2015. Dus voor de overname van Cisco.
Issues met privacy kan Cisco echt niet hebben, want dit kost ze gewoon klanten.

Voor een geupdate privacy statement, zie:
https://www.cisco.com/c/d...la-privacy-data-sheet.pdf

Umbrella of OpenDNS is niet echt bedoeld voor privacy, maar meer voor threat protection.

Cisco bewaart al je queries voor 30 dagen en laat daar ook nog eens analytics op los. Ook zijn de gebonden aan de Amerikaanse wet en zullen de wet volgen als opsporingsinstanties dataverzoeken doen.

De actuele opbrengst van mijn Tibber Homevolt

zondag 2 september 2018 12:11

Acties:

0 Henk 'm!

HollowGamer

Inmiddels overgestapt naar 1.1.1.1, beloven de logs enkel één dag te bewaren.
Heb toch meer vertrouwen in Cloudfare dan in Google DNS en andere kleinere.
DNS.watch ging een tijdje goed, maar na alle downtimes ben ik er toch wel een beetje klaar mee, al ben ik allang blij dat partijen moeite doen voor een gratis en privacy+ DNS.

donderdag 17 januari 2019 10:15

Acties:

+1 Henk 'm!

ThinkPad

Topicstarter

- Xiala.net eruit gehaald, hebben hun diensten gestopt
- Google eruit gehaald, zoals @Brahiewahiewa al aangaf is dat niet echt privacygericht inderdaad

- OpenDNS ook eruit gehaald, sinds het door Cisco is overgenomen lijkt mij dit qua privacy ook niet bevorderlijk

Ik heb thuis m'n eigen DNS resolver draaien, heb dat bij m'n Pi-hole ernaast draaien, zie deze handleiding.

Maar zoals op m'n werk staat de gastenwifi standaard naar 8.8.8.8, daar heb ik nu OpenNIC voor ingesteld op m'n telefoon. Beter zou zijn om VPN naar huis op te zetten, maar dat hoeft van mij niet continu. Het gaat mij er ook niet om dat ik m'n werkgever niet vertrouw, maar meer om het #degoogle principe.

donderdag 28 februari 2019 21:31

Acties:

0 Henk 'm!

Freee!!

Trotse papa van Toon en Len!

ThinkPadd schreef op donderdag 17 januari 2019 @ 10:15:
[...]
Ik heb thuis m'n eigen DNS resolver draaien, heb dat bij m'n Pi-hole ernaast draaien, zie deze handleiding.

Ik heb thuis ook een Pi-Hole en DNS resolver draaien, maar op een net iets andere manier: allebei in een eigen Docker container, scheelt veel problemen met poorten (ze hebben allebei een eigen IP-adres).

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

zaterdag 1 juni 2019 14:29

Acties:

+2 Henk 'm!

Kecin

Je keek.

ThinkPadd schreef op donderdag 17 januari 2019 @ 10:15:
- Xiala.net eruit gehaald, hebben hun diensten gestopt
- Google eruit gehaald, zoals @Brahiewahiewa al aangaf is dat niet echt privacygericht inderdaad
- OpenDNS ook eruit gehaald, sinds het door Cisco is overgenomen lijkt mij dit qua privacy ook niet bevorderlijk

Ik heb thuis m'n eigen DNS resolver draaien, heb dat bij m'n Pi-hole ernaast draaien, zie deze handleiding.

Maar zoals op m'n werk staat de gastenwifi standaard naar 8.8.8.8, daar heb ik nu OpenNIC voor ingesteld op m'n telefoon. Beter zou zijn om VPN naar huis op te zetten, maar dat hoeft van mij niet continu. Het gaat mij er ook niet om dat ik m'n werkgever niet vertrouw, maar meer om het #degoogle principe.

Quad9 heeft tegenwoordig ook DNSSEC

.
Daar nog een vinkje bij

?

I am not a number, I am a free man! Geld over? Check m'n V&A

donderdag 7 mei 2020 14:27

Acties:

0 Henk 'm!

Anoniem: 767041

Er is net een nieuw soort DNS service de beta uit gegaan, is nextdns.io te vertrouwen kwa privacy etc?

woensdag 4 mei 2022 10:51

Acties:

0 Henk 'm!

MikeyMan

Vidi, Vici, Veni

Lang stil in dit topic. Iemand nog tips voor een snelle dns service? Ziggo lijkt wat achteruit te gaan de laatste tijd.

woensdag 4 mei 2022 12:12

Acties:

0 Henk 'm!

Anoniem: 767041

MikeyMan schreef op woensdag 4 mei 2022 @ 10:51:
Lang stil in dit topic. Iemand nog tips voor een snelle dns service? Ziggo lijkt wat achteruit te gaan de laatste tijd.

Cleanbrowsing.org,
1.1.1.1
Adguard dns
Google dns

woensdag 4 mei 2022 12:35

Acties:

+1 Henk 'm!

MikeyMan

Vidi, Vici, Veni

Anoniem: 767041 schreef op woensdag 4 mei 2022 @ 12:12:
[...]

Cleanbrowsing.org,
1.1.1.1
Adguard dns
Google dns

Google leek ivm privacy af te vallen hier, zal de andere twee eens bekijken, thanks.

woensdag 4 mei 2022 12:38

Acties:

+1 Henk 'm!

Freee!!

Trotse papa van Toon en Len!

MikeyMan schreef op woensdag 4 mei 2022 @ 12:35:
[...]
Google leek ivm privacy af te vallen hier, zal de andere twee eens bekijken, thanks.

