Wieso kann eine Internetsperre über DNS Wechsel aufgehoben werden?

[TooMuchMoon]

Wenn ich in FireFox von Standardschutz auf Erhöhter oder Maximaler Schutz umstelle, kann ich gewisse Seiten auf denen man Filme kostenlos ansehen kann, aufrufen, aber bei Standardschutz geht das nicht?
Wie läuft das technisch ab? Wieso wird der Standardschutz gesperrt und der Rest nicht? Und wer sperrt das? Mein Anbieter Vodafone? Oder "der Staat"?
Und was ist der Nachteil von Erhöhter und Maximaler Schutz

 

[till69]

Weil DNS nur ein "Telefonbuch" ist. Bei einem bekommt man die IP, beim anderen nicht.

 

[Phil_81]

Wie läuft das technisch ab? Wieso wird der Standardschutz gesperrt und der Rest nicht? Und wer sperrt das? Mein Anbieter Vodafone? Oder "der Staat"?

Der Staat, ganz eindeutig.

 

[SpamBot]

Ich finde der Begriff "Schutz" passt hier nicht. Das sind einfach 0815 DNS Einstellungen. Oder ubersehe ich

 

[Ranayna]

Der Staat, ganz eindeutig.

Ne, nicht wirklichlich.

Ich nehme an es geht hier um die CUII. Und die CUII ist nicht der Staat, das ist eine private Organisation, die es geschafft hat ein paar der grossen Provider ins Boot zu holen und durchzusetzen das diese DNS Manipulation betreiben.

Die CUII Blockagen sind wie du bemerkt hast reine DNS Manipulationen. Die funktionieren natuerlich nur solange, wie du einen DNS Server eines dieser CUII Mitglieder verwendest. Aendert man an seinen Netzwerkeinstellungen nichts, ist das der Fall.

Im konkreten Beispiel mit dem Browser sorgt das aendern dieser Einstellung dazu, dass der Browser nicht mehr den im Betriebssystem eingerichteten DNS Server verwendet, sondern einen eigenen. Der zu keinem CUII Provider gehoert, und daher die DNS Sperre natuerlich nicht umsetzt.

 

[mibbio]

Oder ubersehe ich

Ja, das auf dem Screenshot sind nicht die normalen Einstellungen, wo man einen eigenen DNS-Resolver konfigurieren kann. Hier geht es darum, in den höheren Stufen explizit einen mit DoH (also verschlüsselten DNS-Anfragen) zu verwenden.

Da ist also schon eine zusäzliche Sicherheit gegeben, weil dann Dritte die Anfragen nicht einsehen können und damit auch nicht mitloggen können, welche Webseiten man aufruft. Auch kann man dort dann nicht per Man-In-The-Middle die DNS-Anfrage bzw. -Antwort manipulieren.

Bei DoT (DNS over TLS) können Dritte zwar sehen, dass es eine DNS-Anfrage ist, aber ohne Aufbrechen der Transportverschlüsselung ist von Außen nicht erkennbar, welche Domain da gerade aufgelöst wird. Bei DoH (DNS over HTTPS) kommt noch hinzu, dass es gar nicht erst als DNS-Anfrage erkennbar ist, sondern wie jeder andere HTTPS-Paket aussieht.

 

[Simanova]

Wie läuft das technisch ab?

Sichere DNS Anfragen werden verschlüsselt gesendet (Port UDP 443) und sind von einer Firewall nicht mehr analysierbar. Darum sperren Unternehmen so einen quatsch, insbesondere das Google QUIC Protokoll.

Sperrt man das nicht, kann jeder Dulli die 10000€ Hardware Firewall im Unternehmen umgehen.

 

[SaxnPaule]

@Ranayna dein Ironiedetektor scheint defekt zu sein

 

[DocAimless]

Die CUII lässt grüßen. Gibt da auch eine schöne "abfrage" ob der eigene DNS betroffen ist. Es ist auch immer hilfreich ein paar Freie DNS zu wissen um solche "Sperren" zu umgehen. Auch wenn dies keine richtigen Sperren sind, sondern nicht anderes als Blacklisten wie man sie von Ad-Blocker her kennt.

 

[Garmor]

Der Staat, ganz eindeutig.

Nein nein. Nicht der Staat, sondern "der Staat"!

 

[Azghul0815]

Und was ist der Nachteil von Erhöhter und Maximaler Schutz

Es gibt 2 Seiten der Medallie:
Bsp:
Du besuchst böse Seiten um Filme umsonst zu schauen:
Seite 1) Der Staat, die Behörden, CUII wollen nicht, dass du da tust und weil man oft nicht die reale Adresse der Homepage kennt sondern nur "böseumsonstfilme.de", wird im erwähnten Telefonbuch (DNS) hinter der Adresse "bösefilmeumsonst.de" eine neue Seite hinterlegt die nur anzeigt "du kommst hier net rein" oder "diese Adresse ist böse"

2te Seite:
Auf der realen Seite "bösegfilmemsonst.de", die z.b. unter der realen Adresse "127.234.54.1" erreichbar wäre, sind ganz viele Werbungen und Scripte und co drauf, die versuchen den User mit Clickbait zu locken und Trojanern zu infizieren. Jemand der also nur aus versehen auf die Seite "bösefilmeumsonst.de" geht, rennt auch gegen die Sperre, denkt sich nichts dabei uns fängt sich halt auch nichts ein.

Wenn du allerdings auf die Seite willst, dir die Risiken bewusst sind usw. kannst du eben einfach den DNS ändern und ohne dir nun zu Nahe treten zu wollen...dass du die Frage stellst, steck ich dich aktuell eben in die Schublade mit der Aufschrift."nicht so versierter User, wo es wohl besser ist, dass der du auf die Seiten nicht kommst"


EDIT:
An alle die mehr Ahnung haben als ich (und das sind hier viele), passt mein, sehr simplifiziertes, Beispiel

 

[Ranayna]

@SaxnPaule: Ich weiss nicht... ich kenne zu viele Leute die dem Staat die Schuld an allem geben.

 

[sikarr]

Wie läuft das technisch ab? Wieso wird der Standardschutz gesperrt und der Rest nicht? Und wer sperrt das? Mein Anbieter Vodafone? Oder "der Staat"?

Eine "DNS Sperre" ist technisch gesehen keine Sperre, es fehlt einfach der Eintrag und deswegen kannst du die Seiten nicht aufrufen. Nimmst du einen anderen DNS der den Eintrag hat geht es wieder. Eine Sperre ist es dann wenn die Provider den Host aktiv blockieren, also der Aufruf wirklich verweigert wird, da gibt es auch mehrere Methoden um sowas durchzusetzten, das kannst du dann nur durch ein VPN umgehen.

Das ist so als wenn ich deine Adresse bei Google Maps lösche, dein Haus erreicht man dennoch mit einem anderen Anbieter. Wenn ich aber die Zufahrten Sperre kommst du auch mit anderen Anbietern nicht mehr an dein Haus.

Und was ist der Nachteil von Erhöhter und Maximaler Schutz

wenn es keinen sDNS Eintrag für deine Seite gibt dann kannst du sie nicht aufrufen und/oder wenn kein sDNS Server verfügbar ist kannst du gar keine Seite aufrufen. Bei den anderen Einstellungen fällt der Browser dann einfach auf den ungesicherten DNS zurück bzw. du kannst es selber entscheiden, bei Maximal geht das nicht.

 

[Marmormacker]

Im Grunde versteht das Internet nur IPs (Zahlen). Jetzt kann sich niemand 1000 Zahlen für verschiedene Webseiten merken, daher gibt es URL also z.B. computerbase.de. Der DNS Server ist jetzt im Grunde dafür zuständig computerbase.de in eine Zahl (IP) zu "übersetzen". Wenn dein DNS server dieser URL also keine IP zuweisen kann bzw. man diesem verboten hat das zu tun, kannst du die Webseite auch nicht erreichen. Abhilfe schafft dann eben ein anderer DNS Server - der fröhlich weiter "übersetzt".

So habe ich das immer verstanden. Vielleicht liege ich aber auch falsch. Daher besser "Fakt checken" .

 

[Ranayna]

@Marmormacker: Ne, passt schon grob so.

Ein Punkt der vielleicht noch ergaenzt werden sollte: Oft funktioniert es nicht mehr eine IP Adresse anstelle des Domainnamens in den Browser einzutickern.
Denn oft laufen mehrere Domains oder Sub-Domains auf dem selben Server und damit auf der selben IP Adresse. Gemacht wird das, weil IPv4 Adressen knappes Gut sind.

In diesen Faellen funktioniert der Zugriff dann nur ueber den Domainnamen, denn der Server kann dann anhand des Namens, der vom Browser mitgeschickt wird, den Besucher auf die richtige Webseite leiten.

 

[sikarr]

Abhilfe schafft dann eben ein anderer DNS Server - der fröhlich weiter "übersetzt".

Oder aber du nimmst die IP direkt, aber wer kennt die schon und natürlich nicht vergessen was @Ranayan geschrieben hat

In diesen Faellen funktioniert der Zugriff dann nur ueber den Domainnamen, denn der Server kann dann anhand des Namens, der vom Browser mitgeschickt wird, den Besucher auf die richtige Webseite leiten.

Meistens funktioniert aber auch das tauschen gegen eine IP. also anstatt https://cloudflare.com/test geht auch https://1.2.3.4/test funktionieren je nach dem wie die Website gehostet ist.

 

[mibbio]

Denn oft laufen mehrere Domains oder Sub-Domains auf dem selben Server und damit auf der selben IP Adresse. Gemacht wird das, weil IPv4 Adressen knappes Gut sind.

Der direkt Aufrufe von Webseiten per IP-Adresse ist auch hinsichtlich HTTPS problematisch. Denn die Zertifikate werden immer auf bestimmte (Sub-)Domains ausgestellt und nicht auf die IP-Adresse dahinter. Allein weil die IP nicht fest ist, sondern sich auch jederzeit ändern kann und man dann ständig das Zertifikat erneuern/ändern müsste.

Würde man Computerbase jetzt über die IP in der URL aufrufen, bekommt man vom Browser einen Zertifikatsfehler, da die Adresse nicht zu dem passt, wofür das Zertifikat ausgestellt wurde, obwohl Domain und IP zur gleichen Webseite führen würden.

 

[Ranayna]

Ja, SSL kommt nochmal oben drauf, hat aber nicht direkt mit DNS zu tun. Das koennte man auch anders machen, indem man die IPs dem Zertifikat als SAN hinzufuegt.
Das machen wir zB oft fuer Zertifikate unserer Firmeninternen CA.

 

[chrigu]

oh ja.... der staat.... ganz böse, der intrigiert dein firefox kaputt.

weder dein provider, noch irgendwer sperrt die adressen.... nur firefox tut es. also frag direkt den support von firefox, warum die ohne dichzu fragen von möglichen infizierten oder illegalen website ausklammern. die bösen füchse.
was genau ein dns-server ist, kannst du bei google erfahren.
und warum im browser diverse werbeblocker aktiv sind und manche den selbstschutz eher als bevormundung wahrnehmen, erklärt dir gerne auch der chaos computer club

 

[mibbio]

Das koennte man auch anders machen, indem man die IPs dem Zertifikat als SAN hinzufuegt.
Das machen wir zB oft fuer Zertifikate unserer Firmeninternen CA.

Ja, die Möglichkeit gibt es theoretisch, ist im öffentlichen Internet in der Regel aber schlicht nicht anzutreffen. Allein schon, weil sich ja eben die IP zu einer Domain (häufig) ändern kann und man entsprechend jedes Mal wieder ein neues Zertifikat ausstellen müsste.

Und man müsste bei Ausstellen des Zertifikats halt auch sicherstellen, dass die IP während der Gültigkeitsdauer auch definitiv zu der Webseite gehört. Was wenn ein Kunde seinen Hostingvertrag beim Anbieter kündigt und die IP dann dem nächsten Kunden zugewiesen wird? Dann ist das Zertifikat für IP xy plötzlich für eine ganz andere Webseite gültig.