Guter Sicherer DNS Server ?

Benutze quad9 jetzt schon recht lange, finde nicht, daß die oft "überlaufen" sind...
 
Phil_81 schrieb:
Mir gings explizit um "Themen bzw. Seiten, die der eigenen Firmenpolitik nicht genehm ist"

Mißverständnis, mea culpa!

CoMo schrieb:
Wenn ich höchstmögliche Souveränität möchte, setze ich meinen eigenen Resolver auf. Bis auf die für die Domain autoritativen Server sieht niemand auf dem Weg, welche Domain ich auflösen möchte.

Mike Kuketz schreibt Folgendes:

Mit unbound lösen wir die Abhängigkeit zu einem DNS-Server-Anbieter auf. Daraus ergeben sich folgende Vorteile:
  • Privatsphäre: Unbound wird die Namensauflösung über einen Root-Nameserver starten und sich bis zum zuständigen autoritativen Nameserver »durchfragen«, der den Domainnamen in die zugehörige IP-Adresse übersetzen kann. Wir verzichten also auf einen zentralen DNS-Mittelsmann, der unsere DNS-Anfragen aufzeichnen und/oder analysieren könnte.
  • Geschwindigkeit: Pi-hole selbst hat bereits einen Cache für DNS-Anfragen integriert. Mit unbound und den entsprechenden Konfigurationsparametern (bswp. aggressive-nsec, prefetch, serve-expired etc.) lassen sich die Antwortzeiten abermals minimieren.
Der Verzicht auf einen DNS-Mittelsmann geht allerdings auch mit folgendem Nachteil einher:
  • Keine Verschlüsselung: Anfragen an die Root-Nameserver bzw. autoritativen Nameserver erfolgen unverschlüsselt via UDP/TCP über Port 53. Es besteht also die Möglichkeit, dass jemand die DNS-Anfragen mitliest und auswertet. Um dieses Risiko zu verringern, wird im ersten Teil ein Setup beschrieben, bei dem die DNS-Anfragen via DNS over TLS (DoT) verschlüsselt werden. Diese Möglichkeit können wir im folgenden Setup leider nicht anwenden. Unbound unterstützt zwar DNS over TLS (DoT) und auch DNS over HTTPS (DoH), aber die Root-Nameserver unterstützen diese Protokolle (noch) nicht. Wenn wir also auf einen DNS-Mittelsmann verzichten wollen, müssen wir auch auf die Verschlüsselung unserer DNS-Anfragen verzichten. Der Einsatz von DNSSEC unter unbound stellt aber zumindest sicher, dass die zurückgelieferten Daten echt (Authentizität) und unverändert (Integrität) sind.



Wie paßt das zu https://www.isc.org/blogs/qname-minimization-and-privacy/?
 
  • Gefällt mir
Reaktionen: azereus
CoMo schrieb:
Wer soll denn deine DNS-Anfragen mitlesen und auswerten?

Betreiber öffentlicher WLANs zum Beispiel und jeder auf Carrier-Ebene. Durch wessen Netz die Pakete fließen, der kann in unverschlüsselten Pakete hineinschauen.
 
Ketzerische Frage…
Das DNS soll mir zu einer URL eine IP liefern, korrekt?
Wenn ich das lokal hoste = niemals meine getippte URL nach außerhalb meines Hauses gebe - dann brauche ich eine Liste [Tabelle] der IPs damit mein «Resolver» dann nach draußen routen kann.
Woher bekomme ich die? Wie schaffe ich es, dass die aktuell ist?

Und nun die böse Frage…
Ich will das also selber hosten damit eine Information https://www.eine-schöne-seite.de nicht nach draußen tickt sonder statt ihrer ihre IP.
Nun sei da der böse Schnüffeldienst der in meine Leitung horcht. [Und das kann er, notfalls hinter dem anderen Ende des VPN-Tunnels…] Der erschnüffelt die IP und liest die Tabelle rückwärts. Resultat? Null. Er weiß Bescheid.

Das hätte ich mir also sparen können. Und Zeitgewinn halte ich für akademisch.

Wenn da ein Denkfehler ist kann er gerne mit einer vollen Breitseite versenkt werden.

CN8
 
DeusoftheWired schrieb:
Betreiber öffentlicher WLANs zum Beispiel und jeder auf Carrier-Ebene. Durch wessen Netz die Pakete fließen, der kann in unverschlüsselten Pakete hineinschauen.

Und warum sollte sich jemand, der meinen Traffic mitschneidet, für meinen DNS-Verkehr interessieren? Derjenige hat doch alle Metadaten meiner Verbindungen. Wer meinen Traffic weiterleitet, der muss logischerweise wissen, woher das Paket kommt und wohin es soll 🤷‍♂️

cumulonimbus8 schrieb:
Das DNS soll mir zu einer URL eine IP liefern, korrekt?
Wenn ich das lokal hoste = niemals meine getippte URL nach außerhalb meines Hauses gebe - dann brauche ich eine Liste [Tabelle] der IPs damit mein «Resolver» dann nach draußen routen kann.
Woher bekomme ich die? Wie schaffe ich es, dass die aktuell ist?

Nennt sich rekursiver Resolver. Jeder öffentliche DNS-Server geht denselben Weg. Zu den Root-Servern, um autoritative Resolver für die angefragte Top-Level-Domain zu erfragen, dann zu diesen, um autoritative Resolver für die angefragte Domain zu erfragen, dann zu diesen, um die IP-Adresse der Domain zu erfahren. Die Ergebnisse werden gecached.

