Het grote privacy-gerichte DNS server topic

Pagina: 1 2 Laatste
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • azerty
  • Registratie: Maart 2009
  • Laatst online: 21:18
Heads up voor de personen die een OpenNIC DNS server van Fusl gebruiken:
Due to recent events (complications with my old employer resulting in getting fired) I will have to put this to stop and discontinue providing most* of the OpenNIC Tier2 servers named "fvz-rec-*".

It is a very hard decision for me to do this but the lack of income and the server costs of about 500€ per month forces it anyway sooner or later, else I'll be broke and things will get worse.
Best om zo snel mogelijk een vervangende server uit te kiezen op https://www.opennicproject.org/nearest-servers/ (of een alternatief te zoeken)...

Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 23:33
Bedankt voor de tip. Paar weken geleden kreeg ik nog een melding tijdens het openen van een webpagina dat je je DNS server(s) moest aanpassen. Nu heb ik nog niks gezien (inmiddels al wel veranderd naar alternatieve servers).
Maar zou onderstaande DNS server ook horen bij het "fvz-rec-" rijtje dat wordt opgeheven ?

84.200.70.40 fvz-rec-be-okp-01.dnsrec.meo.ws Accelerated IT Services GmbH

-Edit: bij een nieuwe test op www.dnsleaktest.com komt dit tevoorschijn :

192.71.249.83 fvz-rec-be-okp-01.dnsrec.meo.ws Resilans AB

zijn DNS.WATCH en 192.71.249.83 dezelfde ??

[ Voor 19% gewijzigd door EverLast2002 op 07-10-2015 20:09 ]


Acties:
  • 0 Henk 'm!

  • azerty
  • Registratie: Maart 2009
  • Laatst online: 21:18
EverLast2002 schreef op woensdag 07 oktober 2015 @ 20:03:
Bedankt voor de tip. Paar weken geleden kreeg ik nog een melding tijdens het openen van een webpagina dat je je DNS server(s) moest aanpassen. Nu heb ik nog niks gezien (inmiddels al wel veranderd naar alternatieve servers).
Maar zou onderstaande DNS server ook horen bij het "fvz-rec-" rijtje dat wordt opgeheven ?

84.200.70.40 fvz-rec-be-okp-01.dnsrec.meo.ws Accelerated IT Services GmbH

-Edit: bij een nieuwe test op www.dnsleaktest.com komt dit tevoorschijn :

192.71.249.83 fvz-rec-be-okp-01.dnsrec.meo.ws Resilans AB

zijn DNS.WATCH en 192.71.249.83 dezelfde ??
Ik heb gisteren met Fusl gemaild, en enkel de servers die gesponsord zijn in het rijtje van de "fvz-rec-" blijven in principe online.

Ik zou tijdelijk overschakelen op een non-Fusl server, en dan binnen een week of 2-3 kijken wat er nog online is. Voor zover ik mij kan herinneren was de server in België (in Oostkamp) gesponsord, en zou dus online moeten blijven.

De lijst met servers van Fusl die *wel* online blijven, is hier te vinden: http://dnsrec.meo.ws/. Daar kun je ook zien dat de Belgische server online blijft.

DNS.watch heeft zo te zien maar 2 resolvers: 84.200.69.80 en 84.200.70.40. Het lijkt me dus niet dat het hetzelfde is :)

[ Voor 7% gewijzigd door azerty op 08-10-2015 18:11 ]


Acties:
  • +1 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 23:33
azerty schreef op donderdag 08 oktober 2015 @ 16:47:


DNS.watch heeft zo te zien maar 2 resolvers: 84.200.69.80 en 84.200.70.40. Het lijkt me dus niet dat het hetzelfde is :)
Oke, helder. Maar ik snap dan niet hoe 1 hostnaam aan 2 verschillende IP adressen komt...(ik ben geen DNS expert).

Acties:
  • 0 Henk 'm!

  • azerty
  • Registratie: Maart 2009
  • Laatst online: 21:18
EverLast2002 schreef op donderdag 08 oktober 2015 @ 21:57:
[...]

Oke, helder. Maar ik snap dan niet hoe 1 hostnaam aan 2 verschillende IP adressen komt...(ik ben geen DNS expert).
Waar heb je dat gezien dan, dat 2 verschillende ip's naar 1 hostnaam terug te leiden zijn?

Acties:
  • 0 Henk 'm!

  • marcop82
  • Registratie: Maart 2013
  • Niet online
2 (logische) netwerkkaarten (84.200.69.80 en 84.200.70.40) en 2 netwerken (84.200.69.80 en 84.200.70.40) kunnen gerust naar 1 hostname gaan. Daargelaten dat er andere oplossingen gebruikt zijn zoals een load-balancer of interne routing.

[ Voor 30% gewijzigd door marcop82 op 09-10-2015 08:24 ]


Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 23:33
azerty schreef op donderdag 08 oktober 2015 @ 22:00:

Waar heb je dat gezien dan, dat 2 verschillende ip's naar 1 hostnaam terug te leiden zijn?
Toen ik op mijn eigen pc 2x een dnsleaktest uitvoerde.

Uitslag test #1:
IP : 84.200.70.40
hostname : fvz-rec-be-okp-01.dnsrec.meo.ws

Uitslag test #2:
IP : 192.71.249.83
hostname : fvz-rec-be-okp-01.dnsrec.meo.ws

:)

Acties:
  • +1 Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 07-05 17:15

CAPSLOCK2000

zie teletekst pagina 888

De beste oplossing is het om zelf een DNS-resolver te draaien. Dat is helemaal niet moeilijk, voor de meeste mensen is het een kwestie van installeren en gaan. Als je DNSSEC serieus wil gebruiken dan moet je bijna een lokale resolver draaien, tenzij je de verbinding tussen jouw werkplek en de server op een andere manier weet te beveiligen of je interne netwerk volledig vertrouwt, anders is het nog steeds mogelijk om DNS te onderscheppen op weg van de resolver naar jouw PC.

Zelf ben ik fan van Unbound, dat is een razendsnelle DNS-resolver die uitblinkt in DNSSEC en ook nog eens lekker licht is.

This post is warranted for the full amount you paid me for it.


Acties:
  • 0 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 06:45
Maar op een gegeven moment zal het verkeer toch je huis uit gaan, welke DNS-servers gebruik jij daar dan vervolgens voor, CAPSLOCK2000 ?

[ Voor 4% gewijzigd door ThinkPad op 09-10-2015 23:52 ]


Acties:
  • 0 Henk 'm!

  • jan99999
  • Registratie: Augustus 2005
  • Laatst online: 07-05 18:03
Een dns request kan gewoon onderschept worden, want ik dacht dat dit werkt zonder encryptie, dus iedereen kan dit zien.
Je zult dus iets van vpn moeten opbouwen, en de vpn party(waar je internet opgaat en dns ophaalt) kunnen vertrouwen.

Acties:
  • 0 Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 07-05 17:15

CAPSLOCK2000

zie teletekst pagina 888

DNSSEC zorgt inderdaad niet voor privacy, dat is alleen om zeker te weten dat de data die je ontvangt niet is veranderd.

DNS-verzoeken gaan nog steeds in cleartext de voordeur uit. Toch helpt het de privacy om je eigen resolver te draaien. Mijn DNS-verzoeken gaan namelijk niet allemaal naar dezelfde server. Wie mij wil afluisteren moet mijn internetverbinding aftappen. Als je één externe server gebruikt dan kan iedereen op het pad van jou naar die server dat afluisteren. Dan heb ik het maar niet over de beheerder van die server.


Er is ook een tegen argument. Als ik naar www.xxx.com zou gaan dan zien de nameservers van .com en xxx.com dat dit verzoek mijn IP komt. Als ik een centrale resolver zou gebruiken dan weten ze dat niet (maar de centrale resolver weer wel).

This post is warranted for the full amount you paid me for it.


Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 23:33
Je tegen argument snap ik. Ik heb thuis Unbound draaien icm pfSense. Wanneer ik de optie "forwarding" uitzet dan is mijn externe eigen IP adres zo te achterhalen. Bijv met DNSleaktest.com.
Zet ik forwarding uit dan zijn de ingevulde externe DNS servers zichtbaar.
Wat is nu eigenlijk aan te raden, optie 1 of 2 ?

Acties:
  • 0 Henk 'm!

  • azerty
  • Registratie: Maart 2009
  • Laatst online: 21:18
CAPSLOCK2000 schreef op zaterdag 10 oktober 2015 @ 02:16:
...

DNS-verzoeken gaan nog steeds in cleartext de voordeur uit. Toch helpt het de privacy om je eigen resolver te draaien. Mijn DNS-verzoeken gaan namelijk niet allemaal naar dezelfde server. Wie mij wil afluisteren moet mijn internetverbinding aftappen. Als je één externe server gebruikt dan kan iedereen op het pad van jou naar die server dat afluisteren. Dan heb ik het maar niet over de beheerder van die server.

...
Je zou eens kunnen kijken naar https://dnscrypt.org/, al betwijfel ik of de support daarvoor op de top level resolvers gaat werken.