Ik zie drie andere (1.1.1.1 is Cloudflare).
En al eens gedacht over Pi-Hole, met name in combinatie met Unbound?

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

woensdag 4 mei 2022 14:35

Acties:

0 Henk 'm!

Anoniem: 767041

Freee!! schreef op woensdag 4 mei 2022 @ 12:38:
[...]

Ik zie drie andere (1.1.1.1 is Cloudflare).
En al eens gedacht over Pi-Hole, met name in combinatie met Unbound?

Pihole is gekloot tegenwoordig met cloud alternatieve

vrijdag 6 mei 2022 20:37

Acties:

+1 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Anoniem: 767041 schreef op woensdag 4 mei 2022 @ 14:35:
Pihole is gekloot tegenwoordig met cloud alternatieve

Dikke vette onzin!

Verder kan je natuurlijk ook alleen https://docs.pi-hole.net/guides/dns/unbound/ zonder Pi-Hole draaien en dan effe op een lokale Interface i.p.v. alleen Localhost actief laten zijn!

MikeyMan schreef op woensdag 4 mei 2022 @ 10:51:
Lang stil in dit topic. Iemand nog tips voor een snelle dns service?

Bovenstaan dus

Ziggo lijkt wat achteruit te gaan de laatste tijd.

Die hebben regelmatig problemen gekend dus daarvan wil je sowieso niet afhankelijk zijn!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

vrijdag 6 mei 2022 21:29

Acties:

0 Henk 'm!

Anoniem: 767041

nero355 schreef op vrijdag 6 mei 2022 @ 20:37:
[...]

Dikke vette onzin!

Verder kan je natuurlijk ook alleen https://docs.pi-hole.net/guides/dns/unbound/ zonder Pi-Hole draaien en dan effe op een lokale Interface i.p.v. alleen Localhost actief laten zijn!

[...]

Bovenstaan dus

[...]

Die hebben regelmatig problemen gekend dus daarvan wil je sowieso niet afhankelijk zijn!

Neehoor geen onzin, voor buiten is het ook irritant

vrijdag 6 mei 2022 21:55

Acties:

+1 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Anoniem: 767041 schreef op vrijdag 6 mei 2022 @ 21:29:
Neehoor geen onzin, voor buiten is het ook irritant

Met PiVPN binnen enkele minuten gefixt!

En je bent niet van een derde (commerciële) partij afhankelijk!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

vrijdag 6 mei 2022 22:31

Acties:

0 Henk 'm!

Anoniem: 767041

nero355 schreef op vrijdag 6 mei 2022 @ 21:55:
[...]

Met PiVPN binnen enkele minuten gefixt!

En je bent niet van een derde (commerciële) partij afhankelijk!

wel van hardware thuis, en als jij niet thuis bent... oopsie

zaterdag 7 mei 2022 14:44

Acties:

+1 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Anoniem: 767041 schreef op vrijdag 6 mei 2022 @ 22:31:
wel van hardware thuis, en als jij niet thuis bent... oopsie

Dat kan je van alles zeggen en ook als je thuis bent kan iets ineens kapot zijn dus dat is geen reden om het niet te doen!

En anders neem je zo'n € 1 VPS in die oh zo fantastische "Cloud" en host je daar alles op!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

zaterdag 7 mei 2022 15:04

Acties:

+5 Henk 'm!

oudje67

Somewhere I'm better than you!

Ik snap niet dat mensen externe SNS servers gebruiken vanwege privacy. Want privacy en gebruik maken van 1 dienst voor alle dns staat haaks op elkaar.

Zelfde als DNS over HTTPS, dat is gewoon een antwoord van Facebook, Google en Cloudflare om er voor te zorgen dat reclame en profiling niet meer eenvoudig geblokkeerd kan worden.

De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.

Heb je een PiHole of een NAS met DNS server dan heb je daarvoor al de standaard tools tot je beschikking.

Human invented Computer, so if you can't fix your computer issue, you are a Loser with a capital L. Because your not a Human after all.

zaterdag 7 mei 2022 15:15

Acties:

0 Henk 'm!

Anoniem: 767041

nero355 schreef op zaterdag 7 mei 2022 @ 14:44:
[...]

Dat kan je van alles zeggen en ook als je thuis bent kan iets ineens kapot zijn dus dat is geen reden om het niet te doen!

En anders neem je zo'n € 1 VPS in die oh zo fantastische "Cloud" en host je daar alles op!

Zelf beheren heb ik allemaal geen tijd voor,

zaterdag 7 mei 2022 15:18

Acties:

+4 Henk 'm!

nero355

ph34r my [WCG] Cows :P

Anoniem: 767041 schreef op zaterdag 7 mei 2022 @ 15:15:
Zelf beheren heb ik allemaal geen tijd voor,

Dat is wat anders!

oudje67 schreef op zaterdag 7 mei 2022 @ 15:04:
Ik snap niet dat mensen externe SNS servers gebruiken vanwege privacy. Want privacy en gebruik maken van 1 dienst voor alle dns staat haaks op elkaar.

Zelfde als DNS over HTTPS, dat is gewoon een antwoord van Facebook, Google en Cloudflare om er voor te zorgen dat reclame en profiling niet meer eenvoudig geblokkeerd kan worden.

De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.

Heb je een PiHole of een NAS met DNS server dan heb je daarvoor al de standaard tools tot je beschikking.

Echte Tweakers!

Gelukkig bestaan ze nog!