DNS settings e Logs. Scenari

senseiluke

Mi stupisco ancora di come alcuni aspetti del networking diventino particolarmente ostici quando si passa dallo studio o semplice uso di un router domestico (di quelli preconfigurati forniti dal proprio ISP per esempio) a un router/firewall professionale e dalle caratteristiche avanzate come pfSense.
I DNS è uno di quegli aspetti.
Ok

Una cosa che vorrei essere sicuro di aver capito di pfsense e dei vari settaggi possibili è se cambiando impostazioni alle varie configurazioni del DNS usando il resolver, il forwarded, cambiando i vari server in general setup o non impostarli affatto, lasciando pfsense fare direttamente da resolver , come ho capito almeno in una mia precedente discussione qui,
in cui si chiamano in causa direttamente i server dns root, ecc ecc

https://forum.netgate.com/topic/151187/problema-con-regole-firewall-per-il-dns/15

Dicevo, se si possono condizionare in qualche modo i logs del traffico fatto dai client attraverso le richieste DNS.
Voglio dire, una impostazione piuttosto che un'altra ha effetto o "può favorire meglio" l'intercettazione da parte di pfsense dei siti visitati dagli utenti.
Questo ovviamente al netto dei vari plugin adatti meglio allo scopo.
Spero di essere stato chiaro.
Grazie

fabio.vigano

Non è molto chiaro quello che stai chiedendo.
pfsense permette di attivare nativamente due servizi DNS: dns resolver o dns forwarder
Il primo è un DNS a tutti gli effetti completo delle maggiori funzionalità di un server dns
Il secondo fa solo forward delle richieste che riceve verso i dns impostati in general.

In generale un DNS quando riceve una richiesta opera così:

1. verifica se il dominio è gestito da lui, in tal caso risponde alla richiesta;
2. Se il dominio non è gestito localmente controlla se ha la risposta nella cache e se si risponde;
3. se non ha trovato risposta nella cache rigira la richiesta ai forwarders (se sono impostati) o direttamente ai root DNS.

Cosa intendi con questa cosa?

Dicevo, se si possono condizionare in qualche modo i logs del traffico fatto dai client attraverso le richieste DNS.
Voglio dire, una impostazione piuttosto che un'altra ha effetto o "può favorire meglio" l'intercettazione da parte di
pfsense dei siti visitati dagli utenti.

Esistono servizi che fanno filtro contenuti tramite query DNS questo però ti permette semplicemente di rispondere ad una query DNS con l'ip della pagina di blocco quando vuoi che quella richiesta venga bloccata.

Mi spiego meglio: vuoi bloccare la navigazione verso www.miodominio.it che ha come IP x.x.x.x allora fai in modo che il DNS risolva www.miodominio.it con l'IP y.y.y.y che punta ad una pagina di eroore che indica all'utente che il sito è stato bloccato.

Per avere una traccia di chi ha richiesto cosa, le soluzioni di filtro basate su DNS abbassanoil TTL delle query a valori molto bassi in modo che la cache DNS presente sul client (ogni sistema operativo fa un minimo di cache locale delle risoluzioni dns) venga invalidata a breve forzando ilclient a fare richiesta ogni volta che tenta di accedere ad una risorsa. A fronte di queste continue richieste il server mantiene un log con gli IP dei richiedenti ed i domini richiesti permettendo così di tracciare tutto il traffico fatto.

Ciao Fabio

senseiluke

@fabio-vigano said in DNS settings e Logs. Scenari:

Per avere una traccia di chi ha richiesto cosa, le soluzioni di filtro basate su DNS abbassanoil TTL delle query a valori molto bassi in modo che la cache DNS presente sul client (ogni sistema operativo fa un minimo di cache locale delle risoluzioni dns) venga invalidata a breve forzando ilclient a fare richiesta ogni volta che tenta di accedere ad una risorsa. A fronte di queste continue richieste il server mantiene un log con gli IP dei richiedenti ed i domini richiesti permettendo così di tracciare tutto il traffico fatto.

Ecco forse questa è la parte che volevo approfondire. Provo ad essere più chiaro
La mia esigenza è di verificare quali siti vengono visitati dai client della mia rete. Ci sono già tool in pfSense come ntopng che aiutano in questo senso.
Se ho capito bene questa tracciabilità da parte di pfsense avviene tramite le richieste dns dei clients (almeno credo); ora in ragione di ciò mi chiedevo quali dei due servizi DNS tra Resolver e Forwarder facilitasse di più il compito, in modo che, diciamo, tool (oppure servizi nativi di pfsense tipo i log) come ntopng abbiano più informazioni del traffico e soprattutto dei siti visitati.
Se tu avessi questa esigenza di controllo quale dei due sceglieresti e perché? O non cambia niente in quest'ottica?
Grazie

fabio.vigano

Su pfsense non hai i mezzi per raccogliere statistiche di navigazione dei tuoi client tramite DNS

Considera che se anche lo facesse stai violando la privacy, le statistiche sono ammesse solo in forma aggregata o anonima. Puoi sapere che 10 utenti sono andati su www.miodominio.it ma non puoi/devi sapere chi ci è andato.

Su pfSense se vuoi tracciare la navigazione devi usare squid + altri pacchetti per analisi dei log. Soluzione che sconsiglio sempre.
Per tracciare e controllare il traffico a livello DNS devi ricorrere a tool o servizi esterni, pfsense non è lo strumento adatto.

Ciao Fabio

senseiluke

@fabio-vigano said in DNS settings e Logs. Scenari:

Su pfsense non hai i mezzi per raccogliere statistiche di navigazione dei tuoi client tramite DNS

Considera che se anche lo facesse stai violando la privacy, le statistiche sono ammesse solo in forma aggregata o anonima. Puoi sapere che 10 utenti sono andati su www.miodominio.it ma non puoi/devi sapere chi ci è andato.

Su pfSense se vuoi tracciare la navigazione devi usare squid + altri pacchetti per analisi dei log. Soluzione che sconsiglio sempre.
Per tracciare e controllare il traffico a livello DNS devi ricorrere a tool o servizi esterni, pfsense non è lo strumento adatto.

Ciao Fabio

Si capisco,
ma non era questo il punto. Era più che altro per capire i meccanismi che ci sono dietro.
Faccio prove con il mio pc e mi accorgo in ntopng che viene riportato ip e nome del sito visitato, anche se non sempre. Quindi senza ricorrere a servizi esterni pfsense stesso e alcuni suoi tool e pacchetti sono in grado di riportare questi dati in forma ordinata.
Immagino quindi che questi dati vengono catturati dal servizio DNS e da qui la mia domanda quale dei due servizi DNS disponibili facilittasse meglio questo compito e perché
Grazie

fabio.vigano

@senseiluke i due servizi dal punto di vista client fanno entrambi la stessa cosa: convertono nomi in ip
Quando trovi ip non risolti vuol dire che c'è stata una richiesta diretta con ip e non è detto che i record PTR per quell'ip siamo presenti.
Oltre a convertire nomi in IP, il DNS può fare l'inverso. Di solito chi gestisce un pool di ip pubblici può inserire nel suo DNS la zona di reverse lookup relativa agli ip che ha in gestione.
Considera che una richiesta di una pagina web può scatenare decine di sotto richieste che puntano a CDN o altri servizi sfruttati dal sito.
Se apri il browser ed utilizzi gli strumenti per sviluppatori, nella sezione network puoi vedere tutte le query DNS scatenate da una singola pagina web. Quando accedi a portali complessi come quelli Microsoft vedrai decine di richieste a domini anche molto diversi dall'originale.
Ciao

senseiluke

@fabio-vigano said in DNS settings e Logs. Scenari:

@senseiluke i due servizi dal punto di vista client fanno entrambi la stessa cosa: convertono nomi in ip
Quando trovi ip non risolti vuol dire che c'è stata una richiesta diretta con ip e non è detto che i record PTR per quell'ip siamo presenti.
Oltre a convertire nomi in IP, il DNS può fare l'inverso. Di solito chi gestisce un pool di ip pubblici può inserire nel suo DNS la zona di reverse lookup relativa agli ip che ha in gestione.
Considera che una richiesta di una pagina web può scatenare decine di sotto richieste che puntano a CDN o altri servizi sfruttati dal sito.
Se apri il browser ed utilizzi gli strumenti per sviluppatori, nella sezione network puoi vedere tutte le query DNS scatenate da una singola pagina web. Quando accedi a portali complessi come quelli Microsoft vedrai decine di richieste a domini anche molto diversi dall'originale.
Ciao

Ok
però ho letto da qualche parte che il DNS resolver è il servizio DNS da preferire se vuoi far funzionare a dovere pfblokerng.
Grazie

fabio.vigano

@senseiluke in tal caso non è da preferire, è proprio obbligatorio se devi attivare DNSBL altrimenti è indifferente.