Wenn ich das selbst hoste, mache ich die rekursive Auflösung selbst. Auf demselben Weg. Dabei erfährt jeder Server auf dem Weg nur den Teil der Anfrage, den er beantworten kann. Und wenn ich die Root-Zone auch noch lokal vorhalte, spare ich mir sogar den Weg über die Root-Server.

Also warum sollte ich eine weitere Partei einbinden, die das macht, was ich auch selbst machen kann?
 
DeusoftheWired schrieb:
Unbound wird die Namensauflösung über einen Root-Nameserver starten und sich bis zum zuständigen autoritativen Nameserver »durchfragen«, der den Domainnamen in die zugehörige IP-Adresse übersetzen kann. Wir verzichten also auf einen zentralen DNS-Mittelsmann, der unsere DNS-Anfragen aufzeichnen und/oder analysieren könnte.
Das leuchtet nicht so unmittelbar als Vorteil ein.
Denn dann hängt aber unsere IP immer noch bei den ganzen anderen Namenservern.
Wenn ich ein "Mittelsmann-DNS-Server" benutze, ist meine IP-Adresse nur bei dem.
Es sei denn, Du siehst die zuständigen Nameserver als grundsätzlich vertrauenswürdig an. Warum die aber per se vertrauenswürdiger sein sollen, ist mir nicht so ganz klar.

DeusoftheWired schrieb:
Keine Verschlüsselung:
Möglicher Ansatz:
Die DNS-Anfragen über TOR leiten. DNS-Requests sind ja auch eher klein, so das die kleine Datenrate bei TOR nicht so sehr ins Gewicht fällt. Zumal ich ja aufgelöste Namen auch eine Weile cachen kann, so das bei Folgeanfragen nicht zwangsläufig ein neuer Request erfolgen muss.
 
andy_m4 schrieb:
Wenn ich ein "Mittelsmann-DNS-Server" benutze, ist meine IP-Adresse nur bei dem.

Inklusive sämtlicher Domains, die du aufgelöst hast.

andy_m4 schrieb:
Denn dann hängt aber unsere IP immer noch bei den ganzen anderen Namenservern.

Wo ist das Problem, wenn deine IP-Adresse da auftaucht? Der Unbound fragt nach den autoritativen Servern, speichert diese in seinem Cache und erneuert diesen präemptiv (prefetching). Für die Nameserver ist da nur ein rekursiver Resolver unterwegs, der seinen Cache aktuell hält. Keiner von denen weiß, wie oft du eine Seite aufgerufen hast.

Im Gegensatz zum "Mittelsmann-DNS-Server", wie du ihn nennst. Denn der beantwortet dir jede weitere Anfrage aus seinem Cache (dein OS-Cache liegt im RAM) und hat daher ein exaktes Surf-Profil von dir.
 
CoMo schrieb:
Inklusive sämtlicher Domains, die du aufgelöst hast.
Ja. Das versteht sich ja von selbst.

CoMo schrieb:
Im Gegensatz zum "Mittelsmann-DNS-Server", wie du ihn nennst.
Das war eine Formulierung, die ich vom Vorredner übernommen hab.

CoMo schrieb:
und hat daher ein exaktes Surf-Profil von dir.
So hat das Surf-Profil mein Provider. Da ich halt kein verschlüsseltes DNS machen kann, da das autoritativen Nameserver nicht supporten.
 
andy_m4 schrieb:
So hat das Surf-Profil mein Provider. Da ich halt kein verschlüsseltes DNS machen kann, da das autoritativen Nameserver nicht supporten.

Nochmal: Dein Provider ist dafür verantwortlich, deine Pakete an ihr Ziel zu bringen. Dazu muss er wissen, wo diese Pakete hin müssen. Sonst hättest du kein funktionierendes Netzwerk.

Dein Provider weiß also sowieso immer, mit welchen Servern du kommunizierst. Es sei denn, du verwendest ein VPN. Dann landen alle diese Daten beim VPN-Anbieter. Da kannst du noch so viel DNS verschlüsseln.
 
CoMo schrieb:
Also warum sollte ich eine weitere Partei einbinden, die das macht, was ich auch selbst machen kann?
Kannst du es auch so sicher und umfangreich manchen wie die da draußen? Das hatte ich ja angesprochen: ohne Tabellen keine Umsetzung, aber woher nehmen, wie schnell hast du die vor einer Stunde neu online gegangene Website auf der Leiste, wie schnell die vor 2 Stunden abgeschaltete gelöscht? Das zu aktualisieren dürfte mehr Zeit = Aufwand bedeuten als du durch Selbermachen sparst.

Meine Frage aber, betreffend dem Schnüffler, bleibt offen.

CN8
 
Moment, auch ein lokaler DNS aktualisiert sich doch automatisch. Alles andere wäre ja unsinnig.
 
cumulonimbus8 schrieb:
aber woher nehmen, wie schnell hast du die vor einer Stunde neu online gegangene Website auf der Leiste

Habe ich bereits erklärt. Nennt sich rekursive Auflösung. Wenn eine Domain propagiert ist, ist sie existent und kann aufgelöst werden.

cumulonimbus8 schrieb:
wie schnell die vor 2 Stunden abgeschaltete gelöscht?

Ein DNS-Eintrag hat eine TTL. Wenn die abgelaufen ist, muss die Domain erneut aufgelöst werden. Wenn sie nicht mehr aufgelöst werden kann, ist sie nicht mehr existent.

cumulonimbus8 schrieb:
Kannst du es auch so sicher und umfangreich manchen wie die da draußen?

Keine Ahnung, was damit gemeint sein soll.

Vielleicht solltest du dich noch mal mit der grundsätzlichen Funktionsweise des Domain Name Systems befassen.
 
  • Gefällt mir
Reaktionen: .one
Zurück
Oben