Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Daniel Stenberg: DNS über HTTPS ist…

"theoretisch angreifbar"

  1. Thema

Neues Thema Ansicht wechseln


  1. "theoretisch angreifbar"

    Autor: freebyte 03.02.19 - 22:00

    DNS gibt es seit 1987, ist theoretisch angreifbar, keinen interessiert es seit 32 Jahren.

    Mit viel Phantasie kann ich mir ausmalen, dass irgendwann mal alle alternativen DNS-Hacks so abgesichert sind, dass man tatsächlich mit viel Aufwand wortwörtlich "inline" angreifen muss.

    Sobald ich aber "https ist sicher" lese, rollen sich mir die Fußnägel (MITM Zertifikate existieren und werden genutzt).

    Fundierte Gegenmeinungen?

    fb

  2. Re: "theoretisch angreifbar"

    Autor: Iruwen 03.02.19 - 22:48

    Ich halte es für eine sehr gute Idee das seit Jahrzehnten funktionierende System jetzt endlich mal zu zentralisieren und die Kontrolle effektiv an einige wenige Konzerne abzugeben.
    - irgendein Spacken bei Mozilla

  3. Re: "theoretisch angreifbar"

    Autor: ikhaya 03.02.19 - 23:11

    Zentral zum Testen vielleicht, aber auch jetzt gibt es genug Wahlmöglichkeiten.
    Kein Grund warum es in Zukunft anders sein sollte nur weil man DoH einsetzt.

  4. Re: "theoretisch angreifbar"

    Autor: gaym0r 04.02.19 - 08:36

    freebyte schrieb:
    --------------------------------------------------------------------------------
    > DNS gibt es seit 1987, ist theoretisch angreifbar, keinen interessiert es
    > seit 32 Jahren.

    Mich hat es interessiert.

    > Sobald ich aber "https ist sicher" lese, rollen sich mir die Fußnägel (MITM
    > Zertifikate existieren und werden genutzt).

    Um DoH anzugreifen muss man:
    Ein Zertifikat auf dem Client installieren
    Irgendwo ein Gerät auf dem Netzwerkweg zwsichen Client und DNS Server haben
    Dort einen entsprechenden Proxy laufen haben der mithilfe des Zertifikats den Traffic entschlüsselt

    Um klassisches DNS anzugreifen muss man:
    Irgendwo ein Gerät auf dem Netzwerkweg zwischen Client und DNS Server haben, der einfach den unverschlüsselten Traffic auf Port 53 mitsnifft.

    > Fundierte Gegenmeinungen?

    Hier wird eine alte Technik optional verbessert. Was ist daran verkehrt? Es ist nicht so, dass klassisches DNS wegbricht von heute auf morgen.

  5. Re: "theoretisch angreifbar"

    Autor: 1st1 04.02.19 - 09:32

    Die alte Technik wird an der falschen Stelle verbessert. nein, sie wird nicht verbessert, sondern durch etwas ersetzt, was nicht kontrollierbar ist. Ich will nicht, dass jeder Client extern DNS-Abfragen macht, weil er dann mitunter interne Adressen, die geheim bleiben sollten, extern auflösen will.

    Besser wäre, wenn die alte Technik verbessert wird. Kann es so schwer sein, DNS selbst TSL/SSL-zuverschlüsseln? Im ersten Schritt würde ja reichen, wenn der interne DNS, das kann auch der zuhause vorhandene Heimrouter sein, seine Abfragen nach Extern verschlüsselt? Dann müsste ich im ersten Schritt intern garnichts ändern und hätte weiterhin die Kontrolle über meine Systeme.

  6. Re: "theoretisch angreifbar"

    Autor: theq86 04.02.19 - 09:40

    Eine interne,private IP Adresse muss nicht geheim gehalten werden. Da ist überhaupt kein Sicherheitsbezug.

    Erstens wird IPv4 eh totgenattet und niemand externes kann was mit der IP anfangen. Andererseits auch ohne NAT werden weder in v4 noch in v6 private Adressen geroutet.

    Ein Sicherheitssystem das auf Basis der Geheimhaltung einer IP Adresse basiert ist broken by design

  7. Re: "theoretisch angreifbar"

    Autor: Iruwen 04.02.19 - 10:26

    Cloudflare wird die Daten natüüürlich nicht nutzen. Google stellt 8.8.8.8 ja auch aus reiner Nächstenliebe zur Verfügung. Das ganze Konzept führt auch encrypted SNI kein Stück ad absurdum oder so.

  8. Re: "theoretisch angreifbar"

    Autor: quasides 04.02.19 - 10:41

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > freebyte schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > DNS gibt es seit 1987, ist theoretisch angreifbar, keinen interessiert
    > es
    > > seit 32 Jahren.
    >
    > Mich hat es interessiert.
    >
    > > Sobald ich aber "https ist sicher" lese, rollen sich mir die Fußnägel
    > (MITM
    > > Zertifikate existieren und werden genutzt).
    >
    > Um DoH anzugreifen muss man:
    > Ein Zertifikat auf dem Client installieren
    > Irgendwo ein Gerät auf dem Netzwerkweg zwsichen Client und DNS Server
    > haben
    > Dort einen entsprechenden Proxy laufen haben der mithilfe des Zertifikats
    > den Traffic entschlüsselt
    >
    > Um klassisches DNS anzugreifen muss man:
    > Irgendwo ein Gerät auf dem Netzwerkweg zwischen Client und DNS Server
    > haben, der einfach den unverschlüsselten Traffic auf Port 53 mitsnifft.
    >
    > > Fundierte Gegenmeinungen?
    >
    > Hier wird eine alte Technik optional verbessert. Was ist daran verkehrt? Es
    > ist nicht so, dass klassisches DNS wegbricht von heute auf morgen.


    Nein Muss man nicht. Für man in die middle muss man nicht genau dazwischen sein.
    Im selben lan reicht, man kann mittels arp den gesamten lantraffic capturen sofern kein guter switch das verhindert.

    und freilich auch dazwischen. dns kann man ganz einfach durleiten und bestimmte authoritive anworten ersetzen.

    ist dennoch kein argument für dns über https. modernisierung von dns wäre mal eine schöne abwechslung aber sicherlich nicht für doh

  9. Re: "theoretisch angreifbar"

    Autor: quasides 04.02.19 - 10:46

    theq86 schrieb:
    --------------------------------------------------------------------------------
    > Eine interne,private IP Adresse muss nicht geheim gehalten werden. Da ist
    > überhaupt kein Sicherheitsbezug.
    >
    > Erstens wird IPv4 eh totgenattet und niemand externes kann was mit der IP
    > anfangen. Andererseits auch ohne NAT werden weder in v4 noch in v6 private
    > Adressen geroutet.
    >
    > Ein Sicherheitssystem das auf Basis der Geheimhaltung einer IP Adresse
    > basiert ist broken by design

    ohh falsch. totgenanntet oder nicht da gibts möglichkeiten.
    es ist alels geheimzuhalten was möglich ist weil jede kleine info angriffe von aussen extrem erleichert.

    zudem bleibt das problem beim splitdns.
    viele server MÜSSEN mit dem selben dns namen betrieben werden laufen jedoch extern unter anderer ip.

    unterschiedliche namen sind oft keine sinnvolle oder erst gar überhaupt keine alternative.
    gutes beispiel wären mailserver die extern wie intern unter selber adresse erreichbar sien müssen.

    ansonsten müsste man mobilgeräte für extern anders konfigurieren. uimgekehert von intern auf intern per externer ip zuzugreifen ist unsinn. zum einen brauchst mal nat reflectiong was ansich schon ein seicherheits problem sein kann zum anderen muss dann jedes interne paket über die firewall laufen

    und das alles wofür? theoretischer sicherheitsgewinn der keiner ist?
    wenn ich extern angst habe das mein dns manipuliert wird nutze ich eben vpn und den dns im vpn

  10. Re: "theoretisch angreifbar"

    Autor: ikhaya 04.02.19 - 10:49

    Notiz am Rande, Großbuchstaben am Anfang eines Wortes sowie ein Mangel an Schreibfehlern erhöhen die Lesbarkeit ebenso wie kurze Sätze die als solche erkennbar sind :)

  11. Re: "theoretisch angreifbar"

    Autor: My1 04.02.19 - 11:28

    also ne bessere firewall könnte ja schon gegen einige angriffe helfen. security by obscurity war noch nie ein gutes konzept.

    Asperger inside(tm)

  12. Re: "theoretisch angreifbar"

    Autor: freebyte 04.02.19 - 12:31

    quasides schrieb:
    --------------------------------------------------------------------------------
    > Im selben lan reicht, man kann mittels arp den gesamten lantraffic capturen
    > sofern kein guter switch das verhindert.

    Ein Switch isoliert grundsätzlich die Nutzdaten zwischen den Ports, wer den "gesamten lantraffic" haben möchte braucht einen managed Switch mit Portmirroring und natürlich Zugriff auf die Konfiguration. Tip: Die Fritzbox kann dtrace

    fb

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Radeberger Gruppe KG, Dortmund, Frankfurt am Main, Berlin
  2. K+S Aktiengesellschaft, Kassel
  3. BRUNATA-METRONA GmbH & Co. KG, München
  4. J. Schmalz GmbH, Glatten bei Freudenstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 3,99€
  3. 5,25€
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
      Ada und Spark
      Mehr Sicherheit durch bessere Programmiersprachen

      Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
      Von Johannes Kanig

      1. Das andere How-to Deutsch lernen für Programmierer
      2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
      3. Software-Entwickler Welche Programmiersprache soll ich lernen?

      1. Sindelfingen: Mercedes und Telefónica Deutschland errichten 5G-Netz
        Sindelfingen
        Mercedes und Telefónica Deutschland errichten 5G-Netz

        In Sindelfingen wird 5G in der laufenden Produktion eingesetzt. Es geht um die Ortung von Produkten und die Verarbeitung großer Datenmengen (Data Shower).

      2. Load Balancer: HAProxy 2.0 bringt Neuerungen für HTTP und die Cloud
        Load Balancer
        HAProxy 2.0 bringt Neuerungen für HTTP und die Cloud

        In der neuen LTS-Version 2.0 liefern die Entwickler des Open-Source-Load-Balancers HAProxy unter anderem mit einem Kubernetes Ingress Controller und einer Data-Plane-API aus. Auch den Linux-Support hat das Team vereinheitlicht.

      3. Huawei: USA können uns "nicht totprügeln"
        Huawei
        USA können uns "nicht totprügeln"

        Huawei ist viel stärker von dem US-Boykott betroffen als erwartet, räumt der Gründer ein. Doch trotz hoher Umsatzeinbußen werde der Konzern in ein paar Jahren gestärkt aus den Angriffen hervorgehen.


      1. 16:53

      2. 15:35

      3. 14:23

      4. 12:30

      5. 12:04

      6. 11:34

      7. 11:22

      8. 11:10