Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Firefox: Wie Mozilla DNS über HTTPS…

Howto: DoT mit BIND9

  1. Thema

Neues Thema Ansicht wechseln


  1. Howto: DoT mit BIND9

    Autor: Vanger 30.03.19 - 21:00

    Ich weiß nicht was dieser unsägliche DoH-Schwachsinn (DNS over HTTPS) überhaupt soll... Die Alternative dazu heißt DoT (DNS over TLS) ist besticht durch seine Einfachheit: man nehme ganz normales DNS und packe es in eine TLS-Verbindung. That's it. Keep it simple, stupid!

    Nun stellt sich die Frage wie ich als Server-Admin meinem DNS-Server DoT beibringen kann... Ich verwende BIND9. Das kann DoT leider (noch) nicht nativ. Weil DoT wie erwähnt aber nur ein einfacher TLS-Wrapper ist lässt sich das einfach per stunnel bewerkstelligen.

    1. Man installiere `stunnel`, bspw. per `sudo apt install stunnel` (Debian und Derivate)

    2. Man erstelle die Konfigurationsdatei '/etc/stunnel/dns-over-tls.conf' (sowie das Zertifikat 'dns-over-tls-fullchain.pem' und den Key 'dns-over-tls-key.pem') mit folgendem Inhalt:

    > [dns-over-tls]
    > accept = :::853
    > connect = 127.0.0.1:53
    > local = 127.0.8.53
    > cert = dns-over-tls-fullchain.pem
    > key = dns-over-tls-key.pem

    3. Man sorge dafür, dass `stunnel` beim Booten gestartet wird, unter Debian bspw. indem in der Konfigurationsdatei '/etc/default/stunnel4' die Option 'ENABLED=1' gesetzt wird. Ausprobieren kann man das ganze auch sofort per `stunnel /etc/stunnel/dns-over-tls.conf`.

    4. Da ein externes DoT-Request nun für BIND9 wie ein lokales DNS-Request von der IP-Adresse 127.0.8.53 aussieht sind plötzlich auch wieder DNS-Rekursion verfügbar. Das ist nicht gut... Daher sollte man die BIND9-Konfiguration um folgende Optionen ergänzen um die IP 127.0.8.53 von rekursiven Requests explizit auszunehmen:

    > acl "trusted" {
    > !127.0.8.53;
    > localhost;
    > localnets;
    > };
    >
    > options {
    > allow-query { any; };
    > allow-recursion { trusted; };
    > allow-query-cache { trusted; };
    > };

    5. Man installiere lokal einen DoT-fähigen DNS Resolver (z.B. Knot DNS) und probiere es aus.

  2. Re: Howto: DoT mit BIND9

    Autor: Dr.Glitch 31.03.19 - 08:05

    Danke für das ausführliche Tutorial!

    Werde das bestimmt bald ausprobieren. Halte DNS over HTTPS auch für eine ziemlich schräge Idee - die Zielgruppe sollten wohl wieder “normale“ Windows-User sein.
    Für die breite Masse ist aber die Verwendung derartiger Technik eine riskante Abweichung vom Standard.

    Grüße
    Dr.Glitch



    1 mal bearbeitet, zuletzt am 31.03.19 08:06 durch Dr.Glitch.

  3. Re: Howto: DoT mit BIND9

    Autor: ikhaya 31.03.19 - 10:11

    Schaun wir mal wie das Endergebnis aussieht. So schlecht ist die Idee DNS Zensur zu umgehen mit einem Port der sich nicht so einfach blockieren lässt auch ned.
    Man braucht nur breite Unterstützung auf vielen Endpunkten weltweit.
    Du kannst den Standard ja später auch in deinen lokalen Stub-Resolver einbaun.



    1 mal bearbeitet, zuletzt am 31.03.19 10:12 durch ikhaya.

  4. Re: Howto: DoT mit BIND9

    Autor: Dr.Glitch 31.03.19 - 12:44

    Um DNS-blocks zu umgehen brauche ich lediglich einen DNS-Resolver, dem ich auch vertrauen kann.
    Dazu reicht grundsätzlich DNS, wie es heute steht, aus, aber meine Anfragen können mitgeschnitten werden.
    Wenn jemand DNS over TLS blocken möchte, dann sehe ich das ebenfalls sofort.

    Die Mozilla-Lösung ist eine nette Ergänzung, allenfalls, aber wirkt auch nur für den Browser (korrigiert mich falls ich hier was übersehe). Was ist mit dem Rest meiner Kommunikation?

    Im besten Fall kann ich zentral meine Namensauflösung über TLS betreiben, und sichere nicht nur meinen Browser ab.

  5. Re: Howto: DoT mit BIND9

    Autor: ikhaya 31.03.19 - 19:31

    Dr.Glitch schrieb:
    --------------------------------------------------------------------------------
    > Die Mozilla-Lösung ist eine nette Ergänzung, allenfalls, aber wirkt auch
    > nur für den Browser (korrigiert mich falls ich hier was übersehe). Was ist
    > mit dem Rest meiner Kommunikation?

    Der Standard kann sowohl von anderen Anwendungen auf dem Rechner als auch vom System selbst verwendet werden. Stubby oder ResolveD oder was auch immer das OS nutzt können auch DOH lernen. Firefox ist nur ein Anfang.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BG-Phoenics GmbH, Hannover
  2. Impactory GmbH, Darmstadt (Home-Office)
  3. BWI GmbH, bundesweit
  4. SEG Automotive Germany GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 279,90€
  2. 64,90€ (Bestpreis!)
  3. mit Gutschein: NBBX570


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

  1. Streaming: Apple und Netflix aus Auktion um South Park ausgestiegen
    Streaming
    Apple und Netflix aus Auktion um South Park ausgestiegen

    Insidern zufolge könnte der Bieterwettstreit um die Streaming-Rechte der Zeichentrickserie South Park bis zu 500 Millionen US-Dollar erreichen. Netflix soll sein Angebot bereits zurückgezogen haben. Auch Apple will wohl nicht mitbieten - was am jüngsten Verbot der Sendung in China liegen soll.

  2. Google: Vorabwiderspruch bei Street View wird überprüft
    Google
    Vorabwiderspruch bei Street View wird überprüft

    Googles Street View ist in Deutschland bisher kaum verfügbar, das Bildmaterial ist veraltet und Häuser sind oft verpixelt. Grund ist der Vorabwiderspruch gegen die Anzeige von Häusern, den viele Besitzer in Anspruch nahmen. Google lässt nun prüfen, ob neue Aufnahmen ohne Vorabwiderspruch möglich sind.

  3. Datenschutz: Zahl der Behördenzugriffe auf Konten steigt
    Datenschutz
    Zahl der Behördenzugriffe auf Konten steigt

    Behörden in Deutschland haben im bisherigen Jahresverlauf häufiger auf Konten von Bürgern zugegriffen als im Vorjahreszeitraum. Dem Bundesdatenschutzbeauftragten gefällt das nicht - er fordert eine Überprüfung der rechtlichen Grundlage.


  1. 15:12

  2. 14:18

  3. 13:21

  4. 12:56

  5. 11:20

  6. 14:43

  7. 13:45

  8. 12:49