DNS over TLS - Open servers

Gebruikersavatar
NuKeM
Content Editor
Content Editor
Berichten: 4206
Lid geworden op: 10 Nov 2002
Locatie: Vlaams Brabant
Bedankt: 63 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 26 keer
Contact:

DNS over TLS - Open servers

Berichtdoor NuKeM » 1 week 1 dag 3 uur geleden (10 Sep 2019, 10:55)

Meer en meer wens ik mijn privacy (en die van familieleden) te waarborgen en dat probeer ik dan ook te doen via de tot mijn beschikbare middelen.

Na het inschakelen van DNSSEC op mijn pfSense router/firewall (te testen via https://dnssec.vs.uni-due.de/ ) en het aanzetten van het minimaliseren van QNAME informatie (test te vinden op deze blog) bleef er enkel nog het aanschakelen van DNS over TLS (DoT) of HTTPS (DoH) over.
Helaas ondersteunt EDPnet dit nog niet op zijn DNS-servers, dus ben ik op zoek naar een snelle en veilige open DNS-server die in handen van een Europese instantie is. Helaas, ook hier nog geen antwoord op gevonden, dus gebruik ik voorlopig Cloudflare's servers in de hoop dat ik door bovenstaande toch al niet teveel weg geef.

Iemand tips voor DNS-servers, of is Cloudflare 'ok' bij gebruik van bovenstaande (m.a.w. kan Cloudflare mijn queries gebruiken)?

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1628
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 101 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 101 keer

Re: DNS over TLS - Open servers

Berichtdoor Sinna » 1 week 1 dag 51 minuten geleden (10 Sep 2019, 13:10)

Kan https://securedns.eu/ iets voor jou betekenen? Geen idee qua schaal en performance, maar ik geef het toch even mee...
Computer(k)nul

Gebruikersavatar
thomasv
Pro Member
Pro Member
Berichten: 442
Lid geworden op: 01 Dec 2014
Locatie: Regio Brussel
Bedankt: 49 keer
Uitgedeelde bedankjes: 15 keer

Re: DNS over TLS - Open servers

Berichtdoor thomasv » 1 week 1 dag 31 minuten geleden (10 Sep 2019, 13:31)

NuKeM schreef:Iemand tips voor DNS-servers, of is Cloudflare 'ok' bij gebruik van bovenstaande (m.a.w. kan Cloudflare mijn queries gebruiken)?


Cloudflare belooft ip-adressen nooit weg te schrijven naar opslag en alle logs voor de dns-dienst binnen 24 uur te verwijderen. Het bedrijf heeft KPMG opdracht gegeven jaarlijkse audits te verrichten en daar publiek verslag van te doen.

Bron: https://tweakers.net/nieuws/145623/clou ... 1-uit.html
Afbeelding Waze user
iPhone 7 128GB / iPad 2018 32GB / ThinkPad X1 Carbon

CCatalyst
Elite Poster
Elite Poster
Berichten: 2221
Lid geworden op: 20 Jun 2016
Bedankt: 192 keer
Uitgedeelde bedankjes: 8 keer

Re: DNS over TLS - Open servers

Berichtdoor CCatalyst » 1 week 20 uur 4 minuten geleden (10 Sep 2019, 17:58)

thomasv schreef:KPMG opdracht gegeven jaarlijkse audits te verrichten en daar publiek verslag van te doen.


Maar KPMG schrijft ook alleen maar wat CloudFlare wilt dat ze schrijven hoor. Wiens brood men eet...

Gebruikersavatar
iktjilp
Plus Member
Plus Member
Berichten: 160
Lid geworden op: 23 Jun 2013
Twitter: IkTjilp
Bedankt: 7 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 7 keer

Re: DNS over TLS - Open servers

Berichtdoor iktjilp » 1 week 19 uur 40 minuten geleden (10 Sep 2019, 18:22)

Gebruik hier zelf nextdns en tevreden van. Heel wat zaken zijn zelf in te stellen.

Http://nextdns.io
Edpnet VDSL XL - TADAAM - Mobile Vikings - Zon en wind

Gebruikersavatar
NuKeM
Content Editor
Content Editor
Berichten: 4206
Lid geworden op: 10 Nov 2002
Locatie: Vlaams Brabant
Bedankt: 63 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 26 keer
Contact:

Re: DNS over TLS - Open servers

Berichtdoor NuKeM » 1 week 17 uur 21 minuten geleden (10 Sep 2019, 20:41)

Bedankt voor de reacties.
SecureDNS ziet er OK uit, maar is een one man initiatief en één server. Ping is redelijk (in zoverre dat een indicatie is).
NextDNS is in beta en nu nog gratis, maar betreft helaas een Amerikaans bedrijf.

GuntherDW
Premium Member
Premium Member
Berichten: 615
Lid geworden op: 11 Mei 2007
Locatie: zwijndrecht
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 8 keer
Contact:

Re: DNS over TLS - Open servers

Berichtdoor GuntherDW » 1 week 16 uur 40 minuten geleden (10 Sep 2019, 21:22)

Als je eigenlijk simpelweg een lijst wil van servers welke DNS over TLS/HTTPS ondersteunen heeft dnsproxy een lijstje welke het zelf gebruikt en roteert als je het instelt.

https://dnscrypt.info/public-servers/

Ik persoonlijk heb enkel "no logging, DNS over TLS en DNSSEC" geconfigureerd als requirements, maar dat kan je zelf vrij specifiek instellen zoals je zelf wil, tot enkel specifieke servers.

DarkV
Pro Member
Pro Member
Berichten: 270
Lid geworden op: 17 Apr 2019
Bedankt: 8 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 8 keer

Re: DNS over TLS - Open servers

Berichtdoor DarkV » 6 dagen 5 uur 10 minuten geleden (12 Sep 2019, 08:52)


ringlord
Plus Member
Plus Member
Berichten: 135
Lid geworden op: 22 Apr 2009
Bedankt: 7 keer
Uitgedeelde bedankjes: 16 keer

Re: DNS over TLS - Open servers

Berichtdoor ringlord » 6 dagen 7 minuten 16 seconden geleden (12 Sep 2019, 13:55)

https://twitter.com/RMerlinDev/status/1 ... 4849768448

Als ik RMerlinDev (Eric Sauvageau) mag quoten (de maker van de router software voor Asus)
I also think that DoH is a bad idea, and the market should go with DoT instead, which is a cleaner design.


En is Quad9.net geen goede optie?
Does Quad9 support DNS over TLS?
We do support DNS over TLS on port 853 (the standard) using an auth name of dns.quad9.net.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 7392
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 541 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 334 keer

Re: DNS over TLS - Open servers

Berichtdoor heist_175 » 5 dagen 23 uur 9 minuten geleden (12 Sep 2019, 14:53)

ringlord schreef:Als ik RMerlinDev (Eric Sauvageau) mag quoten (de maker van de router software voor Asus)
I also think that DoH is a bad idea, and the market should go with DoT instead, which is a cleaner design.


Als morgen alle browsers DoH doen, zit je wel vast natuurlijk.

GuntherDW
Premium Member
Premium Member
Berichten: 615
Lid geworden op: 11 Mei 2007
Locatie: zwijndrecht
Bedankt: 25 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 8 keer
Contact:

Re: DNS over TLS - Open servers

Berichtdoor GuntherDW » 5 dagen 22 uur 24 minuten geleden (12 Sep 2019, 15:38)

Ik ben zelf ook meer "fan" van DNS over TLS, maar qua firewall en dat soort leuke dingen is DNS over HTTPS natuurlijk iets meer toleranter aangezien "poort 443" iets vaker toegelaten is naar buiten toe dan een "random" port als 853.