Weet in elk geval dat een deel van de OpenNIC servers DNSCrypt ondersteund :)

Acties:
  • 0 Henk 'm!

  • PrivacyMind
  • Registratie: Maart 2014
  • Laatst online: 25-06-2022
Ik zou graag advertenties, trackers en malware willen blockeren doormiddel van een zelfopgezette DNS server. Nu gebruik ik een host file om mijn laptop, waarop ik advertenties, trackers en malware blokker. Maar ik zou graag bij alle apparaten in mijn netwerk deze sites blokkeren.

Edit 1: ik heb niet goed gezocht. Hierbij op het synology form staat hoe je je DNS op je synology kan gebruiken om websites te blokkeren.

[ Voor 66% gewijzigd door PrivacyMind op 23-09-2017 13:51 ]


  • garp
  • Registratie: Augustus 2000
  • Laatst online: 09-04 18:32
Kijk eens naar pi-hole.

Dat kan wat je wilt, wordt onderhouden en biedt mogelijkheden tot additionele, handmatige black- en whitelisting.

Geen idee hoe makkelijk het is te installeren op een Synology NAS, maar ik zou zeggen: duik lekker in de materie!

Acties:
  • 0 Henk 'm!

  • rikster
  • Registratie: November 2007
  • Laatst online: 16-04 17:22
LS.

Ik heb een pi-hole met DNSCrypt draaien thuis en dat werkte altijd naar tevredenheid. Sinds kort (na de laatste update van Pi-Hole en de RasPi) kan ik echter de domeinen vk.nl en volkskrant.nl soms niet benaderen (krant.volkskrant.nl werkt dan weer wel altijd), noch via de Volkskrant-app (op diverse Android apparaten) noch op de PC (FireFox 52.0 èn Chrome 56.0.2924.87 (ja, die is ouder, maar ik gebruik Chrome zelden... na een update naar 57.x.x doet ie het trouwnes nog steeds niet want ERR_NAME_NOT_RESOLVED))

nslookup geeft als adres voor de servers 0.0.0.0, b.v.:

Non-authoritative answer:
Name: ssl-nl.persgroep.edgekey.net
Address: 0.0.0.0
Aliases: www.volkskrant.nl


Tijdelijk disabelen van de pi-hole werkt ook niet. Het lijkt dus (inderdaad) een DNS-probleem. De pi-hole gebruikt dnsmasq als lokale DNS-sever, maar ik kan daarvoor geen vreemde bugs vinden die dit verschijnsel kunnen verklaren.

Iemand een idee? _/-\o_

Acties:
  • +1 Henk 'm!

  • Belgar
  • Registratie: Januari 2002
  • Laatst online: 03-05 18:33

Belgar

Archmaster ranzige code..

Heb je al de verschillende crypt end-points uitgesloten? Ik heb eenzelfde instelling, maar ik krijg op de genoemde domeinen gewoon netjes antwoord.

Ik heb even edgekey gechecked en die specifieke url resolved inderdaad naar "local" voor mij, maar in geen van mijn antwoorden wordt verwezen naar edgekey.

...Als het maar werkt


Acties:
  • 0 Henk 'm!

  • rikster
  • Registratie: November 2007
  • Laatst online: 16-04 17:22
@ Belgar
Dank! Een switch naar een ander end-point loste het probleem inderdaad op.
Dat ik daar zelf niet opgekomen ben...suf. Ik schuif hyet af op mijn jet-lag! :-)

Acties:
  • 0 Henk 'm!

  • rain2reign
  • Registratie: Maart 2010
  • Laatst online: 21:16
Ik zag bij de reacties van nieuws: Ziggo heeft dns-storing - update artikel de naam Freenom World DNS Resolver langskomen. Iemand enige ervaring of weet hoe deze gericht staat met betrekking tot privacy?

Ik ben een totale leeghoofd met dit soort dinges als DNS, dus ik dacht ik waag een vraag. :+

Acties:
  • 0 Henk 'm!

  • SRich
  • Registratie: Oktober 2007
  • Laatst online: 30-11-2023
Ken je zelf iets instellen of niet ?

Het grote adblocking topic


Acties:
  • +1 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 00:12
https://quad9.net/#/

weer een leuke speler erbij/ontdekt.

  • 8-Track
  • Registratie: Juli 2000
  • Laatst online: 22-02 16:21

8-Track

 

Quad9 kan voor serieuze privacy ook DNS-over-TLS. Hier staat een how-to om het op te zetten met Stubby (draait op Windows/macOS/Linux). Op GitHub is ook een Docker image beschikbaar.

Bonus linkje: een stub resolver voor Google DNS-over-HTTPS. :)

Acties:
  • 0 Henk 'm!

  • St00mwals
  • Registratie: September 2001
  • Laatst online: 07-05 15:41
En nog simpel in te stellen en te onthouden ook:
9.9.9.9

Acties:
  • 0 Henk 'm!

  • Tigertje
  • Registratie: November 2001
  • Laatst online: 05-02 18:50
Al jaren maak ik gebruik van DNS Watch en vandaag lag die ineens eruit.
Momenteel is de website zelfs niet meer bereikbaar. Voor nu overgestapt naar UncensoredDNS. Meer mensen met problemen?

Acties:
  • 0 Henk 'm!

  • MaxPoweR
  • Registratie: Juni 2000
  • Laatst online: 07-05 16:47

MaxPoweR

-=StopTech=-

Quad 9, gebruik het al een tijdje 👍🏼

Acties:
  • 0 Henk 'm!

  • mclegodude
  • Registratie: November 2013
  • Laatst online: 27-03 23:04
Jelle Z'n dns er maar even uit halen, niet echt te vertrouwen : nieuws: Nederlandse politie arresteert verdachte op verdenking uitvoeren ddos...

Acties:
  • +2 Henk 'm!

377973

Cloudflare is nu ook privacy vriendelijk. Een non logging DNS over https service. https://1.1.1.1

Acties:
  • 0 Henk 'm!

  • GeforceAA
  • Registratie: April 2007
  • Laatst online: 07-11-2024
377973 schreef op maandag 2 april 2018 @ 10:44:
Cloudflare is nu ook privacy vriendelijk. Een non logging DNS over https service. https://1.1.1.1
Is het voor Europeanen niet verstandiger de DNS van je provider te gebruiken ivm beste routing naar de content?

Acties:
  • 0 Henk 'm!

377973

GeforceAA schreef op maandag 2 april 2018 @ 22:03:
[...]


Is het voor Europeanen niet verstandiger de DNS van je provider te gebruiken ivm beste routing naar de content?
Nee want die loggen precies wat je doet. Daarom dit topic ook.

Acties:
  • 0 Henk 'm!

  • 2Dutch
  • Registratie: Juni 2001
  • Niet online

2Dutch

No worries eeh!

GeforceAA schreef op maandag 2 april 2018 @ 22:03:
Is het voor Europeanen niet verstandiger de DNS van je provider te gebruiken ivm beste routing naar de content?
Maakt niet uit, de grotere netwerkproviders hebben zulke deals/routing dat ze een 'lokale' ISP prima matchen of zelfs overtreffen. Bovendien moet je maar eens opletten hoeveel meldingen over "mijn internet doet het niet" worden veroorzaakt door geneuzel met een DNS. Bij Ziggo was het ook een tijdje raak. Ik gebruik zelf al vele jaren openDNS, maar zal deze nieuwe en erg rappe+niet loggende DNS binnenkort eens gaan uitproberen/instellen :)

| The bitterness of poor quality remains long after the sweetness of low price is forgotten |


Acties:
  • +1 Henk 'm!

377973

2Dutch schreef op maandag 2 april 2018 @ 22:37:
[...]

Maakt niet uit, de grotere netwerkproviders hebben zulke deals/routing dat ze een 'lokale' ISP prima matchen of zelfs overtreffen. Bovendien moet je maar eens opletten hoeveel meldingen over "mijn internet doet het niet" worden veroorzaakt door geneuzel met een DNS. Bij Ziggo was het ook een tijdje raak. Ik gebruik zelf al vele jaren openDNS, maar zal deze nieuwe en erg rappe+niet loggende DNS binnenkort eens gaan uitproberen/instellen :)
Ik gebruik hem nu merk geen verschil met XS4ALL of google.

Acties:
  • +1 Henk 'm!

  • 2Dutch
  • Registratie: Juni 2001
  • Niet online

2Dutch

No worries eeh!

377973 schreef op maandag 2 april 2018 @ 22:40:
Ik gebruik hem nu merk geen verschil met XS4ALL of google.
Denk dat de verschillen ook zo klein zijn dat je het niet meer merkt. Maar dat geeft an sich niet, het 'niet loggen' is natuurlijk al helemaal prima :)

| The bitterness of poor quality remains long after the sweetness of low price is forgotten |


Acties:
  • 0 Henk 'm!

  • retep69
  • Registratie: Mei 2010
  • Laatst online: 18-03 22:24
Net even een test gedraaid met de nieuwe dienst van cloudfare (1.0.0.1 en 1.1.1.1). De response is erg snel. Qua privacy geven ze aan dat ze de query data 24 uur bewaren (wellicht om meta data te generen die ze wel langer opslaan). Tevens is tor geblocked, dus dat lijkt me ook een redelijke showstopper.

Acties:
  • 0 Henk 'm!

  • his.dudeness
  • Registratie: Januari 2008
  • Laatst online: 07-05 08:29

his.dudeness

The Dude Abides.

Is het niet handig om juist opzoek te gaan naar DNS servers in Nederland of in ieder geval in Europa? Kwa snelheid en privacy zal dat erg schelen lijkt mij.

Edit: Ik had ergens een lijst van DNS servers gevonden die in Nederland gehost zijn (al stonden er een boel Amerikaanse servers tussen)
Ik heb toen een benchmark software gebruikt om te kijken welke het deden en hoe snel ze waren. Resultaat hier (Excel) of hier (png), benchmark software hier, en het lijst waar ik de meeste van weg heb gegooid uit de benchmark (omdat ze te slecht waren).

Misschien een goed idee om een heleboel DNS servers hiermee te testen en steeds de beste met elkaar vergelijken (en resultaten hier delen)?
retep69 schreef op maandag 14 mei 2018 @ 22:38:
Tevens is tor geblocked, dus dat lijkt me ook een redelijke showstopper.
Ja, nutteloos dus.

[ Voor 78% gewijzigd door his.dudeness op 30-05-2018 00:20 ]


Acties:
  • 0 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 06:45
Je kunt ook zelf een resolver draaien. Met bijv. pfSense als router kan dat. Die vraagt de rootservers waar hij de informatie moet vinden.

Veel privacyvriendelijker kan het volgens mij. Enige nadeel is dat DNS-verzoeken die niet uit de cache komen wat trager zijn, maar ook dat valt wel mee (miliseconden, <1s dus amper merkbaar tijdens browsen).

Acties:
  • 0 Henk 'm!

  • SRich
  • Registratie: Oktober 2007
  • Laatst online: 30-11-2023
retep69 schreef op maandag 14 mei 2018 @ 22:38:
Net even een test gedraaid met de nieuwe dienst van cloudfare (1.0.0.1 en 1.1.1.1). De response is erg snel. Qua privacy geven ze aan dat ze de query data 24 uur bewaren (wellicht om meta data te generen die ze wel langer opslaan). Tevens is tor geblocked, dus dat lijkt me ook een redelijke showstopper.
TOR blokken is wel redelijk uniek, kan je die ook niet bijpassen via de opties die de browser bied?

Het grote adblocking topic


Acties:
  • 0 Henk 'm!

  • HollowGamer
  • Registratie: Februari 2009
  • Niet online
dns.watch lijkt down, heeft iemand een idee waar je status updates kan zien?
Weet iemand toevallig een goed alternatief? Ik gebruik nu weer de Google DNS.

Acties:
  • +1 Henk 'm!

  • Ids
  • Registratie: Oktober 2000
  • Laatst online: 07-05 14:33

Ids

HollowGamer schreef op zaterdag 14 juli 2018 @ 09:52:
dns.watch lijkt down, heeft iemand een idee waar je status updates kan zien?
Weet iemand toevallig een goed alternatief? Ik gebruik nu weer de Google DNS.
Yup, ik had vanochtend ook al geen verbinding. Gebruik nu een combinatie van Free DNS (37.235.1.174, 37.235.1.177) en Censurfridns.DK (91.239.100.100, 89.233.43.71)

En de statusupdates oid zou ik ook niet weten, begin dit jaar was er ook een storing bij DNS.Watch maar behalve een verdwaald berichtje op Twitter van iemand die ook geen verbinding had was er niks te vinden.

[ Voor 17% gewijzigd door Ids op 14-07-2018 10:29 ]


Acties:
  • +2 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Ik vraag mij nog steeds af zeker met de huidige GDPR/AVG waarom je in Nederland niet gewoon de DNS van je provider zou gebruiken. Sorry als ik alleen al bovenstaande lees is het een oplossing voor iets wat geen probleem is, maar wel nieuwe risico's introduceert.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • Toet3r
  • Registratie: Oktober 2001
  • Niet online

Toet3r

¿?

HollowGamer schreef op zaterdag 14 juli 2018 @ 09:52:
dns.watch lijkt down, heeft iemand een idee waar je status updates kan zien?
Weet iemand toevallig een goed alternatief? Ik gebruik nu weer de Google DNS.
Snapte in eerste instantie ook al niet waarom mijn internet het niet deed.
Ben nu weer terug op de dns servers van me isp maar dat vind ik niet echt ideaal.

Pi-Hole: open-source netwerk advertentie blocker


Acties:
  • 0 Henk 'm!

  • HollowGamer
  • Registratie: Februari 2009
  • Niet online
Frogmen schreef op zaterdag 14 juli 2018 @ 11:20:
Ik vraag mij nog steeds af zeker met de huidige GDPR/AVG waarom je in Nederland niet gewoon de DNS van je provider zou gebruiken. Sorry als ik alleen al bovenstaande lees is het een oplossing voor iets wat geen probleem is, maar wel nieuwe risico's introduceert.
Een van de redenen is dat Ziggo niet lekker/helemaal niet werkt met GTA V.
Het lijkt erop dat Rockstar deze range blokkeert. Verder is de DNS niet heel betrouwbaar geweest van Ziggo.

Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Vreemd DNS blokkade beweer je lijkt mij heel erg vreemd, zeker omdat een bedrijf als Ziggo dat meteen op een rechtszaak zou komen te staan als er geen rechterlijk bevel is. Volgens mij is piratebay de enige url met een actieve blokkade.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 23:15
Frogmen schreef op zaterdag 14 juli 2018 @ 16:00:
Vreemd DNS blokkade beweer je lijkt mij heel erg vreemd, zeker omdat een bedrijf als Ziggo dat meteen op een rechtszaak zou komen te staan als er geen rechterlijk bevel is. Volgens mij is piratebay de enige url met een actieve blokkade.
Je leest niet goed :P ziggo blokkeerd niks maar rockstar.

Cloud ☁️


Acties:
  • +1 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
HKLM_ schreef op zaterdag 14 juli 2018 @ 16:02:
[...]


Je leest niet goed :P ziggo blokkeerd niks maar rockstar.
Als dat zo zou zijn heeft wisseling van DNS ook geen nut. Misschien is een les hoe werkt het internet nuttig! 8)7

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • +1 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 23:15
Frogmen schreef op zaterdag 14 juli 2018 @ 16:06:
[...]

Als dat zo zou zijn heeft wisseling van DNS ook geen nut. Misschien is een les hoe werkt het internet nuttig! 8)7
Voor je zelf neem ik aan? :+

Cloud ☁️


Acties:
  • +1 Henk 'm!

  • crizyz
  • Registratie: Juli 2009
  • Laatst online: 05-02 11:21

crizyz

ne.t.weaker

Frogmen schreef op zaterdag 14 juli 2018 @ 11:20:
Ik vraag mij nog steeds af zeker met de huidige GDPR/AVG waarom je in Nederland niet gewoon de DNS van je provider zou gebruiken. Sorry als ik alleen al bovenstaande lees is het een oplossing voor iets wat geen probleem is, maar wel nieuwe risico's introduceert.
Gaat andersom natuurlijk net zo goed.

Toen ik een paar jaartjes terug nog internet van KPN had, en half Nederland 'geen internet' had doordat hun DNS plat lag, merkte ik er niks van. O-)

En ja, als er iets mis gaat tussen de DNS van Ziggo en sommige servers van Rockstar, wil het wel helpen om een andere DNS te gebruiken uiteraard.

Wie wat blokt is niet helemaal duidelijk, ze wijzen beide met het vingertje naar elkaar, maar dat er iets mis gaat tussen die twee staat wel vast.


Watch.dns lag bij mij er niet compleet uit, maar wel erg traag internet, had flink wat packet loss op hun ip's.

[ Voor 6% gewijzigd door crizyz op 16-07-2018 04:33 ]


Acties:
  • 0 Henk 'm!

  • beerten
  • Registratie: Juni 2003
  • Laatst online: 04-05 14:16
Wat is het nut van (private) dns-servers als je internetverkeer uitgelezen kan worden? Als je privacy wilt, zul je aan de VPN moeten. En een goede vpn-aanbieder biedt zijn eigen DNS-servers aan.

Voor huis-tuin-keukengebruik kan ik uit ervaring OpenDNS afraden. Mijn kinderen konden al geen filmpjes kijken op NPO, publieke omroep.

Acties:
  • 0 Henk 'm!

  • TrJ
  • Registratie: Augustus 2002
  • Laatst online: 04-05 14:06

TrJ

debian

website dns.watch is weer up maar nergens vermelding over downtime. Ik houd het voorlopig even bij de servers van cloudflare op mijn router.

Acties:
  • +1 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
beerten schreef op maandag 16 juli 2018 @ 15:20:
Wat is het nut van (private) dns-servers als je internetverkeer uitgelezen kan worden? Als je privacy wilt, zul je aan de VPN moeten. En een goede vpn-aanbieder biedt zijn eigen DNS-servers aan.

