Quad9 — DNS резольвер, который можно использовать как альтернативу DNS от Google или OpenDNS. Это проект Global Cyber Alliance, который создан в том числе и для того, что бы обеспечить дополнительную безопасность пользователей, за счёт блокировки на уровне DNS запросов к проблемным доменам.
Как работает Quad9?
У проекта есть более 18 источников, откуда они получают информацию о проблемных доменных именах (IBM’s X-Force, GCA’s Chief Technical Advisor и т. п.), вся эта информация собирается и конвертируется в Response Policy Zone (RPZ) формат. В случае если к неймсерверам приходит запрос на домен, оказавшийся в чёрном списке, сервис отдаёт ошибку (NXDOMAIN) и не резольвит его. Данные из источников обновляются 1-2 раза в день, это, к сожалению, не позволяет сервису оперативно реагировать на только что появившиеся проблемные домены, однако базовую защиту от явно проблемных ресурсов обеспечивает.
Quad9 включает в себя так же два списка — белый список, и список однозначно хороших доменов.
Белый список формируется из Majestic Million проекта, публикующего популярные доменные имена, с которыми пользователи работают ежедневно. Список хороших доменов — это листинг, состоящий из ресурсов больших и популярных компаний (AWS, Google, Microsoft Azure), которые Quad9 блокироваться не будут.
Как настроить Quad9?
Для работы с резольвером, достаточно просто указать его в настройках сети операционной системы. Quad9 предоставляет следующие IP:
- 9.9.9.9 — основной IPv4 резольвер. Работает фильтрация и DNSSEC.
- 9.9.9.10 — второй IPv4 резольвер. Фильтрация не работает. Использовать стоит только для тестов.
- 2620:fe::fe — основной IPv6 резольвер. Так же работает и фильтрация, и DNSSEC.
- 2620:fe::10 — второй IPv6 резольвер. Фильтрация не работает. Использовать, опять же, стоит только для тестов.
Разумеется, в случае, когда требуется что бы фильтрация работала, прописывать рядом основной и второй резольверы не нужно, достаточно прописать только 9.9.9.9 (2620:fe::fe для IPv6) в настройках сети.
Что в итоге?
С одной стороны, конечно же, проект в виду свой структуры, не может (во всяком случае сейчас) оперативно реагировать на свежесозданные (или только что взломанные и заражённые, например) проблемные ресурсы. Кроме того, если некая малварь, фишинг-страница или форма окажутся размещены на docs.google.com, Quad9 его блокировку не выполнит.
С другой стороны — проект агрегирует большое количество информации о проблемных доменах, и предоставляет удобную возможность ограничения доступа к ним, что в некоторых случаях действительно может выручить и защитить ПК, сеть или сервер.
Кроме того, к Quad9 стоит присмотреться тем, кто давно искал альтернативу резольверам от Google. Заявлено, что приватность для сервиса так же важна. В процессе работы проект собирает только некоторую телеметрию, и делится данными только с теми компаниями, которые предоставляют информацию о проблемных доменах. При этом, каждая компания получает ту часть данных, которая связана только с теми доменными именами, которые были ею предоставлены.
Надёжность и качество проекта ещё будут проверены временем, однако с учётом того, кто уже работает над ним, посмею предположить что у сервиса всё будет хорошо. Заинтересовавшиеся, уже сейчас могут опробовать Quad9 в работе.