1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Daniel Stenberg: DNS über HTTPS ist…

"theoretisch angreifbar"

  1. Thema

Neues Thema Ansicht wechseln


  1. "theoretisch angreifbar"

    Autor: freebyte 03.02.19 - 22:00

    DNS gibt es seit 1987, ist theoretisch angreifbar, keinen interessiert es seit 32 Jahren.

    Mit viel Phantasie kann ich mir ausmalen, dass irgendwann mal alle alternativen DNS-Hacks so abgesichert sind, dass man tatsächlich mit viel Aufwand wortwörtlich "inline" angreifen muss.

    Sobald ich aber "https ist sicher" lese, rollen sich mir die Fußnägel (MITM Zertifikate existieren und werden genutzt).

    Fundierte Gegenmeinungen?

    fb

  2. Re: "theoretisch angreifbar"

    Autor: Iruwen 03.02.19 - 22:48

    Ich halte es für eine sehr gute Idee das seit Jahrzehnten funktionierende System jetzt endlich mal zu zentralisieren und die Kontrolle effektiv an einige wenige Konzerne abzugeben.
    - irgendein Spacken bei Mozilla

  3. Re: "theoretisch angreifbar"

    Autor: ikhaya 03.02.19 - 23:11

    Zentral zum Testen vielleicht, aber auch jetzt gibt es genug Wahlmöglichkeiten.
    Kein Grund warum es in Zukunft anders sein sollte nur weil man DoH einsetzt.

  4. Re: "theoretisch angreifbar"

    Autor: gaym0r 04.02.19 - 08:36

    freebyte schrieb:
    --------------------------------------------------------------------------------
    > DNS gibt es seit 1987, ist theoretisch angreifbar, keinen interessiert es
    > seit 32 Jahren.

    Mich hat es interessiert.

    > Sobald ich aber "https ist sicher" lese, rollen sich mir die Fußnägel (MITM
    > Zertifikate existieren und werden genutzt).

    Um DoH anzugreifen muss man:
    Ein Zertifikat auf dem Client installieren
    Irgendwo ein Gerät auf dem Netzwerkweg zwsichen Client und DNS Server haben
    Dort einen entsprechenden Proxy laufen haben der mithilfe des Zertifikats den Traffic entschlüsselt

    Um klassisches DNS anzugreifen muss man:
    Irgendwo ein Gerät auf dem Netzwerkweg zwischen Client und DNS Server haben, der einfach den unverschlüsselten Traffic auf Port 53 mitsnifft.

    > Fundierte Gegenmeinungen?

    Hier wird eine alte Technik optional verbessert. Was ist daran verkehrt? Es ist nicht so, dass klassisches DNS wegbricht von heute auf morgen.

  5. Re: "theoretisch angreifbar"

    Autor: 1st1 04.02.19 - 09:32

    Die alte Technik wird an der falschen Stelle verbessert. nein, sie wird nicht verbessert, sondern durch etwas ersetzt, was nicht kontrollierbar ist. Ich will nicht, dass jeder Client extern DNS-Abfragen macht, weil er dann mitunter interne Adressen, die geheim bleiben sollten, extern auflösen will.

    Besser wäre, wenn die alte Technik verbessert wird. Kann es so schwer sein, DNS selbst TSL/SSL-zuverschlüsseln? Im ersten Schritt würde ja reichen, wenn der interne DNS, das kann auch der zuhause vorhandene Heimrouter sein, seine Abfragen nach Extern verschlüsselt? Dann müsste ich im ersten Schritt intern garnichts ändern und hätte weiterhin die Kontrolle über meine Systeme.

  6. Re: "theoretisch angreifbar"

    Autor: theq86 04.02.19 - 09:40

    Eine interne,private IP Adresse muss nicht geheim gehalten werden. Da ist überhaupt kein Sicherheitsbezug.

    Erstens wird IPv4 eh totgenattet und niemand externes kann was mit der IP anfangen. Andererseits auch ohne NAT werden weder in v4 noch in v6 private Adressen geroutet.

    Ein Sicherheitssystem das auf Basis der Geheimhaltung einer IP Adresse basiert ist broken by design

  7. Re: "theoretisch angreifbar"

    Autor: Iruwen 04.02.19 - 10:26

    Cloudflare wird die Daten natüüürlich nicht nutzen. Google stellt 8.8.8.8 ja auch aus reiner Nächstenliebe zur Verfügung. Das ganze Konzept führt auch encrypted SNI kein Stück ad absurdum oder so.

  8. Re: "theoretisch angreifbar"

    Autor: quasides 04.02.19 - 10:41

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > freebyte schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > DNS gibt es seit 1987, ist theoretisch angreifbar, keinen interessiert
    > es
    > > seit 32 Jahren.
    >
    > Mich hat es interessiert.
    >
    > > Sobald ich aber "https ist sicher" lese, rollen sich mir die Fußnägel
    > (MITM
    > > Zertifikate existieren und werden genutzt).
    >
    > Um DoH anzugreifen muss man:
    > Ein Zertifikat auf dem Client installieren
    > Irgendwo ein Gerät auf dem Netzwerkweg zwsichen Client und DNS Server
    > haben
    > Dort einen entsprechenden Proxy laufen haben der mithilfe des Zertifikats
    > den Traffic entschlüsselt
    >
    > Um klassisches DNS anzugreifen muss man:
    > Irgendwo ein Gerät auf dem Netzwerkweg zwischen Client und DNS Server
    > haben, der einfach den unverschlüsselten Traffic auf Port 53 mitsnifft.
    >
    > > Fundierte Gegenmeinungen?
    >
    > Hier wird eine alte Technik optional verbessert. Was ist daran verkehrt? Es
    > ist nicht so, dass klassisches DNS wegbricht von heute auf morgen.


    Nein Muss man nicht. Für man in die middle muss man nicht genau dazwischen sein.
    Im selben lan reicht, man kann mittels arp den gesamten lantraffic capturen sofern kein guter switch das verhindert.

    und freilich auch dazwischen. dns kann man ganz einfach durleiten und bestimmte authoritive anworten ersetzen.

    ist dennoch kein argument für dns über https. modernisierung von dns wäre mal eine schöne abwechslung aber sicherlich nicht für doh

  9. Re: "theoretisch angreifbar"

    Autor: quasides 04.02.19 - 10:46

    theq86 schrieb:
    --------------------------------------------------------------------------------
    > Eine interne,private IP Adresse muss nicht geheim gehalten werden. Da ist
    > überhaupt kein Sicherheitsbezug.
    >
    > Erstens wird IPv4 eh totgenattet und niemand externes kann was mit der IP
    > anfangen. Andererseits auch ohne NAT werden weder in v4 noch in v6 private
    > Adressen geroutet.
    >
    > Ein Sicherheitssystem das auf Basis der Geheimhaltung einer IP Adresse
    > basiert ist broken by design

    ohh falsch. totgenanntet oder nicht da gibts möglichkeiten.
    es ist alels geheimzuhalten was möglich ist weil jede kleine info angriffe von aussen extrem erleichert.

    zudem bleibt das problem beim splitdns.
    viele server MÜSSEN mit dem selben dns namen betrieben werden laufen jedoch extern unter anderer ip.

    unterschiedliche namen sind oft keine sinnvolle oder erst gar überhaupt keine alternative.
    gutes beispiel wären mailserver die extern wie intern unter selber adresse erreichbar sien müssen.

    ansonsten müsste man mobilgeräte für extern anders konfigurieren. uimgekehert von intern auf intern per externer ip zuzugreifen ist unsinn. zum einen brauchst mal nat reflectiong was ansich schon ein seicherheits problem sein kann zum anderen muss dann jedes interne paket über die firewall laufen

    und das alles wofür? theoretischer sicherheitsgewinn der keiner ist?
    wenn ich extern angst habe das mein dns manipuliert wird nutze ich eben vpn und den dns im vpn

  10. Re: "theoretisch angreifbar"

    Autor: ikhaya 04.02.19 - 10:49

    Notiz am Rande, Großbuchstaben am Anfang eines Wortes sowie ein Mangel an Schreibfehlern erhöhen die Lesbarkeit ebenso wie kurze Sätze die als solche erkennbar sind :)

  11. Re: "theoretisch angreifbar"

    Autor: My1 04.02.19 - 11:28

    also ne bessere firewall könnte ja schon gegen einige angriffe helfen. security by obscurity war noch nie ein gutes konzept.

    Asperger inside(tm)

  12. Re: "theoretisch angreifbar"

    Autor: freebyte 04.02.19 - 12:31

    quasides schrieb:
    --------------------------------------------------------------------------------
    > Im selben lan reicht, man kann mittels arp den gesamten lantraffic capturen
    > sofern kein guter switch das verhindert.

    Ein Switch isoliert grundsätzlich die Nutzdaten zwischen den Ports, wer den "gesamten lantraffic" haben möchte braucht einen managed Switch mit Portmirroring und natürlich Zugriff auf die Konfiguration. Tip: Die Fritzbox kann dtrace

    fb

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. Psychiatrisches Zentrum Nordbaden, Wiesloch
  3. Dürkopp Adler AG, Bielefeld
  4. nexnet GmbH, Flensburg, Berlin, Bonn, Hamburg, Mainz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Drohnen in der Stadt: Schneller als jeder Rettungswagen
Drohnen in der Stadt
Schneller als jeder Rettungswagen

Im Hamburg wird getestet, wie sich Drohnen in Städten einsetzen lassen. Unter anderem entsteht hier ein Drohnensystem, das Ärzten helfen soll.
Ein Bericht von Friedrich List

  1. Umweltschutz Schifffahrtsamt will Abgasverstöße mit Drohnen verfolgen
  2. Coronakrise Drohnen liefern Covid-19-Tests auf schottische Insel
  3. Luftfahrt Baden-Württemberg testet Lufttaxis und Drohnen

LG Gram 14Z90N im Test: Die Feder ist mächtiger als das Schwert
LG Gram 14Z90N im Test
Die Feder ist mächtiger als das Schwert

Das Gram 14 ist das Deutschlanddebüt von LG. Es wiegt knapp 1 kg und kann durch lange Akkulaufzeit statt roher Leistung punkten.
Ein Test von Oliver Nickel

  1. HP Probook 445/455 G7 Business-Notebooks mit Renoir leuchten effizient hell

Space Force: Die Realität ist witziger als die Fiktion
Space Force
Die Realität ist witziger als die Fiktion

Ãœber Trumps United States Space Force ist schon viel gelacht worden. Steve Carrell hat daraus eine Serie gemacht. Die ist allerdings nicht ganz so lustig geworden.
Von Peter Osteried

  1. Videostreaming Netflix deaktiviert lange nicht genutzte Abos
  2. Corona und Videostreaming Netflix beendet Drosselung der Bitrate, Amazon nicht
  3. Streaming Netflix-Comedyserie zeigt die Anfänge der US Space Force