Synology-Forum.nl
Algemeen => The lounge => Topic gestart door: Pippin op 13 januari 2018, 16:35:04
-
Los van hoe Quad9 met onze queries omgaat, zijn er al mensen die gebruik maken van deze DNS server(s)?
How will Quad9 help protect my data?
When you use Quad9, attackers and malware cannot leverage the known malicious domains to control your systems, and their ability to steal your data or cause harm will be hindered. Quad9 is an effective and easy way to add an additional layer of security to your infrastructure for free.
Quad9 (https://quad9.net)
Faq (https://www.quad9.net/#/faq)
-
Als ik het goed lees is dat gewoon een DNS server die bekende malware domeinen uitfiltert.
Dat is iets wat OpenDNS ook kan, mits je een (gratis) account aanmaakt om deze instellingen te maken. Met de Synology DNS server i.c.m. de adblocker kan dat ook als je de "malwaredomains" lijkt meeneemt in je blocking.
Alles hangt af hoe accuraat die bekende lijsten met malwaredomeinen bijgehouden worden bij de diverse methodes.
Edit: OpenDNS heeft het alleen over blokkeren van "illegal activity" bij de high en moderate instelling. Bij custom vind ik dit niet terug. Misschien dat Quad9 meer doet.
Anderzijds gebruik ik alleen het gratis filter van OpenDNS. De betalende versie doet vast meer.
-
Ik zie nu waarom ze "Quad9" heten. Dat is "vier negens" oftewel 9.9.9.9 Wel simpel te onthouden. ;)
Het voordeel van Google-dns en OpenDNS is dat beiden naamservers bij Amsterdam hebben. Dat geeft snelle responsetijden. Van deze vind ik zo snel niet waar hun servers zitten.
-
Quad9 filtert niet zoals OpenDNS, het is gericht op/filtert "malicious domains".
Gebruik het nu ca. een maand i.c.m. Pi-hole/DNS Server op de NAS.
Heb zelf geen klachten, ook niet van andere gebruikers gehoord.
Zij gingen schijnbaar van start met 70 POP`s en er zijn er nu 164 volgens mij:
https://www.pch.net/about/pops
Iets meer:
https://tinkertry.com/quad9-may-be-a-google-public-dns-alternative-to-try-for-more-privacy
-
Nog iets meer:
DNS:
Primair: 9.9.9.9 - gefilterd
Secondair: 149.112.112.112 - gefilterd
https://chefkochblog.wordpress.com/2017/12/06/ibm-quad9-a-closer-look/
En DNS-over-TLS ook mogelijk:
https://medium.com/nlnetlabs/privacy-using-dns-over-tls-with-the-new-quad9-dns-service-1ff2d2b687c5
-
Zij gingen schijnbaar van start met 70 POP`s en er zijn er nu 164 volgens mij:
https://www.pch.net/about/pops
Ik zie daar Amsterdam en Rotterdam in staan. Dat is dicht genoeg bij voor goede DNS responsetijden, vergelijkbaar met Google en OpenDNS.
Op hun website lees ik dat ze het IP 9.9.9..9 overgenomen hebben van Microsoft. Dat houdt in elk geval in dat ze het vertrouwen van Microsoft hebben.
-
Ik heb net het programma "NameBench" eens gerund. Dit is een Pyton programma om DNS servers te testen.
[attachimg=1]
De test was met 50 url's uit de Alexa lijst. De 10.0.1.30 server is die van mijn nas, welke de DNS van OpenDNS gebruikt. De nas deed het bij een paar sneller omdat die uit de cache kwamen. Overall deed de Quad9 het zelfs beter.
Voor een goede test moet je langer testen, maar globaal mag je stellen dat ze even goed presteren in responstijd.
-
Begrijp ik het goed, dat deze wijziging, in m'n Router en Clients beter kan zijn ?
[attachimg=1]
-
9.9.9.9 voorkomt inderdaad dat je geen verbinding kunt maken met een adres die bekend is als schadelijk.
Hij moet wel eerst op die lijst staan. Zo kreeg ik gisteren een phishing mail met een link naar een bit.ly adres. Met een tooltje heb ik even gekeken naar welk domein dat adres wijst. (http://www.checkshorturl.com)
Daarna de verschillende testsites bekeken die schadelijke linken kunnen herkennen. Bij slechts één was die nog maar bekend als schadelijk.
Maar als ik het IP opvraag via 9.9.9.9, dan krijg ik hem ook gewoon. Dus ook vandaag is hij nog niet geblokkeerd.
-
Ik ga 9.9.9.9 gebruiken, lijstjes blijven toch wel een beetje achter maar, dit lijkt mij toch wat veiliger (gevoel).
