1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Bind9: Wichtigster DNS-Server…

Danke, aber nein Danke

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Danke, aber nein Danke

    Autor: Vanger 09.02.21 - 11:33

    Mein DNS-Server wird selbstverständlich weiterhin DoT unterstützen - er tut es ja jetzt schon. Aktuell gehe ich den Umweg über stunnel, dieser fällt dann nun weg. Auf DoH kann ich aber verzichten. DoH bläht den Stack vollkommen unnötig auf, sorgt damit potenziell für erhebliche Sicherheitsprobleme, behindert etablierte Use Cases wie Intranets und kann neben all seinen Nachteilen schlicht und ergreifend keinen einzigen Vorteil gegenüber DoT vorzuweisen.

  2. Re: Danke, aber nein Danke

    Autor: ikhaya 09.02.21 - 13:32

    Der Vorteil is Zensur Resistenz und Kompatibilität, da etablierter und freier Port wie 443.
    Etablierte Use Cases wie Intranets behindert es genau so wenig wie DNS über Port 53 oder DoT.
    Entweder du konfigurierst es ordentlich in den Endgeräten oder du hast verschiedene Probleme.
    Das ist nur lose verbunden mit dem Protokoll.

  3. Re: Danke, aber nein Danke

    Autor: /mecki78 09.02.21 - 14:59

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Der Vorteil is Zensur Resistenz und Kompatibilität, da etablierter und
    > freier Port wie 443.

    Welcher Port ist irrelevant, man sperrt einfach den ganzen DNS Server. Grundsätzlich kann sowieso jede Anwendung über jeden Port laufen, DNS funktioniert genauso gut auch über einen anderen Port als 53, wenn man das bei Client und Server einstellen kann. Nur Netzwerkadmin-Idioten verlassen sich darauf, dass sie anhand des Ports gesichert die Art des Datenverkehrs erkennen können. Und Zensoren sind keine Idioten. Die machen das im Zweifel so: Wenn man den Datenverkehr nicht eindeutig identifizieren kann als einen erlaubten (ggf. durch Deep Packet Inspection) oder das Ziel bekannt und als erlaubt eingestuft wurde, dann ist er gesperrt und dann ist es irrelevant zu welchen Port du was senden willst.

    /Mecki

  4. Re: Danke, aber nein Danke

    Autor: /mecki78 09.02.21 - 15:07

    Sehe ich ähnlich wie du. Eine SSL Sicherung braucht man IMHO nur, wenn man einen öffentlichen DNS nutzen möchte, denn nutzt man dem vom ISP, kann niemand die Anfrage sehen außer der ISP und der darf rein rechtlich diese Anfragen nicht so ohne weiteres überwachen oder aufzeichnen. Und wenn man einen öffentlichen nutzt, weil man dem ISP trotzdem nicht traut oder denkt der zensiert einen, dann erfüllt DoT vollkommen den Zweck seine Anfragen vor neugierigen Blicken oder Manipulation zu schützen.

    /Mecki

  5. Re: Danke, aber nein Danke

    Autor: edison.cannon 09.02.21 - 19:03

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Der Vorteil is Zensur Resistenz
    So, in meinem eigenen LAN muß ich mich um Zensur sorgen?

    >und Kompatibilität,
    Wozu?

    > da etablierter
    Als was? DoH ist das neue Kind in der Gegend, da erst seit 10/2018 als RFC aufgenommen.

    > und freier Port wie 443.
    Was sind dann unfreie Ports?

    > Etablierte Use Cases wie Intranets behindert es genau so wenig wie DNS über Port 53 oder DoT.
    Das ist schlicht und ergreifend falsch.

    > Entweder du konfigurierst es ordentlich in den Endgeräten oder du hast verschiedene Probleme.
    Auch falsch.

    > Das ist nur lose verbunden mit dem Protokoll.
    Ebenso falsch.


    Klassisches DNS(53) ist für mich in meinem LAN vollkommen kontrollierbar. DoT(853) ebenso. Ich kann beide Ports in meiner Firewall sperren und nur explizit für meinen Resolver freischalten. Dieser wiederrum kann über Blacklists bekannte Malware/Spamdomains effektiv blockieren. Das Schöne an der Sache ist, daß ich mich nicht mit jedem Endgerät auseinandersetzen muß. Wer will schon bei Dutzenden (oder in Firmen Hunderten) Endgeräten DNS konfigurieren?

    DoH läuft per Applikation, d.h. Firefox kann sich für einen anderen Resolver entscheiden, als das nächste Programm, und da alles über 443 läuft, kann man das nicht blockieren. Man verliert also vollkommen die Kontrolle darüber, wer im eigenen Netz authorativ ist.

    Aber ich habe ja schon mal diese Diskussion geführt:
    https://forum.golem.de/kommentare/internet/comcast-mozilla-gewinnt-ersten-isp-fuer-doh-im-firefox/pihole-in-zeiten-von-doh/135910,5689727,5689727,read.html

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. andagon people GmbH, Köln
  2. targens GmbH, Frankfurt, Stuttgart, München
  3. Landeshauptstadt München, München
  4. Melitta Business Service Center GmbH & Co. KG, Minden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Hell Let Loose für 15,99€, Star Wars Battlefront 2 (2017) für 10,49€, BioShock - The...
  2. (u. a. Heldenfilme in 4K: Venom, Spider-Man: Far From Home, Jumanji: The Next Level, Bloodshot...
  3. 59€ (Bestpreis)
  4. 1.099€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme