Gå til innhold

Apples operativ­systemer skal støtte kryptert DNS


Anbefalte innlegg

Videoannonse
Annonse

I utgangspunktet har det vel liten betydning for nettlverandør om du benytter deres DNS server eller ikke. De kan jo scanne trafikken, med DPI el. Eks jeg slår opp diskusjon.no. Det gir meg følgende svar: Non-authoritative answer:
Name:    diskusjon.no
Addresses:  2a02:c0:40e::fe2, 2a02:c0:40e::fe1, 87.238.60.135, 87.238.60.136

Kjører jeg det i retur får jeg: www.tu.c.bitbit.net, å trafikken etterpå går jo dit om jeg velger å åpne nettsiden jeg gjorde oppslag på.

Å din leverandør kan se at du kontakter TU sitt netverk eller der trafikken sendes, samt alle leverandører du går igjennom på veien til målet. Jeg tenker kanskje at å benytte nettleverandørs DNS tjeneste er det som gir minst informasjon videre, fordi den ofte vil ligge nærmest og i leverandørens eget nett.

En VPN løsning vil føre til at alle på veien kan se trafikken som går til VPN server, men om trafikken derfra går tilbake i nettet du kom fra vil nettleverandørene kunne sannsynliggjøre at trafikken ser ut til å stamme fra ditt utgangspunkt uten VPN, men jo mer trafikk på VPN serveren jo vanskeligere blir det.

Poenget mitt er vel at jeg ikke helt ser hva kryptering av denne trafikken skal hjelpe med.

Endret av St. Anders
  • Liker 1
Lenke til kommentar
23 hours ago, St. Anders said:

I utgangspunktet har det vel liten betydning for nettlverandør om du benytter deres DNS server eller ikke. De kan jo scanne trafikken, med DPI el. Eks jeg slår opp diskusjon.no. Det gir meg følgende svar: Non-authoritative answer:
Name:    diskusjon.no
Addresses:  2a02:c0:40e::fe2, 2a02:c0:40e::fe1, 87.238.60.135, 87.238.60.136

Eller kjøre et omvendt oppslag på IP-adressen trafikken går til. Kryptert DNS vil jeg si mer er en løsning for å unngå enkle MITM-angrep basert på DNS.

 

Lenke til kommentar

Ja det kan jeg kanskje henge litt mer med på at kan hjelpe på at personer kan etterlikne trafikken å gi deg et annet oppslag(Forfalske). Men vil du få beskjed på noen måte at dns over tls feiler, evt mulighet til å ikke godta annet en kryptert forbindelse eller vil den bare godta at tls ikke kan forhandles, for da er du vel like langt i den sammenheng. 

Lenke til kommentar

Det er allerede en effektiv måte å stoppe man in the middle i å forandre DNS data. Denne løsningen heter DNSSEC og den gjør det umulig og forandre svar fra et domenes navnetjenere. Dette gjøres vet at hvert DNS record signeres av navnetjenerene for domenet. DNSSEC sikrer dataene mot forandring. Men ikke innsyn. DNS over TLS/HTTPS sikrer oppslagene mot innsyn men garanterer ikke at de ikke har blitt forandret.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...