No ako sledujem tu debatu, tak sa asi vykaslem na Mikrotik DNS a rozbeham radsej pihole pod proxmox. BTW: Preco by ste preferovali DoT pred DoH?
Záleží na tom co chcete resp. potřebujete řešit. Pi-Hole je primárně sada přednastavených nástrojů pro filtrování překladu jmen určitých hostů (typ. reklama, sledování atp.). Jako téměř všechno i tenhle přístup má své nevýhody.
Výhodou je to, že tím můžete omezit přístup na hosty i ze zařízení a programů, co nemají jinou možnost blokování. Nevýhodou pak to, že většinou spoléháte na obrovské blokační seznamy nějakých třetích stran, co se vám periodicky aktualizují a spolu s vaničkou můžete snadno vylít i dítě. Podobně také úplně nevíte, jak konkrétní aplikace zareagují, pokud dostanou ten sinkhole překlad (na nějakou neroutovatelnou adresu). Jestli a jak dlouho to bude zkoušet než vyprší nějaký timeout, selže případně nějaká operace úplně atd.
Pracuji a pracoval jsem v korporátních i menších sítích, kde byly podobné DNS filtry a x krát jsem se dostal do situace, že kvůli tomu něco nefungovalo a následně jsem ztratil hodiny zkoumáním proč. Například jsem na třikrát neúspěšně aktualizoval macOS na stanicích, než jsem to byl nucen řešit wifi s lokálním hotspotem.
Takže třeba já osobně tyhle DNS sinkhole nerad používám, filtraci a blokaci přístupu mám případně na konkrétních stanicích a prohlížečích, případně je to součástí nějakého dalšího systému ochrany pro konkrétní hosty (WAF), nad kterým mám kontrolu a jsem připraven řešit případné problémy.
Oproti tomu DoT, DoH, DoQ je primárně řešením zabezpečeného komunikačního kanálu k důvěryhodnému (a třeba i validujícímu) DNS serveru. Může být jeden z veřejných (Cloudflare, nic.cz), nebo i čistě v mé režii běžící např. někde ve VPS.
DoT je nejjednodušší a nejrozšířenější způsob. DoH může dávat smysl pokud by např. po cestě ISP blokoval port 853, případně bych se např. připojoval notebookem ze sítě, kterou nemám pod kontrolou a byl to jediný způsob jak se dostat na daný DNS server.
U DoH je pak víc variant, první a nedoporučená v RFC (jak zmiňoval výše p. Čunát) je přes HTTP/1.1, pak efektivnější HTTP/2 (sice stále přes TCP, ale díky streamům umožňuje držet existující spojení, DNS server může posílat odpovědi v jiném pořadí atp.). Byl o tom i článek tady na rootu:
https://www.root.cz/clanky/dns-over-tls-dot-vs-dns-over-https-doh-a-sifrovani-dns-v-knot-resolveru/Až pak po nejnovější DNS over HTTP/3 resp. DNS over QUIC, které používají UDP.
No a ta kritika Mikrotiku vychází z toho, že jediný způsob zabezpečené komunikace s DNS, co tam do resolveru přidali, je taky bohužel ten nejmíň efektivní a interoperabilní. Navíc pokud je to router v síti, co spravuji, a kde prostě vím, že daný ISP neblokuje DoT port, tak většinou není důvod používat DoH.
20 Odpovědí
4715 Zhlédnutí