Het grote privacy-gerichte DNS server topic

Bedankt voor de tip. Paar weken geleden kreeg ik nog een melding tijdens het openen van een webpagina dat je je DNS server(s) moest aanpassen. Nu heb ik nog niks gezien (inmiddels al wel veranderd naar alternatieve servers).
Maar zou onderstaande DNS server ook horen bij het "fvz-rec-" rijtje dat wordt opgeheven ?

84.200.70.40 fvz-rec-be-okp-01.dnsrec.meo.ws Accelerated IT Services GmbH

-Edit: bij een nieuwe test op www.dnsleaktest.com komt dit tevoorschijn :

192.71.249.83 fvz-rec-be-okp-01.dnsrec.meo.ws Resilans AB

zijn DNS.WATCH en 192.71.249.83 dezelfde ??

[ Voor 19% gewijzigd door EverLast2002 op 07-10-2015 20:09 ]

azerty schreef op donderdag 08 oktober 2015 @ 16:47:


DNS.watch heeft zo te zien maar 2 resolvers: 84.200.69.80 en 84.200.70.40. Het lijkt me dus niet dat het hetzelfde is

Oke, helder. Maar ik snap dan niet hoe 1 hostnaam aan 2 verschillende IP adressen komt...(ik ben geen DNS expert).

2 (logische) netwerkkaarten (84.200.69.80 en 84.200.70.40) en 2 netwerken (84.200.69.80 en 84.200.70.40) kunnen gerust naar 1 hostname gaan. Daargelaten dat er andere oplossingen gebruikt zijn zoals een load-balancer of interne routing.

[ Voor 30% gewijzigd door marcop82 op 09-10-2015 08:24 ]

azerty schreef op donderdag 08 oktober 2015 @ 22:00:

Waar heb je dat gezien dan, dat 2 verschillende ip's naar 1 hostnaam terug te leiden zijn?

Toen ik op mijn eigen pc 2x een dnsleaktest uitvoerde.

Uitslag test #1:
IP : 84.200.70.40
hostname : fvz-rec-be-okp-01.dnsrec.meo.ws

Uitslag test #2:
IP : 192.71.249.83
hostname : fvz-rec-be-okp-01.dnsrec.meo.ws

De beste oplossing is het om zelf een DNS-resolver te draaien. Dat is helemaal niet moeilijk, voor de meeste mensen is het een kwestie van installeren en gaan. Als je DNSSEC serieus wil gebruiken dan moet je bijna een lokale resolver draaien, tenzij je de verbinding tussen jouw werkplek en de server op een andere manier weet te beveiligen of je interne netwerk volledig vertrouwt, anders is het nog steeds mogelijk om DNS te onderscheppen op weg van de resolver naar jouw PC.

Zelf ben ik fan van Unbound, dat is een razendsnelle DNS-resolver die uitblinkt in DNSSEC en ook nog eens lekker licht is.

Een dns request kan gewoon onderschept worden, want ik dacht dat dit werkt zonder encryptie, dus iedereen kan dit zien.
Je zult dus iets van vpn moeten opbouwen, en de vpn party(waar je internet opgaat en dns ophaalt) kunnen vertrouwen.

DNSSEC zorgt inderdaad niet voor privacy, dat is alleen om zeker te weten dat de data die je ontvangt niet is veranderd.

DNS-verzoeken gaan nog steeds in cleartext de voordeur uit. Toch helpt het de privacy om je eigen resolver te draaien. Mijn DNS-verzoeken gaan namelijk niet allemaal naar dezelfde server. Wie mij wil afluisteren moet mijn internetverbinding aftappen. Als je één externe server gebruikt dan kan iedereen op het pad van jou naar die server dat afluisteren. Dan heb ik het maar niet over de beheerder van die server.


Er is ook een tegen argument. Als ik naar www.xxx.com zou gaan dan zien de nameservers van .com en xxx.com dat dit verzoek mijn IP komt. Als ik een centrale resolver zou gebruiken dan weten ze dat niet (maar de centrale resolver weer wel).

Je tegen argument snap ik. Ik heb thuis Unbound draaien icm pfSense. Wanneer ik de optie "forwarding" uitzet dan is mijn externe eigen IP adres zo te achterhalen. Bijv met DNSleaktest.com.
Zet ik forwarding uit dan zijn de ingevulde externe DNS servers zichtbaar.
Wat is nu eigenlijk aan te raden, optie 1 of 2 ?

Ik zou graag advertenties, trackers en malware willen blockeren doormiddel van een zelfopgezette DNS server. Nu gebruik ik een host file om mijn laptop, waarop ik advertenties, trackers en malware blokker. Maar ik zou graag bij alle apparaten in mijn netwerk deze sites blokkeren.

Edit 1: ik heb niet goed gezocht. Hierbij op het synology form staat hoe je je DNS op je synology kan gebruiken om websites te blokkeren.

[ Voor 66% gewijzigd door PrivacyMind op 23-09-2017 13:51 ]

Kijk eens naar pi-hole.

Dat kan wat je wilt, wordt onderhouden en biedt mogelijkheden tot additionele, handmatige black- en whitelisting.

Geen idee hoe makkelijk het is te installeren op een Synology NAS, maar ik zou zeggen: duik lekker in de materie!

LS.

Ik heb een pi-hole met DNSCrypt draaien thuis en dat werkte altijd naar tevredenheid. Sinds kort (na de laatste update van Pi-Hole en de RasPi) kan ik echter de domeinen vk.nl en volkskrant.nl soms niet benaderen (krant.volkskrant.nl werkt dan weer wel altijd), noch via de Volkskrant-app (op diverse Android apparaten) noch op de PC (FireFox 52.0 èn Chrome 56.0.2924.87 (ja, die is ouder, maar ik gebruik Chrome zelden... na een update naar 57.x.x doet ie het trouwnes nog steeds niet want ERR_NAME_NOT_RESOLVED))

nslookup geeft als adres voor de servers 0.0.0.0, b.v.:

Non-authoritative answer:
Name: ssl-nl.persgroep.edgekey.net
Address: 0.0.0.0
Aliases: www.volkskrant.nl


Tijdelijk disabelen van de pi-hole werkt ook niet. Het lijkt dus (inderdaad) een DNS-probleem. De pi-hole gebruikt dnsmasq als lokale DNS-sever, maar ik kan daarvoor geen vreemde bugs vinden die dit verschijnsel kunnen verklaren.

Iemand een idee?

Heb je al de verschillende crypt end-points uitgesloten? Ik heb eenzelfde instelling, maar ik krijg op de genoemde domeinen gewoon netjes antwoord.

Ik heb even edgekey gechecked en die specifieke url resolved inderdaad naar "local" voor mij, maar in geen van mijn antwoorden wordt verwezen naar edgekey.

@ Belgar
Dank! Een switch naar een ander end-point loste het probleem inderdaad op.
Dat ik daar zelf niet opgekomen ben...suf. Ik schuif hyet af op mijn jet-lag! :-)

Ik zag bij de reacties van nieuws: Ziggo heeft dns-storing - update artikel de naam Freenom World DNS Resolver langskomen. Iemand enige ervaring of weet hoe deze gericht staat met betrekking tot privacy?

Ik ben een totale leeghoofd met dit soort dinges als DNS, dus ik dacht ik waag een vraag.

Ken je zelf iets instellen of niet ?

https://quad9.net/#/

weer een leuke speler erbij/ontdekt.

stormfly schreef op zaterdag 18 november 2017 @ 21:55:
https://quad9.net/#/

weer een leuke speler erbij/ontdekt.

Quad9 kan voor serieuze privacy ook DNS-over-TLS. Hier staat een how-to om het op te zetten met Stubby (draait op Windows/macOS/Linux). Op GitHub is ook een Docker image beschikbaar.

Bonus linkje: een stub resolver voor Google DNS-over-HTTPS.

stormfly schreef op zaterdag 18 november 2017 @ 21:55:
https://quad9.net/#/

weer een leuke speler erbij/ontdekt.

En nog simpel in te stellen en te onthouden ook:
9.9.9.9

Al jaren maak ik gebruik van DNS Watch en vandaag lag die ineens eruit.
Momenteel is de website zelfs niet meer bereikbaar. Voor nu overgestapt naar UncensoredDNS. Meer mensen met problemen?

Quad 9, gebruik het al een tijdje 👍🏼

Jelle Z'n dns er maar even uit halen, niet echt te vertrouwen : nieuws: Nederlandse politie arresteert verdachte op verdenking uitvoeren ddos...

Cloudflare is nu ook privacy vriendelijk. Een non logging DNS over https service. https://1.1.1.1

377973 schreef op maandag 2 april 2018 @ 10:44:
Cloudflare is nu ook privacy vriendelijk. Een non logging DNS over https service. https://1.1.1.1

Is het voor Europeanen niet verstandiger de DNS van je provider te gebruiken ivm beste routing naar de content?

GeforceAA schreef op maandag 2 april 2018 @ 22:03:
[...]


Is het voor Europeanen niet verstandiger de DNS van je provider te gebruiken ivm beste routing naar de content?

Nee want die loggen precies wat je doet. Daarom dit topic ook.

GeforceAA schreef op maandag 2 april 2018 @ 22:03:
Is het voor Europeanen niet verstandiger de DNS van je provider te gebruiken ivm beste routing naar de content?

Maakt niet uit, de grotere netwerkproviders hebben zulke deals/routing dat ze een 'lokale' ISP prima matchen of zelfs overtreffen. Bovendien moet je maar eens opletten hoeveel meldingen over "mijn internet doet het niet" worden veroorzaakt door geneuzel met een DNS. Bij Ziggo was het ook een tijdje raak. Ik gebruik zelf al vele jaren openDNS, maar zal deze nieuwe en erg rappe+niet loggende DNS binnenkort eens gaan uitproberen/instellen

2Dutch schreef op maandag 2 april 2018 @ 22:37:
[...]

Maakt niet uit, de grotere netwerkproviders hebben zulke deals/routing dat ze een 'lokale' ISP prima matchen of zelfs overtreffen. Bovendien moet je maar eens opletten hoeveel meldingen over "mijn internet doet het niet" worden veroorzaakt door geneuzel met een DNS. Bij Ziggo was het ook een tijdje raak. Ik gebruik zelf al vele jaren openDNS, maar zal deze nieuwe en erg rappe+niet loggende DNS binnenkort eens gaan uitproberen/instellen

Ik gebruik hem nu merk geen verschil met XS4ALL of google.

377973 schreef op maandag 2 april 2018 @ 22:40:
Ik gebruik hem nu merk geen verschil met XS4ALL of google.

Denk dat de verschillen ook zo klein zijn dat je het niet meer merkt. Maar dat geeft an sich niet, het 'niet loggen' is natuurlijk al helemaal prima

Net even een test gedraaid met de nieuwe dienst van cloudfare (1.0.0.1 en 1.1.1.1). De response is erg snel. Qua privacy geven ze aan dat ze de query data 24 uur bewaren (wellicht om meta data te generen die ze wel langer opslaan). Tevens is tor geblocked, dus dat lijkt me ook een redelijke showstopper.

Is het niet handig om juist opzoek te gaan naar DNS servers in Nederland of in ieder geval in Europa? Kwa snelheid en privacy zal dat erg schelen lijkt mij.

Edit: Ik had ergens een lijst van DNS servers gevonden die in Nederland gehost zijn (al stonden er een boel Amerikaanse servers tussen)
Ik heb toen een benchmark software gebruikt om te kijken welke het deden en hoe snel ze waren. Resultaat hier (Excel) of hier (png), benchmark software hier, en het lijst waar ik de meeste van weg heb gegooid uit de benchmark (omdat ze te slecht waren).

Misschien een goed idee om een heleboel DNS servers hiermee te testen en steeds de beste met elkaar vergelijken (en resultaten hier delen)?

retep69 schreef op maandag 14 mei 2018 @ 22:38:
Tevens is tor geblocked, dus dat lijkt me ook een redelijke showstopper.

Ja, nutteloos dus.

[ Voor 78% gewijzigd door his.dudeness op 30-05-2018 00:20 ]

retep69 schreef op maandag 14 mei 2018 @ 22:38:
Net even een test gedraaid met de nieuwe dienst van cloudfare (1.0.0.1 en 1.1.1.1). De response is erg snel. Qua privacy geven ze aan dat ze de query data 24 uur bewaren (wellicht om meta data te generen die ze wel langer opslaan). Tevens is tor geblocked, dus dat lijkt me ook een redelijke showstopper.

TOR blokken is wel redelijk uniek, kan je die ook niet bijpassen via de opties die de browser bied?

dns.watch lijkt down, heeft iemand een idee waar je status updates kan zien?
Weet iemand toevallig een goed alternatief? Ik gebruik nu weer de Google DNS.

HollowGamer schreef op zaterdag 14 juli 2018 @ 09:52:
dns.watch lijkt down, heeft iemand een idee waar je status updates kan zien?
Weet iemand toevallig een goed alternatief? Ik gebruik nu weer de Google DNS.

Yup, ik had vanochtend ook al geen verbinding. Gebruik nu een combinatie van Free DNS (37.235.1.174, 37.235.1.177) en Censurfridns.DK (91.239.100.100, 89.233.43.71)

En de statusupdates oid zou ik ook niet weten, begin dit jaar was er ook een storing bij DNS.Watch maar behalve een verdwaald berichtje op Twitter van iemand die ook geen verbinding had was er niks te vinden.

[ Voor 17% gewijzigd door Ids op 14-07-2018 10:29 ]

Ik vraag mij nog steeds af zeker met de huidige GDPR/AVG waarom je in Nederland niet gewoon de DNS van je provider zou gebruiken. Sorry als ik alleen al bovenstaande lees is het een oplossing voor iets wat geen probleem is, maar wel nieuwe risico's introduceert.

HollowGamer schreef op zaterdag 14 juli 2018 @ 09:52:
dns.watch lijkt down, heeft iemand een idee waar je status updates kan zien?
Weet iemand toevallig een goed alternatief? Ik gebruik nu weer de Google DNS.

Snapte in eerste instantie ook al niet waarom mijn internet het niet deed.
Ben nu weer terug op de dns servers van me isp maar dat vind ik niet echt ideaal.

Frogmen schreef op zaterdag 14 juli 2018 @ 11:20:
Ik vraag mij nog steeds af zeker met de huidige GDPR/AVG waarom je in Nederland niet gewoon de DNS van je provider zou gebruiken. Sorry als ik alleen al bovenstaande lees is het een oplossing voor iets wat geen probleem is, maar wel nieuwe risico's introduceert.

Een van de redenen is dat Ziggo niet lekker/helemaal niet werkt met GTA V.
Het lijkt erop dat Rockstar deze range blokkeert. Verder is de DNS niet heel betrouwbaar geweest van Ziggo.

Vreemd DNS blokkade beweer je lijkt mij heel erg vreemd, zeker omdat een bedrijf als Ziggo dat meteen op een rechtszaak zou komen te staan als er geen rechterlijk bevel is. Volgens mij is piratebay de enige url met een actieve blokkade.

Frogmen schreef op zaterdag 14 juli 2018 @ 16:00:
Vreemd DNS blokkade beweer je lijkt mij heel erg vreemd, zeker omdat een bedrijf als Ziggo dat meteen op een rechtszaak zou komen te staan als er geen rechterlijk bevel is. Volgens mij is piratebay de enige url met een actieve blokkade.

Je leest niet goed ziggo blokkeerd niks maar rockstar.

HKLM_ schreef op zaterdag 14 juli 2018 @ 16:02:
[...]


Je leest niet goed ziggo blokkeerd niks maar rockstar.

Als dat zo zou zijn heeft wisseling van DNS ook geen nut. Misschien is een les hoe werkt het internet nuttig!

Frogmen schreef op zaterdag 14 juli 2018 @ 16:06:
[...]

Als dat zo zou zijn heeft wisseling van DNS ook geen nut. Misschien is een les hoe werkt het internet nuttig!

Voor je zelf neem ik aan?

Frogmen schreef op zaterdag 14 juli 2018 @ 11:20:
Ik vraag mij nog steeds af zeker met de huidige GDPR/AVG waarom je in Nederland niet gewoon de DNS van je provider zou gebruiken. Sorry als ik alleen al bovenstaande lees is het een oplossing voor iets wat geen probleem is, maar wel nieuwe risico's introduceert.

Gaat andersom natuurlijk net zo goed.

Toen ik een paar jaartjes terug nog internet van KPN had, en half Nederland 'geen internet' had doordat hun DNS plat lag, merkte ik er niks van.

En ja, als er iets mis gaat tussen de DNS van Ziggo en sommige servers van Rockstar, wil het wel helpen om een andere DNS te gebruiken uiteraard.

Wie wat blokt is niet helemaal duidelijk, ze wijzen beide met het vingertje naar elkaar, maar dat er iets mis gaat tussen die twee staat wel vast.


Watch.dns lag bij mij er niet compleet uit, maar wel erg traag internet, had flink wat packet loss op hun ip's.

[ Voor 6% gewijzigd door crizyz op 16-07-2018 04:33 ]

Wat is het nut van (private) dns-servers als je internetverkeer uitgelezen kan worden? Als je privacy wilt, zul je aan de VPN moeten. En een goede vpn-aanbieder biedt zijn eigen DNS-servers aan.

Voor huis-tuin-keukengebruik kan ik uit ervaring OpenDNS afraden. Mijn kinderen konden al geen filmpjes kijken op NPO, publieke omroep.

website dns.watch is weer up maar nergens vermelding over downtime. Ik houd het voorlopig even bij de servers van cloudflare op mijn router.

beerten schreef op maandag 16 juli 2018 @ 15:20:
Wat is het nut van (private) dns-servers als je internetverkeer uitgelezen kan worden? Als je privacy wilt, zul je aan de VPN moeten. En een goede vpn-aanbieder biedt zijn eigen DNS-servers aan.

Voor huis-tuin-keukengebruik kan ik uit ervaring OpenDNS afraden. Mijn kinderen konden al geen filmpjes kijken op NPO, publieke omroep.

Want een VPN provider kan je wel vertrouwen en je eigen provider niet. Want wij van WC eend zeggen gebruik WC eend.

Frogmen schreef op woensdag 18 juli 2018 @ 20:41:
[...]

Want een VPN provider kan je wel vertrouwen en je eigen provider niet. Want wij van WC eend zeggen gebruik WC eend.

Waar begin ik over vertrouwen? Ik stel alleen dat uitsluitend 'private dns' niet erg zinvol is.

beerten schreef op maandag 16 juli 2018 @ 15:20:
Wat is het nut van (private) dns-servers als je internetverkeer uitgelezen kan worden? Als je privacy wilt, zul je aan de VPN moeten. En een goede vpn-aanbieder biedt zijn eigen DNS-servers aan.

Voor huis-tuin-keukengebruik kan ik uit ervaring OpenDNS afraden. Mijn kinderen konden al geen filmpjes kijken op NPO, publieke omroep.

Geen idee waarom OpenDNS niet werkt met NPO, maar het lijkt dat deze standaard bepaalde zaken blokkeert.
Ik raad je tevens OpenDNS af omdat deze in Amerika zit en niet echt een schoon verleden heeft (zie Wikipedia).

Een goede en secure DNS heeft een aantal zaken als DNSSEC, slaat geen logging/queries op en bevindt zich niet in Amerika. Privacy heeft dus wel degelijk een toevoeging bij het kiezen van een alternatieve DNS, maar dit had je waarschijnlijk wel geweten als je de topic-start had gelezen onder 'Wat is er dan mis met de standaard DNS server?'.

HollowGamer schreef op donderdag 19 juli 2018 @ 16:57:
[...]

Geen idee waarom OpenDNS niet werkt met NPO, maar het lijkt dat deze standaard bepaalde zaken blokkeert.
Ik raad je tevens OpenDNS af omdat deze in Amerika zit en niet echt een schoon verleden heeft (zie Wikipedia).

Een goede en secure DNS heeft een aantal zaken als DNSSEC, slaat geen logging/queries op en bevindt zich niet in Amerika. Privacy heeft dus wel degelijk een toevoeging bij het kiezen van een alternatieve DNS, maar dit had je waarschijnlijk wel geweten als je de topic-start had gelezen onder 'Wat is er dan mis met de standaard DNS server?'.

DNS is niet onbelangrijk. Voor mij is het slechts een onderdeel in een groter geheel. Prima natuurlijk dat je minder profileerbaar en traceerbaar bent. Er zijn echter veel meer manieren om je online activiteiten te koppelen aan je identiteit. Je eigen IP-adres is de meest voor de hand liggende. Hier komt VPN om de hoek. Een goede VPN aanbieder heeft zijn eigen DNS-servers. (Of je iedere VPN-aanbieder kunt vertrouwen is een andere discussie)
Het doodsimpele cookie. En als je die weigert is er nog https://amiunique.org/ Een browser geeft allerlei gegevens vrij als taal, besturingssyteem, browser ID's, geinstalleerde plugins etc. Zelfs de manier waarop een met .css stylesheet opgemaakte afbeelding wordt gerenderd is van invloed. Een kenner van webtecnieken zal vast meer technieken op kunnen hoesten.

TS: persoonlijk vind ik een opmerkingen in de OP van dit topic op zijn plaats. DNS-servers zijn zeer zeker niet omnbelangrijk, edoch een onderdeel van een groter geheel.
Het grote VPN topic, privacy topic

[ Voor 3% gewijzigd door beerten op 20-07-2018 00:39 ]

Wat nog veel meer mensen vergeten in dit grote geheel is dat het vooral marketeers zijn die deze data verzamelen verkopen gebruiken en menen er de omzet mee te kunnen verhogen. Hierbij is men niet geinterresseerd in jouw als individu, maar wel in je gedrag als mens en hoe ze jouw kunnen verleiden tot koop. Hierbij beweren ze steeds van alles alleen of het waar is is nog lastiger te achterhalen en steeds weer een afweging. Bijvoorbeeld Google Ads is leuk krijg je traffic maar kost ook geld, voordat je het weet gaat je winst op aan Google dus is dat steeds weer een afweging.
Het punt in deze is dus vooral dat je gedrag van belang is en niet jouw individu. Overigens ben ik nog nooit iets tegen gekomen met DNS logs die verkocht of gebruikt werden in deze, zeker niet in Nederland. De hoeveelheid is al gauw zo groot dat verwerking erg lastig wordt.

@Frogmen, @beerten, @HollowGamer:

Geen idee waarom OpenDNS NPO blokkeert, maar bij mij werkt het gewoon.

OpenDNS / Cisco Umbrella verkoopt geen data, maar het is een big data analytics bedrijf op het gebied van netwerk security. Hoe meer mensen (de betaalde of gratis versie van) OpenDNS / Umbrella gebruiken, hoe meer inzicht men krijgt in malware, botnets, phishing aanvallen, key-exchange van ransomware, etc.
Met de gratis versie wordt dit niet geblokkeerd. Met de betaalde versie (Cisco Umbrella) kan je deze meuk blokkeren. URL filtering op basis van categorieën is ook mogelijk, maar dit is maar een kleine gedeelte van de volledige functionaliteit. Het is de snelste security tool die je kan implementeren; je wijst de DHCP server naar OpenDNS/Umbrella en je bent beschermt.

Met de enterprise variant kan je ook Cisco Anyconnect VPN client gebruiken of een lichtgewicht client. Hiermee kan je integreren via MS Active Directory. Je ziet dan ook een username bij een IP adres. OpenDNS / Cisco Umbrella heeft niets met privacy van doen, maar als je er mee kan voorkomen dat je klantgegevens, betaalgegevens of andere data gelekt wordt, dan heeft OpenDNS / Cisco Umbrella alles met privacy van doen.

In hoeverre is het zelf draaien van een (of meerdere) dns server(s) privacy gevoelig?
Je haalt toch gegevens op via Root servers om het vervolgens bij een nameserver op te vragen.

HollowGamer schreef op donderdag 19 juli 2018 @ 16:57:
maar dit had je waarschijnlijk wel geweten als je de topic-start had gelezen onder 'Wat is er dan mis met de standaard DNS server?'.

Dat moet nodig geupdate worden nav de AVG. Censuur en beschikbaarheid zijn valide punten, pricacy kan dat zijn, maar daar IP adressen een keihard persoonsgegevens zijn, en logging de verwerking hiervan is, zal een provider daar heel duidelijk in moeten zijn.... uiteraard beschermd de AVG je niet tegen een legitiem (juridisch gezien) verzoek om specifiek jouw logging in te zien. Hoe belangrijk dat is, moet ieder voor zich bepalen, maar ik denk dat enige nuance daar wel op zijn plaats is.

HomeServ schreef op zaterdag 21 juli 2018 @ 12:31:
In hoeverre is het zelf draaien van een (of meerdere) dns server(s) privacy gevoelig?
Je haalt toch gegevens op via Root servers om het vervolgens bij een nameserver op te vragen.

Dat hangt er van af wat je precies wilt beschermen, en hoe je eea ingericht hebt (waar staat je eigen DNS). In de context van je ISP die hun DNS logging kan inzien: veilig. Alle servers die gequeried worden om je request te resolven (ROOT, TLD, enz) zullen je requests kunnen loggen. DNS leaking is ook een risico, maar in feite niet anders dan normaal.

ijdod schreef op zondag 22 juli 2018 @ 11:22:
[...]
Dat hangt er van af wat je precies wilt beschermen, en hoe je eea ingericht hebt (waar staat je eigen DNS). In de context van je ISP die hun DNS logging kan inzien: veilig. Alle servers die gequeried worden om je request te resolven (ROOT, TLD, enz) zullen je requests kunnen loggen. DNS leaking is ook een risico, maar in feite niet anders dan normaal.

Heb 3 DNS servers in mijn eigen netwerk draaien.
Dus alles requests die niet binnen mijn zones staan gaan m'n netwerk uit.

Verder niets ingesteld om uitgaande requests te beveiligen.

HomeServ schreef op zondag 22 juli 2018 @ 19:17:
[...]


Heb 3 DNS servers in mijn eigen netwerk draaien.
Dus alles requests die niet binnen mijn zones staan gaan m'n netwerk uit.

Verder niets ingesteld om uitgaande requests te beveiligen.

Waarom drie? Maar dat doet voor deze discussie niet ter zake, feit is dat alles wat de DNS server niet kent hij bij een hoger gelegen DNS server zal gaan opvragen. De DNS server die je ingesteld hebt op je DNS server.

Frogmen schreef op maandag 23 juli 2018 @ 08:07:
[...]

Waarom drie? Maar dat doet voor deze discussie niet ter zake, feit is dat alles wat de DNS server niet kent hij bij een hoger gelegen DNS server zal gaan opvragen. De DNS server die je ingesteld hebt op je DNS server.

Waarom drie? Zodat als ik een systeem herstart niet m'n hele netwerk zonder DNS zit.
Ik heb geen DNS servers opgegeven in mijn DNS servers. Alles wordt direct via de Root servers bij de betreffende nameservers opgevraagd.
Dus geen Google, CloudFlare oid. als lookup.

HomeServ schreef op maandag 23 juli 2018 @ 08:21:
[...]

Waarom drie? Zodat als ik een systeem herstart niet m'n hele netwerk zonder DNS zit.
Ik heb geen DNS servers opgegeven in mijn DNS servers. Alles wordt direct via de Root servers bij de betreffende nameservers opgevraagd.
Dus geen Google, CloudFlare oid. als lookup.

Root servers zijn toch ook gewoon DNS servers alleen nog hoger in de DNS structuur. Het lijkt leuk maar in de praktijk zal het trager werken. Maar waarschijnlijk zijn het Microsoft servers die naar ik gok als je niets instelt gewoon de Microsoft DNS servers gebruiken. Anders kan het niet werken, zonder een DNS structuur werkt het internet niet.

Enkele dagen terug kwam dit bericht voorbij: nieuws: Beveiligingsbedrijf: veel iot-apparaten zijn kwetsbaar voor dns-rebin...

D.m.v. DNS-rebinding kan een willekeurige website (of wat trackers die op een website geinstalleerd staan) jouw thuisnetwerk in kaart brengen en vervolgens apparaten met onvoldoende beveiliging, hacken.

DNS-rebinding bestaat al een tijd, maar ik heb er eigenlijk nooit echt naar gekeken. Maar nu ik een beetje weet hoe de techniek werkt, zie ik er eigenlijk veel risico's in. Trackers/datahandelaren kunnen het ook gebruiken om meer gegevens van je te achterhalen over je thuisnetwerk.

Een goede oplossing tegen DNS rebinding is het gebruik van een DNS server die niet naar lokale adressen resolved. OpenDNS is daar een voorbeeld van: https://umbrella.cisco.co...to-dns-rebinding-attacks/
Maar OpenDNS is kwa privacy misschien niet echt aan te raden:
https://www.infoworld.com...-and-how-to-avoid-it.html, mei 2014:

OpenDNS makes no bones about the fact that it collects and saves DNS logs -- you're able to access your own logs as a feature of setting up a (paid) account. While OpenDNS has an extensive privacy policy, I don't see anything that says explicitly, "we don't sell your DNS logs."

Ziggo DNS doet helaas weinig tegen DNS rebinding, evenmin de Google DNS servers, en Linksys WTCxxxx router DNS. (Zelf getest d.m.v. een test domein.) Net even DD-WRT er op gezet, en dat werkt wel, namelijk met de optie "No DNS Rebind" die standaard al aan staat.

Frogmen schreef op maandag 23 juli 2018 @ 08:29:
[...]

Root servers zijn toch ook gewoon DNS servers alleen nog hoger in de DNS structuur. Het lijkt leuk maar in de praktijk zal het trager werken. Maar waarschijnlijk zijn het Microsoft servers die naar ik gok als je niets instelt gewoon de Microsoft DNS servers gebruiken. Anders kan het niet werken, zonder een DNS structuur werkt het internet niet.

Als ik een benchmark doe kom ik er niet slechter vanaf dan Cloudflare of Google.
En nee, geen Microsoft DNS servers maar gewoon bind9/named onder linux.
2x op Raspberries en eentje in een container op m'n linux server.

Dat is misschien ook het hele probleem het idee namelijk achter DNS is dat je een server gebruikt die zo dicht mogelijk bij je is en als die iets niet weet ga je hogerop in de hiarchie. Als iedereen meteen de rootservers zou gebruiken werkt het niet meer want die krijgen teveel requests.
Kanttekening hierbij is natuurlijk dat het met de huidige bandbreedte en rekenkracht een beetje achterhaald is en de verschillen niet zo groot. Anderzijds zijn je requests juist bij een Europese DNS server goed beschermd qua privacy onder de AVG.

Cyb schreef op maandag 23 juli 2018 @ 13:34:
[...]
Een goede oplossing tegen DNS rebinding is het gebruik van een DNS server die niet naar lokale adressen resolved. OpenDNS is daar een voorbeeld van: https://umbrella.cisco.co...to-dns-rebinding-attacks/
Maar OpenDNS is kwa privacy misschien niet echt aan te raden:
https://www.infoworld.com...-and-how-to-avoid-it.html, mei 2014

Alle aangehaalde artikelen over OpenDNS en privacy zijn van voor 2015. Dus voor de overname van Cisco.
Issues met privacy kan Cisco echt niet hebben, want dit kost ze gewoon klanten.

Voor een geupdate privacy statement, zie:
https://www.cisco.com/c/d...la-privacy-data-sheet.pdf

Bl@ckbird schreef op dinsdag 24 juli 2018 @ 13:07:
[...]


Alle aangehaalde artikelen over OpenDNS en privacy zijn van voor 2015. Dus voor de overname van Cisco.
Issues met privacy kan Cisco echt niet hebben, want dit kost ze gewoon klanten.

Voor een geupdate privacy statement, zie:
https://www.cisco.com/c/d...la-privacy-data-sheet.pdf

Umbrella of OpenDNS is niet echt bedoeld voor privacy, maar meer voor threat protection.

Cisco bewaart al je queries voor 30 dagen en laat daar ook nog eens analytics op los. Ook zijn de gebonden aan de Amerikaanse wet en zullen de wet volgen als opsporingsinstanties dataverzoeken doen.

Inmiddels overgestapt naar 1.1.1.1, beloven de logs enkel één dag te bewaren.
Heb toch meer vertrouwen in Cloudfare dan in Google DNS en andere kleinere.
DNS.watch ging een tijdje goed, maar na alle downtimes ben ik er toch wel een beetje klaar mee, al ben ik allang blij dat partijen moeite doen voor een gratis en privacy+ DNS.

ThinkPadd schreef op donderdag 17 januari 2019 @ 10:15:
[...]
Ik heb thuis m'n eigen DNS resolver draaien, heb dat bij m'n Pi-hole ernaast draaien, zie deze handleiding.

Ik heb thuis ook een Pi-Hole en DNS resolver draaien, maar op een net iets andere manier: allebei in een eigen Docker container, scheelt veel problemen met poorten (ze hebben allebei een eigen IP-adres).

ThinkPadd schreef op donderdag 17 januari 2019 @ 10:15:
- Xiala.net eruit gehaald, hebben hun diensten gestopt
- Google eruit gehaald, zoals @Brahiewahiewa al aangaf is dat niet echt privacygericht inderdaad
- OpenDNS ook eruit gehaald, sinds het door Cisco is overgenomen lijkt mij dit qua privacy ook niet bevorderlijk

Ik heb thuis m'n eigen DNS resolver draaien, heb dat bij m'n Pi-hole ernaast draaien, zie deze handleiding.

Maar zoals op m'n werk staat de gastenwifi standaard naar 8.8.8.8, daar heb ik nu OpenNIC voor ingesteld op m'n telefoon. Beter zou zijn om VPN naar huis op te zetten, maar dat hoeft van mij niet continu. Het gaat mij er ook niet om dat ik m'n werkgever niet vertrouw, maar meer om het #degoogle principe.

Quad9 heeft tegenwoordig ook DNSSEC .
Daar nog een vinkje bij ?

Er is net een nieuw soort DNS service de beta uit gegaan, is nextdns.io te vertrouwen kwa privacy etc?

Lang stil in dit topic. Iemand nog tips voor een snelle dns service? Ziggo lijkt wat achteruit te gaan de laatste tijd.

MikeyMan schreef op woensdag 4 mei 2022 @ 10:51:
Lang stil in dit topic. Iemand nog tips voor een snelle dns service? Ziggo lijkt wat achteruit te gaan de laatste tijd.

Cleanbrowsing.org,
1.1.1.1
Adguard dns
Google dns

Anoniem: 767041 schreef op woensdag 4 mei 2022 @ 12:12:
[...]

Cleanbrowsing.org,
1.1.1.1
Adguard dns
Google dns

Google leek ivm privacy af te vallen hier, zal de andere twee eens bekijken, thanks.

MikeyMan schreef op woensdag 4 mei 2022 @ 12:35:
[...]
Google leek ivm privacy af te vallen hier, zal de andere twee eens bekijken, thanks.

Ik zie drie andere (1.1.1.1 is Cloudflare).
En al eens gedacht over Pi-Hole, met name in combinatie met Unbound?

Freee!! schreef op woensdag 4 mei 2022 @ 12:38:
[...]

Ik zie drie andere (1.1.1.1 is Cloudflare).
En al eens gedacht over Pi-Hole, met name in combinatie met Unbound?

Pihole is gekloot tegenwoordig met cloud alternatieve

Anoniem: 767041 schreef op woensdag 4 mei 2022 @ 14:35:
Pihole is gekloot tegenwoordig met cloud alternatieve

Dikke vette onzin!

Verder kan je natuurlijk ook alleen https://docs.pi-hole.net/guides/dns/unbound/ zonder Pi-Hole draaien en dan effe op een lokale Interface i.p.v. alleen Localhost actief laten zijn!

MikeyMan schreef op woensdag 4 mei 2022 @ 10:51:
Lang stil in dit topic. Iemand nog tips voor een snelle dns service?

Bovenstaan dus

Ziggo lijkt wat achteruit te gaan de laatste tijd.

Die hebben regelmatig problemen gekend dus daarvan wil je sowieso niet afhankelijk zijn!

nero355 schreef op vrijdag 6 mei 2022 @ 20:37:
[...]

Dikke vette onzin!

Verder kan je natuurlijk ook alleen https://docs.pi-hole.net/guides/dns/unbound/ zonder Pi-Hole draaien en dan effe op een lokale Interface i.p.v. alleen Localhost actief laten zijn!


[...]

Bovenstaan dus


[...]

Die hebben regelmatig problemen gekend dus daarvan wil je sowieso niet afhankelijk zijn!

Neehoor geen onzin, voor buiten is het ook irritant

Anoniem: 767041 schreef op vrijdag 6 mei 2022 @ 21:29:
Neehoor geen onzin, voor buiten is het ook irritant

Met PiVPN binnen enkele minuten gefixt!

En je bent niet van een derde (commerciële) partij afhankelijk!

nero355 schreef op vrijdag 6 mei 2022 @ 21:55:
[...]

Met PiVPN binnen enkele minuten gefixt!

En je bent niet van een derde (commerciële) partij afhankelijk!

wel van hardware thuis, en als jij niet thuis bent... oopsie

Anoniem: 767041 schreef op vrijdag 6 mei 2022 @ 22:31:
wel van hardware thuis, en als jij niet thuis bent... oopsie

Dat kan je van alles zeggen en ook als je thuis bent kan iets ineens kapot zijn dus dat is geen reden om het niet te doen!

En anders neem je zo'n € 1 VPS in die oh zo fantastische "Cloud" en host je daar alles op!

Ik snap niet dat mensen externe SNS servers gebruiken vanwege privacy. Want privacy en gebruik maken van 1 dienst voor alle dns staat haaks op elkaar.

Zelfde als DNS over HTTPS, dat is gewoon een antwoord van Facebook, Google en Cloudflare om er voor te zorgen dat reclame en profiling niet meer eenvoudig geblokkeerd kan worden.

De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.

Heb je een PiHole of een NAS met DNS server dan heb je daarvoor al de standaard tools tot je beschikking.

nero355 schreef op zaterdag 7 mei 2022 @ 14:44:
[...]

Dat kan je van alles zeggen en ook als je thuis bent kan iets ineens kapot zijn dus dat is geen reden om het niet te doen!

En anders neem je zo'n € 1 VPS in die oh zo fantastische "Cloud" en host je daar alles op!

Zelf beheren heb ik allemaal geen tijd voor,

Anoniem: 767041 schreef op zaterdag 7 mei 2022 @ 15:15:
Zelf beheren heb ik allemaal geen tijd voor,

Dat is wat anders!

oudje67 schreef op zaterdag 7 mei 2022 @ 15:04:
Ik snap niet dat mensen externe SNS servers gebruiken vanwege privacy. Want privacy en gebruik maken van 1 dienst voor alle dns staat haaks op elkaar.

Zelfde als DNS over HTTPS, dat is gewoon een antwoord van Facebook, Google en Cloudflare om er voor te zorgen dat reclame en profiling niet meer eenvoudig geblokkeerd kan worden.

De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.

Heb je een PiHole of een NAS met DNS server dan heb je daarvoor al de standaard tools tot je beschikking.

Echte Tweakers!

Gelukkig bestaan ze nog!

Anoniem: 767041 schreef op zaterdag 7 mei 2022 @ 15:15:
[...]

Zelf beheren heb ik allemaal geen tijd voor,

Uit interesse, wat denk je dat je er qua tijd in zou moeten steken?

Cloudflare logt wel degelijk dat zijn ze netzo als alle Amerikaanse dns providers wettelijk verplicht.

Tweakers heeft hier een security speciale aan gewijd. In Nederland heb je geen enkele rede om bijv 1.1.1.1 en is het al helemaal not done om 8.8.8.8 te gebruiken. Het gebruik er van verslechterd zelf je privacy en prestaties wat betreft open en anoniem internet gebruik.

[ Voor 87% gewijzigd door xbeam op 29-05-2022 17:27 ]

oudje67 schreef op zaterdag 7 mei 2022 @ 15:04:
Ik snap niet dat mensen externe SNS servers gebruiken vanwege privacy. Want privacy en gebruik maken van 1 dienst voor alle dns staat haaks op elkaar.

Zelfde als DNS over HTTPS, dat is gewoon een antwoord van Facebook, Google en Cloudflare om er voor te zorgen dat reclame en profiling niet meer eenvoudig geblokkeerd kan worden.

De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.

Heb je een PiHole of een NAS met DNS server dan heb je daarvoor al de standaard tools tot je beschikking.

Mja - ok. Dit is inderdaad het maximaal haalbare.

Maar is daarmee gegarandeerd dat de eigenaars/beheerders van die root servers die gegevens *niet* loggen en doorverkopen? Of een ISP die de gegevens richting de root servers aftapt, logt en verkoopt voor verdere profilering?

Daarnaast denk ik dat de profileringstools tegenwoordig zo goed zijn dat dit soort dingen hooguit een vertragende factor is - en nog niet eens eentje van enige omvang: na een paar minuten/uur is er een eerste resultaat te verwachten.

Noem me paranoia - maar punt is ook dat overheid, ISP's en IT-fabrikanten (hard- en software) hier niet serieus mee bezig zijn omdat ze nul belang hebben bij privacy en anonimiteit! En dat beetje wat ze doen is meer window-dressing dan iets anders.

Mijn inschatting is dat behoudt van privacy een verloren strijd is... beter is om de aan privacy gerelateerde besluitvorming zoveel mogelijk proberen te beïnvloeden...

Airw0lf schreef op woensdag 15 juni 2022 @ 21:31:
Maar is daarmee gegarandeerd dat de eigenaars/beheerders van die root servers die gegevens *niet* loggen en doorverkopen?

De zone files worden beheerd door ICANN maar de root servers worden gehost door commerciële partijen. Dus wie weet. Maar het enige wat je daar kan zien, is naar welk TLD je gaat (.com, .nl, etc). Als je je daar zorgen over maakt, kan je maar beter eens in de zoveel tijd de hele root zone cachen en lokaal opzoeken.
Maar dan heb je het zelfde probleem 1 niveau lager. Vertrouw je de ccTLD servers?

Punt is, als je Authoritative DNS servers niet vertrouwt, kan je maar beter van het Internet weg blijven.

Mijn inschatting is dat behoudt van privacy een verloren strijd is... beter is om de aan privacy gerelateerde besluitvorming zoveel mogelijk proberen te beïnvloeden...

Wel, wat houdt je tegen om op de Web3 trein te springen? Die belooft een hoop

[ Voor 15% gewijzigd door JackBol op 15-06-2022 22:31 ]

JackBol schreef op woensdag 15 juni 2022 @ 22:30:
[...]

De zone files worden beheerd door ICANN maar de root servers worden gehost door commerciële partijen. Dus wie weet. Maar het enige wat je daar kan zien, is naar welk TLD je gaat (.com, .nl, etc). Als je je daar zorgen over maakt, kan je maar beter eens in de zoveel tijd de hele root zone cachen en lokaal opzoeken.
Maar dan heb je het zelfde probleem 1 niveau lager. Vertrouw je de ccTLD servers?

Punt is, als je Authoritative DNS servers niet vertrouwt, kan je maar beter van het Internet weg blijven.

[...]

Wel, wat houdt je tegen om op de Web3 trein te springen? Die belooft een hoop

Punt dat ik wilde maken is dat als het gaat om privacy bescherming het op dit moment eigenlijk niet meer uit maakt - zelfs met die Web3-trein. Want ook daar zitten grote(re) commerciële partijen achter... en die doen dat ook niet uit liefdadigheid...

Airw0lf schreef op donderdag 16 juni 2022 @ 10:21:
[...]


Punt dat ik wilde maken is dat als het gaat om privacy bescherming het op dit moment eigenlijk niet meer uit maakt - zelfs met die Web3-trein. Want ook daar zitten grote(re) commerciële partijen achter... en die doen dat ook niet uit liefdadigheid...

Ik ben het helemaal met je eens. Vrijwel alle DAOs hebben commerciële backing.
Die Jack Dorsey komt nu met het Web5 idee, wat dat probleem weer zou moeten oplossen, maar ja, Jack Dorsey......

Airw0lf schreef op woensdag 15 juni 2022 @ 21:31:
Mijn inschatting is dat behoudt van privacy een verloren strijd is...

Ik zie dat anders. Met een paar "simpele" ingrepen kun je het enkele bedrijven veel moeilijker maken om data over je te verzamelen.
En Google en Facebook moeten daarvoor bovenaan je lijstje staan wmb.

oudje67 schreef op zaterdag 7 mei 2022 @ 15:04:
De enige goede en veilige methode is gebruik maken van een eigen caching BIND/DNS server welke zelf de queries naar de Root servers to stuurt. Dan is er nagenoeg geen profiel op te bouwen, zeker wanneer het ook nog eens via een VPN gaat.

Behalve dan door je VPN-provider, die kijkt nog steeds lekker mee. Een VPN is het probleem verplaatsen. Dan is de vraag of je meer vertrouwen hebt in je ISP of in je VPN (en alle toepasselijke wetten en toezichthouders)?

Voor zover ik weet ondersteunen de root-servers nog geen privacy-vriendelijke (of op z'n minst versleutelde) protocollen. De meeste authorative servers trouwens ook niet. Een beveiligd transportprotocol zoals DNS-over-HTTPS of DNS-over-TLS is een goede eerste stap maar eigenlijk ook niet meer dan een eerste stap. Want wederom is het vooral het probleem verplaatsen naar de resolver. Als je zelf de enige gebruiker en beheerder van die resolver bent heb je wat bereikt maar voor de meeste mensen is dat niet uitvoerbaar zeker als je ook wil privacy wil ten opzichte van je huisgenoten.

De volgende stap is moeiijk: we moeten iets gaan doen met privacy ten opzichte van de beheerder van de resolver. Dat is lastig omdat een resolver (dusver) de spin in het web is die precies ziet wie er welke domeinen bevraagd.
Een mogelijke oplossing is ]Anonymized DNSCRYPT.
De makkelijkste manier om dat te omschrijven is DNS-met-ingebouwde-TOR.
In plaats van direct queries voor gebruikers af te handelen wordt je verkeer doorgespeeld naar andere servers die (een deel van) het werk doen zonder te weten voor wie ze dat doen.


PS. Zelfs als je alleen versleutelde DNS en HTTPS gebruikt ben je nog steeds niet veilig. Met een sniffer kun je nog steeds veel zien aan IP-adressen en SNI-headers.

Volledig private gaat 'em praktisch niet worden nee. 100% via Tor, traag en allerhande diensten geblokkeerd.

Elk device een andere zoveel mogelijk te vertrouwen DNS kan. Maar dan kan ik mijn PiHole niet meer gebruiken en die doet IMHO meer qua privacy dan de DNS. Ik heb het daarom eerlijk gezegd opgegeven en gebruik nu alleen DNS.Watch - al overweeg ik Quad9 (filtered) juist wegens de filtering.

In de startpost staat dat Cloudflare geen DNSSEC zou hebben, maar dit klopt niet.

CAPSLOCK2000 schreef op dinsdag 21 juni 2022 @ 11:37:
[...]


Behalve dan door je VPN-provider, die kijkt nog steeds lekker mee. Een VPN is het probleem verplaatsen. Dan is de vraag of je meer vertrouwen hebt in je ISP of in je VPN (en alle toepasselijke wetten en toezichthouders)?

Voor zover ik weet ondersteunen de root-servers nog geen privacy-vriendelijke (of op z'n minst versleutelde) protocollen. De meeste authorative servers trouwens ook niet. Een beveiligd transportprotocol zoals DNS-over-HTTPS of DNS-over-TLS is een goede eerste stap maar eigenlijk ook niet meer dan een eerste stap. Want wederom is het vooral het probleem verplaatsen naar de resolver. Als je zelf de enige gebruiker en beheerder van die resolver bent heb je wat bereikt maar voor de meeste mensen is dat niet uitvoerbaar zeker als je ook wil privacy wil ten opzichte van je huisgenoten.

De volgende stap is moeiijk: we moeten iets gaan doen met privacy ten opzichte van de beheerder van de resolver. Dat is lastig omdat een resolver (dusver) de spin in het web is die precies ziet wie er welke domeinen bevraagd.
Een mogelijke oplossing is ]Anonymized DNSCRYPT.
De makkelijkste manier om dat te omschrijven is DNS-met-ingebouwde-TOR.
In plaats van direct queries voor gebruikers af te handelen wordt je verkeer doorgespeeld naar andere servers die (een deel van) het werk doen zonder te weten voor wie ze dat doen.


PS. Zelfs als je alleen versleutelde DNS en HTTPS gebruikt ben je nog steeds niet veilig. Met een sniffer kun je nog steeds veel zien aan IP-adressen en SNI-headers.

(Dikgedrukt door mij.)

Nou, dat veilig moet je zorgvuldig beargumenteren. Ik denk dat je hier doelde op anoniem (wat een zeer hoge lat is, net als 'veilig').

DNS over TLS heeft de chain of trust van root servers naar (cc)TLD naar domain naar subdomain. Het zorgt voor veel overhead en single point of failure. Wat je ook terugziet in downtime sinds het uit is gerold (inclusief downtime op volledige (cc)TLD's )

Daarom zou je DNScrypt kunnen gebruiken, die checkt de chain of trust vanaf client naar server, en de MITM zit meestal op de eerste hop.

Als in: als je adversary de eigenaar is van het (cc)TLD dan heb je grotere problemen.

Wil je resolves doen via Tor, dat zou kunnen, maar dan zou ik wel om de zoveel tijd een nieuwe identity nemen (wat je bij services voor Tor doorgaans wilt voorkomen). Je gaat in het geval van Tor extra latency hebben. M.i. kun je dan net zo goed volledig Tor (Browser) gebruiken.

Nog even het vermelden waard: https://dns0.eu is een volledig Europees initiatief. Quad9 is van origine opgezet door IBM, maar is Zwitsers.

Jerie schreef op donderdag 6 maart 2025 @ 01:41:
[...]
Nou, dat veilig moet je zorgvuldig beargumenteren. Ik denk dat je hier doelde op anoniem (wat een zeer hoge lat is, net als 'veilig').

Je reageert op een post van drie jaar geleden.

Nog even het vermelden waard: https://dns0.eu is een volledig Europees initiatief. Quad9 is van origine opgezet door IBM, maar is Zwitsers.

Voor mijn (adblocking) DNS servers gebruik ik zelf ook wat Europese upstreams middels DoT: Njalla, LibreDNS, Digitale Gesellschaft en Applied Privacy.

Jerie schreef op donderdag 6 maart 2025 @ 01:41:
(Dikgedrukt door mij.)

Nou, dat veilig moet je zorgvuldig beargumenteren. Ik denk dat je hier doelde op anoniem (wat een zeer hoge lat is, net als 'veilig').

Fair, want ik bedoelde meer dan alleen anonimiteit, voor zover ik dat drie jaar later nog weet. Het zou zelfs kunnen dat ik het met opzet een beetje in het midden heb gelaten.

Mijn punt ging in ieder geval niet over DNS an sich maar over HTTPS en IP. HTTPS lekt hostnames (via SNI). en IP-adressen zijn vrij makkelijk naar één persoon/aansluiting terug te voeren. Je kan dus niet alleen DNS beveiligen maar moet groter kijken naar al je verkeer.

DNS over TLS heeft de chain of trust van root servers naar (cc)TLD naar domain naar subdomain.

Ik weet niet of ik je goed begrijp. De argumenten die je geeft associeer ik met (tegen) DNSSEC maar dan wel een beetje verouderd. De meeste van je punten heb ik al jaren niet meer gehoord omdat ze in praktijk niet spelen. Misschien begrijp ik je helemaal verkeerd en bedoel je echt DNS-over-TLS. Ik ga even uit van DNSSEC.

Het klopt dat er meer storingen zijn met DNSSEC dan zonder maar dat is inherent aan beveiligen. Iedere beveiliging is een extra kans op problemen. In praktijk is het geen probleem.
Ook zonder DNSSEC vallen dingen uit. DNSSEC maakt het zeker ingewikkelder en fragieler maar in praktijk is het goed te behappen.

Laat ik tussen neus en lippen door nog even vermelden dat DNSSEC niks te maken heeft met anonimiteit of privacy maar alleen gaat over authenticatie van de ontvangen info.

Het zorgt voor veel overhead en single point of failure. Wat je ook terugziet in downtime sinds het uit is gerold (inclusief downtime op volledige (cc)TLD's )

Maar net zoals ik duidelijk moet zijn over het woord veilig moet jij duidelijk zijn over het woord "veel". Hoeveel downtime en overhead is er en hoeveel is te veel? Dat zeg ik niet om flauw te doen maar omdat ik denk dat impact overschat.
Single-point-of-failures zie ik niet, waar zitten die?

Daarom zou je DNScrypt kunnen gebruiken, die checkt de chain of trust vanaf client naar server, en de MITM zit meestal op de eerste hop. Als in: als je adversary de eigenaar is van het (cc)TLD dan heb je grotere problemen.

Eerlijk gezegd heb ik moeite om de meerwaarde van (het oorpsronkelijke) DNSCrypt nog te zien nu dns-over-tls en dns-over-https genormaliseerd zijn. Dat bestond nog niet doen dnscrypt werd bedacht en kon pas succesvol worden nadat Letsencrypt de hele wereld van gratis ssl-certificaten kon voorzien.
Ik zie wel nog meerwaarde in de geanonimseerde variant van DNSCrypt.

DNScrypt helpt volgens mij niet tegen gerommel op de resolver zelf en beschermt het verkeer vanaf de resolver. Als de beheerder van de resolver kwaad in de zin heeft dan helpt dnscrypt daar volgens mij niet tegen. DNSSEC wel, in die zin dat je in ieder geval weet dát er gerommeld is.

Excuses als je het niet over DNSSEC had maar dan kan ik je niet volgen. Eerlijk gezegd is mijn kennis van dnscrypt wat roestig dus misschien ligt het aan mij.

Wil je resolves doen via Tor, dat zou kunnen, maar dan zou ik wel om de zoveel tijd een nieuwe identity nemen

Voor de zekerheid, ik had het over anonizemed-dnscrypt, niet over TOR, ook al zijn er wat conceptuele overeenkomsten.

[ Voor 9% gewijzigd door CAPSLOCK2000 op 06-03-2025 13:11 ]

Gebruiken jullie als tweakers ook blocklists voor zgn CNAME trackers?
een cname tracker is een dienst wat een commercieel bedrijf gebruikt om (o.a.) je surfgedrag in kaart te brengen.
Fictief: Je browst naar een webpage en daar zie je in je DNS log, -moet je zelf je recursive resolvertje draaien, een berg van die reclame en andere secondary rommel dns requests voorbij komen.
www.tweakers.net
tracker.tweakers.net <<<< deze heeft een ip adres die niets met het tweakers netwerk te maken heeft en heeft alleen cname verwijzing, van bijvoorbeeld trafficmanager.reclamevanprivacyschendernummer1.com

Hier staat nog wat meer info (en een lijst die je zo in je masjien kunt zetten: https://github.com/AdguardTeam/cname-trackers)

Overigens, hoe check je dat met DOT/DOH? Of gebruiken jullie dat alleen vanaf je eigen resolvertje richting de in TS genoemde diensten?

Probeer je anoniem te zijn is er nog een donkere kant.

Goed punt, dubbel op hoeft niet. Ik zal eens nakijken hoe dit in mn pfsense gebeurt. En welke lijsten ik er in heb zitten. Ik gebruik geen adguard nl.
thnx!