Però perdonami, ma o spieghi cosa vuoi fare o è un impresa darti indicazioni, salti da una cosa all'altra senza un senso logico per chi legge. Sei passato dal voler vedere dove navigano gli utenti ad un pacchetto che blocca ip.

pfBlocker non permette di capire dove navigano i tuoi utenti, ma blocca l'accesso da e per certi ip e se attivi il modulo DNSBL ti permette di fare lo stesso lavoro per nomi DNS. Tutto viene fatto tramite liste che normalmente contengono ip malevoli. Non è e non può funzionare come content filter, il firewall non reggerebbe, visto che lavora compilando alias che hanno un occupazione di memoria mentre normalmente i content filter utilizzano db come repository di ip e domini

Ciao Fabio

senseiluke

@fabio-vigano said in DNS settings e Logs. Scenari:

@senseiluke in tal caso non è da preferire, è proprio obbligatorio se devi attivare DNSBL altrimenti è indifferente.

Però perdonami, ma o spieghi cosa vuoi fare o è un impresa darti indicazioni, salti da una cosa all'altra senza un senso logico per chi legge. Sei passato dal voler vedere dove navigano gli utenti ad un pacchetto che blocca ip.

pfBlocker non permette di capire dove navigano i tuoi utenti, ma blocca l'accesso da e per certi ip e se attivi il modulo DNSBL ti permette di fare lo stesso lavoro per nomi DNS. Tutto viene fatto tramite liste che normalmente contengono ip malevoli. Non è e non può funzionare come content filter, il firewall non reggerebbe, visto che lavora compilando alias che hanno un occupazione di memoria mentre normalmente i content filter utilizzano db come repository di ip e domini

Ciao Fabio

Mi interessa il punto principale della discussione. L'accesso a siti da parte dei client e quale servizio DNS in quest'ottica era da preferire o se è del tutto INDIFFERENTE, qui non mi hai ancora risposto chiaramente con un si o con un no. Giusto per capire alcune dinamiche non tanto per un controllo ossessivo sulla navigazione di potenziali utenti (per la cronaca pfsense l'ho installato sulla mia rete home dove in pratica nel 95% de casi ci navigo solo io)

Ho portato nella discussione pfblockerng in quanto poteva essere un altro punto a "favore" del DNS resolver visto che ce ne sono soltanto due tra cui scegliere nell'ottica, però ripeto, del punto di partenza che potrei aver cannato in quanto la scelta tra i due sarebbe indifferente per lo scopo di cui sopra e quidni il problema non si pone.
Grazie

fabio.vigano

@senseiluke in realtà ti ho già risposto, fanno entrambi lo stesso lavoro e dal punto di vista di un client sono identici. Quello che cambia è come lo fanno.
La differenza nei due sta nel fatto che uno può gestire zone mentre un altro forwarda in modo molto semplice le richieste per poi rigirare le risposte al client.
Non esiste un meglio e un peggio, esiste un esigenza ed una risposta.
Immagino che a casa tua tu non gestisca zone DNS quindi di un resolver non te ne fai nulla.
L'unica cosa che diventa cruciale per la scelta é che con pfBlocker devi usare resolver perché per funzionare si appoggia a resolver e quindi se ci metti forwarder non funziona (anche questo l'ho già scritto). Il motivo non è legato neanche in questo caso a meglio o peggio, ma è una scelta di chi ha sviluppato pfblocker.

In generale posso dirti che:

• se non ho bisogno di funzioni particolari uso resolver perché più veloce da configurare;
• se devo usare pfBlocker con dnsrb uso resolver;
• se devo usare un DNS compatibile con quello di Active directory uso bind (ebbene sì, su pfsense puoi installare altri DNS)

I motivi non sono legati a cosa devo fare io e quali funzionalità mi servono lato configurazione, lato client fanno tutti e 3 la stessa cosa, risolvono nomi e ti assicuro che un client non nota la differenza tra i 3.

Spero di essermi spiegato.
Ciao Fabio

trigg3r

@fabio-vigano said in DNS settings e Logs. Scenari:

se devo usare un DNS compatibile con quello di Active directory uso bind

Ciao Fabio. Sono capitato su questo post e leggendo la tua risposta mi chiedevo: in un contesto dove il DNS principale della LAN è gestito da AD, come esegui il filtraggio dei contenuti?

fabio.vigano

Ciao @trigg3r,
difficilmente uso pfSense per il controllo contenuti, lo trovo poco pratico e poco gestibile se è vero che ho il servizio a costo zero, poi mi costa di più gestirlo quindi se posso opto per servizi esterni forwardando il traffico dns verso di loro.

Ciao Fabio

trigg3r

@fabio-vigano Grazie!