Sicurezza e velocità con L’app 1.1.1.1 di Cloudflare per iOS e Android.

1.1.1.1 è un servizio offerto gratuito di DNS. Il servizio e i server DNS pubblici sono gestiti da Cloudflare in collaborazione con APNIC.

Il servizio è stato annunciato il 1 aprile 2018 e viene annunciato da Cloudflare come “il servizio DNS consumer più veloce e più sicuro di Internet”.

L’11 novembre 2018, Cloudflare ha annunciato una versione mobile del servizio 1.1.1.1 per iOS e Android.

Il servizio DNS 1.1.1.1 gestisce server per uso pubblico ai seguenti indirizzi IP:

Indirizzi IPv4

• 1.1.1.1

• 1.0.0.1

Per entrambi il nome DNS è one.one.one.one .

Indirizzi IPv6

• 2606:4700:4700::1111

• 2606:4700:4700::1001

Anche nel caso di ipv6, per entrambi il nome DNS è one.one.one.one.

Sicurezza e Privacy

Il servizio DNS 1.1.1.1 supporta il protocollo DNS-over-TLS sulla porta TCP 853 che permette l’incapsulamento delle richieste DNS dentro record TLS. In questo modo, un attacco Man-In-The-Middle (MITM) attivo in cui l’attaccante impersona il server DNS o manipola richieste e/o risposte diventa virtualmente impossibile. Inoltre, essendo le richieste crittografate, un MITM passivo non è in grado di osservarle e dedurre di quali nomi DNS il client stia chiedendo la risoluzione. Inoltre, 1.1.1.1 supporta record DNS del tipo ESNIKey che possono essere utilizzati dai client come input per crittografare l’estentione TLS ServerNameIndication per proteggere meglio la privacy degli utenti. Uno svantaggio di DNS-over-TLS è il fatto che il traffico TLS sia diretto verso la porta 853 (invece che la classica 443) permette di inferire che una certa sessione TLS stia trasportando delle richieste/risposte DNS invece che traffico altrimenti indistinguibile (come, ad esempio messaggi HTTP). Una mitigazione supportata da 1.1.1.1 è utilizzare DNS-over-HTTPS invece che DNS-over-TLS.

I siti Web che utilizzarono queste tecnologie hanno notato che utilizzando 1.1.1.1 come indirizzo IP per il proprio servizio, Cloudflare ha esposto errate configurazioni in configurazioni esistenti, violavano standard di Internet (come RFC1918). 1.1.1.1 non era un indirizzo IP riservato ed è stato abusato da molti router esistenti (per lo più quelli venduti da Cisco Systems) e aziende per ospitare pagine di accesso a reti private, pagine di uscita o altri scopi, rendendo impossibile il routing corretto di 1.1.1.1 su questi sistemi. Inoltre, 1.1.1.1 è bloccato su molte reti e da più ISP perché la semplicità dell’indirizzo indica che in precedenza era spesso utilizzato in modo inappropriato a scopo di test e non per uso legittimo. Questi precedenti usi hanno portato a un enorme afflusso di dati inutili sui server di Cloudflare.

Il 1 aprile 2019, Cloudflare annunciò che stavano progettando di lanciare un servizio VPN chiamato Warp che sarebbe stato integrato nell’app mobile 1.1.1.1. Il servizio standard è fornito gratuitamente, include anche delle funzionalità aggiuntive a pagamento.

 

Comments are closed.