Voor huis-tuin-keukengebruik kan ik uit ervaring OpenDNS afraden. Mijn kinderen konden al geen filmpjes kijken op NPO, publieke omroep.
Want een VPN provider kan je wel vertrouwen en je eigen provider niet. Want wij van WC eend zeggen gebruik WC eend. 8)7

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • beerten
  • Registratie: Juni 2003
  • Laatst online: 04-05 14:16
Frogmen schreef op woensdag 18 juli 2018 @ 20:41:
[...]

Want een VPN provider kan je wel vertrouwen en je eigen provider niet. Want wij van WC eend zeggen gebruik WC eend. 8)7
Waar begin ik over vertrouwen? Ik stel alleen dat uitsluitend 'private dns' niet erg zinvol is.

Acties:
  • 0 Henk 'm!

  • HollowGamer
  • Registratie: Februari 2009
  • Niet online
beerten schreef op maandag 16 juli 2018 @ 15:20:
Wat is het nut van (private) dns-servers als je internetverkeer uitgelezen kan worden? Als je privacy wilt, zul je aan de VPN moeten. En een goede vpn-aanbieder biedt zijn eigen DNS-servers aan.

Voor huis-tuin-keukengebruik kan ik uit ervaring OpenDNS afraden. Mijn kinderen konden al geen filmpjes kijken op NPO, publieke omroep.
Geen idee waarom OpenDNS niet werkt met NPO, maar het lijkt dat deze standaard bepaalde zaken blokkeert.
Ik raad je tevens OpenDNS af omdat deze in Amerika zit en niet echt een schoon verleden heeft (zie Wikipedia).

Een goede en secure DNS heeft een aantal zaken als DNSSEC, slaat geen logging/queries op en bevindt zich niet in Amerika. Privacy heeft dus wel degelijk een toevoeging bij het kiezen van een alternatieve DNS, maar dit had je waarschijnlijk wel geweten als je de topic-start had gelezen onder 'Wat is er dan mis met de standaard DNS server?'.

Acties:
  • 0 Henk 'm!

  • beerten
  • Registratie: Juni 2003
  • Laatst online: 04-05 14:16
HollowGamer schreef op donderdag 19 juli 2018 @ 16:57:
[...]

Geen idee waarom OpenDNS niet werkt met NPO, maar het lijkt dat deze standaard bepaalde zaken blokkeert.
Ik raad je tevens OpenDNS af omdat deze in Amerika zit en niet echt een schoon verleden heeft (zie Wikipedia).

Een goede en secure DNS heeft een aantal zaken als DNSSEC, slaat geen logging/queries op en bevindt zich niet in Amerika. Privacy heeft dus wel degelijk een toevoeging bij het kiezen van een alternatieve DNS, maar dit had je waarschijnlijk wel geweten als je de topic-start had gelezen onder 'Wat is er dan mis met de standaard DNS server?'.
DNS is niet onbelangrijk. Voor mij is het slechts een onderdeel in een groter geheel. Prima natuurlijk dat je minder profileerbaar en traceerbaar bent. Er zijn echter veel meer manieren om je online activiteiten te koppelen aan je identiteit. Je eigen IP-adres is de meest voor de hand liggende. Hier komt VPN om de hoek. Een goede VPN aanbieder heeft zijn eigen DNS-servers. (Of je iedere VPN-aanbieder kunt vertrouwen is een andere discussie)
Het doodsimpele cookie. En als je die weigert is er nog https://amiunique.org/ Een browser geeft allerlei gegevens vrij als taal, besturingssyteem, browser ID's, geinstalleerde plugins etc. Zelfs de manier waarop een met .css stylesheet opgemaakte afbeelding wordt gerenderd is van invloed. Een kenner van webtecnieken zal vast meer technieken op kunnen hoesten.

TS: persoonlijk vind ik een opmerkingen in de OP van dit topic op zijn plaats. DNS-servers zijn zeer zeker niet omnbelangrijk, edoch een onderdeel van een groter geheel.
Het grote VPN topic, privacy topic

[ Voor 3% gewijzigd door beerten op 20-07-2018 00:39 ]


Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Wat nog veel meer mensen vergeten in dit grote geheel is dat het vooral marketeers zijn die deze data verzamelen verkopen gebruiken en menen er de omzet mee te kunnen verhogen. Hierbij is men niet geinterresseerd in jouw als individu, maar wel in je gedrag als mens en hoe ze jouw kunnen verleiden tot koop. Hierbij beweren ze steeds van alles alleen of het waar is is nog lastiger te achterhalen en steeds weer een afweging. Bijvoorbeeld Google Ads is leuk krijg je traffic maar kost ook geld, voordat je het weet gaat je winst op aan Google dus is dat steeds weer een afweging.
Het punt in deze is dus vooral dat je gedrag van belang is en niet jouw individu. Overigens ben ik nog nooit iets tegen gekomen met DNS logs die verkocht of gebruikt werden in deze, zeker niet in Nederland. De hoeveelheid is al gauw zo groot dat verwerking erg lastig wordt.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • +1 Henk 'm!

  • Bl@ckbird
  • Registratie: November 2000
  • Niet online
@Frogmen, @beerten, @HollowGamer:

Geen idee waarom OpenDNS NPO blokkeert, maar bij mij werkt het gewoon.

OpenDNS / Cisco Umbrella verkoopt geen data, maar het is een big data analytics bedrijf op het gebied van netwerk security. Hoe meer mensen (de betaalde of gratis versie van) OpenDNS / Umbrella gebruiken, hoe meer inzicht men krijgt in malware, botnets, phishing aanvallen, key-exchange van ransomware, etc.
Met de gratis versie wordt dit niet geblokkeerd. Met de betaalde versie (Cisco Umbrella) kan je deze meuk blokkeren. URL filtering op basis van categorieën is ook mogelijk, maar dit is maar een kleine gedeelte van de volledige functionaliteit. Het is de snelste security tool die je kan implementeren; je wijst de DHCP server naar OpenDNS/Umbrella en je bent beschermt.

Met de enterprise variant kan je ook Cisco Anyconnect VPN client gebruiken of een lichtgewicht client. Hiermee kan je integreren via MS Active Directory. Je ziet dan ook een username bij een IP adres. OpenDNS / Cisco Umbrella heeft niets met privacy van doen, maar als je er mee kan voorkomen dat je klantgegevens, betaalgegevens of andere data gelekt wordt, dan heeft OpenDNS / Cisco Umbrella alles met privacy van doen.



~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~


Acties:
  • 0 Henk 'm!

  • HomeServ
  • Registratie: Mei 2005
  • Laatst online: 07-05 17:14

HomeServ

Linux only?

In hoeverre is het zelf draaien van een (of meerdere) dns server(s) privacy gevoelig?
Je haalt toch gegevens op via Root servers om het vervolgens bij een nameserver op te vragen.

Acties:
  • +1 Henk 'm!

  • ijdod
  • Registratie: April 2000
  • Laatst online: 05-05 16:29
HollowGamer schreef op donderdag 19 juli 2018 @ 16:57:
maar dit had je waarschijnlijk wel geweten als je de topic-start had gelezen onder 'Wat is er dan mis met de standaard DNS server?'.
Dat moet nodig geupdate worden nav de AVG. Censuur en beschikbaarheid zijn valide punten, pricacy kan dat zijn, maar daar IP adressen een keihard persoonsgegevens zijn, en logging de verwerking hiervan is, zal een provider daar heel duidelijk in moeten zijn.... uiteraard beschermd de AVG je niet tegen een legitiem (juridisch gezien) verzoek om specifiek jouw logging in te zien. Hoe belangrijk dat is, moet ieder voor zich bepalen, maar ik denk dat enige nuance daar wel op zijn plaats is.
HomeServ schreef op zaterdag 21 juli 2018 @ 12:31:
In hoeverre is het zelf draaien van een (of meerdere) dns server(s) privacy gevoelig?
Je haalt toch gegevens op via Root servers om het vervolgens bij een nameserver op te vragen.
Dat hangt er van af wat je precies wilt beschermen, en hoe je eea ingericht hebt (waar staat je eigen DNS). In de context van je ISP die hun DNS logging kan inzien: veilig. Alle servers die gequeried worden om je request te resolven (ROOT, TLD, enz) zullen je requests kunnen loggen. DNS leaking is ook een risico, maar in feite niet anders dan normaal.

Root don't mean a thing, if you ain't got that ping...


Acties:
  • 0 Henk 'm!

  • HomeServ
  • Registratie: Mei 2005
  • Laatst online: 07-05 17:14

HomeServ

Linux only?

ijdod schreef op zondag 22 juli 2018 @ 11:22:
[...]
Dat hangt er van af wat je precies wilt beschermen, en hoe je eea ingericht hebt (waar staat je eigen DNS). In de context van je ISP die hun DNS logging kan inzien: veilig. Alle servers die gequeried worden om je request te resolven (ROOT, TLD, enz) zullen je requests kunnen loggen. DNS leaking is ook een risico, maar in feite niet anders dan normaal.
Heb 3 DNS servers in mijn eigen netwerk draaien.
Dus alles requests die niet binnen mijn zones staan gaan m'n netwerk uit.

Verder niets ingesteld om uitgaande requests te beveiligen.

Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
HomeServ schreef op zondag 22 juli 2018 @ 19:17:
[...]


Heb 3 DNS servers in mijn eigen netwerk draaien.
Dus alles requests die niet binnen mijn zones staan gaan m'n netwerk uit.

Verder niets ingesteld om uitgaande requests te beveiligen.
Waarom drie? Maar dat doet voor deze discussie niet ter zake, feit is dat alles wat de DNS server niet kent hij bij een hoger gelegen DNS server zal gaan opvragen. De DNS server die je ingesteld hebt op je DNS server.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • HomeServ
  • Registratie: Mei 2005
  • Laatst online: 07-05 17:14

HomeServ

Linux only?

Frogmen schreef op maandag 23 juli 2018 @ 08:07:
[...]

Waarom drie? Maar dat doet voor deze discussie niet ter zake, feit is dat alles wat de DNS server niet kent hij bij een hoger gelegen DNS server zal gaan opvragen. De DNS server die je ingesteld hebt op je DNS server.
Waarom drie? Zodat als ik een systeem herstart niet m'n hele netwerk zonder DNS zit.
Ik heb geen DNS servers opgegeven in mijn DNS servers. Alles wordt direct via de Root servers bij de betreffende nameservers opgevraagd.
Dus geen Google, CloudFlare oid. als lookup.

Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
HomeServ schreef op maandag 23 juli 2018 @ 08:21:
[...]

Waarom drie? Zodat als ik een systeem herstart niet m'n hele netwerk zonder DNS zit.
Ik heb geen DNS servers opgegeven in mijn DNS servers. Alles wordt direct via de Root servers bij de betreffende nameservers opgevraagd.
Dus geen Google, CloudFlare oid. als lookup.
Root servers zijn toch ook gewoon DNS servers alleen nog hoger in de DNS structuur. Het lijkt leuk maar in de praktijk zal het trager werken. Maar waarschijnlijk zijn het Microsoft servers die naar ik gok als je niets instelt gewoon de Microsoft DNS servers gebruiken. Anders kan het niet werken, zonder een DNS structuur werkt het internet niet.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • Cyb
  • Registratie: Augustus 2002
  • Niet online

Cyb

Enkele dagen terug kwam dit bericht voorbij: nieuws: Beveiligingsbedrijf: veel iot-apparaten zijn kwetsbaar voor dns-rebin...

D.m.v. DNS-rebinding kan een willekeurige website (of wat trackers die op een website geinstalleerd staan) jouw thuisnetwerk in kaart brengen en vervolgens apparaten met onvoldoende beveiliging, hacken.

DNS-rebinding bestaat al een tijd, maar ik heb er eigenlijk nooit echt naar gekeken. Maar nu ik een beetje weet hoe de techniek werkt, zie ik er eigenlijk veel risico's in. Trackers/datahandelaren kunnen het ook gebruiken om meer gegevens van je te achterhalen over je thuisnetwerk.

Een goede oplossing tegen DNS rebinding is het gebruik van een DNS server die niet naar lokale adressen resolved. OpenDNS is daar een voorbeeld van: https://umbrella.cisco.co...to-dns-rebinding-attacks/
Maar OpenDNS is kwa privacy misschien niet echt aan te raden:
https://www.infoworld.com...-and-how-to-avoid-it.html, mei 2014:
OpenDNS makes no bones about the fact that it collects and saves DNS logs -- you're able to access your own logs as a feature of setting up a (paid) account. While OpenDNS has an extensive privacy policy, I don't see anything that says explicitly, "we don't sell your DNS logs."
Ziggo DNS doet helaas weinig tegen DNS rebinding, evenmin de Google DNS servers, en Linksys WTCxxxx router DNS. (Zelf getest d.m.v. een test domein.) Net even DD-WRT er op gezet, en dat werkt wel, namelijk met de optie "No DNS Rebind" die standaard al aan staat.

Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Alias geplaatst in Privacy & Beveiliging

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • HomeServ
  • Registratie: Mei 2005
  • Laatst online: 07-05 17:14

HomeServ

Linux only?

Frogmen schreef op maandag 23 juli 2018 @ 08:29:
[...]

Root servers zijn toch ook gewoon DNS servers alleen nog hoger in de DNS structuur. Het lijkt leuk maar in de praktijk zal het trager werken. Maar waarschijnlijk zijn het Microsoft servers die naar ik gok als je niets instelt gewoon de Microsoft DNS servers gebruiken. Anders kan het niet werken, zonder een DNS structuur werkt het internet niet.
Als ik een benchmark doe kom ik er niet slechter vanaf dan Cloudflare of Google.
En nee, geen Microsoft DNS servers maar gewoon bind9/named onder linux.
2x op Raspberries en eentje in een container op m'n linux server.

Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Dat is misschien ook het hele probleem het idee namelijk achter DNS is dat je een server gebruikt die zo dicht mogelijk bij je is en als die iets niet weet ga je hogerop in de hiarchie. Als iedereen meteen de rootservers zou gebruiken werkt het niet meer want die krijgen teveel requests.
Kanttekening hierbij is natuurlijk dat het met de huidige bandbreedte en rekenkracht een beetje achterhaald is en de verschillen niet zo groot. Anderzijds zijn je requests juist bij een Europese DNS server goed beschermd qua privacy onder de AVG.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • Bl@ckbird
  • Registratie: November 2000
  • Niet online
Cyb schreef op maandag 23 juli 2018 @ 13:34:
[...]
Een goede oplossing tegen DNS rebinding is het gebruik van een DNS server die niet naar lokale adressen resolved. OpenDNS is daar een voorbeeld van: https://umbrella.cisco.co...to-dns-rebinding-attacks/
Maar OpenDNS is kwa privacy misschien niet echt aan te raden:
https://www.infoworld.com...-and-how-to-avoid-it.html, mei 2014
Alle aangehaalde artikelen over OpenDNS en privacy zijn van voor 2015. Dus voor de overname van Cisco.
Issues met privacy kan Cisco echt niet hebben, want dit kost ze gewoon klanten.

Voor een geupdate privacy statement, zie:
https://www.cisco.com/c/d...la-privacy-data-sheet.pdf

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~


Acties:
  • +1 Henk 'm!

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Bl@ckbird schreef op dinsdag 24 juli 2018 @ 13:07:
[...]


Alle aangehaalde artikelen over OpenDNS en privacy zijn van voor 2015. Dus voor de overname van Cisco.
Issues met privacy kan Cisco echt niet hebben, want dit kost ze gewoon klanten.

Voor een geupdate privacy statement, zie:
https://www.cisco.com/c/d...la-privacy-data-sheet.pdf
Umbrella of OpenDNS is niet echt bedoeld voor privacy, maar meer voor threat protection.

Cisco bewaart al je queries voor 30 dagen en laat daar ook nog eens analytics op los. Ook zijn de gebonden aan de Amerikaanse wet en zullen de wet volgen als opsporingsinstanties dataverzoeken doen.

De actuele opbrengst van mijn Tibber Homevolt


Acties:
  • 0 Henk 'm!

  • HollowGamer
  • Registratie: Februari 2009
  • Niet online
Inmiddels overgestapt naar 1.1.1.1, beloven de logs enkel één dag te bewaren.
Heb toch meer vertrouwen in Cloudfare dan in Google DNS en andere kleinere.
DNS.watch ging een tijdje goed, maar na alle downtimes ben ik er toch wel een beetje klaar mee, al ben ik allang blij dat partijen moeite doen voor een gratis en privacy+ DNS. :)

Acties:
  • +1 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 06:45
- Xiala.net eruit gehaald, hebben hun diensten gestopt
- Google eruit gehaald, zoals @Brahiewahiewa al aangaf is dat niet echt privacygericht inderdaad :+
- OpenDNS ook eruit gehaald, sinds het door Cisco is overgenomen lijkt mij dit qua privacy ook niet bevorderlijk

Ik heb thuis m'n eigen DNS resolver draaien, heb dat bij m'n Pi-hole ernaast draaien, zie deze handleiding.

Maar zoals op m'n werk staat de gastenwifi standaard naar 8.8.8.8, daar heb ik nu OpenNIC voor ingesteld op m'n telefoon. Beter zou zijn om VPN naar huis op te zetten, maar dat hoeft van mij niet continu. Het gaat mij er ook niet om dat ik m'n werkgever niet vertrouw, maar meer om het #degoogle principe.

  • Freee!!
  • Registratie: December 2002
  • Laatst online: 23:04

Freee!!

Trotse papa van Toon en Len!

ThinkPadd schreef op donderdag 17 januari 2019 @ 10:15:
[...]
Ik heb thuis m'n eigen DNS resolver draaien, heb dat bij m'n Pi-hole ernaast draaien, zie deze handleiding.
Ik heb thuis ook een Pi-Hole en DNS resolver draaien, maar op een net iets andere manier: allebei in een eigen Docker container, scheelt veel problemen met poorten (ze hebben allebei een eigen IP-adres).

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT


Acties:
  • +2 Henk 'm!

  • Kecin
  • Registratie: Juli 2004
  • Niet online

Kecin

Je keek.

ThinkPadd schreef op donderdag 17 januari 2019 @ 10:15:
- Xiala.net eruit gehaald, hebben hun diensten gestopt
- Google eruit gehaald, zoals @Brahiewahiewa al aangaf is dat niet echt privacygericht inderdaad :+
- OpenDNS ook eruit gehaald, sinds het door Cisco is overgenomen lijkt mij dit qua privacy ook niet bevorderlijk

Ik heb thuis m'n eigen DNS resolver draaien, heb dat bij m'n Pi-hole ernaast draaien, zie deze handleiding.

Maar zoals op m'n werk staat de gastenwifi standaard naar 8.8.8.8, daar heb ik nu OpenNIC voor ingesteld op m'n telefoon. Beter zou zijn om VPN naar huis op te zetten, maar dat hoeft van mij niet continu. Het gaat mij er ook niet om dat ik m'n werkgever niet vertrouw, maar meer om het #degoogle principe.
Quad9 heeft tegenwoordig ook DNSSEC :).
Daar nog een vinkje bij :P?

I am not a number, I am a free man! Geld over? Check m'n V&A


Acties:
  • 0 Henk 'm!

Anoniem: 767041

Er is net een nieuw soort DNS service de beta uit gegaan, is nextdns.io te vertrouwen kwa privacy etc?

Acties:
  • 0 Henk 'm!

  • MikeyMan
  • Registratie: Februari 2003
  • Laatst online: 20:40

MikeyMan

Vidi, Vici, Veni

Lang stil in dit topic. Iemand nog tips voor een snelle dns service? Ziggo lijkt wat achteruit te gaan de laatste tijd.

Acties:
  • 0 Henk 'm!

Anoniem: 767041

MikeyMan schreef op woensdag 4 mei 2022 @ 10:51:
Lang stil in dit topic. Iemand nog tips voor een snelle dns service? Ziggo lijkt wat achteruit te gaan de laatste tijd.
Cleanbrowsing.org,
1.1.1.1
Adguard dns
Google dns

Acties:
  • +1 Henk 'm!

  • MikeyMan
  • Registratie: Februari 2003
  • Laatst online: 20:40

MikeyMan

Vidi, Vici, Veni

Anoniem: 767041 schreef op woensdag 4 mei 2022 @ 12:12:
[...]

Cleanbrowsing.org,
1.1.1.1
Adguard dns
Google dns
Google leek ivm privacy af te vallen hier, zal de andere twee eens bekijken, thanks.

Acties:
  • +1 Henk 'm!

  • Freee!!
  • Registratie: December 2002
  • Laatst online: 23:04

Freee!!

Trotse papa van Toon en Len!

MikeyMan schreef op woensdag 4 mei 2022 @ 12:35:
[...]
Google leek ivm privacy af te vallen hier, zal de andere twee eens bekijken, thanks.
Ik zie drie andere (1.1.1.1 is Cloudflare).
En al eens gedacht over Pi-Hole, met name in combinatie met Unbound?

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT


Acties:
  • 0 Henk 'm!

Anoniem: 767041

Freee!! schreef op woensdag 4 mei 2022 @ 12:38:
[...]

Ik zie drie andere (1.1.1.1 is Cloudflare).
En al eens gedacht over Pi-Hole, met name in combinatie met Unbound?
Pihole is gekloot tegenwoordig met cloud alternatieve

Acties:
  • +1 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

Anoniem: 767041 schreef op woensdag 4 mei 2022 @ 14:35:
Pihole is gekloot tegenwoordig met cloud alternatieve
Dikke vette onzin! :/

Verder kan je natuurlijk ook alleen https://docs.pi-hole.net/guides/dns/unbound/ zonder Pi-Hole draaien en dan effe op een lokale Interface i.p.v. alleen Localhost actief laten zijn! :Y) :*)
MikeyMan schreef op woensdag 4 mei 2022 @ 10:51:
Lang stil in dit topic. Iemand nog tips voor een snelle dns service?
Bovenstaan dus :)
Ziggo lijkt wat achteruit te gaan de laatste tijd.
Die hebben regelmatig problemen gekend dus daarvan wil je sowieso niet afhankelijk zijn! ;)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • 0 Henk 'm!

Anoniem: 767041

nero355 schreef op vrijdag 6 mei 2022 @ 20:37:
[...]

Dikke vette onzin! :/

Verder kan je natuurlijk ook alleen https://docs.pi-hole.net/guides/dns/unbound/ zonder Pi-Hole draaien en dan effe op een lokale Interface i.p.v. alleen Localhost actief laten zijn! :Y) :*)


[...]

Bovenstaan dus :)


[...]

Die hebben regelmatig problemen gekend dus daarvan wil je sowieso niet afhankelijk zijn! ;)
Neehoor geen onzin, voor buiten is het ook irritant

Acties:
  • +1 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

Anoniem: 767041 schreef op vrijdag 6 mei 2022 @ 21:29:
Neehoor geen onzin, voor buiten is het ook irritant
Met PiVPN binnen enkele minuten gefixt! :)

En je bent niet van een derde (commerciële) partij afhankelijk! ;)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • 0 Henk 'm!

Anoniem: 767041

nero355 schreef op vrijdag 6 mei 2022 @ 21:55:
[...]

Met PiVPN binnen enkele minuten gefixt! :)

En je bent niet van een derde (commerciële) partij afhankelijk! ;)
wel van hardware thuis, en als jij niet thuis bent... oopsie

Acties:
  • +1 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

Anoniem: 767041 schreef op vrijdag 6 mei 2022 @ 22:31:
wel van hardware thuis, en als jij niet thuis bent... oopsie
Dat kan je van alles zeggen en ook als je thuis bent kan iets ineens kapot zijn dus dat is geen reden om het niet te doen! :)

En anders neem je zo'n € 1 VPS in die oh zo fantastische "Cloud" en host je daar alles op! ;)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • +5 Henk 'm!

  • oudje67
  • Registratie: April 2022
  • Laatst online: 08-05-2022

oudje67

Somewhere I'm better than you!

Ik snap niet dat mensen externe SNS servers gebruiken vanwege privacy. Want privacy en gebruik maken van 1 dienst voor alle dns staat haaks op elkaar.

Zelfde als DNS over HTTPS, dat is gewoon een antwoord van Facebook, Google en Cloudflare om er voor te zorgen dat reclame en profiling niet meer eenvoudig geblokkeerd kan worden.

De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.

Heb je een PiHole of een NAS met DNS server dan heb je daarvoor al de standaard tools tot je beschikking.

Human invented Computer, so if you can't fix your computer issue, you are a Loser with a capital L. Because your not a Human after all.


Acties:
  • 0 Henk 'm!

Anoniem: 767041

nero355 schreef op zaterdag 7 mei 2022 @ 14:44:
[...]

Dat kan je van alles zeggen en ook als je thuis bent kan iets ineens kapot zijn dus dat is geen reden om het niet te doen! :)

En anders neem je zo'n € 1 VPS in die oh zo fantastische "Cloud" en host je daar alles op! ;)
Zelf beheren heb ik allemaal geen tijd voor,
:)

Acties:
  • +4 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

Anoniem: 767041 schreef op zaterdag 7 mei 2022 @ 15:15:
Zelf beheren heb ik allemaal geen tijd voor,
:)
Dat is wat anders! ;)
oudje67 schreef op zaterdag 7 mei 2022 @ 15:04:
Ik snap niet dat mensen externe SNS servers gebruiken vanwege privacy. Want privacy en gebruik maken van 1 dienst voor alle dns staat haaks op elkaar.

Zelfde als DNS over HTTPS, dat is gewoon een antwoord van Facebook, Google en Cloudflare om er voor te zorgen dat reclame en profiling niet meer eenvoudig geblokkeerd kan worden.

De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.

Heb je een PiHole of een NAS met DNS server dan heb je daarvoor al de standaard tools tot je beschikking.
Echte Tweakers!

Gelukkig bestaan ze nog! _O_ 8) d:)b O+

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • +3 Henk 'm!

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 01:21

jurroen

Security en privacy geek

Anoniem: 767041 schreef op zaterdag 7 mei 2022 @ 15:15:
[...]

Zelf beheren heb ik allemaal geen tijd voor,
:)
Uit interesse, wat denk je dat je er qua tijd in zou moeten steken?

Ongevraagde verzoeken per DM beantwoord ik niet, sorry


Acties:
  • +6 Henk 'm!

  • xbeam
  • Registratie: Maart 2002
  • Niet online
Cloudflare logt wel degelijk dat zijn ze netzo als alle Amerikaanse dns providers wettelijk verplicht.

Tweakers heeft hier een security speciale aan gewijd. In Nederland heb je geen enkele rede om bijv 1.1.1.1 en is het al helemaal not done om 8.8.8.8 te gebruiken. Het gebruik er van verslechterd zelf je privacy en prestaties wat betreft open en anoniem internet gebruik.

