Nicht-ISP-DNS nutzen

Nicht-ISP-DNS nutzen Vor- und Nachteile

#16 RalphS

Pelztier

Gruppe: VIP Mitglieder
Beiträge: 8.895
Beigetreten: 20. Juli 07
Reputation: 1.126
Geschlecht:Männlich
Wohnort:Zuhause
Interessen:Ja

geschrieben 22. Juni 2015 - 09:04

Hat man denn da soviel davon? :unsure:

Ich mein, da ist ja noch der Cache. Client- wie serverseitig, auch wenn ich bei der Fritzbox-Implementation wirklich nicht spekulieren mag.
Da fällt doch die DNS-Performance - abgesehen von der ersten Auflösung binnen 10 Minuten -- nicht weiter ins Gewicht.

Zumindest bei mir nicht - grad probiert.

Wenn Performance kritisch ist, würde ich da wirklich eher einen lokalen DNS-Server einrichten und dem dann conditional forwarders mitgeben, damit für die fraglichen Domains deren hauseigene DNS-Server direkt angesprochen werden.

-- Wenn angefangen wird, über DNS zu blockieren... da stimm ich zu, dann bringt ein "externer" DNS-Server etwas. Ist mir selber auch schon untergekommen - Perforce fällt mir dazu spontan ein. Das ist aber schon ein bißchen her; ein flinker Check sagt, daß zumindest deren Website jetzt erreichbar ist.

Aber wie gesagt, wenn hergegangen wird und DNS als solches mißbraucht und/oder kompromittiert wird und einzelne DNS-Server *unterschiedliche* Ergebnisse liefern... dann ist eh alles vorbei.

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Nach oben
Nach oben of the page up there ^

#17 _d4rkn3ss4ev3r_

Gruppe: Gäste

geschrieben 28. Juni 2015 - 13:24

Hier gibt es einen interessanten heise Artikel dazu (zumindest zu DNSSEC): http://www.heise.de/...en-2627793.html
Es wird genannt das man dies mit einem RaspberryPi machen kann- welchen ich auch besitze.

Die Frage ist jedoch inwiefern das die eigene Netzwerk Sicherheit erhöht oder ob sowas überhaupt notwendig/ nur für Firmennetzwerke notwenig ist.

Nach oben
Nach oben of the page up there ^

#18 RalphS

Pelztier

Gruppe: VIP Mitglieder
Beiträge: 8.895
Beigetreten: 20. Juli 07
Reputation: 1.126
Geschlecht:Männlich
Wohnort:Zuhause
Interessen:Ja

geschrieben 28. Juni 2015 - 15:28

Man kann das eigentlich überallmit machen. Sogar mit Windows' eigenem Client, wenn dieser denn DNSSEC unterstützen würde (nicht nachgeprüft).

Der Auftrag von DNSSEC ist wie schon angedeutet einfach die Identifizierbarkeit. DNS-Manipulationen soll damit ein Riegel vorgeschoben werden, sodaß zB homebanking.de eben NICHT mehr auf eine andere IP umgebogen werden kann (weil dann Zertifikat und DNS-Eintrag nicht mehr zusammenpassen).

Allerdings liegt halt die Crux wieder mal im Detail. Person X surft besagte homebanking.de-Domain an; diese wurde gekapert; DNSSEC erkennt das; DNS-Server liefert SERVFAIL; Benutzer kriegt "Website kann nicht angezeig werden; Benutzer: Scheiße, einself; Benutzer verwendet ANDEREN DNS-Server / hat sekundären, nicht-DNSSEC-implementierenden DNS-Server konfiguriert; Benutzer kriegt (manipulierte) homebanking.de-Domain *trotzdem*.

"Notwendig" ist immer so eine Frage. Was ist "notwendig"? Wenn es egal ist, daß "vielleicht" was umgebogen sein "könnte"... dann ist es nicht notwendig. Wenn aber davon ausgegangen wird, daß "ist ja HTTPS da" das schon richten wird.... dann ist es sogar *dringend* notwendig, denn in solchen Fälle deckt nur noch der Fingerabdruck im SSL-Serverzertifikat und DEN prüft leider kaum jemand.

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie