Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Otevřený rekurzivní DNS server a použití gůglových sněhuláků
duben 03
Otevřený rekurzivní DNS server a použití gůglových sněhuláků

Včera jsem tu blognul ohledně použití google DNS serveru s IP adresou 8.8.8.8, což je v podstatě otevřený veřejný rekurzující DNS server, který vám přeloží cokoliv si řeknete a na oplátku tím google sbírá statistiky, co vás vlastně vůbec zajímá. Přirozeně si to pamatuje taky s vaší IP adresou. Pamatuje si to proto, že si to pamatovat může. Protože žádné prohlášení o ochraně svých údajů jste v DNS nikde neodklikávali.

Dostal jsem k tomu zrovna zajímavý mail na zamyšlení:

"Proc někdo pouziva forwarding primo na DNS na další DNS také nevim, dřív to mělo smysl na firmach pripojenych přes dial-up, ze to setrilo linku a zrychlilo preklad, nebo kvůli zabezpeceni při propojeni nejakych poboček přes centralu, aby byl prehled, kam se klienti pripojuji a dalo se to blokovat.

Ale rozbehat vlastní DNS pro preklad ma smysl jen když chci vsem svým klientum/serverum dat vlastni IP v nastaveni DNS serveru. Protože když vypnu „recursion queries“ (Win DNS neumi blokovat pristup jen z určitých IP ;o(

http://podpora.nic.cz/page/530/jak-odhalit-otevreny-rekurzivni-name-server

tak moje DNS bude vracet jen seznam root serveru a vse bude delat klient, tak mu tim moc nepomůžu, oproti tomu, když mu dam IP od ISP nebo „4 Google sněhuláky 8.8.8.8“, který mu vrati rovnou prelozenou domenu/IP"

Tak jsem se zamyslel a moje komentáře následují

Je to samozřejmě spíš hodně záležitost osobních preferencí (jakože někdo má raději černá auta a někomu se líbí víc červená), ale i bez google se to dá udělat podle mě velmi jednoduše. Ano souhlasím, 8.8.8.8 je velice jednoduché :-)

Už jsem taky párkrát řešil u zákazníků, že jim z NICu nebo cesnetu hlásili onu "bezpečnostní" díru viz. odkaz nahoře. Bylo to vždycky samozřejmě u zákazníků na veřejných IP adresách. Pokud máte DNS uvnitř, tak ho nejspíš na NATu nepublikujete. Pokud tam tedy nemáte i svoje veřejné DNS záznamy.

Ale to se přece dá vždycky udělat jako split DNS, tedy můžete vždycky mít DNS server veřejný a jiné DNS servery uvnitř sítě. Na veřejném DNS serveru vypnu rekurzi úplně. Na vnitřním ji klidně nechám zapnutou, pokud se na něho nedá dostat z internetu.

V případě zákazníků na veřejných adresách (univerzity například). Ve Windows 2008 a novějších máte přece Windows Firewall. Windows Firewall umí i explicitní blokovací pravidla. Uděláte jednoduše blokovací pravidlo UDP 53 a TCP 53, pro rozsahy IP adres 0.0.0.0-těsně.pod.vaším.rozsahem a těsně.nad.vaším.rozsahem-255.255.255.255 a je to.

Nehledě na to, že pokud máte počítače na veřejných adresách, tak takových blokovacích pravidel tam chcete mít mnohem více.

Pokud jsem domácí uživatel, můžu si vždycky nastavit IP adresu DNS serveru svého poskytovatele. Oni vždycky nějaký mají a navíc mi ho přidělují přes DHCP.

Jasně, souhlasím, že sněhuláci jsou dobří, pokud zrovna něco potřebuju nastavit ručně a neznám rovnou nějakou DNS IP adresu, ale mě se to osobně nikdy nelíbí.

Mimochodem

Zajímalo by mě, jestli google ty statistiky ze sněhuláků nějak konkrétně využívá. Třeba zrovna v takových těch rychlých nabídkách při vyhledávání? Nevíte někdo?

Comments

Re: Otevřený rekurzivní DNS server a použití gůglových sněhuláků

Využívá. V IE jsem hledal něco v Bingu, pračku myslím. 
A druhý den v Googlovské reklamě, jestli si nechci koupit pračku. Už se mi to stalo víckrát.  Kromě sněhuláků mě s nimi už asi nespojuje, aspoň myslím. 
Ale možná je tam víc souvislostí o kterých nevím. 
Radek  on 3.4.2014 15:08

Re: Otevřený rekurzivní DNS server a použití gůglových sněhuláků

Hej, Ondro, ještě sem plácni screenshoty nebo aspoň pokec, jak to teda na doméně nastavit bez sněhuláků. Ne pro mě, ale obecně pro čtenáře ... kdo neví, nepochopí, co myslíš...
Borek on 3.4.2014 22:42

DNS

Borek: kdo vi, tak vi, kdo nevi, tak nerasi ;o)

Ondra: ve tvem puvodnim prispevku je problem, ze nezminuje, jestli resis

firemni DNS na LAN - do 10 PC muze delat DNS "router", do 10-20 muze byt na klientech DNS ISP a od vic uz bych resil vlastni DHCP/DNS server, uz kvuli sprave klientu

firemni DNS na WAN - mam na WAN vice server a nechci davat DNS od ISP, kvuli nejakym specialitam, co mam na vlastnim DNS. tam se to da omezit tim firewall pravidlem

nebo hostingove DNS na WAN - provozuju DNS, kde mam domeny zakazniku. tohle blokovanim na firewall nejde. je potreba, aby na venkovni dotazy odpovidal, ale vracel jen domeny, ktere drzi, ale pro spratelene, treba tvoje dalsi servery fungoval jako rekurzivni DNS.

PS: gratuluji k Update 2 codename "Julinka" ;o)
VasekB on 4.4.2014 12:15

DNS statistiky

Jako to že při vyhledávání ti to začne nabízet reklamy cíleně je jasná věc ale první komentář se mi nezdá. Přece když něco hledám tak ten DNS server jediný co zná je požadavek na doménu, nemůže přece tušit že mi jde o pračku.
rejpal on 8.4.2014 7:12

Re: Otevřený rekurzivní DNS server a použití gůglových sněhuláků

já bych klidně řekl, že stejně jako google zná "podobné stránky" k tomu, co vyhledávám pomocí slov, tak to přece může znát i vzhledem k jejich adresám. pomocí DNS oni vědí, kde jsem skutečně byl, i když jsem to hledal pomocí jiného vyhledávače. Samozřejmě to neposkytuje takovou citlivost, pokud by ten webshop prodával padesát druhů zboží, ale pokud je to jen omezená nabídka na jedné adrese, tak se mohou trefit velice přesně, podle mě.
hlavně každá informace o zákazníkovi hraje roli :-)
ondass on 8.4.2014 13:42

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments