Fange grade an mich mit der Thematik zu beschäftigen.
Haben wir in unseren Geräten DNS over TLS/HTTPS ? und was haltet ihr davon?
Haben wir eigentlich DoH/DoT auf unseren USG/UDM
Es gibt 15 Antworten in diesem Thema, welches 6.042 mal aufgerufen wurde. Der letzte Beitrag () ist von noexpand.
-
Moin Blackspy,
ich hatte mich auch schonmal mit dem Thema beschäftigt.
Im USG und ich denke das gilt auch für die UDM ist kein DoH oder DoT integriert.
Hatte mir dieses Tutorial mal abgelegt, bin aber noch nicht zu gekommen das so umzusetzen.
Das wäre die Lösung direkt im USG
https://techsmix.net/ubiquiti-usg-cloudflare-dns-over-tls/
Ich habe einen Pi auf dem PiHole läuft, da gibt es auch ein Tutorial in der offiziellen PiHole Doku.
https://docs.pi-hole.net/guides/dns/cloudflared/
Zum Thema was haltet ihr davon:
Ich finde es prinzipiell einfach wichtig das über TLS oder HTTPS zu machen, deswegen werde ich das auch kurzfristig bei mir etablieren - vermutlich aber die PiHole Lösung
-
-
Der Weg über das USG ist mir einfach zu umständlich gewesen und da ich eh den Pi habe war das am einfachsten. Hat keine 10 Minuten gedauert.
Die Anfrage muss aber theoretisch über DoH laufen, da als Upstream 127.0.0.1 ausgewählt ist. -
Hallo zusammen,
das Thema ist ja jetzt schon ein Jahr alt. Gibt es hierzu etwas Neues?
Mein iPad fängt plötzlich an zu schimpfen, dass mein Netzwerk unsicher ist
-
Ich finde es ganz grundsätzlich etwas ärgerlich, dass (Stand aktuell) ein Unifi Netzwerk in aller Regel "unverschlüsselt" betrieben werden "muss".
Man also "von Haus aus" keine Möglichkeit zum Import eventuell vorhandener Zertifikate hat...
Oder sehe ich nur den Baum im Wald nicht?
-
Bald ist wieder ein Jahr vorbei und nein, wir haben es immer noch nicht. Wirklich schade.
-
Ich bin mir nicht sicher, ob ich das Themenfeld schon ausreichend durchdrungen habe. DoH ist mir etwas suspekt, das kann allerdings auch Unwissenheit meinerseits sein.
Im Moment finde ich aber ehrlich gesagt die Verschlüsselung des DNS-Verkehrs per TLS gar nicht so wichtig. Die meisten (hier im Forum kann die Quote anders sein) Anwender da draußen ändern bezüglich DNS in ihrer FritzBox nichts. Die verwenden damit also die DNS-Server, die ihr Provider ihnen per DHCP mitteilt. Warum sollte das verschlüsselt sein? Damit auf der DSL-Leitung zwischen Hausanschluss und (in der Regel lokalem) Provider niemand manipulieren kann?
Ich finde viel gruseliger, dass es eine einzige Instanz gibt (sei es mein Provider oder noch schlimmer Cloudflare, Cisco (mit OpenDNS) oder Google), bei der alle meine DNS-Anfragen landen. Ob verschlüsselt oder unverschlüsselt ist mir dabei ziemlich egal.
Mir ist viel wichtiger, meine DNS-Anfragen zu "verteilen", so dass keine lückenlose Protokollierung meines Surf-Verhaltens möglich ist. Am einfachsten geht das mit einem "recursive resolver", der von mir selbst betrieben wird. Mit anderen Worten: einem PiHole mit unbound. Damit wird gerade nicht ein bestimmter DNS-Cache angesprochen, sondern es werden verschiedene Root-, TLD- und SLD-Server abgefragt.
Und ja: weil es geht kann man da auch noch TLS einschalten. Aber das ist aus meiner Sicht nur ein nice-to-have.
Warum findet ihr DoT/DoH so wichtig? Übersehe ich etwas?
-
Warum findet ihr DoT/DoH so wichtig? Übersehe ich etwas?
Guten Morgen.
Einer der Gründe warum ich für mich DoT gerne hätte als Zitat angehangen:
"Encryption isn't just about privacy. Someone sitting in the path between my client and a DNS server could modify the response that I was getting, routing me to the wrong site."
Ein weiterer Grund ist, dass die großen Anbieter (VF, Telekom etc.) unverschl. DNS Daten sammeln, aggregieren und auch verkaufen. Mit DoT bzw. DoH kann man das verhindern.
Klar sehen sie auch die Auflösungen der Websites. Aber das ist noch einmal etwas anderes. Unverschl. DNS ist für die sozusagen ein Mittel um Geld zu verdienen.
-
Grundsätzlich sehe ich natürlich gewaltige Vorteile in Verschlüsselung, immer und überall. Da rennst du bei mir offene Türen ein
Wenn ich aber "nur" DoT einschalte, kommen doch trotzdem alle meine DNS-Anfragen bei dem Cache-DNS-Server meines Providers vorbei. Verschlüsselt ist genau die Kommunikation zwischen mir und dem DNS-Server meines Providers. Um meine Anfragen beantworten zu können, müssen sie diese entschlüsseln und können deshalb fleißig Weitersammeln und meine Surf-Historie verkaufen. Das genau ist doch mein Punkt: gegen Datensammelei hilft DoT genau gar nichts. DoT sorgt nur dafür, dass zwischen Provider und mir niemand "reinfummelt". Da aber die Leitung zwischen mir und meinem Provider sehr häufig sogar meinem Provider gehört: wer soll denn da reinfummeln?
Gegen Datensammlung hilft DoH, wenn ich das richtig verstanden habe oder eben ein eigener recursive resolver, also unbound.
DoH finde ich blöd, weil irgendwelche Apps oder IoT-Geräte darüber meinen PiHole umgehen können (wenn ich das richtig verstanden habe ...)
-
Das genau ist doch mein Punkt: gegen Datensammelei hilft DoT genau gar nichts. DoT sorgt nur dafür, dass zwischen Provider und mir niemand "reinfummelt"
Ist ja so nicht ganz korrekt, da du bei einem Resolver deiner Wahl anfragen kannst, vorbei am Provider.
Der Resolver sollte natürlich in dem Fall auch vertrauenserweckend sein.
-
Ich werfe mal diese Webseite in die Runde:
DNS over HTTPS (DoH) — Was ändert sich für den Nutzer? | My-IT-Brain
DOH hat nichts mit dem Router zu tun, es wird zwischen Anwendung (Browser) direkt aufgebaut. -> Hier liegt ja die größte Kritik an dem DOH, da Chrome einer der meistverwendeten Browser ist, könnte Google seine eigenen DNS Server hierfür verwenden und dann erst recht die Anwender tracken (was man ja mit pihole, unbound und Co verhindern möchte)
Generell finde ich das Thema ein wenig zu aufgebauscht, Pihole mit unbound ist schon eine gute sache, aber diese Anfragen dann noch zu verschlüsseln setzt ja voraus das jemand diesen Verkehr abfängt, also sein eigener Router (jemand im eigenen Netzwerk) oder die Switches des ISP (also der Provider) -> Auch die TLS verschlüsselung ändert ja nichts daran das der DNS Provider diese Anfrage sehen kann, auswertet und evtl. verwendet.
-
Der erste Schritt wäre ja mal per DHCP einen anderen DNS Server zu verteilen. Zum Beispiel https://digitalcourage.de/support/zensurfreier-dns-server. Bei mir läuft Adguard im Docker und als Upstream DNS obiger Server inkl TLS Verschlüsselung. Bei Ubiquiti kann man da lange drauf warten. Würde ich nicht tun.
-
Hier gibt es noch gute Informationen https://privacy-handbuch.de/handbuch_93d.htm
Und ja - Digitalcourage ist sehr gut. Ich bin von denen des Freifunk München auch noch sehr begeistert.
Öffentliche DNS-ServerÖffentliche DNS-Server [Bild: Freifunk München Logo] Wir bieten bereits seit einer Weile DoH/DoT und DNSCrypt als alternative DNS-Resolver an. Jetzt…ffmuc.net -
Ist ja so nicht ganz korrekt, da du bei einem Resolver deiner Wahl anfragen kannst, vorbei am Provider.
Der Resolver sollte natürlich in dem Fall auch vertrauenserweckend sein.
Ja, du hast Recht. Ich war vom Fall eines Normalusers ausgegangen, der den DNS-Server nimmt, den der DHCP des Providers anbietet.
Es gibt natürlich ein Reihe vertrauenswürdiger DNS-Server: Digitalcourage wurde schon genannt, Freifunk München (kannte ich noch nicht, danke), Quad9, Digitale Gesellschaft, dns.watch, as250.net, uncensoreddns.org, dismail.de, dnsforge.de und noch einige weitere. Wenn man die verwendet, ergibt es natürlich total Sinn, den Verkehr dahin mit TLS zu verschlüsseln.
Ich habe aber den Eindruck, dass 90% der Leute da draußen sich in zwei Lager aufteilen: die Normaluser, denen es nicht bewusst ist und die den Server ihres Providers verwenden und diejenigen, die aufgrund der 5ns besseren Antwortzeit Cloudflare, Google oder Cisco verwenden. Da befindet man sich doch eh im Vorhof der Hölle. Ob das jetzt verschlüsselt ist oder nicht, macht den Braten auch nicht mehr fett ...
