Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Wo muss der private DNS-Server eingehängt werden?

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

radiergummi
Newbie
Newbie
Beiträge: 45
Registriert: 14. Feb 2009, 12:34

Wo muss der private DNS-Server eingehängt werden?

Beitrag von radiergummi » 16. Okt 2018, 09:46

Hallo Forum,
ich überlege einen eigenen DNS-Server nach diesem Muster auf einem Igel H710C als dedicated server zu installieren und bin durch die Vorüberlegungen auf Wissenslücken gestossen: ich bin nicht sicher, wo im Netzwerk ich den DNS-Server aufhängen soll/muss. Mein Hauptanliegen ist der Datenschutz.

Mein Netz sieht so aus:

Code: Alles auswählen

 Telekom Netz (VDSL)
      |
   Router 1
      | | |
      | | +----- ISDN-Telefonie
      | +------- IP-TV
 Transfernetz
      |
   Router 2
      |
     LAN
      |
Server und Clients     
Router 1 dient quasi nur als Modem und Dienste-Weiche.
Prinzipiell sehe ich zwei Stellen, den DNS-Server zu platzieren: a) im Transfernetz, also direkt hinter Router 1 oder b) im LAN hinter Router 2.
Ich halte den Platz im LAN für den richtigeren. Die vergebene Adresse würde ich bei den Servern und Clients eintragen und fertig.

Was aber trage ich dann als DNS-Server auf den Routern ein?
Kann ich die Einträge weglassen?
Kann ich ruhig eine Adresse eintragen die dann eh nicht genutzt würde, weil alle Anfragen - die ja nur aus dem LAN kommen können - bereits vom eigenen DNS-Server aufgelöst wären?
Oder gibt es Gründe, den DNS-Server doch direkt hinter Router 1 einzuhängen?

Könnt Ihr mir weiterhelfen?

Danke und Gruß,
Radiergummi

Werbung:
spoensche
Moderator
Moderator
Beiträge: 7395
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von spoensche » 18. Okt 2018, 18:09

radiergummi hat geschrieben:
16. Okt 2018, 09:46

Router 1 dient quasi nur als Modem und Dienste-Weiche.
Prinzipiell sehe ich zwei Stellen, den DNS-Server zu platzieren: a) im Transfernetz, also direkt hinter Router 1 oder b) im LAN hinter Router 2.
Ich halte den Platz im LAN für den richtigeren. Die vergebene Adresse würde ich bei den Servern und Clients eintragen und fertig.
Wenn der Server im gleichen IP- Netz ist wie die Clients auch, dann ist er dort falsch. Ein Server gehört in ein anderes IP-Netz (DMZ). Warum? Ein Server nimmt Anfragen entgegen. Das bedeutet , dass du eingehenden Verkehr in der Router Firewall erlauben musst. In einem Client Netz sind eingehende Verbindungen nur erlaubt, wenn die Verbindung aus dem Client-Netz initiert worden ist. IP-TV und Telefone befinden sich auch in einem eigenen Netzwerk.

Beispiel:

192.168.10.0/24 - IP-TV, IP- Telefonie
192.168.11.0/24 - DMZ (alle Server)
192.168.12.0/24 - Alle kabelgebundenen Clients
192.168.13.0/24 - Alles was funkt, Laptops, Handys usw.


radiergummi hat geschrieben:
16. Okt 2018, 09:46
Was aber trage ich dann als DNS-Server auf den Routern ein?
Kann ich die Einträge weglassen?
Kann ich ruhig eine Adresse eintragen die dann eh nicht genutzt würde, weil alle Anfragen - die ja nur aus dem LAN kommen können - bereits vom eigenen DNS-Server aufgelöst wären?
Oder gibt es Gründe, den DNS-Server doch direkt hinter Router 1 einzuhängen?
Router 1 verwendet den DNS- Server deines Providers.
Router 2 und alle anderen Gerätschaften verwenden deinen DNS-Server, der in der DMZ steht.

uhelp
Member
Member
Beiträge: 113
Registriert: 25. Nov 2012, 19:33

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von uhelp » 19. Okt 2018, 17:10

"falsch" ist etwas übertrieben.

Er kann sehr wohl einen (Flüchtigkeitsfehler: DHCP korrigiert zu:) DNS im rein lokalen Netz betreiben.
(Flüchtigkeitsfehler: DHCP korrigiert zu:) DNS ist für den TE wohl ein rein lokaler Dienst.
Zumindest verstehe ich ihn so.
Zuletzt geändert von uhelp am 19. Okt 2018, 19:48, insgesamt 1-mal geändert.

radiergummi
Newbie
Newbie
Beiträge: 45
Registriert: 14. Feb 2009, 12:34

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von radiergummi » 19. Okt 2018, 19:19

Hallo Spoensche,

Danke für Deine Antwort. Wie immer gibt es Rückfragen...

Der Aufbau meines Netzes folgt diesem streckenweise etwas unglücklich verlaufenen Thread. Als Ergebnis hatte ich mitgenommen: zwischen Router 1 und Router 2 soll außer einem Kabel nichts sein. Für meinen Provider beginnt mein LAN auf der LAN-Seite von Router 1 und für mich bzw. mein LAN beginnt das "Internet" auf der WAN-Seite von Router 2. Zu Router 1 hieß es:
Gräfin Klara hat geschrieben:
20. Okt 2017, 12:36
Dieses Gerät soll nur das tun was es kann, nämlich die VDSL Modemfunktionalität mit der Ethernetwelt verbinden. Mehr nicht.
Die Firewall in diesem Gerät kannst du abschalten oder auf ein grobes Mindestmaß reduzieren.
Der switch an diesem Gerät ist für das Firmennetz tabu!
Von diesem switch führt ein einziges rotes Kabel zu einem deiner Server. Dort drinnen schaffst du dir Deine Sicherheiten, Deine firewall und Dein routing zwischen 2 Classes. (Nicht Segmente!)

Wie raffiniert deine Routerkonfiguration auch sein mag, der router ist und bleibt Feindesland!
Denk darüber nach, dann sieht deine Netzwerkarchitektur wahrscheinlich anders aus.
Wenn man das so befolgen möchte, dann darf sich zwischen den Routern nichts aktiv abspielen.
Eine DMZ könnte ich mithilfe von Router 2 einrichten und den Nameserver dort einhängen.
Nach mehrfachem Lesen Deines Posts bin ich aber nicht sicher, ob es vielleicht ein Missverständnis gibt.
spoensche hat geschrieben:
18. Okt 2018, 18:09
Ein Server nimmt Anfragen entgegen. Das bedeutet , dass du eingehenden Verkehr in der Router Firewall erlauben musst. In einem Client Netz sind eingehende Verbindungen nur erlaubt, wenn die Verbindung aus dem Client-Netz initiert worden ist.
Das klingt für mich fast so, als ob Du DNS-Anfragen von Außen beantworten wolltest?
Mein DNS-Server soll nur die bei mir im LAN angefragten Hostnamen in IP-Adressen auflösen. Beispielsweise heise.de

Code: Alles auswählen

$ dig heise.de

; <<>> DiG 9.10.3-P4-Ubuntu <<>> heise.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14622
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;heise.de.			IN	A

;; ANSWER SECTION:
heise.de.		86370	IN	A	193.99.144.80

;; Query time: 0 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Fri Oct 19 18:17:54 CEST 2018
;; MSG SIZE  rcvd: 53
$
Mit der gefundenen 193.99.144.80 wird die Client-Anfrage über das Standardgateway Router 2 und von da über Router 1 bis nach Hannover(?) geroutet. In meiner Vorstellung ist eine Namensauflösung weder auf Router 2 noch auf Router 1 und auch nicht beim Provider-DNS-Server nötig, mein Client kommt ja schon mit der richtigen IP-Adresse.
uhelp hat geschrieben:
19. Okt 2018, 17:10
Er kann sehr wohl einen DHCP im rein lokalen Netz betreiben.
DHCP ist für den TE wohl ein rein lokaler Dienst.
Zumindest verstehe ich ihn so.
Wenn Du statt DHCP DNS meinst, dann hast Du mich richtig verstanden (s.o.).

Was heißt das jetzt?
1. Kann der DNS-Server im LAN bleiben oder soll ich ihn trotz Nachtrag oben in die DMZ hängen?
2. Falls doch DMZ, dann habe ich die Begründung noch nicht verstanden.
3. Ist es richtig, dass die auf Router 1 eingetragenen DNS-Server arbeitslos bleiben, da ich schon mit aufgelösten IPs komme?

Danke und Gruß,
Radiergummi

PS:
Ich habe heute den Igel mit lubuntu 18 und unbound aufgesetzt. Er läuft jetzt als zentraler cachender Namensauflöser im LAN. Morgen will ich ihm noch DNSSEC beibringen und dann nicht-loggende DNSSEC-fähige DNS-Server hinterlegen, bei denen er nachfragt.

Falls Frage 3 mit Ja beantwortet werden kann, bekomme ich mehr Datenschutz, da ohne logging keine Profile erstellt werden können und ich habe mehr Sicherheit, da mir keine falsche IP-Adresse untergeschoben werden kann.

uhelp
Member
Member
Beiträge: 113
Registriert: 25. Nov 2012, 19:33

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von uhelp » 19. Okt 2018, 19:50

Warum lässt du die Namensauflösung nicht einfach Router 2 machen?

Wenn der Übergang zu Router 1 sauber konfiguriert ist, kannst höchstens du dir selbst eine "falsche IP" unterjubeln...

radiergummi
Newbie
Newbie
Beiträge: 45
Registriert: 14. Feb 2009, 12:34

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von radiergummi » 20. Okt 2018, 08:48

uhelp hat geschrieben:
19. Okt 2018, 19:50
Wenn der Übergang zu Router 1 sauber konfiguriert ist, kannst höchstens du dir selbst eine "falsche IP" unterjubeln...
Na dann lies mal hier etwas zum Thema DNS-Spoofing oder Cache Poisoning ...

marce
Advanced Hacker
Advanced Hacker
Beiträge: 1077
Registriert: 19. Jun 2008, 13:16
Wohnort: Dettenhausen
Kontaktdaten:

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von marce » 20. Okt 2018, 11:32

Wenn es Dir darauf ankommt solltest Du für das private Umfeld einfach mal was zum Thema "Aluhut" googlen... :-)

... und wo bekommt Dein DNS-Server seine Daten her? Da hast Du ja auch eine Referenz eingetragen - wenn ich das von Dir verlinkte Dokument richtig gelesen habe und Du das 1:1 umsetzt - Google.

Da kannst Du dann direkt auch im Router als DNS-Server den Google-DNS eintragen und allen Clients gegen den Router als DNS eintragen - 'ne zusätzliche Hardwarekiste braucht's da nicht.

radiergummi
Newbie
Newbie
Beiträge: 45
Registriert: 14. Feb 2009, 12:34

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von radiergummi » 20. Okt 2018, 11:49

marce hat geschrieben:
20. Okt 2018, 11:32
... einfach mal was zum Thema "Aluhut" googlen...
Hähä. Brauch ich gar nicht - den hab ich manchmal auf und jetzt ist gerade wieder so eine Phase.
marce hat geschrieben:
20. Okt 2018, 11:32
... und wo bekommt Dein DNS-Server seine Daten her? Da hast Du ja auch eine Referenz eingetragen - wenn ich das von Dir verlinkte Dokument richtig gelesen habe und Du das 1:1 umsetzt - Google.
Nein, nein, dann könnte ich die ganze Chose ja auch gleich bleiben lassen. Ich suche mir hier welche aus.

marce
Advanced Hacker
Advanced Hacker
Beiträge: 1077
Registriert: 19. Jun 2008, 13:16
Wohnort: Dettenhausen
Kontaktdaten:

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von marce » 20. Okt 2018, 13:19

egal woher - was spricht aus Deiner Sicht konkret dagegen, welchen DNS auch immer im Router einzutragen? Wo siehst Du den Unterschied zwischen "im Router" und "ded. Kiste"?

uhelp
Member
Member
Beiträge: 113
Registriert: 25. Nov 2012, 19:33

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von uhelp » 20. Okt 2018, 13:54

Ich schätze, dass der TE unterm Strich mit seinem Vorgehen(wollen) seine Lücken zu achtspurigen Scheunentoren ausbauen wird.

Da hilft keine Aluhut mehr.
Da braucht es schon Aluhut V3 mit eingebauten Link zu Ich-weiß-alles-besser-über-DNS-auch-wenn-ich-keinen-Peil-davon-hab.html

@radiergummi Du kannst getrost davon ausgehen, dass solche Standardangriffe von deinem Provider besser gehandelt werden, als von dir.

Aber ich muss ja jetzt erst mal nachlesen, wie gefährlich das böse Internetz wirklich ist, weil ich, wie gerade in diesem bösen Internetz erfahren habe, ich ja gar nicht weiß, was ein DNS Cache Poising ist, und wie ganz arg böse das böse Internetz ist.

Gott-sei-Dank trifft man im bösen Internetz immer wieder Leute, die einen da aufklären können.

p.s. Warum machst du die lokale Namensauflösung nicht einfach über die hosts?

radiergummi
Newbie
Newbie
Beiträge: 45
Registriert: 14. Feb 2009, 12:34

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von radiergummi » 20. Okt 2018, 14:33

marce hat geschrieben:
20. Okt 2018, 13:19
Wo siehst Du den Unterschied zwischen "im Router" und "ded. Kiste"
Nach meinem Kenntnisstand heute
- im Router ist es immer der erste DNS (wenn er eine Antwort liefern kann), der zum Zuge kommt. Der "weiss" also alles
- unbound wechselt zwischen den konfigurierten DNSsen (Round Robin)

- der Router löst nicht auf sondern schickt die (mglw. mit Metadaten angereicherten) Anfragen an den eingetragenen DNS
- unbound sendet nur eine URL und packt sich diese zusammen mit der Antwort (IP-Adresse) in den Cache. Für die Lebensszeit des Cache-Eintrags muss nicht mehr beim DNS-Server nachgefragt, sondern unbound kann die Antwort direkt an den Client im LAN zurückgeben, löst also im Cache vorhandene Anfragen selbst auf.

- mein Routerhandbuch schweigt sich über DNSSEC aus. Der Begriff kommt nicht ein einziges Mal vor.
- bei unbound ist das eines der wichtigen Themen und NLNetlabs weisen ganz ausdrücklich darauf hin, wie wichtig es ist, das nicht einfach nur anzuschalten, sondern auch die Zertifikate selbst zu kontrollieren.

uhelp
Member
Member
Beiträge: 113
Registriert: 25. Nov 2012, 19:33

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von uhelp » 20. Okt 2018, 15:00

Auf einem Router KANN ein DNS Server laufen.
FALLS der Router das kann und FALLS dort einer installiert und konfiguriert wurde.

Bei den üblichen SOHO Routern ist das regelmäßig NICHT der Fall.
Dort läuft ein DHCP Server für die IP Konfig der einzelnen Rechner.
Der DNS- Eintrag wird zumeist über DHCP vom Provider aus gesetzt.

Damit werden dann alle Anfragen der LAN- Clients über das Gateway zu dem Nameserver, den der Provider eingetragen hat, geleitet.
Selbst wenn du andere DNS- Server in deinen Router einträgst, läuft damit noch immer nirgends in deinem LAN ein DNS- Server.

DNSSEC ist ziemlich neu. Und fragwürdig, wie ich finde.
Dabei werden alle DNS- Queries authentifiziert, da die Einträge selbst kryptographisch signiert werden und anhand der Zertifikatskette auf Vertrauenswürdigkeit getestet werden (können).
Das Problem dabei ist, dass die Rootserver von Institutionen kontrolliert werden, auf die du keinen Einfluss hast.
Wollen oder können die nicht, ist deine Domain nicht mehr im Netz.

Zwar könntest du selbst eine eigene Cert/Key Infrastruktur aufbauen und dann in einem LAN mit einem DNSSEC - fähigen DNS Server das Ganze betreiben. Aber das ist dann schlicht oversized. Es gibt für einen Hacker, wenn er eh schon in deinem LAN ist, keine Erschwernis durch DNSSEC. Das ist grenzdebiler Unsinn.

radiergummi
Newbie
Newbie
Beiträge: 45
Registriert: 14. Feb 2009, 12:34

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von radiergummi » 20. Okt 2018, 17:52

uhelp hat geschrieben:
20. Okt 2018, 15:00
Auf einem Router KANN ein DNS Server laufen.
FALLS der Router das kann und FALLS dort einer installiert und konfiguriert wurde.

Bei den üblichen SOHO Routern ist das regelmäßig NICHT der Fall.
Dort läuft ein DHCP Server für die IP Konfig der einzelnen Rechner.
Der DNS- Eintrag wird zumeist über DHCP vom Provider aus gesetzt.

Damit werden dann alle Anfragen der LAN- Clients über das Gateway zu dem Nameserver, den der Provider eingetragen hat, geleitet.
Selbst wenn du andere DNS- Server in deinen Router einträgst, läuft damit noch immer nirgends in deinem LAN ein DNS- Server.
Alles richtig.
Auf meinen Routern 1 und 2 laufen DNS-Server. Router 2, leitet aber nur Anfragen für externe URLs an die eingetragenen DNS-Server (DNS forwarding) zur Auflösung weiter. Im Handbuch werden statische und dynamische "DNS-Tabellen" erwähnt, leider ohne genauere Beschreibung wie sie befüllt werden und wie lange die Einträge gehalten werden.
uhelp hat geschrieben:
20. Okt 2018, 15:00
Das Problem dabei ist, dass die Rootserver von Institutionen kontrolliert werden, auf die du keinen Einfluss hast.
Auch richtig.
Ich habe nur Einfluss darauf, wie ich damit umgehe. Da versuche ich gerade dazuzulernen.
Und: ab irgendeinem Punkt muss man eben glauben, ebenso wie bei den täglich aufpoppenden Softwareupdates; auch wenn da Suse oder Canonical draufsteht.

Wie im ersten Post geschrieben, ist mein eigentliches Anliegen ein bisschen mehr Datenschutz. Dem glaube ich näher zu kommen, wenn ich das Destillat der Internetzugriffe aus meinem LAN nicht mehr erzeuge indem ich die Namen bei wechselnden (mglw. nicht loggenden) DNS-Servern selbst auflöse und zwischenspeichere.

uhelp
Member
Member
Beiträge: 113
Registriert: 25. Nov 2012, 19:33

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von uhelp » 20. Okt 2018, 18:28

Das Gegenteil wird eintreten:
Du wirst angreifbarer, weil ein Dienst mehr läuft.

Und das bei mäßigem Wissen des zuständigen Roots.
Ganz gefährliches böses Internetz.

Gräfin Klara
Hacker
Hacker
Beiträge: 331
Registriert: 23. Jun 2008, 20:51

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von Gräfin Klara » 21. Okt 2018, 10:03

radiergummi hat geschrieben:
20. Okt 2018, 14:33
marce hat geschrieben:
20. Okt 2018, 13:19
Wo siehst Du den Unterschied zwischen "im Router" und "ded. Kiste"
Nach meinem Kenntnisstand heute
- im Router ist es immer der erste DNS (wenn er eine Antwort liefern kann), der zum Zuge kommt. Der "weiss" also alles
- unbound wechselt zwischen den konfigurierten DNSsen (Round Robin)

- der Router löst nicht auf sondern schickt die (mglw. mit Metadaten angereicherten) Anfragen an den eingetragenen DNS
- unbound sendet nur eine URL und packt sich diese zusammen mit der Antwort (IP-Adresse) in den Cache. Für die Lebensszeit des Cache-Eintrags muss nicht mehr beim DNS-Server nachgefragt, sondern unbound kann die Antwort direkt an den Client im LAN zurückgeben, löst also im Cache vorhandene Anfragen selbst auf.

- mein Routerhandbuch schweigt sich über DNSSEC aus. Der Begriff kommt nicht ein einziges Mal vor.
- bei unbound ist das eines der wichtigen Themen und NLNetlabs weisen ganz ausdrücklich darauf hin, wie wichtig es ist, das nicht einfach nur anzuschalten, sondern auch die Zertifikate selbst zu kontrollieren.
Wenn du einen DNS betreiben willst, dann geht es dabei nicht um Datenschutz, sondern um Anonymisierung. (Das Verhindern von DNS-Leaks)
unbound ist dafür die richtige Wahl, weil unbound im forwarding flexibel ist.

Sollte Anonymisierung für dich ein Thema sein, dann läuft in KEINEM deiner router ein DNS.

Alle queries werden nur von unbound erledigt. Das forwarding von unbound kann dabei sein:
a.) UDP:53 - Das ist die typisch unsicherste Variante und wird als DNS-Query auch von deinem provider erkannt.
b.) TCP:53 - Ein bißchen sicherer. Nur wenige DNS können TCP:53. TCP:53 wird von deinem provider nicht als DNS query geloggt.
c.) TOR - Das ist wesentlich sicherer. unbound forwarded in diesem Fall über das TOR-Netzwerk auf den TOR eigenen DNS. Siehe TOR Konfiguration > DNSPort. z.B. localhost:553
d.) DNSCrypt - Das ist ein DNS-Proxy, der alle Queries des unbound verschlüsselt. Das ist ziemlich sicher.
e.) SSH-Tunnel - unbound setzt sein query über ein lokales TCP-Port ab, dass das eine Ende eines Tunnels zu einem DNS ist. Solche DNS mit SSH sind in Russland verfügbar. Sehr sicher.
f.) VPN - Alle VPN Provider (openVPN) stellen auch einen DNS zur Verfügung. (siehe Konfiguration.ovpn) . Da du über das VPN nur den DNS-Query absetzt aber keinen Daten-Traffic verursachst, läßt sich das im Log des VPN-Providers nicht zuordnen. Absolut sicher.

DNSSEC verschlüsselt den query nicht, sondern signiert ihn. Das ist so, als ob du jede Abfrage unterschreibst.
Ich denke, das ist genau das, was du mit Sicherheit nicht willst.

Wenn es dir aber nur um Datenschutz geht und nicht um Anonymität, dann teile ich meine Meinung mit uhelp, der da schreibt:
uhelp hat geschrieben:
20. Okt 2018, 18:28
Das Gegenteil wird eintreten:
Du wirst angreifbarer, weil ein Dienst mehr läuft.
Und das bei mäßigem Wissen des zuständigen Roots.
..
Gruß
Gräfin Klara

radiergummi
Newbie
Newbie
Beiträge: 45
Registriert: 14. Feb 2009, 12:34

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von radiergummi » 22. Okt 2018, 12:21

uhelp hat geschrieben und Gräfin Klara hat geschrieben:
21. Okt 2018, 10:03
Und das bei mäßigem Wissen des zuständigen Roots.
Ja na sicher. Würde ich sonst hier um Hilfe bitten?

Gräfin Klara hat geschrieben:
21. Okt 2018, 10:03
Wenn du einen DNS betreiben willst, dann geht es dabei nicht um Datenschutz, sondern um Anonymisierung.
Mir geht es um Datenschutz. Hier erreicht durch Datenvermeidung, indem ich öffentliche DNS-Server nutze, von denen ich glaube, dass sie nicht protokollieren.

Gräfin Klara hat geschrieben:
21. Okt 2018, 10:03
Das Verhindern von DNS-Leaks
Über das Stichwort bin ich auch gestolpert. DNS-Leaks treten nach meinem Verständnis im Zusammenhang mit VPNs auf, mit denen man das ISP-VPN (bspw. Telekom, Congstar, &c pp) untertunnelt. Zum besagten Leak kommt es, wenn DNS-Abfragen unbeabsichtigterweise über das ISP-VPN an den ISP-DNS statt wie gewollt, über das tunnelnde VPN erfolgen (wenn falsch, bitte korrigiert mich). Ich benutze aber das Telekom-Netz so, wie es ist - ohne zu tunneln.

Gräfin Klara hat geschrieben:
21. Okt 2018, 10:03
DNSSEC verschlüsselt den query nicht, sondern signiert ihn. Das ist so, als ob du jede Abfrage unterschreibst.
Soweit ich gelesen habe, werden die Antworten, nicht die Anfragen signiert:
en.Wikipedia.org hat geschrieben:All answers from DNSSEC protected zones are digitally signed. By checking the digital signature, a DNS resolver is able to check if the information is identical (i.e. unmodified and complete) to the information published by the zone owner and served on an authoritative DNS server.
Damit verschafft mir DNSSEC die Sicherheit, dass die zurückgegebene IP diejenige ist, die zur angefragten URL gehört.

Gräfin Klara hat geschrieben:
21. Okt 2018, 10:03
b.) TCP:53 - Ein bißchen sicherer. Nur wenige DNS können TCP:53. TCP:53 wird von deinem provider nicht als DNS query geloggt.
Damit hast Du mir eine Frage beantwortet, die ich noch gar nicht gestellt hatte. Was nutzt es, einen favorisierten DNS-Server zu befragen, wenn die Pakete schon an udp:53 erkennbar sind?
Da man aber genauso gut nach tcp:53 bzw. tcp:853 fischen kann, wäre DNS over TLS der nächste Schritt.


Zu meinem Ziel, mit unbound etwas mehr Datenschutz erreichen zu wollen, schreibt Ihr:
Gräfin Klara hat zitiert und uhelp hat geschrieben:
21. Okt 2018, 10:03
Das Gegenteil wird eintreten:
Du wirst angreifbarer, weil ein Dienst mehr läuft.
Bleibt Ihr dabei, auch wenn ich unbound nur einsetze, um damit den systemd-resolved zu ersetzen?

Gruß,
Radiergummi

uhelp
Member
Member
Beiträge: 113
Registriert: 25. Nov 2012, 19:33

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von uhelp » 22. Okt 2018, 12:40

Wenn du in deinem LAN nicht wirklich einen Server betreibst, der nach außen sichtbar sein soll,
ist das alles Humbug, überflüssig und bietet wesentlich mehr Angriffsvektoren, wenn du rein für die interne Namensauflösung einen DNS Server betreiben willst.

Lasse diesen Käse!!!

Und falls du tatsächlich einen Server dort betreibst, kann dir eh niemand mehr helfen.
Das hat @spoensche längst geschrieben.

DU WILLST KEINEN DNS FÜR LOKALE ADRESSEN!!
/etc/hosts reicht völlig aus.
Und wenn du doch einen willst, dann kommuniziert der NICHT mit anderen DNS draußen im bösen Internetz.

radiergummi
Newbie
Newbie
Beiträge: 45
Registriert: 14. Feb 2009, 12:34

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von radiergummi » 22. Okt 2018, 13:16

uhelp hat geschrieben:
22. Okt 2018, 12:40
Wenn du in deinem LAN nicht wirklich einen Server betreibst, der nach außen sichtbar sein soll,
ist das alles Humbug, überflüssig und bietet wesentlich mehr Angriffsvektoren, wenn du rein für die interne Namensauflösung einen DNS Server betreiben willst.
Nichts soll von außen sichtbar sein.
Die interne Namensauflösung erfolgt über /etc/hosts.
uhelp hat geschrieben:
22. Okt 2018, 12:40
DU WILLST KEINEN DNS FÜR LOKALE ADRESSEN!!
/etc/hosts reicht völlig aus.
Völlig richtig! Die zehn Zeilen hab ich auf allen Rechnern schneller eingetragen als ich diesen Beitrag schreiben kann.

Es geht mir um die Namensauflösung von URLs im Internet, z. B. linux-club.de in 5.35.226.118 - das hatte ich weiter oben mal mit heise.de geschrieben.

Hatten wir uns hier missverstanden?

Gruß,
Radiergummi

uhelp
Member
Member
Beiträge: 113
Registriert: 25. Nov 2012, 19:33

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von uhelp » 22. Okt 2018, 16:32

Ja, das habe ich mistverstanden®™.
Da hat dann der DNS- Server im internen LAN absolut gar nichts zu suchen.

Ich würde dir vorschlagen, noch mal in Ruhe @spoesche's Post durchzulesen und dann erst mal dein Netz nach den Regeln der Kunst mit sauberen Firewallzonen aufzubauen.

Wenn du das gelernt haben wirst, wirst du dann auch eingesehen haben, dass dein Ansatz ziemlich irrsinnig ist.
Du gehst ernsthaft davon aus, dass du einen DNS- Server sicherer betreiben könntest, als alle anderen dort draußen, die seit Jahrzehnten in diesem Geschäft an der Front gestählt sind.

Good luck.

marce
Advanced Hacker
Advanced Hacker
Beiträge: 1077
Registriert: 19. Jun 2008, 13:16
Wohnort: Dettenhausen
Kontaktdaten:

Re: Wo muss der private DNS-Server eingehängt werden?

Beitrag von marce » 22. Okt 2018, 16:37

uhelp hat geschrieben:
22. Okt 2018, 16:32
Du gehst ernsthaft davon aus, dass du einen DNS- Server sicherer betreiben könntest, als alle anderen dort draußen, die seit Jahrzehnten in diesem Geschäft an der Front gestählt sind.
Naja, er geht eher davon aus, daß wenn er einen eigenen DNS betreibt er den Ergebnissen, die dieser liefert mehr vertrauen kann als den ext. DNS-Servern, an die sein int. DNS die Anfragen weiterleitet.

... und daß er weniger Daten-Spuren im Netz hinterlässt, wenn er die Anfragen intern selbst beantwortet.

Antworten