Hvordan Implementere DNS Over TLS

[norsemanGrey]

Er det noen som vet hvordan man kan sette opp DoT (DNS-Over-TLS) slik at DNS spørringer ut fra fra enheter på nettverket blir kryptert? 

[Civilix]

Hva klient er det du tenker å slå dette på i?

I nettverket er det bare utgående port 853 som må være åpen.

[sk0yern]

norsemanGrey skrev (4 timer siden):

Er det noen som vet hvordan man kan sette opp DoT (DNS-Over-TLS) slik at DNS spørringer ut fra fra enheter på nettverket blir kryptert? 

Det kommer helt an på enheten.

Android 9: https://developers.google.com/speed/public-dns/docs/using#android
Windows: ikke mulig foreløpig

Løsningen er å kjøre sin egen dns-server hjemme, og la den snakke DoT ut mot f.eks cloudflare eller google sine dns-servere.

[norsemanGrey]

19 hours ago, sk0yern said:

Det kommer helt an på enheten.

Android 9: https://developers.google.com/speed/public-dns/docs/using#android
Windows: ikke mulig foreløpig

Løsningen er å kjøre sin egen dns-server hjemme, og la den snakke DoT ut mot f.eks cloudflare eller google sine dns-servere.

Ja det er egentlig det jeg lurer på. Jeg ønsker ikke å sette opp dette pr. enhet da det som du sier ikke er alt som støtter DoT enda. Men som jeg har forstått så er en DNS -server er så mangt. Jeg har i dag en Pi-Hole som er satt opp mot Google. Men hva med trafikken mellom e.g. Google/Cloudflare og andre navn-servere? Er denne kryptert?

[Civilix]

norsemanGrey skrev (22 minutter siden):

 Men hva med trafikken mellom e.g. Google/Cloudflare og andre navn-servere? Er denne kryptert?

Tror ikke helt du forstår hvordan DNS fungerer, hva som skjer videre etter din DNS-leverandør er totalt irrelevant når det kommer til DoT.

[norsemanGrey]

20 hours ago, Civilix said:

Tror ikke helt du forstår hvordan DNS fungerer, hva som skjer videre etter din DNS-leverandør er totalt irrelevant når det kommer til DoT.

Nei er ingen ekspert ihvertfall, men tror jeg har forstått det noenlunde. Hvorfor vil du si at det som skjer mellom "DNS-leverandøren" og de autoritative navne-serverne  er irrelevant?

[sk0yern]

norsemanGrey skrev (44 minutter siden):

Nei er ingen ekspert ihvertfall, men tror jeg har forstått det noenlunde. Hvorfor vil du si at det som skjer mellom "DNS-leverandøren" og de autoritative navne-serverne  er irrelevant?

Hvis Cloudflare sin 1.1.1.1 spør etter www.pornhub.com, så er det vanskelig å knytte det til hvilken klient som igjen spurte cloudflare om dette.

[Rasjonelt]

Se på Stubby

[oddeh]

norsemanGrey skrev (1 time siden):

Nei er ingen ekspert ihvertfall, men tror jeg har forstått det noenlunde. Hvorfor vil du si at det som skjer mellom "DNS-leverandøren" og de autoritative navne-serverne  er irrelevant?

din ip er skjult/ikke relevant da.

[sk0yern]

Spørsmålet du kanskje uansett bør stille deg, er hvorfor du vil at dns-forespørsler skal gå kryptert.
Hva eller hvem er det du skal beskytte deg mot?

[Rudde]

sk0yern skrev (2 timer siden):

Hvis Cloudflare sin 1.1.1.1 spør etter www.pornhub.com, så er det vanskelig å knytte det til hvilken klient som igjen spurte cloudflare om dette.

Mulig, men kanskje ikke like vanskelig om det er OlaNordmannsmancaveogræl.no ?

[Civilix]

Rudde skrev (1 time siden):

Mulig, men kanskje ikke like vanskelig om det er OlaNordmannsmancaveogræl.no ?

Igjen ikke relevant, den som sitter på informasjonen er din DNS-leverandør og de vil alltid ha mulighet til å logge noe som sier noe om trafikken fra din adresse. Å skulle snappe opp den informasjonen for en tredjepart ville være helt teoretisk.

Å ha en ende til ende kryptert DNS er ikke mulig, alle leverandører langs veien må ha informasjon om hvor forespørselen skal gå. Heldigvis tar ikke noen DNS server å sender med informasjon om endepunktet til neste DNS-server i kjeden. Så alt du som ett endepunkt trenger å bekymre deg for er transporten til din valgte leverandør av DNS tjeneste, og at du velger en leverandør som du stoler på at ikke utleverer dine data. 

Endret 29. januar 2020 av Civilix

[Rudde]

Civilix skrev (7 timer siden):

Igjen ikke relevant, den som sitter på informasjonen er din DNS-leverandør og de vil alltid ha mulighet til å logge noe som sier noe om trafikken fra din adresse. Å skulle snappe opp den informasjonen for en tredjepart ville være helt teoretisk.

Å ha en ende til ende kryptert DNS er ikke mulig, alle leverandører langs veien må ha informasjon om hvor forespørselen skal gå. Heldigvis tar ikke noen DNS server å sender med informasjon om endepunktet til neste DNS-server i kjeden. Så alt du som ett endepunkt trenger å bekymre deg for er transporten til din valgte leverandør av DNS tjeneste, og at du velger en leverandør som du stoler på at ikke utleverer dine data. 

Problemet oppstår jo når du innser det ikke er noen det er noe grunn til å stole på, og du må hoste DNS selv og igjen har samme problem. Dette er jo NØYAKTIG hvorfor vi vil ha DoT og spør om løsninger for det. Det er fordi vi ikke skal trenge å stole på noen. Det er hele poenget.

[Civilix]

Rudde skrev (9 timer siden):

Problemet oppstår jo når du innser det ikke er noen det er noe grunn til å stole på, og du må hoste DNS selv og igjen har samme problem. Dette er jo NØYAKTIG hvorfor vi vil ha DoT og spør om løsninger for det. Det er fordi vi ikke skal trenge å stole på noen. Det er hele poenget.

Tror også du kan med fordel lese litt om hvordan DNS fungerer. Selv med DoT har hvem enn du velger å sende forespørsler til mulighet til å få innblikk i hva oppslag du gjør, skal du bruke DNS må du eksponere dine oppslag til noen andre.

Eneste forskjellen DoT gjør er at det bare er DNS leverandør som kan se dine oppslag, og ikke eventuelle nettverksleverandører underveis.

Ved å flytte DNS inn i eget hus kan du velge at den gjør oppslag rett mot rotservere men da kan det være at den gjør oppslag mot servere lengre ned i kjeden som ikke er beskyttet av DoT, du kan tvinge DoT men da risikerer du å ikke få svar på noen av oppslaga. Alternativt setter du opp din DNS mot en annen DNS-leverandør, da kan du kjøre DoT for alle oppslag ut fra deg, men det blir ingen forskjell på å gjøre dette og å kjøre DoT direkte fra klient.

Ser du på f.eks. cloudflare sier jo de at de ikke logger dine oppslag eller ipadresse og alle logger forsvinner etter 24 timer. De har til og med leid inn eksterne til å bekrefte disse påstandene. Men hvis du ikke stoler på cloudflare eller de eksterne revisorene har jo ikke den lovnaden mye å si...

Missforstå meg riktig, DoT er kjempefint og ett steg i riktig retning, men det er like viktig å forstå hva det ikke er. For privatpersoner holder det lenge med å kjøre DoH(DNS over HTTPS) fra nettleser fram til klienten støtter DoT. DoH er også støttet av flere DNS servere enn DoT.