Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Daniel Stenberg: DNS über HTTPS ist…

"theoretisch angreifbar"

  1. Thema

Neues Thema Ansicht wechseln


  1. "theoretisch angreifbar"

    Autor: freebyte 03.02.19 - 22:00

    DNS gibt es seit 1987, ist theoretisch angreifbar, keinen interessiert es seit 32 Jahren.

    Mit viel Phantasie kann ich mir ausmalen, dass irgendwann mal alle alternativen DNS-Hacks so abgesichert sind, dass man tatsächlich mit viel Aufwand wortwörtlich "inline" angreifen muss.

    Sobald ich aber "https ist sicher" lese, rollen sich mir die Fußnägel (MITM Zertifikate existieren und werden genutzt).

    Fundierte Gegenmeinungen?

    fb

  2. Re: "theoretisch angreifbar"

    Autor: Iruwen 03.02.19 - 22:48

    Ich halte es für eine sehr gute Idee das seit Jahrzehnten funktionierende System jetzt endlich mal zu zentralisieren und die Kontrolle effektiv an einige wenige Konzerne abzugeben.
    - irgendein Spacken bei Mozilla

  3. Re: "theoretisch angreifbar"

    Autor: ikhaya 03.02.19 - 23:11

    Zentral zum Testen vielleicht, aber auch jetzt gibt es genug Wahlmöglichkeiten.
    Kein Grund warum es in Zukunft anders sein sollte nur weil man DoH einsetzt.

  4. Re: "theoretisch angreifbar"

    Autor: gaym0r 04.02.19 - 08:36

    freebyte schrieb:
    --------------------------------------------------------------------------------
    > DNS gibt es seit 1987, ist theoretisch angreifbar, keinen interessiert es
    > seit 32 Jahren.

    Mich hat es interessiert.

    > Sobald ich aber "https ist sicher" lese, rollen sich mir die Fußnägel (MITM
    > Zertifikate existieren und werden genutzt).

    Um DoH anzugreifen muss man:
    Ein Zertifikat auf dem Client installieren
    Irgendwo ein Gerät auf dem Netzwerkweg zwsichen Client und DNS Server haben
    Dort einen entsprechenden Proxy laufen haben der mithilfe des Zertifikats den Traffic entschlüsselt

    Um klassisches DNS anzugreifen muss man:
    Irgendwo ein Gerät auf dem Netzwerkweg zwischen Client und DNS Server haben, der einfach den unverschlüsselten Traffic auf Port 53 mitsnifft.

    > Fundierte Gegenmeinungen?

    Hier wird eine alte Technik optional verbessert. Was ist daran verkehrt? Es ist nicht so, dass klassisches DNS wegbricht von heute auf morgen.

  5. Re: "theoretisch angreifbar"

    Autor: 1st1 04.02.19 - 09:32

    Die alte Technik wird an der falschen Stelle verbessert. nein, sie wird nicht verbessert, sondern durch etwas ersetzt, was nicht kontrollierbar ist. Ich will nicht, dass jeder Client extern DNS-Abfragen macht, weil er dann mitunter interne Adressen, die geheim bleiben sollten, extern auflösen will.

    Besser wäre, wenn die alte Technik verbessert wird. Kann es so schwer sein, DNS selbst TSL/SSL-zuverschlüsseln? Im ersten Schritt würde ja reichen, wenn der interne DNS, das kann auch der zuhause vorhandene Heimrouter sein, seine Abfragen nach Extern verschlüsselt? Dann müsste ich im ersten Schritt intern garnichts ändern und hätte weiterhin die Kontrolle über meine Systeme.

  6. Re: "theoretisch angreifbar"

    Autor: theq86 04.02.19 - 09:40

    Eine interne,private IP Adresse muss nicht geheim gehalten werden. Da ist überhaupt kein Sicherheitsbezug.

    Erstens wird IPv4 eh totgenattet und niemand externes kann was mit der IP anfangen. Andererseits auch ohne NAT werden weder in v4 noch in v6 private Adressen geroutet.

    Ein Sicherheitssystem das auf Basis der Geheimhaltung einer IP Adresse basiert ist broken by design

  7. Re: "theoretisch angreifbar"

    Autor: Iruwen 04.02.19 - 10:26

    Cloudflare wird die Daten natüüürlich nicht nutzen. Google stellt 8.8.8.8 ja auch aus reiner Nächstenliebe zur Verfügung. Das ganze Konzept führt auch encrypted SNI kein Stück ad absurdum oder so.

  8. Re: "theoretisch angreifbar"

    Autor: quasides 04.02.19 - 10:41

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > freebyte schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > DNS gibt es seit 1987, ist theoretisch angreifbar, keinen interessiert
    > es
    > > seit 32 Jahren.
    >
    > Mich hat es interessiert.
    >
    > > Sobald ich aber "https ist sicher" lese, rollen sich mir die Fußnägel
    > (MITM
    > > Zertifikate existieren und werden genutzt).
    >
    > Um DoH anzugreifen muss man:
    > Ein Zertifikat auf dem Client installieren
    > Irgendwo ein Gerät auf dem Netzwerkweg zwsichen Client und DNS Server
    > haben
    > Dort einen entsprechenden Proxy laufen haben der mithilfe des Zertifikats
    > den Traffic entschlüsselt
    >
    > Um klassisches DNS anzugreifen muss man:
    > Irgendwo ein Gerät auf dem Netzwerkweg zwischen Client und DNS Server
    > haben, der einfach den unverschlüsselten Traffic auf Port 53 mitsnifft.
    >
    > > Fundierte Gegenmeinungen?
    >
    > Hier wird eine alte Technik optional verbessert. Was ist daran verkehrt? Es
    > ist nicht so, dass klassisches DNS wegbricht von heute auf morgen.


    Nein Muss man nicht. Für man in die middle muss man nicht genau dazwischen sein.
    Im selben lan reicht, man kann mittels arp den gesamten lantraffic capturen sofern kein guter switch das verhindert.

    und freilich auch dazwischen. dns kann man ganz einfach durleiten und bestimmte authoritive anworten ersetzen.

    ist dennoch kein argument für dns über https. modernisierung von dns wäre mal eine schöne abwechslung aber sicherlich nicht für doh

  9. Re: "theoretisch angreifbar"

    Autor: quasides 04.02.19 - 10:46

    theq86 schrieb:
    --------------------------------------------------------------------------------
    > Eine interne,private IP Adresse muss nicht geheim gehalten werden. Da ist
    > überhaupt kein Sicherheitsbezug.
    >
    > Erstens wird IPv4 eh totgenattet und niemand externes kann was mit der IP
    > anfangen. Andererseits auch ohne NAT werden weder in v4 noch in v6 private
    > Adressen geroutet.
    >
    > Ein Sicherheitssystem das auf Basis der Geheimhaltung einer IP Adresse
    > basiert ist broken by design

    ohh falsch. totgenanntet oder nicht da gibts möglichkeiten.
    es ist alels geheimzuhalten was möglich ist weil jede kleine info angriffe von aussen extrem erleichert.

    zudem bleibt das problem beim splitdns.
    viele server MÜSSEN mit dem selben dns namen betrieben werden laufen jedoch extern unter anderer ip.

    unterschiedliche namen sind oft keine sinnvolle oder erst gar überhaupt keine alternative.
    gutes beispiel wären mailserver die extern wie intern unter selber adresse erreichbar sien müssen.

    ansonsten müsste man mobilgeräte für extern anders konfigurieren. uimgekehert von intern auf intern per externer ip zuzugreifen ist unsinn. zum einen brauchst mal nat reflectiong was ansich schon ein seicherheits problem sein kann zum anderen muss dann jedes interne paket über die firewall laufen

    und das alles wofür? theoretischer sicherheitsgewinn der keiner ist?
    wenn ich extern angst habe das mein dns manipuliert wird nutze ich eben vpn und den dns im vpn

  10. Re: "theoretisch angreifbar"

    Autor: ikhaya 04.02.19 - 10:49

    Notiz am Rande, Großbuchstaben am Anfang eines Wortes sowie ein Mangel an Schreibfehlern erhöhen die Lesbarkeit ebenso wie kurze Sätze die als solche erkennbar sind :)

  11. Re: "theoretisch angreifbar"

    Autor: My1 04.02.19 - 11:28

    also ne bessere firewall könnte ja schon gegen einige angriffe helfen. security by obscurity war noch nie ein gutes konzept.

    Asperger inside(tm)

  12. Re: "theoretisch angreifbar"

    Autor: freebyte 04.02.19 - 12:31

    quasides schrieb:
    --------------------------------------------------------------------------------
    > Im selben lan reicht, man kann mittels arp den gesamten lantraffic capturen
    > sofern kein guter switch das verhindert.

    Ein Switch isoliert grundsätzlich die Nutzdaten zwischen den Ports, wer den "gesamten lantraffic" haben möchte braucht einen managed Switch mit Portmirroring und natürlich Zugriff auf die Konfiguration. Tip: Die Fritzbox kann dtrace

    fb

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universität Konstanz, Konstanz
  2. Landkreis Märkisch-Oderland, Seelow
  3. Dataport, verschiedene Standorte
  4. BWI GmbH, bundesweit

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 99,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

  1. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.

  2. Polizei: Hunde, die nach Datenspeichern schnüffeln
    Polizei
    Hunde, die nach Datenspeichern schnüffeln

    Spürhunde können neben Sprengstoff und Drogen auch Datenspeicher oder Smartphones erschnüffeln. Die Polizei in Nordrhein-Westfalen hat kürzlich ihre frisch ausgebildeten Speicherschnüffler vorgestellt.

  3. Ring Fit Adventure ausprobiert: Sportlich spielen auf der Nintendo Switch
    Ring Fit Adventure ausprobiert
    Sportlich spielen auf der Nintendo Switch

    Ein Kunststoffring als Sportgerät, vor allem aber als magische Verbindung in eine Abenteuerwelt: Mit Ring Fit Adventure veröffentlicht Nintendo eine ungewöhnliche Mischung aus Fitness und Fantasy. Golem.de hat sich in den Kampf gegen einen bösen Bodybuilderdrachen gestürzt.


  1. 18:00

  2. 17:26

  3. 17:07

  4. 16:42

  5. 16:17

  6. 15:56

  7. 15:29

  8. 14:36