#dns Немного о безопасности и частично о противодействии блокировкам. Как вы помните, я регулярно интересуюсь и разговариваю про DNS.
Сегодня мне «прилетело» обновление браузера Firefox 63. DNS-over-HTTPS теперь можно настраивать прямо из обычных настроек (настройки сети в FireFox). Что это даёт? Защита от перехвата ваших запросов DNS и например блокировки сайтов по результатам перехвата.
Что туда можно поставить, в этот DoH
1.1.1.1 или 1.0.0.1
https://cloudflare-dns.com/dns-query
https://dns.google.com/experimental
если есть IPv6 2606:4700:4700::1111
Сегодня мне «прилетело» обновление браузера Firefox 63. DNS-over-HTTPS теперь можно настраивать прямо из обычных настроек (настройки сети в FireFox). Что это даёт? Защита от перехвата ваших запросов DNS и например блокировки сайтов по результатам перехвата.
Что туда можно поставить, в этот DoH
1.1.1.1 или 1.0.0.1
https://cloudflare-dns.com/dns-query
https://dns.google.com/experimental
если есть IPv6 2606:4700:4700::1111
#dns Я знаю, что ничего не знаю. Казалось бы я считаю себя специалистом по DNS, но читатели открыли мне нечно новое. Оказывается существует работающая программа для Android (до 9-ой версии, где это «из коробки») с DNS-over-HTTPS:
https://play.google.com/store/apps/details?id=app.intra
https://github.com/Jigsaw-Code/Intra
Давайте попробуем и поделимся впечатлениями и тестами
https://play.google.com/store/apps/details?id=app.intra
https://github.com/Jigsaw-Code/Intra
Давайте попробуем и поделимся впечатлениями и тестами
Google Play
Intra - Apps on Google Play
Safer, more open internet access
#dns «новость о чем-то не приходит одна». Сегодня день DNS. Внимательные читатели прислали мне ссылку на статью на Хабре с ещё одной новостью. Оказывается, Google недавно тихо и без помпы (и вообще без объявления) открыл на свох 8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844 DNS-over-TLS. Да, настоящий, c SSL-сертификатом в том числе на IP-адреса (последние дни настают, да). Похоже там и DoH есть, но неясно как это проверить и какой URL.
https://habr.com/post/427639/
https://habr.com/post/427639/
Хабр
Google Public DNS тихо включили поддержку DNS over TLS
Внезапно, без предварительного анонса, на 8.8.8.8 заработал DNS over TLS. Ранее Google анонсировал только поддержку DNS over HTTPS. Публичный резолвер от комп...
#dns 31 октября около 23 часов по Москве (UPDATE: около 19:40, т.е. он часа 4 провалялся) у Яндекса упал их DNS из Яндекс.Коннекта. Хорошо так упал и полежал. Я не мониторю их DNS, не знаю точно сколько. Не знаю, были задеты публичные кэширующие DNS. Я в это время ужинал (ночью на болоте, да) и просматривал семейно м/ф "Букашки. Приключение в долине муравьев" (рекомендую, кстати). Подхожу я к компу и гаджетам. У меня вся личка в социалочках завалена вопросами: "Роскомнадзор заблокировал DNS Яндекса?" Впрочем, и службе поддержки моего хостинга даже досталось.
1. Роскомнадзор, пожалуйста, сделайте какую-нибудь систему мониторинга чувствительных сервисов. Чтобы сразу было понятно "да, это мы", или "да тут и без нас умельцы нашлись". Выяснять, кто из вас набедокурил со стороны не всегда сподручно.
2. Яндекс, технические проблемы у всех бывают, и не могу сказать, что они у вас выше нормы. Но вы хоть мякните куда для ориентации. UPDATE: Да, 4 часа лёжки уже повод мякнуть
1. Роскомнадзор, пожалуйста, сделайте какую-нибудь систему мониторинга чувствительных сервисов. Чтобы сразу было понятно "да, это мы", или "да тут и без нас умельцы нашлись". Выяснять, кто из вас набедокурил со стороны не всегда сподручно.
2. Яндекс, технические проблемы у всех бывают, и не могу сказать, что они у вас выше нормы. Но вы хоть мякните куда для ориентации. UPDATE: Да, 4 часа лёжки уже повод мякнуть
#dns Я рекламировал программку для Android, реализующую DNS-over-HTTPS: https://t.me/usher2/499
CloudFlare выпустила программку и для iOS, и для Android для использования своих защищенных серверов DNS.
Для iOS: https://itunes.apple.com/ru/app/1-1-1-1-faster-internet/id1423538627
Для Android: https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone
Я кстати рекомендую использовать защищенный DNS. Это может не «имба», но это даёт толчок развитию технологий, уменьшает зловредное использование перехвата. Давайте вместе идти из мракобесия к звездам.
