[GTER] DNS recursivo com bloqueio de ameacas

Rubens Kuhl rubensk at gmail.com
Fri Jun 1 22:10:37 -03 2018


Eu frequentemente sugiro a idéia de colocar o recursivo DNS com, exceto
para raiz e domínios de CDNs, encaminhar a solicitação para um recursivo
que tenha filtragem de segurança.

Este artigo fez um teste com vários desses serviços:
https://medium.com/@nykolas.z/phishing-protection-comparing-dns-security-filters-9d5a09849b91

O que saiu melhor foi o CleanBrowsing, num serviço que inclusive não consta
do site mas que só bloqueia ameaças de segurança ao invés de conteúdo
adulto, e está disponível em SP através do IP 185.228.168.9:
64 bytes from 185.228.168.9: icmp_seq=0 ttl=58 time=1.087 ms

 4  as33182.saopaulo.sp.ix.br (187.16.223.22)  0.918 ms  0.941 ms  0.726 ms
 5  177-234-154-34.static.hostdime.com (177.234.154.34)  0.925 ms  11.251
ms  0.860 ms

E para mitigar o risco de hijack desse IP por um terceiro, precisa incluir
na solução ou DoH ou DNSCrypt.

A sequência de operação de um recursivo desses ficaria assim:
1) Verifica o cache; se está em cache, responde.
2) Verifica se o hostname é de um TLD válido (usando a zona raiz em
loopback)
3) Verifica se é domínio de CDN; se for, perguntar diretametne
4) Faz a pergunta via DoH/DNSCrypt para um serviço DNS que filtre ameaças;
se não houver resposta em tempo hábil, ou se vier resposta adulterada, faz
recursão via servidores autoritativos

Exercício para o leitor: um roteiro de instalação de Unbound + cliente de
DNS Privacy que implemente isso...



Rubens



More information about the gter mailing list