OpenDNS in Zusammmenhang mit Sicherheit und anonymes Surfen
Hallo zusammen,
ich habe schon seit einigen Jahren OpenDNS (und für längerer Zeit) genutzt und war durchaus begeistert.
Nun möchte ich es wieder nutzen habe aber etwas bedenken über OnlineBanking etc.
Ich kenne mich in Netzwerktechnik nicht so ganz aus und brauche daher etwas Unterstützung.
Mit solchen Servern kann man reintheoretisch das Surfverhalten des Nutzers mitscheiden.
Also sehen die auf welchen Seiten man surft.
Das ist mir aber nicht so schlimm.
Aber wenn es um Sicherheit bei sensiblen Daten geht, dann bin ich etwas achtsamer.
Eine Bankseite ist immer SSL verschlüsselt, daher werden die Daten verschlüsselt übertragen.
Laufen aber diese Daten über den DNS Betreiber durch, so wie eine Hub etc.?
Oder ist die Übertragung direkt?
ich habe schon seit einigen Jahren OpenDNS (und für längerer Zeit) genutzt und war durchaus begeistert.
Nun möchte ich es wieder nutzen habe aber etwas bedenken über OnlineBanking etc.
Ich kenne mich in Netzwerktechnik nicht so ganz aus und brauche daher etwas Unterstützung.
Mit solchen Servern kann man reintheoretisch das Surfverhalten des Nutzers mitscheiden.
Also sehen die auf welchen Seiten man surft.
Das ist mir aber nicht so schlimm.
Aber wenn es um Sicherheit bei sensiblen Daten geht, dann bin ich etwas achtsamer.
Eine Bankseite ist immer SSL verschlüsselt, daher werden die Daten verschlüsselt übertragen.
Laufen aber diese Daten über den DNS Betreiber durch, so wie eine Hub etc.?
Oder ist die Übertragung direkt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 657809
Url: https://administrator.de/contentid/657809
Ausgedruckt am: 18.11.2024 um 11:11 Uhr
3 Kommentare
Neuester Kommentar
Mit solchen Servern kann man reintheoretisch das Surfverhalten des Nutzers mitscheiden.
Mit allen DNS Servern die deine DNS Requests nicht verschlüsselt annehmen z.B. mit DoH oder DoT TLS verschlüsselt.Anhand der unverschlüsselten DNS Requests kann man immer genau dein Internet Verhalten analysieren und ein Profil erstellen. Von diesen Daten lebt z.B. Google wenn man z.B. die 8.8.8.8 als DNS benutzt.
Das hier solltest du zu dem Thema lesen, dort wird alles Wichtige zu dem Thema explizit erklärt. Das alles hier aufzuführen würde den Forenrahmen sprengen.
https://www.heise.de/select/ct/2020/22/2024813000200650231
https://www.heise.de/ratgeber/Fritzbox-So-schuetzen-Sie-beim-Surfen-die- ...
und auch das wenn man einen eigenen DNS Filter betreiben möchte:
https://www.heise.de/select/ct/2019/5/1551091804941410
Moin,
stelle dir vor, du öffnest die Seite "www.bank.de" in deinem Browser. Der Browser muss nun wissen, unter welcher IP erreiche ich bank.de. Er frägt also den im Computer hinterlegten DNS-Server (in der Regel eine lokale IP, z.B. 192.168.178.1 wenn du eine unkonfigurierte FritzBox hast). Diese sagt, ich bin für bank.de nicht zuständig und frägt den DNS-Server des Providers. Der Provider-DNS-Server (z.b. Telekom) sagt, ich bin für bank.de auch nicht nicht zuständig und frägt den für das Telekom-Netz zuständigen DNS-Server. Das geht so lange, bis irgendwann eine Antwort auf die Anfrage kommt.
Entweder es gibt auf dem Weg einen DNS-Server, der diese Info gecached hat und dir die Info zurück gibt, oder am Ende der Kette werden die s.g. root-Server gefragt. Diese sind für die Top-Level-Domains zuständig, also z.B. für .de-Domains. Herkömlich funktioniert dieser Kommunikationsweg unverschlüsselt. Das heißt, alle DNS-Server, die in der Anfrage genutzt wurden, haben nun die Info, dass du diese DNS-Anfrage gemacht hast. Mit "du" meine ich deine öffentliche IP deines Routers.
In letzter Zeit gibt es, wie @aqui schon schneller beantwortet hat :D, aber Protokolle und Verfahren, um genau diese DNS-Anfragen sicherer zu machen. Zu nennen sind dabei z.b. DNSSEC oder DNS over HTTPS. Der Firefox z.B. unterstützt erst seit ein paar Monaten DNS over HTTPS (DOH). Entsprechend müssen diese Anfragen ja auch die DNS-Server unterstützten. Quad9 gehört z.B. zu denen, die sowohl DNSSEC als auch DoH unterstützen.
Jedenfalls, der Antwortweg geht bei der unverschlüsselten Kommunikations dann so lange wieder rückwärts, bis dein Browser dann auch weiß, welche IP hinter bank.de steckt. Innerhalb weniger ms ist das erledigt.
Und jetzt verbindet sich dein Browser mit einer neuen Anfrage über HTTPS mit der IP des Webservers von bank.de. Diese Kommunikations erfolgt dann verschlüsselt mit TLS (Weiterentwicklung von SSL) über HTTPS. Immer wenn du auf der Seite rumklickst, wird immer wieder der DNS-Name aufgelöst und die DNS-Anfrage wird durchgeführt. Aber der eigentliche Inhalt deiner Kommunikations ist eben verschlüsselt. Also die DNS-Server sind in dieser Kommunikation nicht mehr enthalten. Dein Browser prüft dann z.B., ob die Seite verschlüsselt ist bzw. ein gültiges öffentliches Zertifikat besitzt (grünes Schloss in der Adresszeile). Aber Zertifikate sind nochmal ein anderes Thema.
MfG
stelle dir vor, du öffnest die Seite "www.bank.de" in deinem Browser. Der Browser muss nun wissen, unter welcher IP erreiche ich bank.de. Er frägt also den im Computer hinterlegten DNS-Server (in der Regel eine lokale IP, z.B. 192.168.178.1 wenn du eine unkonfigurierte FritzBox hast). Diese sagt, ich bin für bank.de nicht zuständig und frägt den DNS-Server des Providers. Der Provider-DNS-Server (z.b. Telekom) sagt, ich bin für bank.de auch nicht nicht zuständig und frägt den für das Telekom-Netz zuständigen DNS-Server. Das geht so lange, bis irgendwann eine Antwort auf die Anfrage kommt.
Entweder es gibt auf dem Weg einen DNS-Server, der diese Info gecached hat und dir die Info zurück gibt, oder am Ende der Kette werden die s.g. root-Server gefragt. Diese sind für die Top-Level-Domains zuständig, also z.B. für .de-Domains. Herkömlich funktioniert dieser Kommunikationsweg unverschlüsselt. Das heißt, alle DNS-Server, die in der Anfrage genutzt wurden, haben nun die Info, dass du diese DNS-Anfrage gemacht hast. Mit "du" meine ich deine öffentliche IP deines Routers.
In letzter Zeit gibt es, wie @aqui schon schneller beantwortet hat :D, aber Protokolle und Verfahren, um genau diese DNS-Anfragen sicherer zu machen. Zu nennen sind dabei z.b. DNSSEC oder DNS over HTTPS. Der Firefox z.B. unterstützt erst seit ein paar Monaten DNS over HTTPS (DOH). Entsprechend müssen diese Anfragen ja auch die DNS-Server unterstützten. Quad9 gehört z.B. zu denen, die sowohl DNSSEC als auch DoH unterstützen.
Jedenfalls, der Antwortweg geht bei der unverschlüsselten Kommunikations dann so lange wieder rückwärts, bis dein Browser dann auch weiß, welche IP hinter bank.de steckt. Innerhalb weniger ms ist das erledigt.
Und jetzt verbindet sich dein Browser mit einer neuen Anfrage über HTTPS mit der IP des Webservers von bank.de. Diese Kommunikations erfolgt dann verschlüsselt mit TLS (Weiterentwicklung von SSL) über HTTPS. Immer wenn du auf der Seite rumklickst, wird immer wieder der DNS-Name aufgelöst und die DNS-Anfrage wird durchgeführt. Aber der eigentliche Inhalt deiner Kommunikations ist eben verschlüsselt. Also die DNS-Server sind in dieser Kommunikation nicht mehr enthalten. Dein Browser prüft dann z.B., ob die Seite verschlüsselt ist bzw. ein gültiges öffentliches Zertifikat besitzt (grünes Schloss in der Adresszeile). Aber Zertifikate sind nochmal ein anderes Thema.
MfG
Diese sagt, ich bin für bank.de nicht zuständig und frägt den DNS-Server des Providers.
Das ist nicht ganz korrekt...Zuerst befrägt sie ihren eigenen DNS Cache ob nicht zuvor schon jemand im Netz mal nach bank.de gefrägt hat und sie diese IP schon in ihrem lokalen DNS Cache hat. Ist das der Fall antwortet sie direkt ohne ihren konfigurierten Uplink DNS zu frägen/fragen. Sollte es nicht im Cache stehen befragt sie den Uplink DNS, kennt der das nicht befragt der wiederum den Root DNS. Das ist ein Baumsystem.
DNSSEC verschlüsselt per se den Request nicht. Das erstmal dient nur dem digitalen Verifizieren der Server mit einer Signature. http://dnssec.vs.uni-due.de