CloudFlare выпустила программку и для iOS, и для Android для использования своих защищенных серверов DNS.
Для iOS: https://itunes.apple.com/ru/app/1-1-1-1-faster-internet/id1423538627
Для Android: https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone
Я кстати рекомендую использовать защищенный DNS. Это может не «имба», но это даёт толчок развитию технологий, уменьшает зловредное использование перехвата. Давайте вместе идти из мракобесия к звездам.
#dns 🔥🔥🔥 Есть такая технология — DNSSEC. Она позволяет подписывать ответы DNS (это то, что отвечает например за связь домена и IP-адреса), чтобы ответ нельзя было подделать. Внедрение слабое, но есть (требуйте у вашего регистратора или хостера). Но множество клиентов настроены на проверку DNSSEC, если она есть. Корневая зона подписана. Все основные зоны первого уровня — подписаны (включая RU и РФ). Буквально вчера на Дне Кибербезопасности я рассказывал про DNSSEC
Сегодня должна была состояться церемония переподписи корневой зоны. Это выглядит так — избранные «офицеры» имею свои части секретных ключей. Работает это только если сложить всё вместе. Но что-то пошло не так:
https://twitter.com/theiana/status/1227600447289974786
Ключи хранятся в специальном хранилище (HSM), ключи доступа к хранилищу (токены активации) хранятся в специальной сейфе (простите за терминологию, но мне по другому не объяснить, там ларец, заяц, утка и яйцо). СЕЙФ СЛОМАЛСЯ. Криптоофицеры обсуждают, как взломать сейф. Если корневую зону не подписать до 11 апреля, мировой DNSSEC превратится в тыкву. А с ним прекратит нормальное функционирование значительная часть всей системы доменных имен
Кстати. Посмотрел, что пишет об этом российский НЦКЦКЦКЦКЦ и ГосСОПКА:
http://www.gov-cert.ru/
Примерно такая же информация размещена на сайтах Минцифры, Роскомнадзора и Спортлото. Собственно и не то чтобы должны, но при риторике «мимо нас муха не проскочит» я бы назвал это групповым пафосным словоблудием
Сегодня должна была состояться церемония переподписи корневой зоны. Это выглядит так — избранные «офицеры» имею свои части секретных ключей. Работает это только если сложить всё вместе. Но что-то пошло не так:
https://twitter.com/theiana/status/1227600447289974786
Ключи хранятся в специальном хранилище (HSM), ключи доступа к хранилищу (токены активации) хранятся в специальной сейфе (простите за терминологию, но мне по другому не объяснить, там ларец, заяц, утка и яйцо). СЕЙФ СЛОМАЛСЯ. Криптоофицеры обсуждают, как взломать сейф. Если корневую зону не подписать до 11 апреля, мировой DNSSEC превратится в тыкву. А с ним прекратит нормальное функционирование значительная часть всей системы доменных имен
Кстати. Посмотрел, что пишет об этом российский НЦКЦКЦКЦКЦ и ГосСОПКА:
http://www.gov-cert.ru/
Примерно такая же информация размещена на сайтах Минцифры, Роскомнадзора и Спортлото. Собственно и не то чтобы должны, но при риторике «мимо нас муха не проскочит» я бы назвал это групповым пафосным словоблудием
#dns И раз уж я начал про DNS, сделаю пост для интересующихся (ВНИМАНИЕ — по ссылкам много узкоспециализированной технической информации)
✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)
✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1: https://youtu.be/rrDL7ymvm0A
Видео Часть 2: https://youtu.be/I2UEGPM0_ic
Видео Часть 3: https://youtu.be/RsPEoPWuxoY
Видео Часть 4: https://youtu.be/7e1Wj1wNRaA
Видео Часть 5: https://youtu.be/1b6G4VZJOt0
✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/schors/a-popular-dns-security-overview-modern-theory-and-practice-116166410
Видео: https://youtu.be/wkN1Yqcpj2c
👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)
✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)
✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1: https://youtu.be/rrDL7ymvm0A
Видео Часть 2: https://youtu.be/I2UEGPM0_ic
Видео Часть 3: https://youtu.be/RsPEoPWuxoY
Видео Часть 4: https://youtu.be/7e1Wj1wNRaA
Видео Часть 5: https://youtu.be/1b6G4VZJOt0
✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/schors/a-popular-dns-security-overview-modern-theory-and-practice-116166410
Видео: https://youtu.be/wkN1Yqcpj2c
👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)
#dns ⚡️⚡️⚡️ 12 февраля 2020 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Вот начали сверлить сейф. Не фигурально. Реально сверлить физический сейф:
https://twitter.com/joao_damas/status/1228382028808114177
☝️ Роскомадзор и Минцифра не ответили на запрос канала «Эшер II» по ситуации с подписью корневой зоны (подозреваю, что они до сих пор ищут человека, который бы пояснил им суть вопроса). Координационный центр национального домена RU/РФ так пояснил мне своё видение ситуации: «Координационный центр располагает только публично доступной информацией о переносе Root KSK Ceremony 40 по причине неисправности оборудования. По информации ICANN рисков нарушения безопасности и функционирования DNSSEC нет»
🤘 Кстати. Обратите внимание. Сломался сейф — возникла проблема. Вот так выглядит подход к процедурам безопасности. И да, теперь сверление или запасной сейф в другом штате. А не постулаты «верьте нам, мы же серьёзные» и «ну вы же понимаете»
https://twitter.com/joao_damas/status/1228382028808114177
☝️ Роскомадзор и Минцифра не ответили на запрос канала «Эшер II» по ситуации с подписью корневой зоны (подозреваю, что они до сих пор ищут человека, который бы пояснил им суть вопроса). Координационный центр национального домена RU/РФ так пояснил мне своё видение ситуации: «Координационный центр располагает только публично доступной информацией о переносе Root KSK Ceremony 40 по причине неисправности оборудования. По информации ICANN рисков нарушения безопасности и функционирования DNSSEC нет»
🤘 Кстати. Обратите внимание. Сломался сейф — возникла проблема. Вот так выглядит подход к процедурам безопасности. И да, теперь сверление или запасной сейф в другом штате. А не постулаты «верьте нам, мы же серьёзные» и «ну вы же понимаете»
Twitter
joao_damas
Sometimes the process of signing the root needs unusual action
#dns ⚡️⚡️⚡️ 12 февраля 2020 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Пришлось сверлить сейф. Реальный физический сейф. Процедура затянулась, сейф успешно вскрыли, но с опозданием:
https://twitter.com/joao_damas/status/1228801833394565121
Мировой DNS спасен. Церемония была проведена:
https://twitter.com/kjd/status/1228868749622566912
Видео с церемонии можно посмотреть на официальном сайте IANA:
https://www.iana.org/dnssec/ceremonies/40
P.S. Хорошо, что всё хорошо закончилось. Уровень заинтересованности и экспертизы заинтерсованных российских органов и организация я «записал в книжечку»
P.P.S. Процессом интересовался мой же чатик в telegram по DNSSEC https://telegram.me/joinchat/AL6jEUFFW5TFS1s3pZMMjg и мой канал
https://twitter.com/joao_damas/status/1228801833394565121
Мировой DNS спасен. Церемония была проведена:
https://twitter.com/kjd/status/1228868749622566912
Видео с церемонии можно посмотреть на официальном сайте IANA:
https://www.iana.org/dnssec/ceremonies/40
P.S. Хорошо, что всё хорошо закончилось. Уровень заинтересованности и экспертизы заинтерсованных российских органов и организация я «записал в книжечку»
P.P.S. Процессом интересовался мой же чатик в telegram по DNSSEC https://telegram.me/joinchat/AL6jEUFFW5TFS1s3pZMMjg и мой канал
Twitter
joao_damas
Finally!! Now it needs fixing and then the real signing ceremony can begin
#dns Кстати о доменах и Национальной системе доменных имен. Вдруг кому-то интересно с ней ознакомиться. Официальные инструкции подключения:
https://usher2.club/docs/Инструкция_для_ОС_по_подключению_к_НСДИ_v3.pdf
https://usher2.club/docs/Утвержденная_инструкция_по_НСДИ.pdf
https://usher2.club/docs/Инструкция_для_ОС_по_подключению_к_НСДИ_v3.pdf
https://usher2.club/docs/Утвержденная_инструкция_по_НСДИ.pdf
#sainthighload2021 #dns 🎥 Я не только слежу за Роскомнадзором. Я тот самый общественник, который не настоящий общественник, а так, по дороге зашёл. В сентябре я выступил на конференции Saint Highload++ 2021 в Санкт-Петербурге. Я сделал краткий технический обзор про безопасность DNS и текущее состояние оной безопасности:
https://youtu.be/zDFSFlRSG-A
⚠️ Держитесь подальше от торфяных болот
✅ Перед докладом тема была очень подогрета, что, конечно же, повлияло на доклад
✅ Презентация сделана на LaTeX и размещена на GitHub:
https://github.com/schors/shl2021-secure-dns
https://youtu.be/zDFSFlRSG-A
⚠️ Держитесь подальше от торфяных болот
✅ Перед докладом тема была очень подогрета, что, конечно же, повлияло на доклад
✅ Презентация сделана на LaTeX и размещена на GitHub:
https://github.com/schors/shl2021-secure-dns
#dns Забавно, наши южные соседи говорят, что защищенный трафик DNS составляет 23%
#dns Три минуты серьëзного спича про важность кофе в разработке новых технологий, но необходимость уменьшать углеродный след