Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Firefox: Wie Mozilla DNS über HTTPS…

Howto: DoT mit BIND9

  1. Thema

Neues Thema Ansicht wechseln


  1. Howto: DoT mit BIND9

    Autor: Vanger 30.03.19 - 21:00

    Ich weiß nicht was dieser unsägliche DoH-Schwachsinn (DNS over HTTPS) überhaupt soll... Die Alternative dazu heißt DoT (DNS over TLS) ist besticht durch seine Einfachheit: man nehme ganz normales DNS und packe es in eine TLS-Verbindung. That's it. Keep it simple, stupid!

    Nun stellt sich die Frage wie ich als Server-Admin meinem DNS-Server DoT beibringen kann... Ich verwende BIND9. Das kann DoT leider (noch) nicht nativ. Weil DoT wie erwähnt aber nur ein einfacher TLS-Wrapper ist lässt sich das einfach per stunnel bewerkstelligen.

    1. Man installiere `stunnel`, bspw. per `sudo apt install stunnel` (Debian und Derivate)

    2. Man erstelle die Konfigurationsdatei '/etc/stunnel/dns-over-tls.conf' (sowie das Zertifikat 'dns-over-tls-fullchain.pem' und den Key 'dns-over-tls-key.pem') mit folgendem Inhalt:

    > [dns-over-tls]
    > accept = :::853
    > connect = 127.0.0.1:53
    > local = 127.0.8.53
    > cert = dns-over-tls-fullchain.pem
    > key = dns-over-tls-key.pem

    3. Man sorge dafür, dass `stunnel` beim Booten gestartet wird, unter Debian bspw. indem in der Konfigurationsdatei '/etc/default/stunnel4' die Option 'ENABLED=1' gesetzt wird. Ausprobieren kann man das ganze auch sofort per `stunnel /etc/stunnel/dns-over-tls.conf`.

    4. Da ein externes DoT-Request nun für BIND9 wie ein lokales DNS-Request von der IP-Adresse 127.0.8.53 aussieht sind plötzlich auch wieder DNS-Rekursion verfügbar. Das ist nicht gut... Daher sollte man die BIND9-Konfiguration um folgende Optionen ergänzen um die IP 127.0.8.53 von rekursiven Requests explizit auszunehmen:

    > acl "trusted" {
    > !127.0.8.53;
    > localhost;
    > localnets;
    > };
    >
    > options {
    > allow-query { any; };
    > allow-recursion { trusted; };
    > allow-query-cache { trusted; };
    > };

    5. Man installiere lokal einen DoT-fähigen DNS Resolver (z.B. Knot DNS) und probiere es aus.

  2. Re: Howto: DoT mit BIND9

    Autor: Dr.Glitch 31.03.19 - 08:05

    Danke für das ausführliche Tutorial!

    Werde das bestimmt bald ausprobieren. Halte DNS over HTTPS auch für eine ziemlich schräge Idee - die Zielgruppe sollten wohl wieder “normale“ Windows-User sein.
    Für die breite Masse ist aber die Verwendung derartiger Technik eine riskante Abweichung vom Standard.

    Grüße
    Dr.Glitch



    1 mal bearbeitet, zuletzt am 31.03.19 08:06 durch Dr.Glitch.

  3. Re: Howto: DoT mit BIND9

    Autor: ikhaya 31.03.19 - 10:11

    Schaun wir mal wie das Endergebnis aussieht. So schlecht ist die Idee DNS Zensur zu umgehen mit einem Port der sich nicht so einfach blockieren lässt auch ned.
    Man braucht nur breite Unterstützung auf vielen Endpunkten weltweit.
    Du kannst den Standard ja später auch in deinen lokalen Stub-Resolver einbaun.



    1 mal bearbeitet, zuletzt am 31.03.19 10:12 durch ikhaya.

  4. Re: Howto: DoT mit BIND9

    Autor: Dr.Glitch 31.03.19 - 12:44

    Um DNS-blocks zu umgehen brauche ich lediglich einen DNS-Resolver, dem ich auch vertrauen kann.
    Dazu reicht grundsätzlich DNS, wie es heute steht, aus, aber meine Anfragen können mitgeschnitten werden.
    Wenn jemand DNS over TLS blocken möchte, dann sehe ich das ebenfalls sofort.

    Die Mozilla-Lösung ist eine nette Ergänzung, allenfalls, aber wirkt auch nur für den Browser (korrigiert mich falls ich hier was übersehe). Was ist mit dem Rest meiner Kommunikation?

    Im besten Fall kann ich zentral meine Namensauflösung über TLS betreiben, und sichere nicht nur meinen Browser ab.

  5. Re: Howto: DoT mit BIND9

    Autor: ikhaya 31.03.19 - 19:31

    Dr.Glitch schrieb:
    --------------------------------------------------------------------------------
    > Die Mozilla-Lösung ist eine nette Ergänzung, allenfalls, aber wirkt auch
    > nur für den Browser (korrigiert mich falls ich hier was übersehe). Was ist
    > mit dem Rest meiner Kommunikation?

    Der Standard kann sowohl von anderen Anwendungen auf dem Rechner als auch vom System selbst verwendet werden. Stubby oder ResolveD oder was auch immer das OS nutzt können auch DOH lernen. Firefox ist nur ein Anfang.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Wirecard Service Technologies GmbH, Aschheim bei München
  2. Hochschule Heilbronn, Heilbronn
  3. Haufe Group, Freiburg im Breisgau
  4. JENOPTIK AG, Jena

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,99€ statt 19,99€
  2. 2,99€
  3. 19,95€
  4. 2,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  2. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  3. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

  1. Best Buy: US-Händler storniert Vorbestellungen des Galaxy Fold
    Best Buy
    US-Händler storniert Vorbestellungen des Galaxy Fold

    Wer bei Best Buy Samsungs faltbares Smartphone Galaxy Fold vorbestellt hat, kann seine Bestellung abschreiben: Wie der US-Elektronikhändler angekündigt hat, werden aufgrund des unsicheren Veröffentlichungstermins alle vorzeitigen Bestellungen storniert.

  2. Pleite: Onlineshops müssen Spiele von Telltale Games auslisten
    Pleite
    Onlineshops müssen Spiele von Telltale Games auslisten

    Nach der Insolvenz von Telltale Games zeigt sich, dass die Spielebranche auf Studioschließungen schlecht vorbereitet ist: Onlineshops müssen Titel wie Tales from the Borderlands aus ihren Bibliotheken entfernen.

  3. Uploadfilter: Polen klagt gegen EU-Urheberrecht
    Uploadfilter
    Polen klagt gegen EU-Urheberrecht

    Das EU-Mitglied Polen geht juristisch gegen die umstrittene EU-Richtlinie zum Urheberrecht vor. Ministerpräsident Morawiecki spricht von einer Gefahr für die Meinungsfreiheit.


  1. 16:33

  2. 16:07

  3. 15:45

  4. 15:17

  5. 14:50

  6. 14:24

  7. 13:04

  8. 12:42