WinFuture-Forum.de: Nicht-ISP-DNS nutzen - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Netzwerk
  • 2 Seiten +
  • 1
  • 2

Nicht-ISP-DNS nutzen Vor- und Nachteile

#1 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.983
  • Beigetreten: 03. Januar 09
  • Reputation: 510

geschrieben 19. Juni 2015 - 22:18

Wie sieht es aus wenn ich einen fremden DNS Server nutze, statt den ISP eigenen?
zB als primären den von http://wiki.opennicp...ct.org/HomePage und als sekundären den von https://www.ccc.de/c...ship/dns-howto/

Was für Vor-und Nachteile kann ich dann erwarten, zwecks Geschwindigkeit, Privatsphäre und Sicherheit?
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

Anzeige

#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.914
  • Beigetreten: 20. Juli 07
  • Reputation: 872

geschrieben 19. Juni 2015 - 22:49

Naja, Du gibst denen halt Deine Daten in die Hand, WAS Du WANN angesurft hast, wie oft, um welche Zeit, wie lange Du da geblieben bist... sowas halt.

Nur halt beschränkt auf Domainnamen. Ob das FTP war oder HTTPS oder was-weiß-ich geht daraus nicht unmittelbar hervor, läßt sich aber ableiten (ftp.website.de war vermutlich Skype gewesen).


Zusätzlich untersteht natürlich der fragliche Webserver "irgendwessen" Kontrolle, inbesondere nicht Deiner. Heißt: es besteht die Möglichkeit, daß der Betreiber was umbiegt. Damit hast Du alle Risiken eines jeden Domain-Highjackings und Du mußt bei SSL-Verbindungen insbesondere auf den Fingerprint achten, denn wenn der Betreiber des DNS-Servers auch noch zB "onlinebanking.meine-bank.de" via seines DNS-Dienstes auf eine ihm gehörende IP-Adresse umbiegt UND ein Zertifikat dafür besitzt - was nicht schwer ist -- dann hat er auch prompt Deine PIN und Deine TANs.


Kurz, wenn das nicht grad zu 101% über DNSSEC und IPSEC und sonstwie abgeriegelt ist, kann der Bursch behaupten was er will... und machen, was er will.


Daher... Vorteil: Der fragliche DNS-Server ist vermutlich auch dann noch erreichbar, wenn es der Deines ISPs nicht ist. Nachteil: Der ganze Rest.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#3 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.983
  • Beigetreten: 03. Januar 09
  • Reputation: 510

geschrieben 19. Juni 2015 - 23:13

Uff okay. Dann ist es also sinnvoller den zB CCC Server als zweiten DNS Server zu nehmen, falls der ISP eigene ausfällt und per Default den ISP eigenen aufgrund von oberen nehmen.
Andererseits kann der ISP ja genauso gut Webseiten verbiegen.

Hast du da eventuell Erfahrungen mit anderen DNS Servern schon gesammelt, RalphS?


Leichtes Offtopic: Bringt DNSSEC/ DNSCrypt, ... wirklich was? Und wenn ja, wie groß ist der Aufwand dies zu nutzen. Bzw ist es überhaupt sinnvoll sowas mit dem ISP eigenen DNS zu verwenden?
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#4 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.901
  • Beigetreten: 14. Juli 07
  • Reputation: 266

geschrieben 19. Juni 2015 - 23:15

Naja, deinen Nachteil hat man aber an jedem DNS-Server, egal ob vom ISP oder sonst von jemandem.
Die Frage ist doch dann eher wem man mehr vertraut, seinem ISP oder wie hier z.b. dem CCC.
Um das zu umgehen müsste man seinen eigenen DNS-Server selbst betreiben.

Dieser Beitrag wurde von Samstag bearbeitet: 19. Juni 2015 - 23:15

1

#5 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.983
  • Beigetreten: 03. Januar 09
  • Reputation: 510

geschrieben 19. Juni 2015 - 23:35

SemperVideo hat dazu ein Video um das auf einem Pi laufen zu lassen. (Habe das Video noch nicht geguckt)
Wie sieht das in der Theorie aus?

Ist das nicht ein Angriffsfaktor aus dem Internet wenn man sowas hat?
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#6 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.914
  • Beigetreten: 20. Juli 07
  • Reputation: 872

geschrieben 19. Juni 2015 - 23:53

Es macht schon einen gewissen Unterschied. Denn wenn man seinem ISP nicht vertraut, hat man keinen Vertrag bei denen - entweder schließt man erst gar keinen ab oder aber man kündigt umgehend.

So eine gewisse Basis ist also da.

Aber, ja: letztlich kriegt immer derjenige, der DNS für Dich und mich und sonstwen bereitstellt, unsere Metadaten. Das läßt sich ebensowenig vermeiden wie die Tatsache, daß der Telefonanbieter die von uns gewählten Rufnummern bekommt. Die einzige Frage die bleibt, ist, *welcher* Anbieter diese Information von uns kriegen soll.


-- Was DNSSEC angeht, das "nutzt" man als Endbenutzer nicht. Es ist eher eine Art SSL für DNS-Server - dahingehend, daß eine vertrauenstransportierende Plattform geschaffen wird, anhand welcher man die Gegenstelle identifizieren kann und insbesondere DNS-Highjackern die Arbeit erschweren soll. Hintergrund: Vertraue ich DNS-Server A, und DNS-Server A vertraut DNS-Server B, dann möchte ich auf dieser Basis auch DNS-Server B vertrauen können. Also wie bei SSL. Hierfür muß man halt als DNS-Serverbetreiber was tun - Clients kriegen kein DNSSEC, wenn es der DNS-Serverbetreiber nicht implementiert.


Übrigens bringt auch ein eigener DNS-Server an dieser Stelle nur bedingt etwas, wenn man nicht grad die DNS-Architektur komplett mißbrauchen will. Denn dann muß ja irgendein Forwarder ran und dem muß man dann ja auch wieder vertrauen. ... Ausnahme wieder: dieser unterstützt DNSSEC. Dann sieht das etwas anders aus. Aber um die Prüfung muß man sich trotzdem noch kümmern.


--- Letztendlich läuft es halt wirklich nur und ausschließlich auf Vertrauen hinaus. Wenn man dem Anbieter eines DNS-Dienstes *vertraut* und sich ausreichend sicher ist, daß dieser auch nicht gekapert wird, und daß dieser auch nicht mit den erhaltenen Daten Schindluder treibt -- was immer man darunter verstehen mag: Ja, klar kann man dann diesen DNS-Dienst nutzen. Aber wenn es halt ein Hinterhofanbieter ist, der komischerweise plötzlich über Dein Surfverhalten besser Bescheid zu wissen scheint als Du selber... nun ja, dann war das vielleicht der falsche Anbieter gewesen.

Dieser Beitrag wurde von RalphS bearbeitet: 19. Juni 2015 - 23:54

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#7 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.983
  • Beigetreten: 03. Januar 09
  • Reputation: 510

geschrieben 20. Juni 2015 - 00:26

Klar ist es eine Vertrauenssache, aber okay so wie es aussieht ist man by Default besser mit dem ISP eigenen dran und als Zweit DNS eben einen anderen der Wahl nehmen.

Vielen Dank für die Aufklärung!
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#8 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.696
  • Beigetreten: 27. März 03
  • Reputation: 20

geschrieben 20. Juni 2015 - 09:39

Wer sich für die Geschwindigkeit ebenfalls interessiert, nicht für die Theorie der Sicherheit, der sollte diese Seite zur Kenntnis nehmen: http://www.dnsperf.com/

Was ich dazu noch anmerken muss ist, dass der Provider des Anschlusses eine riesen Auswirkung hat.

@d4rkn3ss4ev3r: Wie ist dein Netzwerk und somit seine Namensauflösung beschaffen?
Admin akbar
1

#9 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.255
  • Beigetreten: 11. September 10
  • Reputation: 206

geschrieben 20. Juni 2015 - 14:41

Beitrag anzeigenZitat (RalphS: 19. Juni 2015 - 22:49)


Daher... Vorteil: Der fragliche DNS-Server ist vermutlich auch dann noch erreichbar, wenn es der Deines ISPs nicht ist. Nachteil: Der ganze Rest.


Wobei man den kleinen Vorteil auch noch eingrenzen muß. Wenn der DNS-Server des eigenen ISP nicht erreichbar ist, hat der ISP ja mit Sicherheit ein technisches Problem und möglicherweise hat man dann gar keinen Internetzugang und in dem Fall nützen einem die fremden DNS-Server ja auch nichts.
Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
1

#10 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.983
  • Beigetreten: 03. Januar 09
  • Reputation: 510

geschrieben 20. Juni 2015 - 14:50

Danke für den Link! Kannte bisher nur DNS Namebench was aber scheinbar nichtmehr gepflegt wird.

Ich habe VDSL50 von Congstar und auch leicht darüber ankommendene Werte. Dazu hab ich bisher den ISP DNS drin, also weder in der Fritzbox7360 (PC per Gigabit-LAN zum Router verbunden) noch in Win7 x64 etwas geändert.
Öh was fehlt noch an Infos?
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#11 Mitglied ist offline   Lastwebpage 

  • Gruppe: aktive Mitglieder
  • Beiträge: 515
  • Beigetreten: 26. Dezember 07
  • Reputation: 43

geschrieben 21. Juni 2015 - 13:05

"Vertrauenssache"? Wenn ich meinem ISP nicht vertraue, hätte ich andere Probleme, und die würden mit einem anderen DNS Server dann auch nicht gelöst. ;)
Oder das von Holger_N, kein DNS Server des ISPs => anderer DNS wäre dann sowieso nicht zu erreichen.

Nein, ein DNS Server würde für mich nur höchstens dann einen Sinn machen, wenn ich wüsste, dass der des ISPs sich an alle Gesetze hält und die Liste der durch Gesetz gesperrten DNS Einträge ziemlich lang wäre.
0

#12 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.914
  • Beigetreten: 20. Juli 07
  • Reputation: 872

geschrieben 21. Juni 2015 - 13:45

Mh? Nichts anderes hab ich doch geschrieben. :huh:
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#13 Mitglied ist offline   Ler-Khun 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.496
  • Beigetreten: 16. Dezember 06
  • Reputation: 139

geschrieben 21. Juni 2015 - 15:41

Ein weiterer Vorteil ist, dass man auf Webseiten kommt, auf die man über einen ICANN konformen DNS-Server nicht kommt.
Aber das ist wohl keiner der Vorteile die du wissen wolltest.
MfG


Niemand hat dich gefragt, ob du leben willst. Also hat dir auch niemand zu sagen, wie du leben sollst!
0

#14 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.983
  • Beigetreten: 03. Januar 09
  • Reputation: 510

geschrieben 21. Juni 2015 - 16:18

Joa ich denke ich habe jetzt genug Wissen das ich den ISP DNS lieber drin lasse.
Als Ersatz-DNS habe ich den vom CCC genommen, insofern der überhaupt jemals genutzt wird.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#15 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.696
  • Beigetreten: 27. März 03
  • Reputation: 20

geschrieben 21. Juni 2015 - 19:38

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 20. Juni 2015 - 14:50)

Danke für den Link! Kannte bisher nur DNS Namebench was aber scheinbar nichtmehr gepflegt wird.

Ich habe VDSL50 von Congstar und auch leicht darüber ankommendene Werte. Dazu hab ich bisher den ISP DNS drin, also weder in der Fritzbox7360 (PC per Gigabit-LAN zum Router verbunden) noch in Win7 x64 etwas geändert.
Öh was fehlt noch an Infos?


Die DNS-Einstellungen im Client würde ich nur anpassen wenn es Sinn macht. Ansonsten kannst du in der Fritz Box die Server anpassen, da macht das in deinem Netzwerk auch mehr Sinn.

So kannst du zumindest die Geschwindigkeit testen.
http://www.ivankrist...s-benchmarking/
Admin akbar
1

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0