Már elérhetők a Cloudflare biztonságos DNS szerverei

Csatasorba álltak a napokban a Cloudflare új DNS szerverei, amelyek a vállalat ígérete szerint biztonságosabb és gyorsabb szolgáltatást kínálnak. Az új DNS-megoldás ennek megfelelően DNS-over-TLS, illetve a DNS-over-HTTPS funkciókat is támogatja, továbbá a vállalat szerint minden DNS lekérdezésnaplót töröl 24 órán belül. A DNS a cég szerint 28 százalékkal gyorsabb, mint a rivális szolgáltatások. A megoldás már használatba vehető, ehhez a vállalat kapcsolódó weboldalán részletes tájékoztatást is kínál.

A szolgáltatáshoz igába hajtott, addig kutatási célokra fenntartott címek ugyanakkor, mint kiderült, több esetben már korábban is használatban voltak, még ha nem is száz százalékig szabályos módon. A Cloudflare, az Asia Pacific Network Information Centre-rel (APNIC) közösen létrehozott DNS megoldása az 1.1.1.1 és 1.0.0.1 címekkel dolgozik - ezek az APNIC címtartományába tartoznak. Ez utóbbiak egészen idáig kutatási célokat szolgáltak, de az APNIC elemzése szerint az 1.1.1.1-re tekintélyes mennyiségű "hulladékforgalom" is beérkezett - amely most a Cloudflare-nek hála újrahasznosítható lehet.

A felek megállapodása értelmében ugyanis az APNIC beengedi a Cloudflare-t az eddig kutatási célokra fenntartott címtartományba, hogy az ott létrehozhassa biztonságos DNS szolgáltatását, cserébe pedig a Cloudflare hálózatán tanulmányozhatják az addig haszontalan plusz forgalmat. Az APNIC egyébként közleményében a partnerségről is mint közös kutatási projektről beszél, amelynek hála a cég betekintést nyerhet az interneten ma jellemző DNS lekérdezési trendekbe, illetve annak kapcsán is fontos információkat szolgáltathat, hogyan lehet a DNS-eket biztonságosabbá, illetve gyorsabbá tenni. Ez főként annak fényében fontos, hogy a DNS infrastruktúrát célba véve az elmúlt években több DoS támadást is végrehajtottak, a kutatás ezek hatékonyabb kivédését is elősegítheti a későbbiekben.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

Hogy az eddig "dark traffic addressként" konfigurált címekre érkező kétes forgalmat érdemes górcső alá venni, már annak tekintélyes mennyisége is mutatja, mikor azt korábban a cég a Google-lel karöltve vizsgálta, tempója a másodpercenkénti 50 gigabitet is elérte. A kutatók a hulladékforgalom megfigyeléséhez a 1.0.0.0/24 és 1.1.1.0/24 címtartományokat foglalták le.

Mivel az 1.1.1.1 nem számított eddig publikusan használható címnek, sok gyártó "újrahasznosította" ezt a címet és valamilyen saját funkció helyének tartotta fenn. A ZDNet erre több példát is csokorba gyűjtött, ilyen volt a Fortinet VPN, amely az 1.1.1.1-et használta szolgáltatásának kimeneti pontjához, vagy épp a Nomadix kontrollerek, amelyeknél ugyanez a cím volt az alapértelmezett kilépési cím. De ugyanígy az AT&T Gigapower is használta az 1.1.1.1-et egy belső interfészen, legalább egy router-gateway-én, sőt a németországi Vodafone is bevetette, kép-cachelő (és tömörítő) szerver címeként mobilhálózatán. A Cloudflare frissen indított szolgáltatása ezekkel némi konfliktusba kerül, amit várhatóan szoftverfrissítéssel kell a szereplőknek feloldaniuk.