чебурнет DNSSEC АСБИ а_город_подумал-ученья_идут

Отец знакомого работает в АО "ДЦОА". Сегодня срочно вызвали на совещание в ГРЧЦ. Вернулся поздно, принёс с собой переднюю панель от Байпасса. Сказал лишь перегенерировать ключ DNSSEC и бежать в РДП. Сейчас едем на MSK-IX. Не знаю что происходит, но мне кажется почалося...

dns2socks чебурнет adguard Shadowsocks DNSCryptProxy2 роскомпозор ODoH обход_блокировок docker DNS-proxy DNSSEC doh unbound DoQ privacy antiZapret DNS dnsleaktest ТСПУ wireguard суверенный_рунет DNSCrypt блокировка_VPN сувенирный_интернет АСБИ DNS-over-HTTPS habrastorage.org

Обход блокировок: настройка сервера XRay для Shadowsocks-2022 и VLESS с XTLS-Vision, Websockets и фейковым веб-сайтом

_habr.com/ru/articles/728836/

dns2socks adguard unbound Knot privacy DnsJumper dot dnsdist namebench dnsleaktest DNSBench ipcipher OpenNIC dnsmasq DNS-proxy dnsperf-tcp wireguard DNS-Resolvers DNSCrypt DNSSEC DNS-Privacy Acrylic DNS-over-HTTPS Stubby nlnetlabs.nl
Unbound or Knot
github.com
A validating, recursive, caching DNS resolvers (DoT)
knot-resolver.cz
github.com

github.com

dnsprivacy.org
Stubby
DNS queries are sent to resolvers over an encrypted TLS connection providing increased privacy
dnsprivacy.org
dnsprivacy.org
dnsprivacy.org
wiki.archlinux.org

dnscrypt.info
DNScrypt
Modern encrypted DNS protocols such as DNSCrypt v2, DNS-over-HTTPS, Anonymized DNSCrypt and oDoH (Oblivious DoH)
github.com
github.com
github.com
github.com



sourceforge.net

Acrylic is a local DNS proxy for Windows which improves the performance of your computer by caching the responses coming from your DNS servers and helps you fight unwanted ads through the use of a custom HOSTS file (optimized for handling hundreds of thousands of domain names) with support for wildcards and regular expressions.



DNSSEC allows a resolver to verify the records received from authoritative servers.

DNSCrypt allows a client to verify the records received from a resolver.



DNSSEC is the industry "standard", ironically, find me where its in wide use.DNSCrypt is in use with opendns and many other dns services.DNSCrypt has the ability to stop MITM DNS HIJACKING, SPOOFING, ETC, whereas DNSSEC will not. However DNSSEC is supposed to be what the "industry" has adopted (yeah like IPV6 LOL). It provides a chain of trust that the answer you get should be authentic, but truthfully cannot prevent or stop MITM they way DNSCrypt can.Your best bet is to use DNSCrypt, DNSSEC, and UNBOUND together.I think OPENDNS has a really good explanation opendns.com

sourceforge.net


What is Nebulo ?

When navigating to a website known by it's name, say example.com, your device ask specific servers — DNS servers — how to address the website. DNS is an old protocol which, except for smaller changes, hasn't been touched since its creation in 1987. Naturally the Internet changed a lot in this time, rendering the protocol outdated in some of its core aspects.

This app tackles one of the bigger problems with DNS: Encryption.

Whilst nearly all traffic on the Internet is encrypted now, DNS requests (i.e. questions for a names address) and the response aren't. This enables attackers to intercept, read and modify your requests.

Nebulo is a DNS changer which implements DNS-over-HTTPs and DNS-over-TLS to safely send your DNS requests to the target server. This way only you and the DNS server are able to read the requests you are sending.

Core features:


Configure the app once and then forget about it. After initial configuration it works fully autonomous

No ads and no tracking

Custom servers can be used

Low battery consumption


This app is open source. The source code can be accessed from within the app.


RethinkDNS

An OpenSnitch-inspired firewall and network monitor + a pi-hole-inspired DNS over HTTPS client with blocklists.

github.com — DNS Benchmark
report.opennicproject.org
dnsleaktest.com
cmdns.dev.dns-oarc.net
monitor.dnsprivacy.org

github.com

github.com
Quad9 is a global public recursive DNS resolver which aims to protect users from malware and phishing.
quad9.net
dnsprivacy.org

usher2 DNS DNSSEC Ротация ключей DNSSEC прошла более менее успешно. Но конечно сообщают об поломках. У кого-то был на роутерах в микротиках старый ресолвер. Или вот в Monero ключ оказался зашит в код (бу-га-га!!).

pf2017 DNSSEC По результатам Пирингового Форума 2017 в Москве, появилось ещё два регистратора национальных доменов RU/РФ с поддержкой DNSSEC, которые позволяют передавать DS-записи в реестр. Реализована как работа через веб-форму, так и через API. Это регистраторы atex.ru и domainshop.ru. Если Вы используете DNS CloudFlare, Amazon Route53 или Google DNS — регистрируйте домены у упомянутых регистраторов и пользуйтесь DNSSEC. Поддержка DNSSEC также есть у Reg.ru и в тестовой версии Nic.ru API, но они не лояльны к бизнесу.

As a result of the Russia Peering Forum 2017, two more registrars of national RU/РФ domains have implemented DNSSEC support and allow delegation of DS records to the registry. Implemented work through the web form, and through the API. This registrars Atex.ru and Domainshop.ru. If you use DNS CloudFlare, Amazon Route53 or Google DNS you can register domains from these registrars and use DNSSEC. Reg.ru and the test version of the Nic.ru API also support DNSSEC, but these companies are not loyal to the business.
DNSSEC is great!

DNSCrypt DNSSEC Кстати, кого интересует всякий DNS, DNSCrypt, DNSSEC — welcome telegram.me
Мне требуются активные участники

Google DNSSEC В День Столетия Великой Октябрьской Социалистической Революции, который отмечается как и всё у нас — через одно место — 7-го ноября, Google Cloud DNS завез DNSSEC, который у нас "нинужин". УРА, ТОВАРИЩИ!!!!
cloudplatform.googleblog.com

coredns DNSSEC RU: Случайно наткнулся на CoreDNS. Не знаю почему раньше мимо проходил. У него есть три прекрасные фишки: он на golang, он построен на плагинах, у него реализована подпись "на лету" в варианте "чёрная ложь" (как у CloudFlare).Осталось понять, насколько легко прицепить к нему бэкэнд и какой. Можно ли подписывать проксированные запросы? Это многое бы решило. Насколько сложно реализовать ответы с учетом ECS (собственно, адекватно сейчас это умеет только PowerDNS).
EN: Suddenly discovered the existence of CoreDNS. I do not know why only now. It has three excellent features: written in golang, based on plugin chains, can sign zone data on-the-fly with NSEC black lies (like Cloudflare).It remains to understand how easy it is to implement a new backend to it and which one. Is it possible to sign proxy requests? This would have solved a lot. How difficult it is to implement ECS-based answers (in fact, only PowerDNS can do now)?

ссылка DNS DNSSEC Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

slideshare.net

DNSSEC У меня в телеграме есть чатик по DNSSEC/DNSCrypt. Очень грустно разговаривать самому с собой. В FB и VK этим спамит тоже странно и бессмысленно. Вдруг кто чего. telegram.me

сеть_предприятия корпоративный_портал DNSSEC Active-Directory localdomain Знач, план такой:

Как привезут сервак, — сразу:

00) забэкапить DNS
01) восстановить в лабе, в изолированной сетке, затестить,
проверить что всё работает
02) навесить роль DNS/Doman Controller, установить одностороннее доверие
03) добавить SAMBA-файлопомойку вторичным контроллером к новому
04) поднять в виртуалке Win2016Nano для виндовых контейнеров
05) купить писюк под хост/ферму
06) всё это собрать в кластер, потестировать методом произвольного (наугад)
гашения отдельных элементов/узлов
07) поднять MatterMost, SpreeCommerce, OpenProject, MoinMoin, OwnClowd (CardDAV и т.д.) и т.д. и т.п.
08) написать документацию
09) поднять vSRX, сделать динамическую маршрутизацию, помечтать об автономке
10) поднять мониторинг
11) развернуть PostGre, сделать репликацию
12) отчёты и справочки в LDAP и обратно (из него)
13) BYOD
14) компьютерные курсы
15) добиться, чтобы всё это переживало 3 месяца моего отсутствия
...
16) PROFIT!!!

DNS DNSCrypt DNSSEC Обновил давно работающий у себя dnscrypt-proxy. Из доступных серверов не так много поддерживающих DNSSEC.

Про участие Яндекса не понял, типа и логи ведём, и даже dnssec не поддерживаем, ну и нахуй вы вообще нужны тогда?

Четыре инстанса: dnscrypt.eu-dk, ipredator, cloudns-syd, ns0.dnscrypt.is и unbound сверху.

Все на 443 портах, 53 наружу вообще заблокирован. Ибо нех. -> dnscrypt.org

DNSSEC Горячие cоседи, до которых от порога моего дома в четыре раза ближе, чем до вашей этой Москвы, меня часто восхищают. Шутка "До Таллинна далеко?" начала играть новыми красками. internet.ee — это эстонский аналог нашего КЦ, который cctld.ru
И вы не поверите, прямо с главной при государственной поддержке и финансировании Евросоюза отличные видео с котиками про DNSSEC. На русском: vimeo.com английском: vimeo.com
Молодцы. Теперь далеко.

DNSSEC телега Мне надоело мучать пустоту. Так хоть будет концентрация какая telegram.me

DNSSEC Приз первого конкретно попавшегося на протухшем DNSSEC вручается банку "Воронеж".

DNSSEC дотянул и опять чуть не забыл обновить ksk на реверсных зонах. кстати, а почему не педалят отказ от SHA1? я чёта очкую

DNSSEC давайте представим, что мы хотим написать программу, поддерживающую DNSSEC. например патч к wget. как правильно поступить? считать, что используемый DNS отдаёт проверенное, только смотреть флаг AD, или проверять самому? первое легче, второе явно безопаснее. копаем дальше — DANE...

DNSSEC ОК, теперь bakulin.de отдаёт корректный DNSSEC и подписан от самого ".".

DNS DNSSEC Заебись, от Hetzner пришёл ответ, что мне нужно ставить другой secondary ns, поскольку ихний, которым я пользуюсь, не умеет DNSSEC.

DNS DNSSEC Тем временем, я продолжаю попытки отправить в DENIC DS-запись для bakulin.de :-)

DNS links DNSSEC Практическое применение DNSSEC
habrahabr.ru
DNSSec: Что такое и зачем
habrahabr.ru

политика хостинг DNS DNSSEC кстати, если DNSSEC — это шаг Гугля в войне щита и меча, то следующим шагом ожидаемо будет DANE искаропки в Chrome...

хостинг DNS DNSSEC а, да. в связи с поддержкой DNSSEC гуглём и подписанием всех российских национальных доменов, опсосы могут начинать сворачивать свои DNS-фильтры

хостинг DNS DNSSEC Google DNS стал поддерживать DNSSEC. можно передавать "приветы" все инициативам с реестром запрещённых сайтов на DPI. DANE+SNI провертят DPI на копье

DNS DNSSEC В домене .RU заработал в DNSSEC. Теперь все корневые российские национальные домены подписаны. Жду когда местные регистраторы дадут возможность подписывать таки домены

DNS DNSSEC dig +short diphost.ru | xargs dig +dnssec -x
короче, часть френдленточке должна икнуть :)))))

DNS DNSSEC signature validity period решил сделать... 4 дня. вроде самое то да?

DNS DNSSEC ну хорошо, вот у меня bind с проверкой dnssec, и чо? в логи он ругается мягко говоря странно... я как чо могу проверить-то?

DNS DNSSEC технологии вводить или нет ГОСТ в подпись? ksk и/или zsk?

DNS DNSSEC оставлю это здесь forum.lissyara.su

DNS DNSSEC отдельный вопрос — перенос домена между разными NS-серверами. как это сделать с DNSSEC достойно я не представляю

DNS DNSSEC посмотрел на ldns... в общем, без шаманства намутить общий для сервера ksk не получится... этот тоже хочет каждому свой

вопрос DNS DNSSEC и ещё про DNSSEC. есть какой-нибудь смысл в общей практике — каждой зоне совй KSK и свой ZSK? ведь для хостера более удобно делать один KSK и один ZSK на все поддерживаемые на сервере зоны. или я чего-то не понимаю?

вопрос DNS DNSSEC а есть какие-нибудь тулзы работы с ключами/пописями на основе ldns? чтобы не зависеть от BIND? утилитами из example пользоваться стрёмно. есть какие-нибудь презентации по DNSSEC для администраторов DNS-серверов?

DNSSEC второй вопрос в dnssec — кто имеет край срока — ключ или rrsig? у меня bind 9.6, не умеет ключи делать по датам, но подпись ставится с границей. я не понимаю в итоге механизма

вопрос DNSSEC как посмотреть время подписи? блин, у меня дистрибутивный bind, я не понял как он по дефолту сделал

DNSSEC менеджер Directi ответил про DNSSEC "Thanks for your recommendation. I will forward this to the concerned team and if possible we will try and introduce it."

DNSSEC написал про DNSSEC в .mastername

DNSSEC написал менеджеру Directi запрос на DNSSEC. если ещё кто есть с Directi — задолбайте их :)