Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Mozilla: DNS über HTTPS beschleunigt…

Grundsätzlich zu begrüßen, aber ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Grundsätzlich zu begrüßen, aber ...

    Autor: TCHessen 29.08.18 - 12:13

    ... gerade im Unternehmensbereich gibt es noch einige gravierende Probleme meiner Meinung nach. So ignoriert Firefox jegliche lokalen Domain-Suffixe, das heißt also, daß Anfragen, die nur lokal vom lokalen DNS beantwortet werden können, auf jeden Fall an den TRR geschickt werden.

    So bekommt man also ein wunderbares Profil dessen, was für Server in einem Unternehmen stehen, dies ist in meinen Augen es wirkliches Problem. Da hilft es auch nicht, den Browser über GPOs zu konfigurieren, denn erstens möchte ich nicht jeden Browser anfassen, 2. werden viele von dieser Neuerung, die ja auch ggf irgendwann mal default ist, nichts mitbekommen und 3. kann man auch nicht jedes Device über GPO provisionieren. Ich hatte z.B. den Fall, daß Gäste im Gäste-VLan auch auf lokale Testumgebungen zugreifen durften, auf diese Endgeräte hat man natürlich keinen Zugriff.

    Unmöglich abbildbar ist damit auch ein Split-DNS, wo aus dem Internet heraus andere IPs geliefert werden wie aus dem Unternehens-Lan.

    Ich teste das zur Zeit genau aus diesem Grund auch selber mit eigenem Resolver.

  2. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: delphi 29.08.18 - 13:03

    Das ist in der Tat ein nerviges Problem - allerdings finde ich trotzdem, dass die Vorteile von DoH überwiegen (sollte aber natürlich nicht alles auf Cloudflare als DoH-Provider konzentriert werden).

    "Private DNS-Zone damit niemand von außerhalb die Struktur des Netzwerks nachvollziehen kann" ist halt letztlich auch nur Security through Obscurity. Wenn das sonst keine Probleme/Nachteile mit sich bringt, kann das "nice to have" sein, aber mehr auch nicht. Wenn es ein ernsthaftes Sicherheitsproblem für ein Unternehmensnetz ist, wenn die DNS-Zone davon öffentlich nachvollziehbar ist, dann ist DNS noch das geringste Sicherheitsproblem in diesem Netz.

  3. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: TCHessen 29.08.18 - 13:09

    Wie gesagt, Split-DNS ist ein Problem. Ich kenne mehrere Firmen, wo extern z.B. auf mail eine andere IP als intern geliefert wird oder dergleichen. Man mag im einzelnen über den Sinn streiten, aber es gibt viele Fälle, wo das sinnvoll ist und eingesetzt wird.

    Das ist hier nicht abbildbar, da der TRR dann ja immer die externe IP liefert, obwohl laut DNS Suffix immer intern resolved werden soll.

    Oder verkürzt zusammengefasst, der Browser hat sich nicht über Vorgaben des OS hinwegzusetzen.

  4. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: torrbox 29.08.18 - 13:31

    dass*

  5. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: ikhaya 29.08.18 - 13:32

    War der Sinn von GPO nicht das man eben genau NICHT jedes Gerät einzeln konfigurieren muss sondern sagt: Diese Einstellung bitte für alle.

  6. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: wiesi200 29.08.18 - 13:43

    Und was spricht dagegen sich von der "pfuscher Lösung" Split DNS zu trennen und es richtig zu machen.

    Normalerweise verwendet man intern nicht den gleichen Domain Namen wie extern. Hier hat schon mal ne Fehlkonfiguration stattgefunden. Aber gut oft muss man dann einfach damit leben.

    Hairpin NAT währe hier aber eine vernünftige Alternative

  7. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: TCHessen 29.08.18 - 14:14

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > War der Sinn von GPO nicht das man eben genau NICHT jedes Gerät einzeln
    > konfigurieren muss sondern sagt: Diese Einstellung bitte für alle.

    Weil evt. nicht jedes Gerät sich über GPO konfigurieren lässt (Guest-Devices, Non-Windows-Devices), aber jedes Gerät gehorcht dem DHCP.

  8. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: maegenet 29.08.18 - 14:58

    wiesi200 schrieb:
    --------------------------------------------------------------------------------
    > Und was spricht dagegen sich von der "pfuscher Lösung" Split DNS zu trennen
    > und es richtig zu machen.
    >
    > Normalerweise verwendet man intern nicht den gleichen Domain Namen wie
    > extern. Hier hat schon mal ne Fehlkonfiguration stattgefunden. Aber gut oft
    > muss man dann einfach damit leben.
    >

    Das stimmt zwar, aber es gibt auch genug .local Domains intern, für die man kein SSL Zertifikat (mehr) erhält, was einem zwingt den Exchange intern z.B. über autodiscover.tld.de oder mail.tld.de statt tld.local zu erreichen.

    > Hairpin NAT währe hier aber eine vernünftige Alternative

    NAT Loopback: Das würde in der Tat auch funktionieren.

  9. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: wiesi200 29.08.18 - 15:46

    maegenet schrieb:
    --------------------------------------------------------------------------------
    > wiesi200 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und was spricht dagegen sich von der "pfuscher Lösung" Split DNS zu
    > trennen
    > > und es richtig zu machen.
    > >
    > > Normalerweise verwendet man intern nicht den gleichen Domain Namen wie
    > > extern. Hier hat schon mal ne Fehlkonfiguration stattgefunden. Aber gut
    > oft
    > > muss man dann einfach damit leben.
    > >
    >
    > Das stimmt zwar, aber es gibt auch genug .local Domains intern, für die man
    > kein SSL Zertifikat (mehr) erhält, was einem zwingt den Exchange intern
    > z.B. über autodiscover.tld.de oder mail.tld.de statt tld.local zu
    > erreichen.
    >
    tld.local währ übrigens auch falsch bzw. eine .local Domain zu verwenden.
    Richtig währe z.b. intern.tld.de somit währe der Mailserver über mail.intern.tld.de zu erreichen.

    Wobei ich das auch nicht so handhabe, ich nach NAT Loopback / Hairpin Nat oder wie man sonst noch dazu sagen kann. Hab das aber auch erst von nem Jahr umgestellt.
    Altlasten eben.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. telent GmbH, Backnang
  2. Consors Finanz, München
  3. Modis GmbH, Köln
  4. Bayerische Hausbau GmbH & Co. KG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-71%) 11,50€
  2. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
  3. 34,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

Autonomes Fahren: Per Fernsteuerung durch die Baustelle
Autonomes Fahren
Per Fernsteuerung durch die Baustelle

Was passiert, wenn autonome Autos in einer Verkehrssituation nicht mehr weiterwissen? Ein Berliner Fraunhofer-Institut hat dazu eine sehr datensparsame Fernsteuerung entwickelt. Doch es wird auch vor der Technik gewarnt.
Ein Bericht von Friedhelm Greis

  1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
  2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
  3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

  1. iPhone: Apple warnt Trump vor Einfuhrzöllen auf China-Produktion
    iPhone
    Apple warnt Trump vor Einfuhrzöllen auf China-Produktion

    Apple wehrt sich gegen Einfuhrzölle für seine Produkte, die zum großen Teil von Foxconn in China montiert werden. Zugleich arbeitet Apple an einer Verlagerung nach Südostasien. Foxconn beginnt zeitgleich die Vorbereitungen für die Fertigung neuer iPhones in China

  2. Dunkle Energie: Deutsches Röntgenteleskop Erosita ist startklar
    Dunkle Energie
    Deutsches Röntgenteleskop Erosita ist startklar

    Das Universum dehnt sich immer schneller aus. Der Motor dafür wird - mangels besseren Wissens - als Dunkle Energie bezeichnet. Ein deutsch-russischer Satellit mit einem in Deutschland entwickelten Röntgenteleskop an Bord soll Erkenntnisse über die Dunkle Materie liefern.

  3. Smartphones: Huawei will Android Q für 17 Smartphones bringen
    Smartphones
    Huawei will Android Q für 17 Smartphones bringen

    Der US-Boykott dauert weiter an, Huawei verspricht aber auch künftig Android-Updates für seine Smartphones anbieten zu wollen. Auch das neue Android Q soll für eine Reihe von Geräten erscheinen - Huaweis aktuelle Mitteilung bleibt an einigen Stellen aber vage.


  1. 19:16

  2. 19:02

  3. 17:35

  4. 15:52

  5. 15:41

  6. 15:08

  7. 15:01

  8. 15:00