Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Mozilla: DNS über HTTPS beschleunigt…

DoH Blocken?

  1. Thema

Neues Thema Ansicht wechseln


  1. DoH Blocken?

    Autor: DitOlm 29.08.18 - 12:26

    WAS, wenn ich ein DoH garnicht WILL?
    Wenn ich alle DNS-Auflösungen intern über einen DNS-Server abfange, welcher wiederrum nach extern über eine NGFW/UTM routet?
    So wäre es jeder Client bzw. jeder Schadsoftware mögich, über HTTPS (bzw. den NGFW/UTM-Proxy) zu Botnetzen/C&C etc. zu connecten.

    Frage deshalb: Kann ich in dieser Kette den HTTPS-Traffic bei DoH abfangen (aufbrechen, quasi MitM), analysieren (und eben DNS entsprechend blocken)? Auf dem L7 (Application) müsste dies doch dann zu filtern sein, oder?

    Ansonsten natürlich entsprechende externe DNS-Provider blocken (mit Ausnahme für den zentralen internen DNS-Server).

  2. Re: DoH Blocken?

    Autor: ikhaya 29.08.18 - 12:45

    Wenn du normalen Webtraffic über TLS aufbrechen kannst mit einem beim Client als vertrauenswürdig markierten Zertifikat, sollte das für DoH genauso gelten.
    Bist du in der Lage die Anwendungen zu konfigurieren kannst du es wie im Firefox auch einfach ausknipsen.

  3. Re: DoH Blocken?

    Autor: Avarion 29.08.18 - 12:46

    Sofern du es nicht in den Browsern deaktivieren kannst (oder wie im aktuellen Fall einfach nur nicht aktivieren musst) dann vermutlich garnicht ohne einen MTM Angriff durchzuführen.

    Cloudflare komplett zu blockieren sorgt für andere Probleme, da Cloudflare auch bei vielen Diensten als DDoS-Protection läuft. Sofern du da die IPs nicht auseinanderhalten kannst kommst du dann auch nicht mehr auf deren Dienste.

    Und sobald das die Runde macht werden viele andere Anbieter auf den Zug aufspringen.

    Mozilla sagt aber das diese Funktion konfigurierbar bleibt und man später auch seinen eigenen Anbieter für DoH einstellen kann, und damit auch einen eigenen Server.

  4. Re: DoH Blocken?

    Autor: delphi 29.08.18 - 12:58

    Avarion schrieb:
    --------------------------------------------------------------------------------
    > Mozilla sagt aber das diese Funktion konfigurierbar bleibt und man später
    > auch seinen eigenen Anbieter für DoH einstellen kann, und damit auch einen
    > eigenen Server.

    Seinen eigenen DoH-Server eintragen konnte man ohnehin von Anfang an, und kann man auch jetzt schon - nur halt über die network.trr.*-Einträge in der about:config, und noch nicht mit nem dedizierten GUI.

  5. Re: DoH Blocken?

    Autor: gaym0r 29.08.18 - 13:14

    DitOlm schrieb:
    --------------------------------------------------------------------------------
    > So wäre es jeder Client bzw. jeder Schadsoftware mögich, über HTTPS (bzw.
    > den NGFW/UTM-Proxy) zu Botnetzen/C&C etc. zu connecten.

    Warum? Die Pakete gehen ja trotzdem noch über die UTM-Appliance und wird dann da geblockt.

  6. Re: DoH Blocken?

    Autor: RipClaw 29.08.18 - 13:24

    DitOlm schrieb:
    --------------------------------------------------------------------------------
    > WAS, wenn ich ein DoH garnicht WILL?
    > Wenn ich alle DNS-Auflösungen intern über einen DNS-Server abfange, welcher
    > wiederrum nach extern über eine NGFW/UTM routet?
    > So wäre es jeder Client bzw. jeder Schadsoftware mögich, über HTTPS (bzw.
    > den NGFW/UTM-Proxy) zu Botnetzen/C&C etc. zu connecten.
    >
    > Frage deshalb: Kann ich in dieser Kette den HTTPS-Traffic bei DoH abfangen
    > (aufbrechen, quasi MitM), analysieren (und eben DNS entsprechend blocken)?
    > Auf dem L7 (Application) müsste dies doch dann zu filtern sein, oder?
    >
    > Ansonsten natürlich entsprechende externe DNS-Provider blocken (mit
    > Ausnahme für den zentralen internen DNS-Server).

    Aktuell muss man DoH noch aktivieren um es zu nutzen da es in den Standardeinstellungen deaktiviert ist. Sollte es mal in den Standardeinstellungen aktiviert sein kann man es relativ sicher abschalten.

    Was das blockieren angeht so läuft der Traffic bei den meisten DoH Servern über TCP Port 443. Entsprechend hilft es dir nichts wenn du UDP Port 53 blockierst und TCP Port 443 zu blockieren ist sicher auch nicht zielführend.

  7. Re: DoH Blocken?

    Autor: Avarion 29.08.18 - 13:43

    Ok, ich habe nur aus den Berichten zitiert. Selber teste ich keine Nightlys.

  8. Re: DoH Blocken?

    Autor: TCHessen 29.08.18 - 14:44

    Avarion schrieb:
    --------------------------------------------------------------------------------
    > Ok, ich habe nur aus den Berichten zitiert. Selber teste ich keine
    > Nightlys.

    Das ist im Firefox 61 bereits drin, dazu braucht es keine dev- Version mehr.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. TÜV SÜD Gruppe, München
  2. Meierhofer AG, München
  3. Wirtschaftsrat der CDU e.V., Berlin
  4. OSRAM GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Conan Exiles 12,99€, PSN Card 25 Euro für 21,99€)
  2. 229,99€
  3. 5,55€
  4. (u. a. GRAND THEFT AUTO V: PREMIUM ONLINE EDITION 13,99€, Shadows: Awakening 12,50€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

  1. Landtag: Niedersachsen beschließt Ausstieg aus DAB+
    Landtag
    Niedersachsen beschließt Ausstieg aus DAB+

    Niedersachsen folgt einem Antrag der FDP und will DAB+ beenden. 5G sei ein besserer Übertragungsweg. Auf die UKW-Abschaltung soll aber verzichtet werden, sagte der Vorsitzende der FDP-Fraktion im Landtag Niedersachsen, Stefan Birkner.

  2. Airseas: Reederei stattet Schiff mit Kite von Airbus-Tochter aus
    Airseas
    Reederei stattet Schiff mit Kite von Airbus-Tochter aus

    Wenn der Wind zieht, soll das Schiff weniger Treibstoff verbrauchen und weniger Schadstoffe emittieren: Die japanische Reederei K-Line testet einen Windhilfsantrieb an einem ihrer Schiffe. Das Segel hat eine Airbus-Ausgründung entworfen.

  3. Pokémon Go mit Harry Potter: Magische Handy-Jagd auf Dementoren
    Pokémon Go mit Harry Potter
    Magische Handy-Jagd auf Dementoren

    Expelliarmus! Mit Smartphone statt Zauberstab kämpfen wir Muggel in der Welt des Harry Potter. Golem.de hat Wizards Unite, hinter dem die Entwickler von Pokémon Go stecken, ausführlich ausprobiert und zeigt echtes Gameplay im Video.


  1. 15:52

  2. 15:41

  3. 15:08

  4. 15:01

  5. 15:00

  6. 13:50

  7. 12:45

  8. 12:20