[ Voor 87% gewijzigd door xbeam op 29-05-2022 17:27 ]

Lesdictische is mijn hash#


Acties:
  • 0 Henk 'm!

  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 06:25
oudje67 schreef op zaterdag 7 mei 2022 @ 15:04:
Ik snap niet dat mensen externe SNS servers gebruiken vanwege privacy. Want privacy en gebruik maken van 1 dienst voor alle dns staat haaks op elkaar.

Zelfde als DNS over HTTPS, dat is gewoon een antwoord van Facebook, Google en Cloudflare om er voor te zorgen dat reclame en profiling niet meer eenvoudig geblokkeerd kan worden.

De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.

Heb je een PiHole of een NAS met DNS server dan heb je daarvoor al de standaard tools tot je beschikking.
Mja - ok. Dit is inderdaad het maximaal haalbare.

Maar is daarmee gegarandeerd dat de eigenaars/beheerders van die root servers die gegevens *niet* loggen en doorverkopen? Of een ISP die de gegevens richting de root servers aftapt, logt en verkoopt voor verdere profilering? :S

Daarnaast denk ik dat de profileringstools tegenwoordig zo goed zijn dat dit soort dingen hooguit een vertragende factor is - en nog niet eens eentje van enige omvang: na een paar minuten/uur is er een eerste resultaat te verwachten. :Y

Noem me paranoia - maar punt is ook dat overheid, ISP's en IT-fabrikanten (hard- en software) hier niet serieus mee bezig zijn omdat ze nul belang hebben bij privacy en anonimiteit! En dat beetje wat ze doen is meer window-dressing dan iets anders. :Y

Mijn inschatting is dat behoudt van privacy een verloren strijd is... beter is om de aan privacy gerelateerde besluitvorming zoveel mogelijk proberen te beïnvloeden... :)

makes it run like clockwork


Acties:
  • +2 Henk 'm!

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Airw0lf schreef op woensdag 15 juni 2022 @ 21:31:
Maar is daarmee gegarandeerd dat de eigenaars/beheerders van die root servers die gegevens *niet* loggen en doorverkopen?
De zone files worden beheerd door ICANN maar de root servers worden gehost door commerciële partijen. Dus wie weet. Maar het enige wat je daar kan zien, is naar welk TLD je gaat (.com, .nl, etc). Als je je daar zorgen over maakt, kan je maar beter eens in de zoveel tijd de hele root zone cachen en lokaal opzoeken.
Maar dan heb je het zelfde probleem 1 niveau lager. Vertrouw je de ccTLD servers?

Punt is, als je Authoritative DNS servers niet vertrouwt, kan je maar beter van het Internet weg blijven.
Mijn inschatting is dat behoudt van privacy een verloren strijd is... beter is om de aan privacy gerelateerde besluitvorming zoveel mogelijk proberen te beïnvloeden... :)
Wel, wat houdt je tegen om op de Web3 trein te springen? Die belooft een hoop ;)

[ Voor 15% gewijzigd door JackBol op 15-06-2022 22:31 ]

De actuele opbrengst van mijn Tibber Homevolt


Acties:
  • 0 Henk 'm!

  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 06:25
JackBol schreef op woensdag 15 juni 2022 @ 22:30:
[...]

De zone files worden beheerd door ICANN maar de root servers worden gehost door commerciële partijen. Dus wie weet. Maar het enige wat je daar kan zien, is naar welk TLD je gaat (.com, .nl, etc). Als je je daar zorgen over maakt, kan je maar beter eens in de zoveel tijd de hele root zone cachen en lokaal opzoeken.
Maar dan heb je het zelfde probleem 1 niveau lager. Vertrouw je de ccTLD servers?

Punt is, als je Authoritative DNS servers niet vertrouwt, kan je maar beter van het Internet weg blijven.

[...]

Wel, wat houdt je tegen om op de Web3 trein te springen? Die belooft een hoop ;)
Punt dat ik wilde maken is dat als het gaat om privacy bescherming het op dit moment eigenlijk niet meer uit maakt - zelfs met die Web3-trein. Want ook daar zitten grote(re) commerciële partijen achter... en die doen dat ook niet uit liefdadigheid... :+

makes it run like clockwork


Acties:
  • +1 Henk 'm!

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Airw0lf schreef op donderdag 16 juni 2022 @ 10:21:
[...]


Punt dat ik wilde maken is dat als het gaat om privacy bescherming het op dit moment eigenlijk niet meer uit maakt - zelfs met die Web3-trein. Want ook daar zitten grote(re) commerciële partijen achter... en die doen dat ook niet uit liefdadigheid... :+
Ik ben het helemaal met je eens. Vrijwel alle DAOs hebben commerciële backing.
Die Jack Dorsey komt nu met het Web5 idee, wat dat probleem weer zou moeten oplossen, maar ja, Jack Dorsey......

De actuele opbrengst van mijn Tibber Homevolt


Acties:
  • +3 Henk 'm!

  • Juup
  • Registratie: Februari 2000
  • Niet online
Airw0lf schreef op woensdag 15 juni 2022 @ 21:31:
Mijn inschatting is dat behoudt van privacy een verloren strijd is...
Ik zie dat anders. Met een paar "simpele" ingrepen kun je het enkele bedrijven veel moeilijker maken om data over je te verzamelen.
En Google en Facebook moeten daarvoor bovenaan je lijstje staan wmb.

Man has 2 testicles but only 1 heart...


Acties:
  • +5 Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 07-05 17:15

CAPSLOCK2000

zie teletekst pagina 888

oudje67 schreef op zaterdag 7 mei 2022 @ 15:04:
De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.
Behalve dan door je VPN-provider, die kijkt nog steeds lekker mee. Een VPN is het probleem verplaatsen. Dan is de vraag of je meer vertrouwen hebt in je ISP of in je VPN (en alle toepasselijke wetten en toezichthouders)?

Voor zover ik weet ondersteunen de root-servers nog geen privacy-vriendelijke (of op z'n minst versleutelde) protocollen. De meeste authorative servers trouwens ook niet. Een beveiligd transportprotocol zoals DNS-over-HTTPS of DNS-over-TLS is een goede eerste stap maar eigenlijk ook niet meer dan een eerste stap. Want wederom is het vooral het probleem verplaatsen naar de resolver. Als je zelf de enige gebruiker en beheerder van die resolver bent heb je wat bereikt maar voor de meeste mensen is dat niet uitvoerbaar zeker als je ook wil privacy wil ten opzichte van je huisgenoten.

De volgende stap is moeiijk: we moeten iets gaan doen met privacy ten opzichte van de beheerder van de resolver. Dat is lastig omdat een resolver (dusver) de spin in het web is die precies ziet wie er welke domeinen bevraagd.
Een mogelijke oplossing is ]Anonymized DNSCRYPT.
De makkelijkste manier om dat te omschrijven is DNS-met-ingebouwde-TOR.
In plaats van direct queries voor gebruikers af te handelen wordt je verkeer doorgespeeld naar andere servers die (een deel van) het werk doen zonder te weten voor wie ze dat doen.


PS. Zelfs als je alleen versleutelde DNS en HTTPS gebruikt ben je nog steeds niet veilig. Met een sniffer kun je nog steeds veel zien aan IP-adressen en SNI-headers.

This post is warranted for the full amount you paid me for it.


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Volledig private gaat 'em praktisch niet worden nee. 100% via Tor, traag en allerhande diensten geblokkeerd.

Elk device een andere zoveel mogelijk te vertrouwen DNS kan. Maar dan kan ik mijn PiHole niet meer gebruiken en die doet IMHO meer qua privacy dan de DNS. Ik heb het daarom eerlijk gezegd opgegeven en gebruik nu alleen DNS.Watch - al overweeg ik Quad9 (filtered) juist wegens de filtering.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +2 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 23:25
In de startpost staat dat Cloudflare geen DNSSEC zou hebben, maar dit klopt niet.

Acties:
  • 0 Henk 'm!

  • Jerie
  • Registratie: April 2007
  • Niet online
CAPSLOCK2000 schreef op dinsdag 21 juni 2022 @ 11:37:
[...]


Behalve dan door je VPN-provider, die kijkt nog steeds lekker mee. Een VPN is het probleem verplaatsen. Dan is de vraag of je meer vertrouwen hebt in je ISP of in je VPN (en alle toepasselijke wetten en toezichthouders)?

Voor zover ik weet ondersteunen de root-servers nog geen privacy-vriendelijke (of op z'n minst versleutelde) protocollen. De meeste authorative servers trouwens ook niet. Een beveiligd transportprotocol zoals DNS-over-HTTPS of DNS-over-TLS is een goede eerste stap maar eigenlijk ook niet meer dan een eerste stap. Want wederom is het vooral het probleem verplaatsen naar de resolver. Als je zelf de enige gebruiker en beheerder van die resolver bent heb je wat bereikt maar voor de meeste mensen is dat niet uitvoerbaar zeker als je ook wil privacy wil ten opzichte van je huisgenoten.

De volgende stap is moeiijk: we moeten iets gaan doen met privacy ten opzichte van de beheerder van de resolver. Dat is lastig omdat een resolver (dusver) de spin in het web is die precies ziet wie er welke domeinen bevraagd.
Een mogelijke oplossing is ]Anonymized DNSCRYPT.
De makkelijkste manier om dat te omschrijven is DNS-met-ingebouwde-TOR.
In plaats van direct queries voor gebruikers af te handelen wordt je verkeer doorgespeeld naar andere servers die (een deel van) het werk doen zonder te weten voor wie ze dat doen.


PS. Zelfs als je alleen versleutelde DNS en HTTPS gebruikt ben je nog steeds niet veilig. Met een sniffer kun je nog steeds veel zien aan IP-adressen en SNI-headers.
(Dikgedrukt door mij.)

Nou, dat veilig moet je zorgvuldig beargumenteren. Ik denk dat je hier doelde op anoniem (wat een zeer hoge lat is, net als 'veilig').

DNS over TLS heeft de chain of trust van root servers naar (cc)TLD naar domain naar subdomain. Het zorgt voor veel overhead en single point of failure. Wat je ook terugziet in downtime sinds het uit is gerold (inclusief downtime op volledige (cc)TLD's :9B)

Daarom zou je DNScrypt kunnen gebruiken, die checkt de chain of trust vanaf client naar server, en de MITM zit meestal op de eerste hop.

Als in: als je adversary de eigenaar is van het (cc)TLD dan heb je grotere problemen.

Wil je resolves doen via Tor, dat zou kunnen, maar dan zou ik wel om de zoveel tijd een nieuwe identity nemen (wat je bij services voor Tor doorgaans wilt voorkomen). Je gaat in het geval van Tor extra latency hebben. M.i. kun je dan net zo goed volledig Tor (Browser) gebruiken.

Nog even het vermelden waard: https://dns0.eu is een volledig Europees initiatief. Quad9 is van origine opgezet door IBM, maar is Zwitsers.

"Nobody is very good at self-reflection, I'm afraid." -- Linus Torvalds. Kindprofielen zijn binnenkort weer beschikbaar.


Acties:
  • 0 Henk 'm!

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 01:21

jurroen

Security en privacy geek

Jerie schreef op donderdag 6 maart 2025 @ 01:41:
[...]
Nou, dat veilig moet je zorgvuldig beargumenteren. Ik denk dat je hier doelde op anoniem (wat een zeer hoge lat is, net als 'veilig').
Je reageert op een post van drie jaar geleden.
Nog even het vermelden waard: https://dns0.eu is een volledig Europees initiatief. Quad9 is van origine opgezet door IBM, maar is Zwitsers.
Voor mijn (adblocking) DNS servers gebruik ik zelf ook wat Europese upstreams middels DoT: Njalla, LibreDNS, Digitale Gesellschaft en Applied Privacy.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry


Acties:
  • +1 Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 07-05 17:15

CAPSLOCK2000

zie teletekst pagina 888

Jerie schreef op donderdag 6 maart 2025 @ 01:41:
(Dikgedrukt door mij.)

Nou, dat veilig moet je zorgvuldig beargumenteren. Ik denk dat je hier doelde op anoniem (wat een zeer hoge lat is, net als 'veilig').
Fair, want ik bedoelde meer dan alleen anonimiteit, voor zover ik dat drie jaar later nog weet. Het zou zelfs kunnen dat ik het met opzet een beetje in het midden heb gelaten.

Mijn punt ging in ieder geval niet over DNS an sich maar over HTTPS en IP. HTTPS lekt hostnames (via SNI). en IP-adressen zijn vrij makkelijk naar één persoon/aansluiting terug te voeren. Je kan dus niet alleen DNS beveiligen maar moet groter kijken naar al je verkeer.
DNS over TLS heeft de chain of trust van root servers naar (cc)TLD naar domain naar subdomain.
Ik weet niet of ik je goed begrijp. De argumenten die je geeft associeer ik met (tegen) DNSSEC maar dan wel een beetje verouderd. De meeste van je punten heb ik al jaren niet meer gehoord omdat ze in praktijk niet spelen. Misschien begrijp ik je helemaal verkeerd en bedoel je echt DNS-over-TLS. Ik ga even uit van DNSSEC.

Het klopt dat er meer storingen zijn met DNSSEC dan zonder maar dat is inherent aan beveiligen. Iedere beveiliging is een extra kans op problemen. In praktijk is het geen probleem.
Ook zonder DNSSEC vallen dingen uit. DNSSEC maakt het zeker ingewikkelder en fragieler maar in praktijk is het goed te behappen.

Laat ik tussen neus en lippen door nog even vermelden dat DNSSEC niks te maken heeft met anonimiteit of privacy maar alleen gaat over authenticatie van de ontvangen info.
Het zorgt voor veel overhead en single point of failure. Wat je ook terugziet in downtime sinds het uit is gerold (inclusief downtime op volledige (cc)TLD's :9B)
Maar net zoals ik duidelijk moet zijn over het woord veilig moet jij duidelijk zijn over het woord "veel". Hoeveel downtime en overhead is er en hoeveel is te veel? Dat zeg ik niet om flauw te doen maar omdat ik denk dat impact overschat.
Single-point-of-failures zie ik niet, waar zitten die?
Daarom zou je DNScrypt kunnen gebruiken, die checkt de chain of trust vanaf client naar server, en de MITM zit meestal op de eerste hop. Als in: als je adversary de eigenaar is van het (cc)TLD dan heb je grotere problemen.
Eerlijk gezegd heb ik moeite om de meerwaarde van (het oorpsronkelijke) DNSCrypt nog te zien nu dns-over-tls en dns-over-https genormaliseerd zijn. Dat bestond nog niet doen dnscrypt werd bedacht en kon pas succesvol worden nadat Letsencrypt de hele wereld van gratis ssl-certificaten kon voorzien.
Ik zie wel nog meerwaarde in de geanonimseerde variant van DNSCrypt.

DNScrypt helpt volgens mij niet tegen gerommel op de resolver zelf en beschermt het verkeer vanaf de resolver. Als de beheerder van de resolver kwaad in de zin heeft dan helpt dnscrypt daar volgens mij niet tegen. DNSSEC wel, in die zin dat je in ieder geval weet dát er gerommeld is.

Excuses als je het niet over DNSSEC had maar dan kan ik je niet volgen. Eerlijk gezegd is mijn kennis van dnscrypt wat roestig dus misschien ligt het aan mij.
Wil je resolves doen via Tor, dat zou kunnen, maar dan zou ik wel om de zoveel tijd een nieuwe identity nemen
Voor de zekerheid, ik had het over anonizemed-dnscrypt, niet over TOR, ook al zijn er wat conceptuele overeenkomsten.

[ Voor 9% gewijzigd door CAPSLOCK2000 op 06-03-2025 13:11 ]

This post is warranted for the full amount you paid me for it.


Acties:
  • 0 Henk 'm!

  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 05-05 15:41

Kabouterplop01

chown -R me base:all

Gebruiken jullie als tweakers ook blocklists voor zgn CNAME trackers?
een cname tracker is een dienst wat een commercieel bedrijf gebruikt om (o.a.) je surfgedrag in kaart te brengen.
Fictief: Je browst naar een webpage en daar zie je in je DNS log, -moet je zelf je recursive resolvertje draaien, een berg van die reclame en andere secondary rommel dns requests voorbij komen.
www.tweakers.net
tracker.tweakers.net <<<< deze heeft een ip adres die niets met het tweakers netwerk te maken heeft en heeft alleen cname verwijzing, van bijvoorbeeld trafficmanager.reclamevanprivacyschendernummer1.com

Hier staat nog wat meer info (en een lijst die je zo in je masjien kunt zetten: https://github.com/AdguardTeam/cname-trackers)

Overigens, hoe check je dat met DOT/DOH? Of gebruiken jullie dat alleen vanaf je eigen resolvertje richting de in TS genoemde diensten?

Probeer je anoniem te zijn is er nog een donkere kant.

Acties:
  • +1 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 06:45
@Kabouterplop01 Die zit al in de ‘OISD Big’ list zie ik, dat is de enige lijst (want zelden false positives) die ik gebruik in Adguard Home: https://oisd.nl/includedlists/big
Ik zie soms mensen met Adguard / Pi-hole die elke mogelijke filterlijst gebruiken, dat zorgt er naar mijn mening alleen maar voor dat er dingen stuk gaan (websites/apps die niet goed laden).

Adguard stuurt requests naar m’n OPNsense router, daar heb ik een aantal Europese(!) DNS ingesteld die via DoT bevraagd worden: https://european-alternatives.eu/category/public-dns

[ Voor 26% gewijzigd door ThinkPad op 16-03-2025 13:26 ]


Acties:
  • 0 Henk 'm!

  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 05-05 15:41

Kabouterplop01

chown -R me base:all

Goed punt, dubbel op hoeft niet. Ik zal eens nakijken hoe dit in mn pfsense gebeurt. En welke lijsten ik er in heb zitten. Ik gebruik geen adguard nl.
thnx!
Pagina: 1 2 Laatste