Archives For Google DNS

Non è certo argomento nuovo quello del DNS hijacking, pratica quanto più perpetrata da coloro che scrivono software malevolo in grado di attaccare i router casalinghi, o magari quelli ben più complessi alla base di una rete aziendale che può diventare inconsapevole vittima di un redirect non voluto e non certo giusto ai fini di una navigazione pulita e fatta di siti web leciti. Il funzionamento di tale tecnica è tanto semplice quanto pericoloso: l’ignaro utente effettua una normale richiesta a un DNS che non si aspetta, il quale redirige quella richiesta verso un sito web infetto e potenzialmente molto pericoloso.

Firefox: DNS over HTTPS (di Cloudflare ma non solo)

La tecnica ha maggiore effetto con coloro che sono poco informati, o comunque poco (o per nulla) in grado di accorgersi di questo tipo di redirezione (pensa ai tuoi genitori in età avanzata, i nonni, ma anche parenti ben più giovani ma completamente a digiuno di questo tipo di argomenti), sfociando così in furti di credenziali o –ben peggio– di codici di protezione per conti correnti bancari e carte di credito. I maggiori produttori di browser lavorano da tempo a tecnologie che vadano oltre la configurazione DNS del proprio Sistema Operativo, e sono mesi che nelle versioni Nightly di Firefox mi trovo dietro una configurazione di DNS over HTTPS per proteggere le mie richieste verso i DNS utilizzati, così da ottenere risposte corrette e che tengano al sicuro la navigazione quotidiana.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 1

Di Cloudflare e dei suoi nuovi DNS ti avevo già parlato in passato, in questo articolo.

Gli “studi” di cui parla Nightly sono quelli che –ammesso tu stia usando questa versione del browser Mozilla– puoi trovare digitando about:studies nella barra dell’URL. Questa è una (ormai non più) novità di Nightly introdotta lo scorso marzo, così come la stessa cosa è accaduta per Google e il suo Chrome arrivato a introdurre anch’esso uno studio nel rilascio dello stesso mese (e -sempre Google- ne parlava già nel 2016: developers.google.com/speed/public-dns/docs/dns-over-https).

Firefox: DNS over HTTPS (di Cloudflare, ma non solo)

Effettuare richieste DNS passando per HTTPS ha anche un duplice scopo, ed è quello relativo alla privacy dei dati scambiati tra il client (da te utilizzato) e il server che sta portandoti verso il sito web richiesto. Chi si trova in mezzo, passando per una connessione cifrata (HTTPS, appunto), non potrà ottenere statistiche dettagliate e abitudini del client che fino a oggi sono state più trasparenti dell’aria.

Sperimentazione dei DNS over HTTPS

Forzare il browser di casa Mozilla a utilizzare dei DNS over HTTPS è oggi possibile con qualsivoglia versione pari o superiore alla 60, a prescindere dal ramo di aggiornamento scelto per le proprie postazioni. Un articolo di Ghacks lo spiegava lo scorso aprile, io te lo riepilogo in breve.

  • Portati nell’about:config del browser (e conferma che vuoi procedere garantendo che non combinerai danni, perché tu non lo farai, giusto?)
  • Cerca la voce network.trr.mode e portala a valore 2, questo ti consentirà di scegliere DNS over HTTPS come principale metodo di risoluzione nomi, ma di passare in fallback sui DNS di sistema nel caso il metodo principale fallisse (così da non rimanere senza meta durante la navigazione). Il valore 1 permetterebbe a Firefox di scegliere il più veloce tra i due metodi, il 3 di usare esclusivamente DNS over HTTPS e 0 -che poi è il default- di usare solo i DNS di sistema, come hai sempre fatto.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 2

  • Cerca ora la voce network.trr.uri e valorizza il contenuto scegliendo (e riportando la stringa adatta) uno dei due servizi sperimentali attualmente già pubblicamente accessibili, Mozilla / Cloudflare (https://mozilla.cloudflare-dns.com/dns-query) o Google (https://dns.google.com/experimental).

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 3

  • Se -contrariamente a me- hai precedentemente scelto di usare il servizio di Mozilla / Cloudflare, devi ora cercare la voce network.trr.bootstrapAddress e valorizzarla con il DNS primario del servizio (1.1.1.1). Se hai scelto Google, quel valore dovrà corrispondere invece al più che conosciuto 8.8.8.8.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 4

La modifica è immediata, e tu navigherai sin da subito passando per una risoluzione nomi basata ora su DNS over HTTPS.

Ulteriori riferimenti

Ho trovato su GitHub una lista di altri servizi di DoH (DNS over HTTPS) alla quale puoi fare riferimento, puoi consultarla anche tu puntando il browser all’indirizzo github.com/curl/curl/wiki/DNS-over-HTTPS (con la speranza che venga aggiornata in futuro).

Ghacks aveva inoltre pubblicato, precedentemente all’articolo dedicato alla configurazione DoH di Firefox, un approfondimento su tutte le voci di about:config dedicate a questo metodo di risoluzione nomi, lo trovi all’indirizzo ghacks.net/2018/03/20/firefox-dns-over-https-and-a-worrying-shield-study.

Se a te sorge qualche dubbio in merito a quanto spiegato nell’articolo beh, sai già cosa fare: l’area commenti è a tua totale disposizione :-)

Buona giornata!


immagine di copertina: unsplash.com / author: Liam Tucker

Condividi l'articolo con i tuoi contatti:

Mi sono preso del tempo, come faccio sempre quando ci sono novità importanti in questo campo, anche se all’apparenza questa non possa sembrarlo a primo impatto (d’altronde, cambiano solo dei DNS, giusto? :-) ). La notizia è del primo aprile, abbiamo un po’ tutti pensato al più classico dei pesci, e invece no, la cosa era sera e lo è ancora tutt’oggi: Cloudflare ha lanciato i suoi nuovi DNS pubblici, in collaborazione con APNIC, mettendo a disposizione del mondo gli IP 1.1.1.1 e 1.0.0.1 (rispettivamente DNS primario e secondario).

1.1.1.1 è la vera risposta a 8.8.8.8?

I DNS sicuri di Cloudflare

We will never log your IP address (the way other companies identify you). And we’re not just saying that. We’ve retained KPMG to audit our systems annually to ensure that we’re doing what we say.

Frankly, we don’t want to know what you do on the Internet—it’s none of our business—and we’ve taken the technical steps to ensure we can’t.

[…] 1.1.1.1/#explanation

L’obiettivo della coppia (Cloudflare e APNIC, nda) è chiaro da subito, ed è quello di fornire un servizio alternativo a quelli già presenti sul mercato, mettendoci del proprio, cercando di assicurare all’utente finale una privacy che altri probabilmente non possono / vogliono offrire per questione di business o per mancanza di interesse verso la “beneficenza” (questo tipo di struttura ha un costo, e generalmente non è quello equivalente alla paghetta settimanale che la nonna ti dava all’epoca della gioventù pre-adolescenziale). Cosa si ottiene in cambio è pubblicamente riportato dal blog di APNIC, più precisamente in questo estratto:

In setting up this joint research program, APNIC is acutely aware of the sensitivity of DNS query data. We are committed to treat all data with due care and attention to personal privacy and wish to minimise the potential problems of data leaks. We will be destroying all “raw” DNS data as soon as we have performed statistical analysis on the data flow. We will not be compiling any form of profiles of activity that could be used to identify individuals, and we will ensure that any retained processed data is sufficiently generic that it will not be susceptible to efforts to reconstruct individual profiles. Furthermore, the access to the primary data feed will be strictly limited to the researchers in APNIC Labs, and we will naturally abide by APNIC’s non-disclosure policies.

[…] labs.apnic.net/?p=1127

La posizione dominante della struttura CDN di Cloudflare è certo garanzia di qualità e stabilità, perché estremamente capillare e facile da raggiungere da qualsivoglia posizione nel globo, questi due nuovi DNS includono tra l’altro la sicurezza del “nuovo” (si fa per dire) trasporto dati DNS-over-TLS, permettendo alle informazioni di transitare in maniera criptata, che completa il quadro sicurezza grazie al DNS-over-HTTPS (già compatibile con Chrome, nda), il quale supporta diverse tecnologie di crittografia come QUIC o HTTP/2 Server Push, ed è quindi già pronto per un futuro che dovrebbe progressivamente abbandonare la risoluzione dei nomi a dominio per come noi tutti la conosciamo e per come l’abbiamo “vissuta” fino a oggi (stiamo parlando di una tecnologia che è vecchia quanto l’internet o quasi, e che nella realtà può essere comparata alla rubrica telefonica che le persone anziane tengono di fianco al telefono analogico messo in bella vista nel salotto buono).

La prova sul campo

I fatti raccontano ciò che sei, la teoria è bella ma rimane spesso a far compagnia all’aria fritta. Dopo anni di utilizzo del (da tanti considerato) nemico Google (8.8.8.8/8.8.4.4), ho scelto di modificare la configurazione di una macchina Windows (questa) forzandola a risolvere i nomi a dominio tramite il nuovo servizio. Velocità e stabilità assolutamente corrette, risoluzione pressoché immediata anche partendo da una sessione browser completamente pulita, senza cache, senza dati precedentemente memorizzati, confermando quei tempi anche tramite un prompt dei comandi aperto contemporaneamente.

1.1.1.1 è la vera risposta a 8.8.8.8? 1

In pratica la nuova coppia di DNS sembrano mantenere le promesse tanto decantate da Cloudflare in primis, confermate ufficialmente anche da DNSPerf.com, progetto (quest’ultimo) di terza parte, che da anni mette alla prova –tra le altre cose– i resolver DNS disponibili in tutto il mondo, lo stesso che misura anche le performance del servizio offerto da Google, il quale arriva a occupare la quarta casella sul tracciato, dietro Cloudflare (al primo posto), OpenDNS (che appartiene a Cisco ormai dal 2015) e Quad9 (free, open e private anche lui, in collaborazione con IBM, Global Cyber Alliance e Packet Clearing House).

Ma poi …

Se si va a filtrare la qualità del DNS anziché la velocità di risoluzione, Cloudflare occupa l’ultimo posto (97,22% in Europa, 94,81% globalmente), risultato tutt’altro che valido, di cui certo non vantarsi troppo ad alta voce. In Europa sembra che la qualità massima appartenga ai DNS di Comodo, Google si posiziona in questo caso al sesto posto (oltre la metà della classifica). Giusto per dare il metro di giudizio, la qualità è definita così da DNSPerf:

“Quality” shows the uptime of nameservers. For example if a provider has 4 NS and 1 fails then quality is 75% for that location and benchmark. This means even though the provider is marked as down a real user could still get an answer thanks to the round robin algorithm used by DNS. “Quality” does not represent the real uptime of a provider

Ciò non vuol quindi dire che il servizio DNS in sé non risponda, ma più semplicemente che la tua richiesta viene consegnata a una macchina in quel momento accesa e pronta a lavorare, facendoti perdere un attimo più di tempo per arrivare a destinazione, ed è quello che è già capitato al servizio di Cloudflare che –solo a dirlo– fa un po’ sorridere considerando il principale business dell’azienda (la lotta al downtime, servendo e mostrando qualcosa di sempre reperibile anche se così non è nella realtà specifica del sito web e del relativo database in uso). Ho volutamente analizzato questo dato perché quello relativo all’uptime (parlando sempre di DNSPerf) è pressoché inutile al giorno d’oggi:

“Uptime” shows the real uptime of DNS provider. A provider is marked as down only if all nameservers go down at the same time. (in the select location)

È davvero difficile (se non quasi impossibile) che un servizio di questo tipo vada completamente offline, soprattutto considerando che dietro ci sono importantissime aziende che possono vantare infrastrutture complesse, ridondate, che hanno dato il giusto peso al Disaster Recovery e che possono quindi deviare il traffico verso strutture di backup pronte a rispondere quando la situazione si fa calda.

Gli altri parametri utilizzati dal servizio di misurazione sono molto chiari ed equi per tutti i giocatori sul campo:

  • All DNS providers are tested every minute from 200+ locations around the world.
  • Only IPv4 is used.
  • A 1 second timeout is set. If a query takes longer, its marked as timeout.
  • “Raw Performance” is the speed when quering each nameserver directly.
  • The data is updated once per hour.

Difetti di gioventù? Possibile, eppure è proprio in quel momento che devi cercare di avere la maggiore potenza di fuoco possibile, perché la curiosità attira le persone, e queste proveranno il tuo servizio mettendoti in seria difficoltà se non hai fatto i giusti conti con l’oste. È una cosa del tutto naturale, che può sfuggire di mano e che può portare a ottenere l’effetto contrario, quello tipico da vanto al bar, presto però fatto tacere da qualcuno che dimostra tutto il contrario.

Ho modificato la configurazione del mio Fritz!Box 7590 variando DNS primario e secondario, da Google a Cloudflare, ottenendo –una sera di qualche giorno dopo– un blackout parziale di rete durato (in realtà sopportato) circa 30 minuti, durante i quali caricavo a singhiozzo risorse internet. Ed è proprio in quel momento che ho riportato la situazione alla precedente configurazione, rimettendo al loro posto i DNS di big G., riprendendo così a navigare correttamente con ogni dispositivo connesso alla rete di casa. Ti metto a tacere se in questo momento stai pensando potesse trattarsi di un problema relativo al router o alla fibra di Fastweb, perché tutto funzionava perfettamente se la risorsa esterna era stata già precedentemente agganciata (senza necessità di ulteriore risoluzione DNS), dandomi rogne esclusivamente con le nuove, senza considerare che alla variazione dei resolver tutto è tornato immediatamente a funzionare come nulla fosse mai successo.

Il dettaglio del comportamento misurato di 1.1.1.1 lo trovi all’indirizzo dnsperf.com/dns-resolver/1-1-1-1, noterai tu stesso delle altalene comprensibili e ovviamente nella norma nel corso del tempo. C’è una costanza quasi incredibile invece per il servizio di Google (tenendo ben presente che non si può brillare ovunque, e che bisognerebbe scegliere dei DNS in grado di avere e dimostrare buone performance in base a dove ci si trova fisicamente per più tempo).

In conclusione

Darò certamente una seconda possibilità a Cloudflare, per me è molto importante che tutto funzioni egregiamente in casa, ci tengo, tanti servizi girano e servono me e la mia famiglia anche fuori da qui (su smartphone e non solo), poter vedere contenuti multimediali, navigare, usare la posta elettronica è ormai considerato uno standard quasi al pari di trovare una bottiglia d’acqua in dispensa (lo so, non è proprio la stessa cosa, ma è per farti capire il metro di giudizio secondo il mio malato neurone). Litigare ancora oggi con una risoluzione nomi che quasi ti fa pentire i tempi delle modifiche al proprio file hosts non è cosa normale.

Lascio fare questo servizio a chi sa come farlo (ancora scende la lacrimuccia pensando al servizio FoolDNS lanciato da Matteo così tanti anni fa), ma pretendo che funzioni bene e senza tutte quelle barriere imposte da chi può permettersi il lusso di dire cosa posso o non posso visitare (DNS dei provider di connettività italiana, cosa che accade anche all’estero con gli oscuramenti assai discutibili), rispondendo in tempi ragionevoli e portando il mio browser (ma non solo) dove volevo atterrare, non un centimetro più in là. Sui termini della privacy e raccolta dati di Cloudflare e APNIC posso limitarmi a raccontarti quanto apprendo da loro, sperando che non ci siano secondi fini a noi sconosciuti.

Ti ricordo che, da qualche tempo ormai, sul forum di Mozilla Italia viene mantenuta aggiornata una discussione in cui si parla proprio di DNS e dei loro comportamenti, con ogni riferimento che può tornarti utile. Trovi la discussione all’indirizzo forum.mozillaitalia.org/index.php?topic=59932.msg406060#msg406060.

Se ci si vuole affidare alla storia, dare alla luce un servizio il primo di aprile sembra aver portato bene a Google e al suo (mai troppo adorato) GMail, che possa Cloudflare sperare di replicare quel successo?

E tu, hai cambiato i tuoi DNS per navigare tramite 1.1.1.1/1.0.0.1 oppure hai tenuto quelli che avevi prima? Cosa hai scelto? Ti va di raccontarmelo nei commenti e dirmi il perché della tua scelta? :-)


fonti:
blog.cloudflare.com/announcing-1111
dnsperf.com/#!dns-resolvers

immagine di copertina: unsplash.com / author: Himesh Kumar Behera

Condividi l'articolo con i tuoi contatti:

Sul forum di Mozilla Italia è nata una discussione sull’utilizzo dei DNS alternativi a quelli offerti dal proprio provider, su quelli da scegliere, i più rapidi per dare maggiore reattività alla propria navigazione o quelli più sicuri per proteggere la postazione di lavoro ma soprattutto i più piccoli che utilizzano un dispositivo all’interno della rete casalinga? Voi quali utilizzate? Qui di seguito indico qualche alternativa con una breve descrizione, facilità di utilizzo, pro e contro.

Prima di cominciare, per chi volesse approfondire in completa autonomia l’argomento o più semplicemente testare la validità dei propri DNS qui trovate una piccola applicazione open-source che fa sicuramente al caso vostro: code.google.com/p/namebench.

La mia scelta: Google

Rapidità, costanti aggiornamenti, no alla –spesso– stupida censura italiana che oscura siti web potenzialmente scomodi (ma non necessariamente dannosi) oltre quelli che vanno realmente “chiusi” al pubblico per motivi ben più seri. Trovate descrizione del servizio e ogni dettaglio all’URL developers.google.com/speed/public-dns/?hl=it, dove potrete consultare inoltre la procedura per cambiare i DNS utilizzati dai vostri PC o direttamente dal vostro router (con buona pace della facilità di utilizzo, vi viene spiegato ogni passaggio su ogni sistema!).

E’ dell’anno scorso (febbraio 2012) l’articolo sul blog dell’azienda che annunciava gli oltre 70 miliardi di contatti giornalieri provenienti dai client sparsi per l’intero globo. Il punto a favore più grande di questa scelta è chiaramente la rapidità nella risoluzione dei nomi a dominio, ed è fondamentalmente l’unico lavoro svolto –bene– dagli indirizzi IP forse più facili da ricordare (8.8.8.8 per il primario, 8.8.4.4 per il secondario). Non c’è altro, tutto qui, volete dei DNS o dei servizi aggiuntivi? La soluzione completata con un buon browser (Firefox e Chrome tanto per citare i due che utilizzo abitualmente) è già ben più che accettabile, soprattutto per l’utente più esperto, certo c’è chi lamenta e confronta il proprio servizio ben più ricco di optionals, ma questa è una vostra scelta.

La storia: OpenDNS

La comparativa di cui vi parlavo la trovate all’indirizzo opendns.com/technology/opendns-vs-google-public-dns ed è lo stesso OpenDNS a metterla in bella mostra (ognuno deve tirare l’acqua al proprio mulino d’altronde). E’ stato forse il primo concorrente indipendente che ha deciso (già dal 2005) di mettersi sulla libera piazza a disposizione degli utenti, migliorando di anno in anno e offrendo dei server performanti, stabili, sicuri e con qualche optional in più che non guasta mai per chi ha voglia di fare poca fatica.

OpenDNS propone gratuitamente protezione dagli attacchi phishing e dalle botnet, content filtering per proteggere la navigazione della propria famiglia (e offre un’ottima console di personalizzazione per dettagliare quasi ogni scenario possibile), blacklist e whitelist per escludere o bloccare preventivamente più siti web specifici.

Configurazione, gestione della propria rete tramite client installato sui PC e molto altro ancora è disponibile sul sito web una volta registrato un account gratuito. OpenDNS è una di quelle alternative bilanciate che fa al caso di chiunque voglia avere un minimo di controllo in più sulla navigazione della propria famiglia, fatto per proteggervi più che per controllare e bacchettare, mi raccomando! ;-)

La sicurezza: Comodo Secure DNS

Dalla stessa azienda che sviluppa i famosi software di protezione per client Windows, Linux e OS X arrivano anche due DNS da utilizzare per proteggere la navigazione quotidiana sul web. I DNS di Comodo.com vengono descritti e messi a vostra totale disposizione tramite l’URL ufficiale comodo.com/secure-dns.

Anche in questo caso istruzioni disponibili per ogni sistema operativo e per il vostro router, così come per Google questo servizio viene offerto as-is e oltre alla buona rapidità nella risoluzione dei nomi a dominio (in molti benchmark viene dato come secondo classificato subito dopo il big di Mountain View) offre protezione da malware, phishing, botnet e molto altro.

Mi fido di chi li utilizza abitualmente e me ne parla molto bene ma non ho avuto personalmente occasione di metterli alla prova in maniera “pesante“. Li ho tenuti impostati sul mio Mac per una sera, qualche ora di navigazione, tutto sommato una buona esperienza e zero problemi. Nessuna possibilità di modificare il content filtering, ecco il perché -a questo punto- ho preferito tenermi Google che non si “infila” nella comunicazione tra me e il web, limitandosi ad indicare al mio browser dove andare ;-)

Il nuovo arrivato: Norton ConnectSafe

Non lo conoscevo, lo ammetto, magari esisterà da molto tempo eppure non avevo mai avuto occasione di mettere alla prova il servizio. Symantec si affianca ad altre blasonate aziende del settore offrendo i propri DNS e consentendo una “minima personalizzazione” (anche se parlerei più di selezione che personalizzazione, nda). Alla pagina dns.norton.com/dnsweb/huConfigureRouter.do potrete dare un’occhiata alla configurazione da adottare e noterete che saltando da una soglia di protezione all’altra varieranno anche gli IP da utilizzare.

Si può scegliere un filtro di base (risoluzione dei nomi a dominio e protezione da malware, phishing, ecc.), passare al blocco della pornografia per proteggere i più piccoli o la soluzione “pacchetto completo” (malware, pornografia e siti web che trattano argomenti non adatti ai minori, inclusi quelli che parlano di droga, religione, orientamento sessuale, fumo, ecc.).

Accettando i termini di utilizzo sulla pagina dns.norton.com/dnsweb/dnsForHome.do potrete accedere ad ulteriori dettagli e istruzioni di configurazione per le vostre macchine o il vostro router. Una buona alternativa che funziona e non richiede quasi alcuno sforzo per essere adottata, un player inizialmente non considerato ma che entra a far giustamente parte dell’articolo.

Per suggerire ulteriori alternative (ce ne sono tante, lo so bene), commentare quelle sopra descritte o chiedere maggiori delucidazioni l’area commenti è a vostra disposizione.

Condividi l'articolo con i tuoi contatti: