Včera jsem tu blognul ohledně použití google DNS serveru s IP adresou 8.8.8.8, což je v podstatě otevřený veřejný rekurzující DNS server, který vám přeloží cokoliv si řeknete a na oplátku tím google sbírá statistiky, co vás vlastně vůbec zajímá. Přirozeně si to pamatuje taky s vaší IP adresou. Pamatuje si to proto, že si to pamatovat může. Protože žádné prohlášení o ochraně svých údajů jste v DNS nikde neodklikávali.
Dostal jsem k tomu zrovna zajímavý mail na zamyšlení:
"Proc někdo pouziva forwarding primo na DNS na další DNS také nevim, dřív to mělo smysl na firmach pripojenych přes dial-up, ze to setrilo linku a zrychlilo preklad, nebo kvůli zabezpeceni při propojeni nejakych poboček přes centralu, aby byl prehled, kam se klienti pripojuji a dalo se to blokovat.
Ale rozbehat vlastní DNS pro preklad ma smysl jen když chci vsem svým klientum/serverum dat vlastni IP v nastaveni DNS serveru. Protože když vypnu „recursion queries“ (Win DNS neumi blokovat pristup jen z určitých IP ;o(
http://podpora.nic.cz/page/530/jak-odhalit-otevreny-rekurzivni-name-server
tak moje DNS bude vracet jen seznam root serveru a vse bude delat klient, tak mu tim moc nepomůžu, oproti tomu, když mu dam IP od ISP nebo „4 Google sněhuláky 8.8.8.8“, který mu vrati rovnou prelozenou domenu/IP"
Tak jsem se zamyslel a moje komentáře následují
Je to samozřejmě spíš hodně záležitost osobních preferencí (jakože někdo má raději černá auta a někomu se líbí víc červená), ale i bez google se to dá udělat podle mě velmi jednoduše. Ano souhlasím, 8.8.8.8 je velice jednoduché :-)
Už jsem taky párkrát řešil u zákazníků, že jim z NICu nebo cesnetu hlásili onu "bezpečnostní" díru viz. odkaz nahoře. Bylo to vždycky samozřejmě u zákazníků na veřejných IP adresách. Pokud máte DNS uvnitř, tak ho nejspíš na NATu nepublikujete. Pokud tam tedy nemáte i svoje veřejné DNS záznamy.
Ale to se přece dá vždycky udělat jako split DNS, tedy můžete vždycky mít DNS server veřejný a jiné DNS servery uvnitř sítě. Na veřejném DNS serveru vypnu rekurzi úplně. Na vnitřním ji klidně nechám zapnutou, pokud se na něho nedá dostat z internetu.
V případě zákazníků na veřejných adresách (univerzity například). Ve Windows 2008 a novějších máte přece Windows Firewall. Windows Firewall umí i explicitní blokovací pravidla. Uděláte jednoduše blokovací pravidlo UDP 53 a TCP 53, pro rozsahy IP adres 0.0.0.0-těsně.pod.vaším.rozsahem a těsně.nad.vaším.rozsahem-255.255.255.255 a je to.
Nehledě na to, že pokud máte počítače na veřejných adresách, tak takových blokovacích pravidel tam chcete mít mnohem více.
Pokud jsem domácí uživatel, můžu si vždycky nastavit IP adresu DNS serveru svého poskytovatele. Oni vždycky nějaký mají a navíc mi ho přidělují přes DHCP.
Jasně, souhlasím, že sněhuláci jsou dobří, pokud zrovna něco potřebuju nastavit ručně a neznám rovnou nějakou DNS IP adresu, ale mě se to osobně nikdy nelíbí.
Mimochodem
Zajímalo by mě, jestli google ty statistiky ze sněhuláků nějak konkrétně využívá. Třeba zrovna v takových těch rychlých nabídkách při vyhledávání? Nevíte někdo?