DNS over TLS is daarbij dan met iets minder overhead denk ik, al ben ik al blij dat er keuzes zijn. Ik zie het meer als een "tunnel" optie.
Zelf ga ik wel DNS over TLS gebruiken, aangezien ik m'n browser niet zelf DNS lookups ga laten doen maar dat gewoon laat delegeren door m'n systeem z'n DNS resolver.
Die queries worden dan wel afgehandeld door dnscrypt welke ook van deze DNS over TLS gebruikt maakt, maar vooraleer het daar zit heb ik iets meer controle in de chain dan dat m'n browser het gewoon forceert van z'n eigen DNS lookups te doen naar DNS servers.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7190
Lid geworden op: 28 Jan 2012
Bedankt: 532 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 118 keer

Re: DNS over TLS - Open servers

Berichtdoor ITnetadmin » 5 dagen 22 uur 17 minuten geleden (12 Sep 2019, 15:45)

En dat onhebbelijk geblokkeer van poorten gaat er op de lange termijn voor zorgen dat alle traffic gaat terechtkomen op poort 443 (en momenteel ook nog 80).
En omdat firewalls slimmer worden, gaat alles ook nog ns geencapsuleerd worden in https pakketjes.
Dit is een echte verscholen arms race geworden.

DarkV
Pro Member
Pro Member
Berichten: 270
Lid geworden op: 17 Apr 2019
Bedankt: 8 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 8 keer

Re: DNS over TLS - Open servers

Berichtdoor DarkV » 5 dagen 16 uur 7 minuten geleden (12 Sep 2019, 21:54)

NuKeM schreef:Meer en meer wens ik mijn privacy (en die van familieleden) te waarborgen


Volgens mij ben je dan beter af gewoon een DNS server van je provider te gebruiken ipv. een DNS over whatever van een Amerikaans bedrijf.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 7392
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 541 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 334 keer

Re: DNS over TLS - Open servers

Berichtdoor heist_175 » 5 dagen 6 uur 22 minuten geleden (13 Sep 2019, 07:39)

Ware het niet dat je provider
- vermoedelijk trager reageert dan de Amerikaan
- belachelijke beperkingen moet instellen en de Amerikaan niet (bv TPB STOP page)

Al mijn verkeer gaat naar de PiHole en dan naar 1.1.1.1 en die is veel sneller dan de DNS van EDPnet.

Gebruikersavatar
NuKeM
Content Editor
Content Editor
Berichten: 4206
Lid geworden op: 10 Nov 2002
Locatie: Vlaams Brabant
Bedankt: 63 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 26 keer
Contact:

Re: DNS over TLS - Open servers

Berichtdoor NuKeM » 5 dagen 6 uur 3 minuten geleden (13 Sep 2019, 07:58)

Er zijn alternatieven, maar zeer weinig tot geen 'serieuze' Europese gehost in België. Daardoor moet je al servers in Nederland of elders gaan gebruiken wat een effect heeft op de performance. De CloudFlare server in Brussel is (helaas) de snelste (zelfs sneller dan die van EDPnet dacht ik).
Het zou een mooie zet zijn van een alternatieve provider zoals EDPnet om dit ook op hun servers te activeren.
Rest bij mijzelf nog de vraag, wil ik DoT gebruiken over een niet Europese firma, dan wel een trager Europees alternatief gebruiken of gewoon via EDPnet blijven werken zonder DoT...
Ik zal als ik tijd heb eens een Nederlandse server proberen en kijken of die performance hit ook meetbaar en voelbaar is.

Meten kan met https://www.grc.com/dns/benchmark.htm
Maar dan gewoon lokaal een benchmark tegen mijn resolver, verschillende keren, ingesteld op DoT cloudflare, DoT other, default EDPnet DNS.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 7392
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 541 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 334 keer

Re: DNS over TLS - Open servers

Berichtdoor heist_175 » 5 dagen 5 uur 31 minuten geleden (13 Sep 2019, 08:31)

NuKeM schreef:Meten kan met https://www.grc.com/dns/benchmark.htm
Maar dan gewoon lokaal een benchmark tegen mijn resolver, verschillende keren, ingesteld op DoT cloudflare, DoT other, default EDPnet DNS.

Bij mij kwam 1.1.1.1 er telkens als snelste uit en met een behoorlijk verschil nog ook.


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast