Jump to content
Sign in to follow this  
Harald Brombach (digi.no)

Apples operativ­systemer skal støtte kryptert DNS

Recommended Posts

I utgangspunktet har det vel liten betydning for nettlverandør om du benytter deres DNS server eller ikke. De kan jo scanne trafikken, med DPI el. Eks jeg slår opp diskusjon.no. Det gir meg følgende svar: Non-authoritative answer:
Name:    diskusjon.no
Addresses:  2a02:c0:40e::fe2, 2a02:c0:40e::fe1, 87.238.60.135, 87.238.60.136

Kjører jeg det i retur får jeg: www.tu.c.bitbit.net, å trafikken etterpå går jo dit om jeg velger å åpne nettsiden jeg gjorde oppslag på.

Å din leverandør kan se at du kontakter TU sitt netverk eller der trafikken sendes, samt alle leverandører du går igjennom på veien til målet. Jeg tenker kanskje at å benytte nettleverandørs DNS tjeneste er det som gir minst informasjon videre, fordi den ofte vil ligge nærmest og i leverandørens eget nett.

En VPN løsning vil føre til at alle på veien kan se trafikken som går til VPN server, men om trafikken derfra går tilbake i nettet du kom fra vil nettleverandørene kunne sannsynliggjøre at trafikken ser ut til å stamme fra ditt utgangspunkt uten VPN, men jo mer trafikk på VPN serveren jo vanskeligere blir det.

Poenget mitt er vel at jeg ikke helt ser hva kryptering av denne trafikken skal hjelpe med.

Edited by St. Anders
  • Like 1

Share this post


Link to post
Annonse
23 hours ago, St. Anders said:

I utgangspunktet har det vel liten betydning for nettlverandør om du benytter deres DNS server eller ikke. De kan jo scanne trafikken, med DPI el. Eks jeg slår opp diskusjon.no. Det gir meg følgende svar: Non-authoritative answer:
Name:    diskusjon.no
Addresses:  2a02:c0:40e::fe2, 2a02:c0:40e::fe1, 87.238.60.135, 87.238.60.136

Eller kjøre et omvendt oppslag på IP-adressen trafikken går til. Kryptert DNS vil jeg si mer er en løsning for å unngå enkle MITM-angrep basert på DNS.

 

Share this post


Link to post

Ja det kan jeg kanskje henge litt mer med på at kan hjelpe på at personer kan etterlikne trafikken å gi deg et annet oppslag(Forfalske). Men vil du få beskjed på noen måte at dns over tls feiler, evt mulighet til å ikke godta annet en kryptert forbindelse eller vil den bare godta at tls ikke kan forhandles, for da er du vel like langt i den sammenheng. 

Share this post


Link to post

Det er allerede en effektiv måte å stoppe man in the middle i å forandre DNS data. Denne løsningen heter DNSSEC og den gjør det umulig og forandre svar fra et domenes navnetjenere. Dette gjøres vet at hvert DNS record signeres av navnetjenerene for domenet. DNSSEC sikrer dataene mot forandring. Men ikke innsyn. DNS over TLS/HTTPS sikrer oppslagene mot innsyn men garanterer ikke at de ikke har blitt forandret.

  • Like 1

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...