-
Qua responstijd maakt het niet zoveel uit, een paar milliseconden merk je niets van.
Voor zover mij bekend is dit nu het enigste gratis initiatief om voor gebruikers met weinig kennis toch op een eenvoudige manier aan malware domain blocking te doen. Van mij mogen er meer komen vooral gezien de gestage groei in het aantal IoT devices (ja ook cloud) en de daarmee (helaas) samenhangende onveiligheid vanwege achterblijvende of helemaal geen updates.
Natuurlijk is dit maar een stap om het veiliger te maken maar wel in de goede richting.
-
De site http://www.malwaredomains.com houdt ook lijsten bij met onbetrouwbare domeinnamen.
Ik gebruik deze lijst via de DNS server op de nas, i.c.m. de adblocker. Zij updaten wekelijks en ik update mijn lijst wekelijks, dus ik loop hier ook achter de feiten aan. ;)
9.9.9.9 gebruiken is natuurlijk simpeler dan een eigen dns server runnen.
-
Ik ga 9.9.9.9 gebruiken, lijstjes blijven toch wel een beetje achter maar, dit lijkt mij toch wat veiliger (gevoel).
Ik ben het met je lijstjes opmerking eens! Zojuist de router alhier er maar eens mee uitgerust.
-
Het is en blijft eigenlijk een kat en muis spel.
In de regel lopen gratis lijsten 30 dagen achter, wie er bovenop wil zitten kan er voor betalen.
In hoeverre Quad9 er bovenop zit heb ik niet gelezen...
-
In hoeverre Quad9 er bovenop zit heb ik niet gelezen...
"Intelligence on malicious domains comes from 19 threat feeds"
https://arstechnica.com/information-technology/2017/11/new-quad9-dns-service-blocks-malicious-domains-for-everyone/
https://www.theregister.co.uk/2017/11/20/quad9_secure_private_dns_resolver/
-
Vandaag stond er een stuk in de krant over een nepsite van "tikkie.me" (Een betaaldienst van een Nederlandse bank). Even Quad9 geprobeerd, maar die blokkeerde de nepsite nog niet. Ook stond de site nog niet op malwaredomains.
Toch heb ik als test eens twee willekeurige sites uit de malwaredomains list met google en Quad9 opgezocht via het host commando:
Briolet$ host vipprojects.cn 9.9.9.9
Host vipprojects.cn not found: 3(NXDOMAIN)
Briolet$ host vipprojects.cn 8.8.8.8
vipprojects.cn has address 50.117.120.251
vipprojects.cn mail is handled by 1 mail.skrimple.com.
------
Briolet$ host apphay.me 9.9.9.9
Host apphay.me not found: 3(NXDOMAIN)
Briolet$ host apphay.me 8.8.8.8
apphay.me has address 67.227.226.240
apphay.me mail is handled by 10 mx156.hostedmxserver.com.
Bij 3 geteste .nl sites uit de lijst zag ik ook dat google er twee liet zien (de 3e zal echt uit de lucht zijn) en Quad9 blokkeerde ze.
Hier is wel duidelijk dat de DNS van google je gewoon naar die site gaat sturen, tewijl de DNS van Quad9 gladhard beweerd dat die site niet bestaat. 8)
-
Krijg dezelfde resultaten op beide malicious blocking DNS servers van Quad9, 9.9.9.9 en 149.112.112.112
Onder Windows met nslookup:
C:\Users\Laptop>nslookup
> vipprojects.cn 9.9.9.9
Server: [9.9.9.9]
Address: 9.9.9.9
*** 9.9.9.9 kan vipprojects.cn niet vinden: Non-existent domain
> vipprojects.cn 149.112.112.112
Server: [149.112.112.112]
Address: 149.112.112.112
*** 149.112.112.112 kan vipprojects.cn niet vinden: Non-existent domain
> apphay.me 9.9.9.9
Server: [9.9.9.9]
Address: 9.9.9.9
*** 9.9.9.9 kan apphay.me niet vinden: Non-existent domain
> apphay.me 149.112.112.112
Server: [149.112.112.112]
Address: 149.112.112.112
*** 149.112.112.112 kan apphay.me niet vinden: Non-existent domainQuad9 lijkt er redelijk goed bovenop te zitten.
-
Even een update.
Ik las vandaag op security.nl (https://www.security.nl/posting/690714/Dns-provider+Quad9+verhuist+van+Verenigde+Staten+naar+Zwitserland) dat quad9 zijn servers vanuit de VS naar Zwitserland verhuist heeft.
Ter geheugensteun van dit draadje: Quad9 is een dns server die verwijzingen naar bekende gevaarlijke sites er uit filtert zodat ze 'onvindbaar' worden.