Quad9 DNS filter

[Pippin]

Los van hoe Quad9 met onze queries omgaat, zijn er al mensen die gebruik maken van deze DNS server(s)?

How will Quad9 help protect my data?

When you use Quad9, attackers and malware cannot leverage the known malicious domains to control your systems, and their ability to steal your data or cause harm will be hindered. Quad9 is an effective and easy way to add an additional layer of security to your infrastructure for free.

Quad9
Faq

[Briolet]

Als ik het goed lees is dat gewoon een DNS server die bekende malware domeinen uitfiltert.

Dat is iets wat OpenDNS ook kan, mits je een (gratis) account aanmaakt om deze instellingen te maken. Met de Synology DNS server i.c.m. de adblocker kan dat ook als je de "malwaredomains" lijkt meeneemt in je blocking.

Alles hangt af hoe accuraat die bekende lijsten met malwaredomeinen bijgehouden worden bij de diverse methodes.

Edit: OpenDNS heeft het alleen over blokkeren van "illegal activity" bij de high en moderate instelling. Bij custom vind ik dit niet terug. Misschien dat Quad9 meer doet.

Anderzijds gebruik ik alleen het gratis filter van OpenDNS. De betalende versie doet vast meer.

[Briolet]

Ik zie nu waarom ze "Quad9" heten. Dat is "vier negens" oftewel 9.9.9.9  Wel simpel te onthouden. 

Het voordeel van Google-dns  en OpenDNS is dat beiden naamservers bij Amsterdam hebben. Dat geeft snelle responsetijden. Van deze vind ik zo snel niet waar hun servers zitten.

[Pippin]

Quad9 filtert niet zoals OpenDNS, het is gericht op/filtert "malicious domains".
Gebruik het nu ca. een maand i.c.m. Pi-hole/DNS Server op de NAS.
Heb zelf geen klachten, ook niet van andere gebruikers gehoord.

Zij gingen schijnbaar van start met 70 POP`s en er zijn er nu 164 volgens mij:
https://www.pch.net/about/pops

Iets meer:
https://tinkertry.com/quad9-may-be-a-google-public-dns-alternative-to-try-for-more-privacy

[Pippin]

Nog iets meer:
DNS:
Primair: 9.9.9.9 - gefilterd
Secondair: 149.112.112.112 - gefilterd

https://chefkochblog.wordpress.com/2017/12/06/ibm-quad9-a-closer-look/
En DNS-over-TLS ook mogelijk:
https://medium.com/nlnetlabs/privacy-using-dns-over-tls-with-the-new-quad9-dns-service-1ff2d2b687c5

[Briolet]

Zij gingen schijnbaar van start met 70 POP`s en er zijn er nu 164 volgens mij:
https://www.pch.net/about/pops

Ik zie daar Amsterdam en Rotterdam in staan. Dat is dicht genoeg bij voor goede DNS responsetijden, vergelijkbaar met Google en OpenDNS.

Op hun website lees ik dat ze het IP 9.9.9..9 overgenomen hebben van Microsoft. Dat houdt in elk geval in dat ze het vertrouwen van Microsoft hebben.

[Briolet]

Ik heb net het programma "NameBench" eens gerund. Dit is een Pyton programma om DNS servers te testen.



De test was met 50 url's uit de Alexa lijst.  De 10.0.1.30 server is die van mijn nas, welke de DNS van OpenDNS gebruikt. De nas deed het bij een paar sneller omdat die uit de cache kwamen. Overall deed de Quad9 het zelfs beter.

Voor een goede test moet je langer testen, maar globaal mag je stellen dat ze even goed presteren in responstijd.

[Birdy]

Begrijp ik het goed, dat deze wijziging, in m'n Router en Clients beter kan zijn ?

[Briolet]

9.9.9.9 voorkomt inderdaad dat je geen verbinding kunt maken met een adres die bekend is als schadelijk.

Hij moet wel eerst op die lijst staan. Zo kreeg ik gisteren een phishing mail met een link naar een bit.ly adres. Met een tooltje heb ik even gekeken naar welk domein dat adres wijst. (http://www.checkshorturl.com)

Daarna de verschillende testsites bekeken die schadelijke linken kunnen herkennen. Bij slechts één was die nog maar bekend als schadelijk.

Maar als ik het IP opvraag via 9.9.9.9, dan krijg ik hem ook gewoon. Dus ook vandaag is hij nog niet geblokkeerd.

[Birdy]

Ik ga 9.9.9.9 gebruiken, lijstjes blijven toch wel een beetje achter maar, dit lijkt mij toch wat veiliger (gevoel).

[Pippin]

Qua responstijd maakt het niet zoveel uit, een paar milliseconden merk je niets van.

Voor zover mij bekend is dit nu het enigste gratis initiatief om voor gebruikers met weinig kennis toch op een eenvoudige manier aan malware domain blocking te doen. Van mij mogen er meer komen vooral gezien de gestage groei in het aantal IoT devices (ja ook cloud) en de daarmee (helaas) samenhangende onveiligheid vanwege achterblijvende of helemaal geen updates.

Natuurlijk is dit maar een stap om het veiliger te maken maar wel in de goede richting.

[Briolet]

De site http://www.malwaredomains.com houdt ook lijsten bij met onbetrouwbare domeinnamen.

Ik gebruik deze lijst via de DNS server op de nas, i.c.m. de adblocker. Zij updaten wekelijks en ik update mijn lijst wekelijks, dus ik loop hier ook achter de feiten aan. 

9.9.9.9 gebruiken is natuurlijk simpeler dan een eigen dns server runnen.

[wizjos]

Ik ga 9.9.9.9 gebruiken, lijstjes blijven toch wel een beetje achter maar, dit lijkt mij toch wat veiliger (gevoel).

Ik ben het met je lijstjes opmerking eens! Zojuist de router alhier er maar eens mee uitgerust.

[Pippin]

Het is en blijft eigenlijk een kat en muis spel.
In de regel lopen gratis lijsten 30 dagen achter, wie er bovenop wil zitten kan er voor betalen.
In hoeverre Quad9 er bovenop zit heb ik niet gelezen...

[Pippin]

In hoeverre Quad9 er bovenop zit heb ik niet gelezen...

"Intelligence on malicious domains comes from 19 threat feeds"
https://arstechnica.com/information-technology/2017/11/new-quad9-dns-service-blocks-malicious-domains-for-everyone/
https://www.theregister.co.uk/2017/11/20/quad9_secure_private_dns_resolver/