[GTER] DNS recursivo com bloqueio de ameacas
Rubens Kuhl
rubensk at gmail.com
Fri Jun 1 22:10:37 -03 2018
Eu frequentemente sugiro a idéia de colocar o recursivo DNS com, exceto
para raiz e domínios de CDNs, encaminhar a solicitação para um recursivo
que tenha filtragem de segurança.
Este artigo fez um teste com vários desses serviços:
https://medium.com/@nykolas.z/phishing-protection-comparing-dns-security-filters-9d5a09849b91
O que saiu melhor foi o CleanBrowsing, num serviço que inclusive não consta
do site mas que só bloqueia ameaças de segurança ao invés de conteúdo
adulto, e está disponível em SP através do IP 185.228.168.9:
64 bytes from 185.228.168.9: icmp_seq=0 ttl=58 time=1.087 ms
4 as33182.saopaulo.sp.ix.br (187.16.223.22) 0.918 ms 0.941 ms 0.726 ms
5 177-234-154-34.static.hostdime.com (177.234.154.34) 0.925 ms 11.251
ms 0.860 ms
E para mitigar o risco de hijack desse IP por um terceiro, precisa incluir
na solução ou DoH ou DNSCrypt.
A sequência de operação de um recursivo desses ficaria assim:
1) Verifica o cache; se está em cache, responde.
2) Verifica se o hostname é de um TLD válido (usando a zona raiz em
loopback)
3) Verifica se é domínio de CDN; se for, perguntar diretametne
4) Faz a pergunta via DoH/DNSCrypt para um serviço DNS que filtre ameaças;
se não houver resposta em tempo hábil, ou se vier resposta adulterada, faz
recursão via servidores autoritativos
Exercício para o leitor: um roteiro de instalação de Unbound + cliente de
DNS Privacy que implemente isso...
Rubens
More information about the gter
mailing list