Harald Brombach (digi.no) Skrevet 26. juni 2020 Rapporter Del Skrevet 26. juni 2020 Apples operativsystemer skal støtte kryptert DNS Lenke til kommentar
St. Anders Skrevet 26. juni 2020 Rapporter Del Skrevet 26. juni 2020 (endret) I utgangspunktet har det vel liten betydning for nettlverandør om du benytter deres DNS server eller ikke. De kan jo scanne trafikken, med DPI el. Eks jeg slår opp diskusjon.no. Det gir meg følgende svar: Non-authoritative answer: Name: diskusjon.no Addresses: 2a02:c0:40e::fe2, 2a02:c0:40e::fe1, 87.238.60.135, 87.238.60.136 Kjører jeg det i retur får jeg: www.tu.c.bitbit.net, å trafikken etterpå går jo dit om jeg velger å åpne nettsiden jeg gjorde oppslag på. Å din leverandør kan se at du kontakter TU sitt netverk eller der trafikken sendes, samt alle leverandører du går igjennom på veien til målet. Jeg tenker kanskje at å benytte nettleverandørs DNS tjeneste er det som gir minst informasjon videre, fordi den ofte vil ligge nærmest og i leverandørens eget nett. En VPN løsning vil føre til at alle på veien kan se trafikken som går til VPN server, men om trafikken derfra går tilbake i nettet du kom fra vil nettleverandørene kunne sannsynliggjøre at trafikken ser ut til å stamme fra ditt utgangspunkt uten VPN, men jo mer trafikk på VPN serveren jo vanskeligere blir det. Poenget mitt er vel at jeg ikke helt ser hva kryptering av denne trafikken skal hjelpe med. Endret 26. juni 2020 av St. Anders 1 Lenke til kommentar
Vidofnir Skrevet 27. juni 2020 Rapporter Del Skrevet 27. juni 2020 SRV record levert over kryptert DNS i samspill med Encrypted SNI gir et godt utgangspunkt for personvern Lenke til kommentar
NULL Skrevet 27. juni 2020 Rapporter Del Skrevet 27. juni 2020 23 hours ago, St. Anders said: I utgangspunktet har det vel liten betydning for nettlverandør om du benytter deres DNS server eller ikke. De kan jo scanne trafikken, med DPI el. Eks jeg slår opp diskusjon.no. Det gir meg følgende svar: Non-authoritative answer: Name: diskusjon.no Addresses: 2a02:c0:40e::fe2, 2a02:c0:40e::fe1, 87.238.60.135, 87.238.60.136 Eller kjøre et omvendt oppslag på IP-adressen trafikken går til. Kryptert DNS vil jeg si mer er en løsning for å unngå enkle MITM-angrep basert på DNS. Lenke til kommentar
St. Anders Skrevet 27. juni 2020 Rapporter Del Skrevet 27. juni 2020 Ja det kan jeg kanskje henge litt mer med på at kan hjelpe på at personer kan etterlikne trafikken å gi deg et annet oppslag(Forfalske). Men vil du få beskjed på noen måte at dns over tls feiler, evt mulighet til å ikke godta annet en kryptert forbindelse eller vil den bare godta at tls ikke kan forhandles, for da er du vel like langt i den sammenheng. Lenke til kommentar
Emigranten Skrevet 29. juni 2020 Rapporter Del Skrevet 29. juni 2020 Det er allerede en effektiv måte å stoppe man in the middle i å forandre DNS data. Denne løsningen heter DNSSEC og den gjør det umulig og forandre svar fra et domenes navnetjenere. Dette gjøres vet at hvert DNS record signeres av navnetjenerene for domenet. DNSSEC sikrer dataene mot forandring. Men ikke innsyn. DNS over TLS/HTTPS sikrer oppslagene mot innsyn men garanterer ikke at de ikke har blitt forandret. 1 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå