Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Mozilla: DNS über HTTPS beschleunigt…

Grundsätzlich zu begrüßen, aber ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Grundsätzlich zu begrüßen, aber ...

    Autor: TCHessen 29.08.18 - 12:13

    ... gerade im Unternehmensbereich gibt es noch einige gravierende Probleme meiner Meinung nach. So ignoriert Firefox jegliche lokalen Domain-Suffixe, das heißt also, daß Anfragen, die nur lokal vom lokalen DNS beantwortet werden können, auf jeden Fall an den TRR geschickt werden.

    So bekommt man also ein wunderbares Profil dessen, was für Server in einem Unternehmen stehen, dies ist in meinen Augen es wirkliches Problem. Da hilft es auch nicht, den Browser über GPOs zu konfigurieren, denn erstens möchte ich nicht jeden Browser anfassen, 2. werden viele von dieser Neuerung, die ja auch ggf irgendwann mal default ist, nichts mitbekommen und 3. kann man auch nicht jedes Device über GPO provisionieren. Ich hatte z.B. den Fall, daß Gäste im Gäste-VLan auch auf lokale Testumgebungen zugreifen durften, auf diese Endgeräte hat man natürlich keinen Zugriff.

    Unmöglich abbildbar ist damit auch ein Split-DNS, wo aus dem Internet heraus andere IPs geliefert werden wie aus dem Unternehens-Lan.

    Ich teste das zur Zeit genau aus diesem Grund auch selber mit eigenem Resolver.

  2. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: delphi 29.08.18 - 13:03

    Das ist in der Tat ein nerviges Problem - allerdings finde ich trotzdem, dass die Vorteile von DoH überwiegen (sollte aber natürlich nicht alles auf Cloudflare als DoH-Provider konzentriert werden).

    "Private DNS-Zone damit niemand von außerhalb die Struktur des Netzwerks nachvollziehen kann" ist halt letztlich auch nur Security through Obscurity. Wenn das sonst keine Probleme/Nachteile mit sich bringt, kann das "nice to have" sein, aber mehr auch nicht. Wenn es ein ernsthaftes Sicherheitsproblem für ein Unternehmensnetz ist, wenn die DNS-Zone davon öffentlich nachvollziehbar ist, dann ist DNS noch das geringste Sicherheitsproblem in diesem Netz.

  3. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: TCHessen 29.08.18 - 13:09

    Wie gesagt, Split-DNS ist ein Problem. Ich kenne mehrere Firmen, wo extern z.B. auf mail eine andere IP als intern geliefert wird oder dergleichen. Man mag im einzelnen über den Sinn streiten, aber es gibt viele Fälle, wo das sinnvoll ist und eingesetzt wird.

    Das ist hier nicht abbildbar, da der TRR dann ja immer die externe IP liefert, obwohl laut DNS Suffix immer intern resolved werden soll.

    Oder verkürzt zusammengefasst, der Browser hat sich nicht über Vorgaben des OS hinwegzusetzen.

  4. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: torrbox 29.08.18 - 13:31

    dass*

  5. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: ikhaya 29.08.18 - 13:32

    War der Sinn von GPO nicht das man eben genau NICHT jedes Gerät einzeln konfigurieren muss sondern sagt: Diese Einstellung bitte für alle.

  6. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: wiesi200 29.08.18 - 13:43

    Und was spricht dagegen sich von der "pfuscher Lösung" Split DNS zu trennen und es richtig zu machen.

    Normalerweise verwendet man intern nicht den gleichen Domain Namen wie extern. Hier hat schon mal ne Fehlkonfiguration stattgefunden. Aber gut oft muss man dann einfach damit leben.

    Hairpin NAT währe hier aber eine vernünftige Alternative

  7. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: TCHessen 29.08.18 - 14:14

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > War der Sinn von GPO nicht das man eben genau NICHT jedes Gerät einzeln
    > konfigurieren muss sondern sagt: Diese Einstellung bitte für alle.

    Weil evt. nicht jedes Gerät sich über GPO konfigurieren lässt (Guest-Devices, Non-Windows-Devices), aber jedes Gerät gehorcht dem DHCP.

  8. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: maegenet 29.08.18 - 14:58

    wiesi200 schrieb:
    --------------------------------------------------------------------------------
    > Und was spricht dagegen sich von der "pfuscher Lösung" Split DNS zu trennen
    > und es richtig zu machen.
    >
    > Normalerweise verwendet man intern nicht den gleichen Domain Namen wie
    > extern. Hier hat schon mal ne Fehlkonfiguration stattgefunden. Aber gut oft
    > muss man dann einfach damit leben.
    >

    Das stimmt zwar, aber es gibt auch genug .local Domains intern, für die man kein SSL Zertifikat (mehr) erhält, was einem zwingt den Exchange intern z.B. über autodiscover.tld.de oder mail.tld.de statt tld.local zu erreichen.

    > Hairpin NAT währe hier aber eine vernünftige Alternative

    NAT Loopback: Das würde in der Tat auch funktionieren.

  9. Re: Grundsätzlich zu begrüßen, aber ...

    Autor: wiesi200 29.08.18 - 15:46

    maegenet schrieb:
    --------------------------------------------------------------------------------
    > wiesi200 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und was spricht dagegen sich von der "pfuscher Lösung" Split DNS zu
    > trennen
    > > und es richtig zu machen.
    > >
    > > Normalerweise verwendet man intern nicht den gleichen Domain Namen wie
    > > extern. Hier hat schon mal ne Fehlkonfiguration stattgefunden. Aber gut
    > oft
    > > muss man dann einfach damit leben.
    > >
    >
    > Das stimmt zwar, aber es gibt auch genug .local Domains intern, für die man
    > kein SSL Zertifikat (mehr) erhält, was einem zwingt den Exchange intern
    > z.B. über autodiscover.tld.de oder mail.tld.de statt tld.local zu
    > erreichen.
    >
    tld.local währ übrigens auch falsch bzw. eine .local Domain zu verwenden.
    Richtig währe z.b. intern.tld.de somit währe der Mailserver über mail.intern.tld.de zu erreichen.

    Wobei ich das auch nicht so handhabe, ich nach NAT Loopback / Hairpin Nat oder wie man sonst noch dazu sagen kann. Hab das aber auch erst von nem Jahr umgestellt.
    Altlasten eben.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DATAGROUP Köln GmbH, München
  2. Amprion GmbH, Pulheim-Brauweiler
  3. ZIEHL-ABEGG SE, Künzelsau
  4. ATP Auto-Teile-Pollath Handels GmbH, Pressath bei Bayreuth

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. For Honor für 11,50€, Anno 1404 Königsedition für 3,74€, Anno 2070 Königsedition...
  2. (u. a. Total war - Three Kingdoms für 35,99€, Command & Conquer - The Ultimate Collection für 4...
  3. 116,09€ (10% Rabatt mit dem Code PREISOPT10)


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

Orico Enclosure im Test: Die NVMe-SSD wird zum USB-Stick
Orico Enclosure im Test
Die NVMe-SSD wird zum USB-Stick

Wer eine ältere NVMe-SSD über hat, kann diese immer noch als sehr schnellen USB-Stick verwenden: Preiswerte Gehäuse wie das Orico Enclosure nehmen M.2-Kärtchen auf, der Bridge-Chip könnte aber flotter sein.
Ein Test von Marc Sauter

  1. Server Supermicro mit Chassis für 40 E1.S-SSDs auf 2 HE
  2. Solid State Drive Longsys entwickelt erste SSD nur mit chinesischen Chips
  3. SSDs Samsung 970 Pro mit 2TB und WD Blue 3D mit 4TB

  1. Ursula von der Leyen: Von "Zensursula" zur EU-Kommissionspräsidentin
    Ursula von der Leyen
    Von "Zensursula" zur EU-Kommissionspräsidentin

    Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.

  2. Kryptowährung: Facebook möchte Kritik an Libra ausräumen
    Kryptowährung
    Facebook möchte Kritik an Libra ausräumen

    Facebooks geplante Digitalwährung Libra kommt in der Politik nicht gut an. Bei einer Anhörung vor dem US-Senat verteidigt Facebook-Manager David Marcus die Währung. Bundesregierung und Bundesbank wollen sie lieber verhindern.

  3. PC Engine Core Grafx: Konami kündigt drei Versionen der gleichen Minikonsole an
    PC Engine Core Grafx
    Konami kündigt drei Versionen der gleichen Minikonsole an

    In Europa heißt sie PC Engine Core Grafx Mini, für Japan und die USA hat Konami andere Namen und ein anderes Design. Die Retrokiste soll im März 2020 mit rund 50 vorinstallierten Spielen erscheinen. Der Kauf in Deutschland läuft minimal komplizierter ab als üblich.


  1. 20:10

  2. 18:33

  3. 17:23

  4. 16:37

  5. 15:10

  6. 14:45

  7. 14:25

  8. 14:04