DNS over TLS

Spezielle technische Fragen zum Thema "Ethernet" als Anschlusstechnik? Dann bist Du hier richtig!
Antworten
n.boeckmann
Neuling
Neuling
Beiträge: 3
Registriert: 16. Nov 2016 21:52

DNS over TLS

Beitrag von n.boeckmann » 14. Jan 2019 09:25

Moin,

unterstützen die Wilhelm.tel Server DNS over TLS? Ich bin durch einen Heise Artikel auf das Thema aufmerksam geworden und würde lieber die Wilhelm.tel Server für meine DNS Abfragen nutzen als die von Google.

[1] https://de.wikipedia.org/wiki/DNS_over_TLS

Viele Grüße

Nils

cybershadow
Member
Member
Beiträge: 91
Registriert: 26. Jul 2017 22:48

Re: DNS over TLS

Beitrag von cybershadow » 14. Jan 2019 11:25

Ich sehe dafür ehrlich gesagt den Anwendungsfall bei einem lokalen Provider nicht. Der Client-Browser verwendet als DNS-Server den DNS-Proxycache der Fritzbox. Dieser unterstützt DNS over TLS nicht und wird es auch nicht unterstützen, da er keinen öffentlichen Domainnamen und damit kein signiertes Zertifikat hat. Einen MitM-Angriff innerhalb des lokalen Netzes kann man also nicht wirksam verhindern.

Die Fritzbox fragt ihrerseits die DNS-Resolver von Wilhelm.tel. Diese stehen im WT-Netz. Ein MitM-Angriff müsste also zwangsläufig von innerhalb des WT-Netzes erfolgen, und wer da ist, muss sich nicht darauf beschränken DNS-Antworten zu manipulieren.

Benutzeravatar
burnz
Member
Member
Beiträge: 358
Registriert: 8. Nov 2016 00:02
Wohnort: Hamburg

Re: DNS over TLS

Beitrag von burnz » 14. Jan 2019 13:51

Wieso sollte man es dann nicht trotzdem aktivieren für clients die dies unterstützen? Nicht jeder verwendet eine Fritzbox..

cybershadow
Member
Member
Beiträge: 91
Registriert: 26. Jul 2017 22:48

Re: DNS over TLS

Beitrag von cybershadow » 14. Jan 2019 23:45

Auch wenn ein anderer Router DoT unterstützen würde, wäre die Verschlüsselung auf die Strecke Router-Resolver beschränkt. Sollten die gebräuchlichen Betiebssysteme jemals out of the box DoT unterstützen, bleibt das Problem, dass der DNS-Proxy im lokalen Netz keinen per DNSSEC validierbaren öffentlichen Domainnamen samt öffentlicher IP und damit kein verifizierbares Zertifikat hat. Vor einem Angreifer aus dem lokalen Netz hat man also keinen Schutz, es sei denn man verzichtet auf den DNS-Cache im lokalen Netz und lässt die Clients direkt den ISP-Resolver fragen.

Der einzige Anwendungsfall, in dem DoT oder DoH tatsächlich sinnvoll sein könnte, ist ein nicht vertrauenswürdiges öffentliches Netz (z.B. ein WLAN), und da adressiert DoT nur eines der vielen Probleme, die sinnvoller mit einem VPN-Tunnel in ein vertrauenswürdiges Netz gelöst werden.

Antworten