Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Xs4all maakt dns-filter tegen kwaadaardige domeinen beschikbaar voor klanten

Provider Xs4all heeft een gratis dienst voor klanten in het leven geroepen die ze kunnen gebruiken om dns-filtering in te schakelen voor hun internetverkeer. De provider filtert dan bekende malware-, phishing- en botnet-domeinen ertussenuit.

Volgens Xs4all-security officer Arjan van Hattum moet zo'n filter besmetting met malware tegengaan, maar moet het bijvoorbeeld ook voorkomen dat eenmaal op een systeem aanwezige malware kan communiceren met een c2-server. Klanten hebben de keuze om het filter handmatig aan te zetten, deze staat standaard uit. Op een speciale pagina geeft de provider meer uitleg over het filter. Daar staat dat het binnen een minuut na inschakeling actief is.

Het filter geldt bovendien voor alle apparaten die binnen het thuisnetwerk zijn aangesloten op de FritzBox-router van Xs4all. Gebruikers kunnen een gefilterde pagina niet oproepen. De provider was niet bereikbaar voor de vraag welke dienst er voor het filteren wordt gebruikt.

Dns-filtering is geen nieuwe dienst, verschillende partijen bieden al soortgelijke diensten aan. Bijvoorbeeld Quad9, dat ook claimt gebruikers tegen malware te beschermen. Onlangs kwam ook Cloudflare met een eigen variant. Daarnaast bestaan er alternatieven van onder meer OpenDNS, Comodo, Google en Norton. Niet alle varianten bieden filtering van malwaredomeinen.

Update, 13:11: Xs4all laat aan Tweakers weten dat het blokkeren gebeurt op basis van lijsten van Spamhaus. Het filteren gebeurt binnen de provider zelf.

Door Sander van Voorst

Nieuwsredacteur

24-04-2018 • 12:39

77 Linkedin Google+

Submitter: cavemees

Reacties (77)

Wijzig sortering
Via een pi-hole kun je ook je een vergelijkbaar systeem opzetten(maar meer gericht op reclame), en sinds kort is er een 'veiligere' DNS op https://1.1.1.1/
Het is mogelijk dat een DNS aanbieder jouw internetgebruik kan bijhouden en verkopen. Bij 1.1.1.1 is het echter zo afgeschermd, dat je eigen privacy voorop staat.

Pi-Hole site: https://pi-hole.net/

[Reactie gewijzigd door Slaut op 24 april 2018 12:49]

Wat is er precies veiliger aan een commerciële DNS dienst van Cloudflare dan die van mijn eigen ISP?

Ik vertrouw XS4ALL volledig en hun DNS servers zijn snel en betrouwbaar. Bij Cloudflare wéét je dat er iets met de data gaat gebeuren ("if you're not paying, you're the product") al is dat dan misschien anoniem. Daarnaast gaat al het verkeer sowieso al naar een derde partij: APNIC.
Wel bijzonder dat je XS4all "volledig" vertrouwt, terwijl je bij Cloudflare "weet" dat er iets met de data gaat gebeuren. Maar misschien "weet" jij meer dan wij?

Als xs4all haar geld verdient met andere dingen dan doorverkopen van gebruikersgegevens, zou dat dan niet ook voor andere bedrijven kunnen gelden?. Cloudflare heeft andere belangen en heeft duidelijke afspraken m.b.t. privacy gemaakt met APNIC, die een voorwaarde zijn om het adres 1.1.1.1 en 1.0.0.1 te mogen gebruiken.

Het hele idee van 1.1.1.1 is juist om een zo anoniem mogelijke DNS dienst te kunnen gebruiken.

Lees meer hier: https://developers.cloudf...cy-policy/privacy-policy/
Wel bijzonder dat je XS4all "volledig" vertrouwt, terwijl je bij Cloudflare "weet" dat er iets met de data gaat gebeuren. Maar misschien "weet" jij meer dan wij?
De reden daarvoor is eenvoudig. Met XS4ALL (een provider die bekend staat als bechermer van privacy en vvmu) heb ik een klantrelatie. Ik betaal voor een dienst, waar een DNS server onderdeel van is.
Als xs4all haar geld verdient met andere dingen dan doorverkopen van gebruikersgegevens, zou dat dan niet ook voor andere bedrijven kunnen gelden?. Cloudflare heeft andere belangen en heeft duidelijke afspraken m.b.t. privacy gemaakt met APNIC, die een voorwaarde zijn om het adres 1.1.1.1 en 1.0.0.1 te mogen gebruiken.
Cloudflare verdient haar geld met het aanbieden van loadbalancing, content delivery en bescherming tegen onder meer DDOS aanvallen. Het gratis aanbieden van een DNS server is dus geen onderdeel van het businessmodel. Een bak data met trends van wat voor sites wanneer worden bezocht, uit welke delen van de wereld en in hoeverre DNS attacks plaatsvinden is wel onderdeel van dat businesssmodel. En, nee, ik zeg daarmee niet dat Cloudflare precies weet wat *jij* doet op internet of dat ze dat willen.
Het hele idee van 1.1.1.1 is juist om een zo anoniem mogelijke DNS dienst te kunnen gebruiken.
Tja, dat betwijfel ik, maar het marketingpraatje klinkt mooi. Cloudflare blijft een bedrijf met een belabberde reputatie: zo maakt het ze niets uit dat phishers hun dienst misbruiken om een ssl certificaat te kunnen tonen.

Waarom een dns server van zo'n bedrijf veiliger zou zijn dan die van een willekeurige isp betwijfel ik. Ik zie zelfs 8.8.8.8 van Google als een veiligere dienst.
Het hangt er ook van af of je al gebruik maakt van het Xs4all netwerk, of dat je bijvoorbeeld op een hostile netwerk zit waar je DNS traffic geMITMed kan worden.
Wellicht nog even door lezen op https://1.1.1.1
Zoals:
Privacy First: Guaranteed.
We will never sell your data or use it to target ads. Period.

We will never log your IP address (the way other companies identify you). And we’re not just saying that. We’ve retained KPMG to audit our systems annually to ensure that we're doing what we say.

Frankly, we don’t want to know what you do on the Internet—it’s none of our business—and we’ve taken the technical steps to ensure we can’t.
KPMG audit zegt geen drol.
De service van xs4all is voor de meeste nerds en tweakers niet veiliger dan andere, vergelijkbare services. Zoals boven al toegevoegd, het is 'gewoon' spamhaus, misschien met een xs4all sausje.

Het grote voordeel voor de 'normale' gebruikers is de eenvoud: 1 keer op de website inloggen en iets aan klikken en klaar, geen omkijken meer naar. Tel daarbij dat de xs4all servicedesk de support doet en hopelijk/mogelijk/naarverwachting xs4all ook de juiste terug meldingen doet en zo ook spamhaus bij houdt.
Ze zeggen dat ze via een KPMG audit willen aantonen dat ze niet bij je data kunnen:
"Privacy First: Guaranteed.
We will never sell your data or use it to target ads. Period.

We will never log your IP address (the way other companies identify you). And we’re not just saying that. We’ve retained KPMG to audit our systems annually to ensure that we're doing what we say.

Frankly, we don’t want to know what you do on the Internet—it’s none of our business—and we’ve taken the technical steps to ensure we can’t."
Wat daar eigenlijk verkapt staat is dat ze geen persoonlijke gegevens gaan verkopen. Daar kan ik inkomen. Maar dit sluit niet uit dat er wel degelijk dat er in geanonimiseerde gegevens gehandeld kan worden. Trends bijvoorbeeld.

Maar los van dat vraagstuk: wat maakt deze dienst dan veiliger dan de DNS server van mijn eigen ISP? En dat is in mijn geval dan XS4ALL, maar het kan evengoed KPN of Ziggo zijn.
In het geval van XS4ALL win je er waarschijnlijk niet veel mee. Als je een budget provider hebt zou dit best wel eens sneller kunnen zijn. Bij mij (Vodafone thuis) is Cloudflare iets sneller, maar niet veel.
KPMG kan nog niet eens een éigen hoofdkantoor bouwen zonder te frauderen:

https://www.parool.nl/bin...raude-kpmg-pand~a4506899/

Of de Basisregistratie normaal opstellen:

https://www.gemeente.nu/d...asisregistratie-personen/

... dus laat audits maar aan échte experts over, zou ik zeggen...

[Reactie gewijzigd door DigitalExcorcist op 24 april 2018 13:37]

Ja auditing... ik kan me de bankencrisis nog herinneren. Allemaal triple A.
Ik dacht dat quad 1 geen DNS filtering deed. Enkel encryptie van het dns verkeer?
Ja, dat klopt. De filtering kan je met je Pi-hole toevoegen. lijsten met malware DNS'en zijn misschien lastiger bij te houden.
Het filteren laat je aan PI-Hole over. Je gebruikt 1.1.1.1 voor het forwarden van queries.

Overigens komt de HTTPS met DNS functionaliteit voor 1.1.1.1 pas in PI-Hole 4.
Het is wel al mogelijk om zelf in te stellen, alleen niet via de GUI
Je kan het idd zelf configureren maar ik doelde op een mooie gelikte GUI knop :)
De Cloudflare DNS servers ondersteunen ook DNS over TLS. Hier vind je een tutorial om dit in te stellen op OpenWRT.
Ik draai nu Unbound als dns server en die ondersteund ook DNS over TLS. Via DHCP op mijn Edgerouter staat die server als default DNS ingesteld.

Ik vraag me af of de Xs4all DNS server ook niet DNS over TLS ondersteunen, zou ik eigenlijk wel van ze verwachten. Binnenkort weer eens testen daarmee om te zien of die sneller is als 1.1.1.1. Ik verwacht eigenlijk wel een lagere latency omdat ik bij Xs4all zit.
Het is mogelijk dat een DNS aanbieder jouw internetgebruik kan bijhouden en verkopen. Bij 1.1.1.1 is het echter zo afgeschermd, dat je eigen privacy voorop staat.
Ook bij 1.1.1.1 is het mogelijk om je internetgebruik bij te houden. Dat ze het niet doen betekent niet dat ze het niet kunnen. Cloudflare is en blijft een commerciele onderneming, ergens zal geld vandaan moeten komen.
Ik zeg niet dat het (momenteel) een slechte keuze is om deze dienst te gebruiken, maar je moet er kritisch naar blijven kijken.
Precies, ik gebruik mijn eigen (publieke) pi-hole servers voor mijzelf en klanten die beiden naar 1.1.1.1 en 1.0.0.1 hun DNS queries forwarden. Werkt supersnel en ik heb zelf in beheer wat ik filter of niet.
1.1.1.1 is niet noodzakelijkerwijs veiliger dan je eigen ISP. Je eigen ISP valt in Europa onder de Europese regelgeving. Cloudflare zijn toffe lui, maar is toch een Amerikaanse ISP. Als Europese ISP mag je niet zomaar het DNS verkeer van je klanten opslaan en minen.
Staat toch dat ze het niet doen!
Dat zei FB ook... maar ze minen alles wat los en vast zit en waar ze de vingers achter kunnen krijgen.
Maar de claim is dat ze alleen gebruik maken van data die je zelf daar stald.

Het zal waar zijn tot het tegendeel bewezen is. En dan heb je bij een US ondernemeing geen poot om op te staan. (De Safe Harbouw^W^WPrivacy Shield help daar niet echt bij).

[Reactie gewijzigd door tweaknico op 24 april 2018 16:26]

Ik neem aan dat je hiermee een alternatieve DNS server aanroept. Wat houdt me tegen als klant van een andere ISP om dit DNS aan te roepen of wordt dit geautoriseerd op basis van IP oid?
Zoals ik het lees werkt dit op de apparaten die de Fritzbox DHCP gebruiken en dus XS4All DNS toegewezen krijgen. Die DNS servers serveren (waarschijnlijk op basis van je IP/aansluiting) een gefilterd resultaat of een gewoon resultaat.
Ik ga er van uit dat dit echt hard op de lijn gefilterd wordt onafhankelijk van DNS. DNS hoeft namelijk niet gewijzigd te worden voor het actief is.
Sorry maar dat snap ik niet helemaal, ik heb de analogie met pi-hole in mijn hoofd. Mijn router routeert verkeer naar pi-hole (een servertje in mijn netwerk) die op zijn beurt weer naar een instelbare DNS service kijkt.

Ik bedoel, in de router van mijn isp kan ik configureren of ik direct naar een willekeurig DNS ga of eerst naar pi-hole. Het lijkt me dat dit ook op een dergelijke manier werkt.

[Reactie gewijzigd door oef! op 24 april 2018 13:03]

Het gaat om wie de resolving doet. Je verkeer wordt niet geproxied/rerouted. Je pi hole zal blacklisted domeinen naar alle waarschijnlijkheid resolven naar een locale 1 pixel server
Als pi-hole blokkeert dan krijg ik in mijn browser gewoon de melding dat de website niet gevonden kon worden.
En dus heeft Pi-Hole een "simpele" DNS verwijzing (gebruik het zelf ook) en rourteerd die niet.

Anders zou het direct actief moeten zijn op het moment dat je een andere DNS server zou gebruiken, maar dat is bij hun blijkbaar niet het geval.
Als het 'hard op de lijn' is zoals hottestbrain zegt dan gaat het juist niet om wie de resolving doet, ze routeren gewoon het IP-adres niet. Net als bij The Piratebay gebeurt.
Ik denk dat ze graag hebben dat zoveel mensen de dienst gebruiken (schoner internet, user statistics) maar als ze willen blocken ze op origin IP
Ik vermoed dat XS4ALL alleen toegang geeft aan eigen IP adressen in het netwerk. Je kan dit al éénvoudig met een firewall doen en een lijst van XS4ALL IP adressen. Een standaard Linux installatie kan dit al. Het verkeer komt dan niet eens op de DNS server aan.
is er ook een voorbeeld-pagina die je kan oproepen om de filter uit te testen zonder dat je daadwerkelijk op een malware-pagina komt?
https://www.wicar.org/

Of: http://lmgtfy.com/?q=malware+filter+test

[Reactie gewijzigd door DigitalExcorcist op 24 april 2018 13:33]

Ik vraag me af of er een hosts list komt, kan ik deze leuk invoegen in mijn Pihole
Zal wel leuk zijn als ze idd de lijst openbaar maken. Vraag me bv. of de Brein (volgens Brein althans) "foute" adressen er ook tussen staan.
Correct dit ¨soort¨ sites worden tegen gehouden, even een test gedaan. Deze sites hebben niets met malware te maken....
De publiekere brein-adressen zullen er idd wel instaan, maar dit is ook niet meer dan terecht wmb aangezien er genoeg malware tussenstaat.

Oftewel die staan er puur op vanwege de malware die ze verspreiden.
Ik vraag me eerder af hoe die lijst tot stand is gekomen en hoe (snel) domeinen eraf worden gehaald als ze niet meer gebruikt worden of false positives zijn.
Domeinen die niet gebruikt worden zijn een non-issue. Of de DNS nou terugmeld dat een domein niet bestaat omdat hij op 'de lijjst' staat, of omdat hij echt niet bestaat, maakt voor de gebruiker niet uit.
Jammer van deze zuur klinkende reaktie ;(
(Wellicht niet zo bedoeld, want je hebt deels wel een punt !)

Quote van het TS-bericht:
Klanten hebben de keuze om het filter handmatig aan te zetten, deze staat standaard uit.
M.a.w. je kunt het altijd aan en uit zetten, er wordt je niets opgedrongen.

Het is een middel om een groot probleem een beetje in te perken op een manier waar ook de digibeten, eenmaal ingesteld, ook door beschermd worden.

Zij het dat die bescherming niet perfect is !

Het deel waar je gelijk in hebt, is wel dat de snelheid en de juistheid van de gefilterde domeinen een belangrijke indicator zijn m.b.t. de kwaliteit.

Want wanneer het slechts een schijnveiligheid is, dan is het middel erger dan de kwaal !
Ik denk dat de kans er goed inzit dat ze gewoon publieke lijsten gebruiken.. 8)7
Mooi initiatief. Nu nog een DNS filter voor alle advertentienetwerken die ooit malware verspreid hebben :)
Op mijn router thuis heb ik nu AdGuard DNS ingesteld:
  • 176.103.130.130
  • 176.103.130.131
Werkt op zich wel goed. Een nadeel kan zijn dat de links naar winkels van Google Shopping soms niet meer werken.

[Reactie gewijzigd door Soldaatje op 24 april 2018 13:11]

Ik gebruik deze ook, maar vindt altijd wel vreemd dat uBlock origin toch altijd een aantal geblokkeerde ads/trackers weergeeft. Schakel ik uBlock uit dan zie ik idd geen ads maar ik vraag me af wat uBlock dan detecteert?
@Mr. Freeze uBlock detecteert de urls in de bron van de website. Ondanks dat die niet kunnen laden omdat ze al geblokkeerd worden, kan uBlock dit niet ruiken, en haalt vervolgens toch nog die stukjes code weg, en telt die dan. En dat is dan dat nummertje wat je ziet.

[Reactie gewijzigd door sjhgvr op 24 april 2018 14:13]

Ok, helder, dank je wel.
Trackers / Social media knoppen (ook tracking) / Pixels etc..
En een filter voor de netwerken die dat ooit kunnen gaan doen.
Zoekopdracht 'adfree dns' doet wonderen.
www.*.* ? ;-)

Nee, ik heb een Raspberry Pi met Pi-Hole draaien, en m'n router (Asus) heet een ingebouwde Trend Micro-dienst die óók malicious websites nog eens filtert. Dat werkt uitstekend.
Ik zou als klant van Telfort ook heel graag van deze dienst gebruik maken! Hoe meer bescherming tegen malware en andere zooi hoe beter, niet zozeer voor mezelf (alhoewel ;) ) maar ook voor huisgenoten met minder interesse in dat soort zaken.
"De provider was niet bereikbaar voor de vraag welke dienst er voor het filteren wordt gebruikt."
Voor die vraag specifiek niet? Of waren ze niet bereikbaar en kon je zodoende deze vraag niet stellen?
Op zich een goed initiatief, maar als Spamhaus erbij betrokken is haak ik af. Want dan komt mijn eigen email niet meer over. Volgens Spamhaus ben ik een spammer. |:(
Nu snap ik ook waarom ze de lijst gebruiken :-) https://www.spamhaus.org/organization/sponsors/
Nu is het natuurlijk een mooi initiatief wat ze doen en dat kan ik alleen maar toejuichen, maar is de spamhaus blacklist niet een tikkeltje te beperkt voor zoiets?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True