DNS over TLS + Diagnostic > DNS Lookup

viragomann

@bob-dig said in DNS over TLS + Diagnostic > DNS Lookup:

Das Logging aller DNS requests hat meine Sense außerdem in die Knie gezwenkt, musste ich feststellen.

?
Was loggst du da?

Bob.Dig

@viragomann hab mal alles mit Port 53 und 853 loggen wollen, hab außerdem währenddessen das Logfile löschen wollen, damit kam sie dann nicht mehr so recht klar...

viragomann

@bob-dig
Packet capture mit full-details?
Hast wohl eine Menge DNS Abfragen.

wkn

Was ist denn eigentlich der große Nutzen von DoH oder DoT, wenn die IP aus der aufgelösten DNS-Query dann doch danach wieder direkt "kontaktiert" wird?

Ich nutze Unbound in Resolver-Modus, das LAN redirected auf die pfSense, DoH-Server blockiert.

viragomann

@wkn
Das Vertrauen in unseren Provider ist nicht mehr gegeben und wir werden uns mittelfristig auch von ihm trennen. Aber bis dahin möchte ich unser Netz möglichst von ihm abschotten.

Unverschlüsseltes DNS könnte auf einen eigenen Server umgeleitet und mit Overrides belegt werden. Mit DoT oder DoH geht das nicht.

thiasaef

@viragomann said in DNS over TLS + Diagnostic > DNS Lookup:

Aber bis dahin möchte ich unser Netz möglichst von ihm abschotten.

WireGuard auf einen Server des Vertrauens ... done

Unverschlüsseltes DNS könnte auf einen eigenen Server umgeleitet und mit Overrides belegt werden. Mit DoT oder DoH geht das nicht.

Ohne DoT oder DoH auch nicht, denn DNSSEC sichert die Integrität der unverschlüsselten DNS Antwort ab.

viragomann

@thiasaef
VPN ist jetzt nicht die Option. Wir nutzen IPs des Providers für eingehende Verbindungen.

Danke für den Link zum DNSSEC Guide.
DNSSEC setzt demnach voraus, dass die erfragte Domain signiert ist. Wie verbreitet ist denn das? Das ist irgendwie schlecht greifbar für mich.
Ich nehme an, dass die "Großen", die für beispw. Updates kontaktiert werden, alle signierte Domains haben.(?) Damit wäre wohl das Wichtigste eh schon abgedeckt.

thiasaef

@viragomann said in DNS over TLS + Diagnostic > DNS Lookup:

DNSSEC setzt demnach voraus, dass die erfragte Domain signiert ist.

Nein! Authentizität != Integrität.

Wie verbreitet ist denn das?

Wenig: https://rick.eng.br/dnssecstat/

viragomann

@thiasaef said in DNS over TLS + Diagnostic > DNS Lookup:

Nein! Authentizität != Integrität.

Dann versteh ich wohl nicht, wie DNSSEC die Integrität sicherstellt. So wie ich das lese, ist die Signatur dafür nötig.

thiasaef

@viragomann ich bin bisher davon ausgegangen, dass es zur Wahrung der Integrität der Antwort genügt, wenn der verantwortliche autoritative Nameserver DNSSEC unterstützt, aber jetzt, wo du nachfragst, bin ich mir nicht mehr sicher, ob das stimmt.