Onderwerp bekijken
Algemeen, maar niet gemeen.
Zijn er risico's aan het gebruik van OpenDNS?
|
|
rrozema |
Geplaatst op 11 January 2009, 07:58
|
Activiteit » Delft, 2191 meter vanaf Dt-Vhf Berichten: 2800 Lid sinds: 19 Feb 2006 |
Quote Richard schreef: Alleen was de vraag of het veiliger was en extra risico's waren. En hoe meer tussenliggende systemen hoe groter het risico van ongepatchte systemen en dus een hack. Het antwoord kan dus alleen maar "ja" zijn. Even afgezien van de vele andere fouten die je in je verhaal maakt; er zijn er 2 waar ik nog op wil reageren: Er zijn meerdere lagen communicatie in het DNS protocol: 1 - jouw machine die met z'n dns server praat (open dns of provider) 2 - je dns server die met andere dns servers praat als hij het gevraagde adres zelf nog niet heeft. Jij hebt het enkel over de 1e laag als je het over de afstand hebt; de 2e laag is immers precies hetzelfde bij provider en opendns. Dat geef je zelf al aan. Het verkeer op de 1e laag wordt enkel gerouteerd door de tussenliggende machines. d.w.z. dat de inhoud niet wordt bekeken, daar is de hoeveelheid ook veel te groot voor. Als iemand kwaad zou willen doen op het dns niveau, dan is het veel eenvoudiger om dat bij de bron, de dns server, te doen dan ergens onderweg. Dus, begrijp me goed; ik zeg niet dat het onmogelijk is, maar het is wel vele malen moeilijker voor de hacker, met veel minder kans op succes. Criminelen zijn juist op zoek naar de grootste slagingskans met het minste werk, dus vrijwel alle hacks richten zich op die dns server en niet op verstrooid netwerk verkeer tussen de clients en de server. En het 2e punt waar ik op wil reageren: niet-commercieel vs. commercieel. Natuurlijk zal elke zakelijk aanbieder van DNS je een gratis versie van hetzelfde product dat hijzelf voor goed geld verkoopt, afraden. Dat is natuurlijk geen argument dat het gratis product van mindere kwaliteit zou zijn. De toegevoegde waarde die opendns op het punt van veiligheid heeft (bovenop alle andere voordelen) t.o.v. de dns van je provider is extra veiligheid door meer aandacht voor de gegevens (de schil rond de 'normale' dns functionaliteit, zoals je het zelf noemt). Die extra veiligheid waardeer ik vele malen hoger dan de theoretische kans dat iemand onderweg mijn dns verkeer zou onderscheppen en succesvol zou kunnen wijzigen. Mijn antwoord op de vraag "is OpenDNS onveiliger dan de dns van je provider?" luidt dan ook: Nee, je bent juist veel veiliger voor veel voorkomende onveilige situaties wanneer je OpenDNS gebruikt dan wanneer je de dns van je provider gebruikt. Er is wel een klein extra risico dat je dns verkeer onderschept wordt maar dat is voor OpenDNS hetzelfde als voor elke dns server anders dan die van je eigen internet service provider. Bovendien geldt ditzelfde argument voor alle soorten verkeer dat onversleuteld over het internet gaat. En om daar nog eens weer overheen te gaan: wie garandeert dat zelfs je eigen isp niet gecorrumpeerd is/wordt? |
|
|
TCP_IP |
Geplaatst op 11 January 2009, 16:22
|
Activiteit Berichten: 2727 Lid sinds: 24 Feb 2008 |
Wat extra mogelijk interessante artikelen m.b.t. deze discussie. http://www.security.nl/article/18528/1/www.opendns.org Quote OpenDNS geeft DNS rebinding-aanval geen kans 15-04-2008,14:20 doorRedactieReacties: 4 Alternatieve DNS-aanbieder OpenDNS heeft haar gratis oplossing van een nieuwe feature voorzien die gebruikers tegen DNS rebinding-aanvallen beschermt. Tijdens de afgelopen RSA conferentie demonstreerde beveiligingsonderzoeker Dan Kaminsky hoe hackers via deze manier toegang tot routers kunnen krijgen. Het probleem wordt veroorzaakt door de manier waarop sommige internet applicaties, en dan met name web browsers, DNS data cachen. Hierdoor is het mogelijk dat interne netwerk instellingen door aanvallers zijn te bereiken, ongeacht of er een firewall aanwezig is. De aanvaller misbruikt de manier waarop de browser het DNS-systeem gebruikt om te bepalen welke delen van het netwerk toegankelijk zijn. Om een router, access point of file server te hacken volstaat het laden van een kwaadaardige website. Via JavaScript weet de aanvaller dan toegang tot de beheerinterface te krijgen of de DNS-instellingen te wijzigen. Toch is het volgens OpenDNS-oprichter David Ulevitch in essentie een DNS probleem. Daarom heeft OpenDNS nu een nieuw filter ontwikkeld genaamd "Suspicious Response Filters". Het filter inspecteert het DNS antwoord voordat het wordt teruggestuurd. "Zoals de meeste van onze features, zijn we de eerste binnen de industrie. Geen enkele andere DNS software of dienst biedt zoiets aan." Naast het filteren van kwaadaardige websites kunnen gebruikers er ook voor kiezen om pornosites via de dienst te blokkeren. De nieuwe feature is via het dashboard in te stellen. http://www.security.nl/article/19177/1/DNS-aanvallen_begonnen.html Quote DNS-aanvallen begonnen, grote ISPs ongepatcht *update* 26-07-2008,09:12 doorRedactieReacties: 57 Beheerders van nameservers die nog niet de patch voor het ernstige DNS-lek hebben geïnstalleerd, wordt dringend aangeraden dit te doen, hackers zijn namelijk begonnen met het aanvallen van de kwetsbaarheid. Na exploits voor Metasploit zijn er ook twee nieuwe aanvallen verschenen. Het probleem wordt nog vergroot omdat talloze grote internetproviders hun zaakjes niet op orde hebben. Klanten van AT&T, Time Warner, Bell Canada, Skybroadband, Carphone Warehouse Broadband, Opal Telecom, T-Mobile, Videotron Telecom, Roadrunner, Orange, Enventis Telecom, Earthlink, Griffin Internet en Jazztel lopen allemaal risico omdat de ISPs hun nameservers niet gepatcht hebben. Uit deze loggegevens blijkt dat het de aanvallers om bekende domeinnamen te doen is, zoals die van eBay, Gmail, Microsoft, Hotmail en Facebook. Microsoft roept de IT-gemeenschap inmiddels ook op om actie te ondernemen. De softwaregigant kwam begin juli al met een patch, maar heeft alsnog een extra advisory voor haar klanten uitgegeven. Daarin laat het weten nog niet op de hoogte van actieve aanvallen te zijn, maar zou dit slechts een kwestie van tijd zijn nu exploitcode beschikbaar is. Update 9:52 Een wakkere lezer stuurt ons net het bericht dat zijn ISP, Ziggo (Casema), ook kwetsbaar is: "Your name server, at 83.80.1.169, appears vulnerable to DNS Cache Poisoning." http://gebruikers.eu/articles/50623/-dns-hackers-kunnen-router-overnemen-.html Quote 'DNS-hackers kunnen router overnemen' Het afgelopen jaar heeft Kaminsky bestudeerd hoe fouten in de manier waarop browsers werken met het Domain Name System (DNS) kunnen worden gebruikt om firewalls te omzeilen. DNS rebinding-aanval Op de RSA Conference, een bijeenkomst van veiligheidsonderzoekers in San Francisco, zal hij laten zien hoe deze aanvallen werken op populaire routers, zoals de Linksys van Cisco en de D-Link. Zo'n DNS rebinding-aanval kan alle met een standaardwachtwoord beveiligde apparaten met een webbased interface treffen, meent Kaminsky. Zodra een slachtoffer een besmette webpagina bezoekt, wordt via diens internetbrowser de webbased router-configuratie aangepast. Via een JavaScript code kunnen hackers zich toegang verschaffen tot het beheer van de router. Hiermee hebben zij de controle over de internetverbindingen van het slachtoffer. Kwetsbare routers Hoewel onderzoekers in theorie op de hoogte waren van een dergelijke DNS-aanval, zal Kaminsky demonstreren hoe deze in de praktijk kan werken. Vanaf vandaag kunnen klanten van gratis aanbieder OpenDNS een beveiliging tegen zulke aanvallen krijgen. Ook zal het bedrijf een website opzetten waar gebruikers wordt gedemonstreerd hoe zij de wachtwoorden van hun kwetsbare routers kunnen aanpassen. Klik Hier! Kaminsky benadrukt dat de routers op zich geen bugs bevatten: de hack is mogelijk vanwege de standaardwachtwoorden. Het achterliggende probleem zit in de browser, zegt hij. Router-producent Cisco raadt kopers van Linksys routers af om de standaardwachtwoorden te gebruiken. "Bij de installatiesoftware wordt al gevraagd om deze aan te passen", aldus een zegsman van Cisco. Volgens Kaminsky volgt bijna niemand die raad echter op en heeft een meerderheid van de thuisgebruikers een apparaat met een standaardwachtwoord. [eind] http://www.doxpara.com/ Klik op de link om te checken of je ISP z'n DNS zaken op orde heeft, op pagina klik op "Check My DNS" Ik merk toch dat OpenDNS toch ook bij veel bedrijven de voorkeur heeft. Ik weet niet alles van DNS maar wel de basis. Maar goed er zal een reden voor zijn waarom dit gekozen word. Gewijzigd door TCP_IP op 11 January 2009, 16:23 Transmission Control Protocol over Internet Protocol
Voor al je Windows en PC problemen kun je terecht op [url]www.xpvista.nl[/url |
|
|
guus |
Geplaatst op 11 January 2009, 16:47
|
Activiteit Berichten: 344 Lid sinds: 21 Oct 2006 |
Your name server, at *************, appears to be safe, but make sure the ports listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100...). Weet niet wat aren't following an obvious pattern betekent maar volgens mij is het redelijk goed? |
|
|
Richard |
Geplaatst op 11 January 2009, 19:34
|
Activiteit » Maastricht Berichten: 2179 Lid sinds: 03 Apr 2006 |
Quote Even afgezien van de vele andere fouten die je in je verhaal maakt Ik vindt wel dat als je zo'n uitspraken wilt maken, dat je ze ook moet staven, net zoals ik deed. Anders moet je dat achterwege laten. Want mijns inziens zitten er geen fouten in mijn verhaal. Dus ik zie ze graag komen. Je spreekt zelf bijv. over meerdere lagen en noemt dan 2 lagen op, die mijns inziens geen 2 echt aparte lagen zijn maar gewoon in dezelfde laag werken. Mijn machine met mijn provider, en mijn provider met een andere DNS server, werkt mijns inziens op dezelfde laag. En ook gewoon via udp op poort 53 (en tegenwoordig ook nog andere poorten). Gewoon een vraag en antwoord spelletje op hetzelfde niveau wat geforward wordt. Alleen is het bij de servers wat uitgebreider. Ik zie dat niet als een aparte laag. De server kan wel meer beveiliging erbij nemen wat met de nieuwe versies DNS servers ook gebeurt. Of het moeilijker is om onderweg te hacken? Dat ligt er maar aan. De verhalen van niet up2date zijnde routers bij providers zijn net zoveel als niet geupate DNS systemen. Heb je een router in handen, dan heb je alles in handen. Nog niet zo gek lang geleden werden zo DDos aanvallen gepleegd, totdat eindelijk een grote fout in router software ontdekt werd. Maar oke, ik zal me beperken tot OpenDNS. We zullen het waarschijnlijk wel oneens blijven over wat veiliger is. Ik lees wel in het aangehaalde artikel van Tcp_ip dat OpenDNS in elk geval 1 van de gevaarlijke lekken gedicht heeft en dat is goed om te horen. Verder zie ik US providers hoofdzakelijk, maar er staat niet bij of wellicht de NL providers ook hun zaken gedicht heeft ja dan nee. Quote Toch is het volgens OpenDNS-oprichter David Ulevitch in essentie een DNS probleem. En dat is waar ik op doel. Je kunt veel beveiligen, maar de basis is nog niet 100% in orde. Als de basis niet in orde is kun je nog zo'n mooie schil er omheen bouwen. Raakt de basis geinfecteerd ben je weg. Vermoedelijk zal OpenDNS daar wel meer aandacht aan besteden dan een gewone provider omdat dit hun Core business is. Mislukt het bij hun kunnen ze wel inpakken. Grotendeels zijn we het wel eens, de schil er omheen etc. is wel veiliger voor webbezoek. We verschillen alleen van mening omtrent de core. Jij vindt hem veiliger dan je eigen provider, ikzelf niet. Correct, het risico voor het hacken onderweg is vrij klein, maar wel aanwezig. Daarmee kun je dus toch concluderen dat hoe kleiner de route, hoe kleiner ook het risico. Verder leren nog altijd de ervaringen uit het verleden dat populaire bedrijven eerder gehacked worden dan providers. Het moet al zo lang geleden zijn dat ik niet eens meer weet van een DNS provider hack, wel van complete systemen van bijv. Nasa en Microsoft. Daarom kan ik ook niet stellen dat OpenDNS veiliger is dan je eigen provider (puur core DNS gezien). De feiten (waaronder een nog niet 100% veilig en bugvrij DNS systeem) en ervaringen met hackers uit het verleden spreken dat tegen. Voor webbezoek dus ja, voor core dns zal het nauwelijks schelen, enkele providers uitgezonderd. Hoe hackers zullen reageren en wat er nog zal gebeuren, dat zal de toekomst uitwijzen. Het loont zich wel de moeite om het eens te proberen dat spreek ik niet tegen. Maar internetbankieren is er niet veiliger op, dat geloof ik gewoonweg niet omdat (hoe klein ook) er meer risico is onderweg. Gewijzigd door Richard op 11 January 2009, 19:35 Greetings, Richard.
|
|
|
TCP_IP |
Geplaatst op 11 January 2009, 20:20
|
Activiteit Berichten: 2727 Lid sinds: 24 Feb 2008 |
Misschien iets om internetbankieren "veiliger" te maken terwijl je OpenDNS gebruikt. Pas je Host file aan en zet daar IP van je bank-site in gekoppeld aan een afwijkende naam, bijvoorbeeld: Quote # Copyright (c) 1993-2006 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 145.72.70.20 raborabo Als je raborabo in adresbalk van je browser typt word adres niet door je DNS behandeld maar door je hostfile. Gewijzigd door TCP_IP op 11 January 2009, 23:07 Transmission Control Protocol over Internet Protocol
Voor al je Windows en PC problemen kun je terecht op [url]www.xpvista.nl[/url |
|
|
Richard |
Geplaatst op 11 January 2009, 22:06
|
Activiteit » Maastricht Berichten: 2179 Lid sinds: 03 Apr 2006 |
Een uitstekend idee! Dan hoef je tenminste niet steeds alles om te zetten. Volgens mij hoeft dat sowieso niet want als ik het me goed herinner, heeft de hosts file voorrang op de DNS, dus je kunt er ook gewoon het echte bankdomein op plaatsen. OpenDNS is in de afgelopen jaren wel gegroeid, niet alleen qua aantal leden maar ook qua ervaring. Ik ga ze in elk geval eens op mijn eigen DNS server zetten en zien wat het qua snelheid oplevert. Greetings, Richard.
|
|
|
rrozema |
Geplaatst op 11 January 2009, 23:02
|
Activiteit » Delft, 2191 meter vanaf Dt-Vhf Berichten: 2800 Lid sinds: 19 Feb 2006 |
Quote Richard schreef: Je spreekt zelf bijv. over meerdere lagen en noemt dan 2 lagen op, die mijns inziens geen 2 echt aparte lagen zijn maar gewoon in dezelfde laag werken. Het ging me om de communicatie: de 1e 'laag' is de communicatie tussen jou en de server, de 2e 'laag' is alles daar achter. Alles op de '2e laag' is voor elke dns server hetzelfde; ofwel een hoger gelegen server of een server die ownership heeft over een registratie. Alles wat daar verkeerd kan gaan is ook hetzelfde bij alle providers, met precies dezelfde kans om 'slechte' adressen toegevoerd te krijgen. OpenDNS doet echter meer dan de gemiddelde dns server; zij verifiëren elk adres dat ze binnenkrijgen voordat ze het doorgeven. Als er dus een 'core server' of welke andere server dan ook die een adres aanlevert, gecorrumpeerd is, een als frauduleus bekend staand adres aanlevert, dan zal openDNS dat opmerken en dat adres niet doorgeven aan z'n clients. OpenDNS was de eerste die dit deed, en misschien zijn er inmiddels meer die filters toepassen, maar het is nog steeds lang geen gemeengoed bij de providers en vrijwel geen enkele partij zal zo alert zijn, en z'n lijsten up to date houden, als openDNS. Op basis daarvan beweer ik dat je veiliger bent bij openDNS dan bij elke andere dns provider. Daarna kan het dan nog steeds fout gaan, en dat noem ik voor deze discussie de 1e laag. Dat is namelijk het enige punt waar jouw verhaal over een langere route en meer risico op hacking opgaat; dezelfde risico's bestaan ook op de 2e laag, maar elk foutief adres wat er daar ingeslopen zou zijn, wordt er weer uit gefilterd door openDNS. Zoals ik al zei, het risico bestaat, maar is vrijwel te verwaarlozen omdat er bijna geen winst te behalen is voor hackers. Quote Maar internetbankieren is er niet veiliger op, dat geloof ik gewoonweg niet omdat (hoe klein ook) er meer risico is onderweg. Als je geen filter hebt, zoals een gebruiker die de dns server van z'n provider gebruikt, is de weg veel langer: helemaal vanaf de core servers inclusief alle servers onderweg. Daarom is het risico veel groter dan bij gebruikers die openDNS gebruiken. Daar is de weg waarop er een frauduleus adres ge-injecteerd kan worden immers maar zo lang als de weg tussen de dns server van openDNS en jouw machine; ook al is die weg langer dan die tussen de dns server van je provider en je machine, hij is altijd korter dan die tot helemaal terug naar de core servers en dan naar de owner-server. Gewijzigd door rrozema op 11 January 2009, 23:10 |
|
|
Richard |
Geplaatst op 12 January 2009, 02:44
|
Activiteit » Maastricht Berichten: 2179 Lid sinds: 03 Apr 2006 |
Oke, met deze uitleg kan ik je helemaal volgen en heb je me qua argumentatie wel overtuigt dat het inderdaad veiliger is door de backcheck, om het zo even te noemen. Quote Als je geen filter hebt, zoals een gebruiker die de dns server van z'n provider gebruikt, is de weg veel langer: helemaal vanaf de core servers inclusief alle servers onderweg. Hier ben ik nog niet helemaal overtuigt. Hoezo is de weg dan veel langer? Het lijkt mij dan toch ook even lang als met OpenDNS. Deze laatste voert wel een controle uit, maar de weg is feitelijk hetzelfde. Je gaat naar een root server, die vraagt het ip op bij de dns van de provider en je krijgt antwoord via die weg weer terug. Tenminste als ik het zo bekijk en je gebruikt de DNS van OpenDNS, kun je het eigenlijk zo zien alsof OpenDNS je ISP is. Het enige verschil is dan dat je route via Amerika gaat en van daaruit naar de rootservers, plus nog een keer terug voor de controle die OpenDNS doet. Met je eigen provider gaat het naar je eigen provider in Nederland en van daaruit naar de NL rootserver en terug naar jou. Daarom dat niet begrijp waarom je stelt dat de weg via je eigen provider veel langer zou zijn, maar ik neem aan dat je me dat wel duidelijk kunt maken. Quote Dit haalde ik nog uit een eerder antwoord van je. Nu heb ik hem draaien op mijn pc maar kon geen verschil waarnemen. Aangezien jij schreef dat je de responses hebt kunnen meten, had ik graag geweten waarmee. Dan kan ik middels meetwaardes ook zien of het bij Telfort ook daadwerkelijk qua snelheid uit maakt. Want mijns inziens werk je dan nog steeds in marges, het enige wat je namelijk doet is het dns verkeer. Dus naam/ip omzetting. Aan de pingtijden zal dat niets wijzigen en dat is eigenlijk wat je snelheid bepaald. Gewijzigd door Richard op 12 January 2009, 02:45 Greetings, Richard.
|
|
|
rrozema |
Geplaatst op 12 January 2009, 18:16
|
Activiteit » Delft, 2191 meter vanaf Dt-Vhf Berichten: 2800 Lid sinds: 19 Feb 2006 |
De metingen heb ik uitgevoerd door Nuria te laten lopen; mijn surfsnelheid ging bijna 2 punten vooruit en in plaats van net onder het gemiddelde zat ik ineens ruim boven het gemiddelde van alle Online gebruikers. De weg is langer omdat bij gebruik van openDNS alleen het stuk tussen openDNS en jouw machine kwetsbaar is voor 'slechte' adressen. Alle slechte adressen die er voor openDNS in zouden zijn gekomen zijn er immers door openDNS weer uitgefilterd. Bij gebruik van de server van je provider kan op elke plek een slecht adres worden ingevoerd en die zal dan altijd jouw machine bereiken. En elke plek is dan: - tussen jouw machine en de dns server van je provider, - op de dns server van je provider, - tussen de dns server van je provider en 'hogere' servers, (meerdere malen afhankelijk van de diepte van je url en de bestemming) - op de 'hogere' servers, (en dat ook weer meerdere malen, afhankelijk van de diepte van je url en de bestemming) - tussen de hogere servers en de eigenaar van het dns record - op de dns server van de eigenaar. |
|
|
TCP_IP |
Geplaatst op 12 January 2009, 19:42
|
Activiteit Berichten: 2727 Lid sinds: 24 Feb 2008 |
Gedeeltelijk off-topic: http://www.freedownloads.nl/nuria.htm Quote Nuria Hoe snel is uw breedbandverbinding eigenlijk? Nuria geeft je inzicht in de snelheid van je breedband internet aansluiting. Heb je een (A)DSL of kabel internet abonnement dan kun je Nuria gebruiken om na te gaan hoe snel je verbinding eigenlijk is. Inmiddels krijgen duizenden mensen met behulp van Nuria inzicht in de snelheid van hun breedbandinternet. Per maand worden er nu zo'n 3,5 miljoen metingen uitgevoerd! Hoe gebruik ik Nuria en wat kan ik ermee? Na installatie zal Nuria automatisch met Windows opstarten. Via het menu van Nuria (klik met de rechtermuis op het icoontje in de traybar, naast de klok), kun je zelf metingen uitvoeren. Via dit menu kun je tevens verschillende rapportages opvragen waarmee je kunt zien hoe snel je bestanden kunt downloaden(ophalen)en uploaden (versturen). Transmission Control Protocol over Internet Protocol
Voor al je Windows en PC problemen kun je terecht op [url]www.xpvista.nl[/url |
|
|
Deze website gebruikt Awin affiliate links en Google advertenties, om deze service voor iedereen gratis te houden.
| |
Spring naar forum: |
Gebruik BBcode of HTML om naar; 'Zijn er risico's aan het gebruik van OpenDNS?', te verwijzen!
BBcode: | |
HTML: |
Vergelijkbare onderwerpen
Onderwerp | Forum | Laatste bericht | |
---|---|---|---|
Overstappen van Stipte, gebruik fritz box als disk/print/voip server | Algemeen | : 4 | 30 Jun 2019 |
Lees dit! Regel voor gebruik onderdeel Tweedehands apparatuur. | Vraag & Aanbod van tweedehands apparatuur | : 1 | 29 Nov 2016 |
Zijn de klachten bij online minder bij vdsl? | Algemeen | : 8 | 27 Dec 2015 |
Zyxel vmg8324-B10a Oranje dsl lampje brand moet dat niet groen zijn?? | Helpdesk | : 18 | 24 Aug 2015 |
Slechte ontvangst Wifi met Fritzbox 7360Hoe zijn jouw ervaringen inmiddels Lutz? | Huawei configuratie en problemen | : 3 | 31 May 2015 |
Advertentie