myGully.com - Einzelnen Beitrag anzeigen - sicherer DNS-Server (Liste)

bformless · 23.07.21, 05:48

Auch wenn sich jemand mit solch "sicheren" DNS-Servern verbindet, egal ob über DNS over TLS (Port: 853) oder DNS over HTTPs, so ist die allererste Anfrage zu irgendeiner Webseite über HTTP mit einem sogenannten "Hello Server" und ist unverschlüsselt, dann werden Schlüssel ausgetauscht, usw.
Diese erste Webseiten-Anfrage kann der Provider, falls keine VPN Verbindung besteht, immer mitprotokollieren und sehen welche Seiten angesurft werden.

Mit ESNI wollten Cloudflare und Mozilla dieses Manko beseitigen, aber seit ein paar Firefox-Versionen ist ESNI nicht mehr verfügbar und der anzusurfende Web-Server muss ESNI natürlich auch unterstützen.

Falls jemand wirklich sichere DNS-Server braucht, so sollten diese auch zu allererst DNSSEC unterstützen.
Nur dann ist auch die Antwort des "sicheren" DNS-Servers authentisch und man kann sich zumindest wegen der Webseite ein wenig sicherer fühlen, ob diese auch die Seite ist die man ansurfen wollte.

Viele Apps auf dem Smartphone und sogar Clients in einem Netzwerk umgehen gerne die eingerichteten DNS-Server.

Abhilfe schafft dann meist eine eigene Firewall wie die pfsense mit eigenem Resolver und eigener DNS Server-Liste.
Die Firewall kann dann auch so konfiguriert werden über NAT (Port Forwarding), dass alle DNS Anfragen (Port 53 oder 853) aus dem eigenen Netz nur noch über die Firewall und dessen Resolver (Unbound) laufen und die Anfragen an die "sicheren" DNS Server über DNS over TLS verschlüsseln, DNSSEC nutzen, cname minimization, und vieles mehr.

Der pfBlocker der pfsense ist ein weiteres nützliches Zubehör zur Firewall.
Damit kann man DNS Blocking Listen einpflegen, die unerwünschten Netzverkehr unterbinden, wie z. B. Ads, unerwünschte Seiten, usw. Auch IPs können geblockt werden.
Dann wäre da noch Snort für IDS/IPS (Intrusion Detection System/Intrusion Prevention System) oder Suricata.
Ein Proxy könnte ebenfalls eingerichtet werden. Und, und, und, ...

Ein Pihole auf einem Raspberry Pi ist eine nette Ergänzung zu dem Ganzen und kann dann noch als DNS Cache genutzt werden, oder um mal schnell Seiten auf die Blacklist zu setzen.

Ich hoffe ich konnte Euch einen kleinen Einblick in die Welt des "sicheren" Surfens verschaffen und was es dazu wirklich noch alles benötigt.

Mit einer einfachen Einrichtung eines "sicheren" DNS-Servers über eine eingestellte IP-Adresse alleine oder über den Domainnamen ist es nämlich überhaupt nicht getan.
Die Features der DNS-Server wollen auch genutzt werden. Und manchmal sind die sicheren DNS-Server aus irgendwelchen Public-Listen nicht wirklich sicher, weil privat und der Server kann dann "mitlesen" oder IP-Adressen vorgaukeln, wenn DNSSEC nicht angeboten oder genutzt wird.

Viel Spaß beim "sicheren" Surfen.

cul8'er.

P.S.
Da fällt mir noch eine Kleinigkeit gerade ein:
Jeder, und ich meine wirklich ausnahmslos jeder Browser hat eine fest eingestellte "Signatur", die nicht geändert werden kann, weil sie einmalig ist, wie die MAC-Adresse einer Netzwerkkarte zum Beispiel.
100%ige Anonymität im Netz ist also eine Illusion.

23.07.21, 05:48	#8
bformless Anfänger Registriert seit: Jul 2021 Beiträge: 1 Bedankt: 0	Auch wenn sich jemand mit solch "sicheren" DNS-Servern verbindet, egal ob über DNS over TLS (Port: 853) oder DNS over HTTPs, so ist die allererste Anfrage zu irgendeiner Webseite über HTTP mit einem sogenannten "Hello Server" und ist unverschlüsselt, dann werden Schlüssel ausgetauscht, usw. Diese erste Webseiten-Anfrage kann der Provider, falls keine VPN Verbindung besteht, immer mitprotokollieren und sehen welche Seiten angesurft werden. Mit ESNI wollten Cloudflare und Mozilla dieses Manko beseitigen, aber seit ein paar Firefox-Versionen ist ESNI nicht mehr verfügbar und der anzusurfende Web-Server muss ESNI natürlich auch unterstützen. Falls jemand wirklich sichere DNS-Server braucht, so sollten diese auch zu allererst DNSSEC unterstützen. Nur dann ist auch die Antwort des "sicheren" DNS-Servers authentisch und man kann sich zumindest wegen der Webseite ein wenig sicherer fühlen, ob diese auch die Seite ist die man ansurfen wollte. Viele Apps auf dem Smartphone und sogar Clients in einem Netzwerk umgehen gerne die eingerichteten DNS-Server. Abhilfe schafft dann meist eine eigene Firewall wie die pfsense mit eigenem Resolver und eigener DNS Server-Liste. Die Firewall kann dann auch so konfiguriert werden über NAT (Port Forwarding), dass alle DNS Anfragen (Port 53 oder 853) aus dem eigenen Netz nur noch über die Firewall und dessen Resolver (Unbound) laufen und die Anfragen an die "sicheren" DNS Server über DNS over TLS verschlüsseln, DNSSEC nutzen, cname minimization, und vieles mehr. Der pfBlocker der pfsense ist ein weiteres nützliches Zubehör zur Firewall. Damit kann man DNS Blocking Listen einpflegen, die unerwünschten Netzverkehr unterbinden, wie z. B. Ads, unerwünschte Seiten, usw. Auch IPs können geblockt werden. Dann wäre da noch Snort für IDS/IPS (Intrusion Detection System/Intrusion Prevention System) oder Suricata. Ein Proxy könnte ebenfalls eingerichtet werden. Und, und, und, ... Ein Pihole auf einem Raspberry Pi ist eine nette Ergänzung zu dem Ganzen und kann dann noch als DNS Cache genutzt werden, oder um mal schnell Seiten auf die Blacklist zu setzen. Ich hoffe ich konnte Euch einen kleinen Einblick in die Welt des "sicheren" Surfens verschaffen und was es dazu wirklich noch alles benötigt. Mit einer einfachen Einrichtung eines "sicheren" DNS-Servers über eine eingestellte IP-Adresse alleine oder über den Domainnamen ist es nämlich überhaupt nicht getan. Die Features der DNS-Server wollen auch genutzt werden. Und manchmal sind die sicheren DNS-Server aus irgendwelchen Public-Listen nicht wirklich sicher, weil privat und der Server kann dann "mitlesen" oder IP-Adressen vorgaukeln, wenn DNSSEC nicht angeboten oder genutzt wird. Viel Spaß beim "sicheren" Surfen. cul8'er. P.S. Da fällt mir noch eine Kleinigkeit gerade ein: Jeder, und ich meine wirklich ausnahmslos jeder Browser hat eine fest eingestellte "Signatur", die nicht geändert werden kann, weil sie einmalig ist, wie die MAC-Adresse einer Netzwerkkarte zum Beispiel. 100%ige Anonymität im Netz ist also eine Illusion. Geändert von bformless (23.07.21 um 06:37 Uhr)