Nicht-ISP-DNS nutzen Vor- und Nachteile
#1 _d4rkn3ss4ev3r_
geschrieben 19. Juni 2015 - 22:18
zB als primären den von http://wiki.opennicp...ct.org/HomePage und als sekundären den von https://www.ccc.de/c...ship/dns-howto/
Was für Vor-und Nachteile kann ich dann erwarten, zwecks Geschwindigkeit, Privatsphäre und Sicherheit?
Anzeige
#2
geschrieben 19. Juni 2015 - 22:49
Nur halt beschränkt auf Domainnamen. Ob das FTP war oder HTTPS oder was-weiß-ich geht daraus nicht unmittelbar hervor, läßt sich aber ableiten (ftp.website.de war vermutlich Skype gewesen).
Zusätzlich untersteht natürlich der fragliche Webserver "irgendwessen" Kontrolle, inbesondere nicht Deiner. Heißt: es besteht die Möglichkeit, daß der Betreiber was umbiegt. Damit hast Du alle Risiken eines jeden Domain-Highjackings und Du mußt bei SSL-Verbindungen insbesondere auf den Fingerprint achten, denn wenn der Betreiber des DNS-Servers auch noch zB "onlinebanking.meine-bank.de" via seines DNS-Dienstes auf eine ihm gehörende IP-Adresse umbiegt UND ein Zertifikat dafür besitzt - was nicht schwer ist -- dann hat er auch prompt Deine PIN und Deine TANs.
Kurz, wenn das nicht grad zu 101% über DNSSEC und IPSEC und sonstwie abgeriegelt ist, kann der Bursch behaupten was er will... und machen, was er will.
Daher... Vorteil: Der fragliche DNS-Server ist vermutlich auch dann noch erreichbar, wenn es der Deines ISPs nicht ist. Nachteil: Der ganze Rest.
#3 _d4rkn3ss4ev3r_
geschrieben 19. Juni 2015 - 23:13
Andererseits kann der ISP ja genauso gut Webseiten verbiegen.
Hast du da eventuell Erfahrungen mit anderen DNS Servern schon gesammelt, RalphS?
Leichtes Offtopic: Bringt DNSSEC/ DNSCrypt, ... wirklich was? Und wenn ja, wie groß ist der Aufwand dies zu nutzen. Bzw ist es überhaupt sinnvoll sowas mit dem ISP eigenen DNS zu verwenden?
#4
geschrieben 19. Juni 2015 - 23:15
Die Frage ist doch dann eher wem man mehr vertraut, seinem ISP oder wie hier z.b. dem CCC.
Um das zu umgehen müsste man seinen eigenen DNS-Server selbst betreiben.
Dieser Beitrag wurde von Samstag bearbeitet: 19. Juni 2015 - 23:15
#5 _d4rkn3ss4ev3r_
geschrieben 19. Juni 2015 - 23:35
Wie sieht das in der Theorie aus?
Ist das nicht ein Angriffsfaktor aus dem Internet wenn man sowas hat?
#6
geschrieben 19. Juni 2015 - 23:53
So eine gewisse Basis ist also da.
Aber, ja: letztlich kriegt immer derjenige, der DNS für Dich und mich und sonstwen bereitstellt, unsere Metadaten. Das läßt sich ebensowenig vermeiden wie die Tatsache, daß der Telefonanbieter die von uns gewählten Rufnummern bekommt. Die einzige Frage die bleibt, ist, *welcher* Anbieter diese Information von uns kriegen soll.
-- Was DNSSEC angeht, das "nutzt" man als Endbenutzer nicht. Es ist eher eine Art SSL für DNS-Server - dahingehend, daß eine vertrauenstransportierende Plattform geschaffen wird, anhand welcher man die Gegenstelle identifizieren kann und insbesondere DNS-Highjackern die Arbeit erschweren soll. Hintergrund: Vertraue ich DNS-Server A, und DNS-Server A vertraut DNS-Server B, dann möchte ich auf dieser Basis auch DNS-Server B vertrauen können. Also wie bei SSL. Hierfür muß man halt als DNS-Serverbetreiber was tun - Clients kriegen kein DNSSEC, wenn es der DNS-Serverbetreiber nicht implementiert.
Übrigens bringt auch ein eigener DNS-Server an dieser Stelle nur bedingt etwas, wenn man nicht grad die DNS-Architektur komplett mißbrauchen will. Denn dann muß ja irgendein Forwarder ran und dem muß man dann ja auch wieder vertrauen. ... Ausnahme wieder: dieser unterstützt DNSSEC. Dann sieht das etwas anders aus. Aber um die Prüfung muß man sich trotzdem noch kümmern.
--- Letztendlich läuft es halt wirklich nur und ausschließlich auf Vertrauen hinaus. Wenn man dem Anbieter eines DNS-Dienstes *vertraut* und sich ausreichend sicher ist, daß dieser auch nicht gekapert wird, und daß dieser auch nicht mit den erhaltenen Daten Schindluder treibt -- was immer man darunter verstehen mag: Ja, klar kann man dann diesen DNS-Dienst nutzen. Aber wenn es halt ein Hinterhofanbieter ist, der komischerweise plötzlich über Dein Surfverhalten besser Bescheid zu wissen scheint als Du selber... nun ja, dann war das vielleicht der falsche Anbieter gewesen.
Dieser Beitrag wurde von RalphS bearbeitet: 19. Juni 2015 - 23:54
#7 _d4rkn3ss4ev3r_
geschrieben 20. Juni 2015 - 00:26
Vielen Dank für die Aufklärung!
#8
geschrieben 20. Juni 2015 - 09:39
Was ich dazu noch anmerken muss ist, dass der Provider des Anschlusses eine riesen Auswirkung hat.
@d4rkn3ss4ev3r: Wie ist dein Netzwerk und somit seine Namensauflösung beschaffen?
#9
geschrieben 20. Juni 2015 - 14:41
Zitat (RalphS: 19. Juni 2015 - 22:49)
Daher... Vorteil: Der fragliche DNS-Server ist vermutlich auch dann noch erreichbar, wenn es der Deines ISPs nicht ist. Nachteil: Der ganze Rest.
Wobei man den kleinen Vorteil auch noch eingrenzen muß. Wenn der DNS-Server des eigenen ISP nicht erreichbar ist, hat der ISP ja mit Sicherheit ein technisches Problem und möglicherweise hat man dann gar keinen Internetzugang und in dem Fall nützen einem die fremden DNS-Server ja auch nichts.
#10 _d4rkn3ss4ev3r_
geschrieben 20. Juni 2015 - 14:50
Ich habe VDSL50 von Congstar und auch leicht darüber ankommendene Werte. Dazu hab ich bisher den ISP DNS drin, also weder in der Fritzbox7360 (PC per Gigabit-LAN zum Router verbunden) noch in Win7 x64 etwas geändert.
Öh was fehlt noch an Infos?
#11
geschrieben 21. Juni 2015 - 13:05
Oder das von Holger_N, kein DNS Server des ISPs => anderer DNS wäre dann sowieso nicht zu erreichen.
Nein, ein DNS Server würde für mich nur höchstens dann einen Sinn machen, wenn ich wüsste, dass der des ISPs sich an alle Gesetze hält und die Liste der durch Gesetz gesperrten DNS Einträge ziemlich lang wäre.
#12
geschrieben 21. Juni 2015 - 13:45
#13
geschrieben 21. Juni 2015 - 15:41
Aber das ist wohl keiner der Vorteile die du wissen wolltest.
#14 _d4rkn3ss4ev3r_
geschrieben 21. Juni 2015 - 16:18
Als Ersatz-DNS habe ich den vom CCC genommen, insofern der überhaupt jemals genutzt wird.
#15
geschrieben 21. Juni 2015 - 19:38
Zitat (d4rkn3ss4ev3r: 20. Juni 2015 - 14:50)
Ich habe VDSL50 von Congstar und auch leicht darüber ankommendene Werte. Dazu hab ich bisher den ISP DNS drin, also weder in der Fritzbox7360 (PC per Gigabit-LAN zum Router verbunden) noch in Win7 x64 etwas geändert.
Öh was fehlt noch an Infos?
Die DNS-Einstellungen im Client würde ich nur anpassen wenn es Sinn macht. Ansonsten kannst du in der Fritz Box die Server anpassen, da macht das in deinem Netzwerk auch mehr Sinn.
So kannst du zumindest die Geschwindigkeit testen.
http://www.ivankrist...s-benchmarking/