Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Már elérhetők a Cloudflare biztonságos DNS szerverei

Hlács Ferenc, 2018. április 05. 08:42

Az APNIC által eddig kutatási célokra használt 1.1.1.1 és 1.0.0.1-t kapja meg a cég.

hirdetés

Csatasorba álltak a napokban a Cloudflare új DNS szerverei, amelyek a vállalat ígérete szerint biztonságosabb és gyorsabb szolgáltatást kínálnak. Az új DNS-megoldás ennek megfelelően DNS-over-TLS, illetve a DNS-over-HTTPS funkciókat is támogatja, továbbá a vállalat szerint minden DNS lekérdezésnaplót töröl 24 órán belül. A DNS a cég szerint 28 százalékkal gyorsabb, mint a rivális szolgáltatások. A megoldás már használatba vehető, ehhez a vállalat kapcsolódó weboldalán részletes tájékoztatást is kínál.

A szolgáltatáshoz igába hajtott, addig kutatási célokra fenntartott címek ugyanakkor, mint kiderült, több esetben már korábban is használatban voltak, még ha nem is száz százalékig szabályos módon. A Cloudflare, az Asia Pacific Network Information Centre-rel (APNIC) közösen létrehozott DNS megoldása az 1.1.1.1 és 1.0.0.1 címekkel dolgozik - ezek az APNIC címtartományába tartoznak. Ez utóbbiak egészen idáig kutatási célokat szolgáltak, de az APNIC elemzése szerint az 1.1.1.1-re tekintélyes mennyiségű "hulladékforgalom" is beérkezett - amely most a Cloudflare-nek hála újrahasznosítható lehet.

A felek megállapodása értelmében ugyanis az APNIC beengedi a Cloudflare-t az eddig kutatási célokra fenntartott címtartományba, hogy az ott létrehozhassa biztonságos DNS szolgáltatását, cserébe pedig a Cloudflare hálózatán tanulmányozhatják az addig haszontalan plusz forgalmat. Az APNIC egyébként közleményében a partnerségről is mint közös kutatási projektről beszél, amelynek hála a cég betekintést nyerhet az interneten ma jellemző DNS lekérdezési trendekbe, illetve annak kapcsán is fontos információkat szolgáltathat, hogyan lehet a DNS-eket biztonságosabbá, illetve gyorsabbá tenni. Ez főként annak fényében fontos, hogy a DNS infrastruktúrát célba véve az elmúlt években több DoS támadást is végrehajtottak, a kutatás ezek hatékonyabb kivédését is elősegítheti a későbbiekben.

ntwrk

Hogy az eddig "dark traffic addressként" konfigurált címekre érkező kétes forgalmat érdemes górcső alá venni, már annak tekintélyes mennyisége is mutatja, mikor azt korábban a cég a Google-lel karöltve vizsgálta, tempója a másodpercenkénti 50 gigabitet is elérte. A kutatók a hulladékforgalom megfigyeléséhez a 1.0.0.0/24 és 1.1.1.0/24 címtartományokat foglalták le.

Mivel az 1.1.1.1 nem számított eddig publikusan használható címnek, sok gyártó "újrahasznosította" ezt a címet és valamilyen saját funkció helyének tartotta fenn. A ZDNet erre több példát is csokorba gyűjtött, ilyen volt a Fortinet VPN, amely az 1.1.1.1-et használta szolgáltatásának kimeneti pontjához, vagy épp a Nomadix kontrollerek, amelyeknél ugyanez a cím volt az alapértelmezett kilépési cím. De ugyanígy az AT&T Gigapower is használta az 1.1.1.1-et egy belső interfészen, legalább egy router-gateway-én, sőt a németországi Vodafone is bevetette, kép-cachelő (és tömörítő) szerver címeként mobilhálózatán. A Cloudflare frissen indított szolgáltatása ezekkel némi konfliktusba kerül, amit várhatóan szoftverfrissítéssel kell a szereplőknek feloldaniuk.

A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.