Nutzung von DNSSEC

S

Spezialexperte

Profi
Thread Starter
Mitglied seit
22.03.2021
Beiträge
24
Grüße,

wie hält man es denn hier mit DNSSEC (und DNSCrypt)?

Hintergrund: Im Zusammenhang mit Pi-hole und der Software Unbound sehe ich immer wieder Artikel auf Ratgeberseiten die DNSSEC anpreisen. Meiner Meinung nach ist DNSSEC gescheitert und überflüssig. Ich nutzte DNS-über-TLS. Laut https://stats.labs.apnic.net/dnssec sind Deutschland und Indien die einzigen größeren Länder in denen DNSSEC erfolgreich ist (warum?). Sind wir schlauer als die anderen, oder haben wir noch nicht gemerkt dass wir ein totes Pferd reiten?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Schlecht formuliert. Ich nutzte Unbound für DNS-über-TLS, was Pi-hole nicht kann. Die Anleitungen für Unbound beschreiben alle die Einrichtung von DNSSEC. Ich frage mich warum. DoT hat mit DNSSEC nix zu tun, es sind einfach zwei verschiedene Gründe warum man Unbound einsetzt.
 
Ok dann zu wie haltet ihr es mit DNSSEC:
Ich habe DNSSEC auf all meinen Domains an und mein Resolver validiert DNSSEC auch.

Warum DNSSEC in Deutschland erfolgreich ist ist auch sehr simpel. Die DNS Server von den Großen ISPs in DE Validieren DNSSEC während man sich in anderen Ländern dazu entschieden hat das zu ignorieren und dem User zu überlassen.

Ich würde den Unbound bei dir auch DNSSEC validieren lassen, weil ist schnell gemacht und kostet nichts und gegen Cache Poisoning effektiv. Momentan sieht sich ja Gott und die Welt als Cyber Krieger und da ist jegliche Validierung meiner Meinung nach willkommen.
 
TheBigG schrieb:
ist schnell gemacht und kostet nichts
Zum Vergrößern anklicken....
Ich habe es vor längerer Zeit mal mit systemd-resolved probiert, da war es extrem langsam und das Event-Log war voller DNSSEC-Fehler. Sehr vertrauenerweckend. Ich weiß dass Unbound einen superschlauen "Cache" hat, der Einträge vorausschauend validiert. Im Kurztest war das schon viel besser, aber doch merklich langsamer als ohne. Insofern kostet es Geschwindigkeit.

TheBigG schrieb:
gegen Cache Poisoning effektiv
Zum Vergrößern anklicken....
Nach meinem Verständnis ist Cache Poisoning / DNS-Spoofing wirkungslos bei TLS-Verbindungen und jede ernsthafte Seite benutzt heute TLS für alles. In Großbritannien validieren weniger als 10% der Domains, trotzdem gibt es keine Berichte über Cache Poisoning. Zeigt das nicht, daß DNSSEC überflüssig ist? (ich sage nicht daß es nutzlos ist)

Es wird zwar alle paar Jahre eine neue Cache Poisoning-Methode entdeckt, aber bei der Veröffentlichung ist das Problem bereits beseitigt. Ich sehe da keine ernsthafte Bedrohung.
 
Spezialexperte schrieb:
Ich habe es vor längerer Zeit mal mit systemd-resolved probiert, da war es extrem langsam und das Event-Log war voller DNSSEC-Fehler. Sehr vertrauenerweckend. Ich weiß dass Unbound einen superschlauen "Cache" hat, der Einträge vorausschauend validiert. Im Kurztest war das schon viel besser, aber doch merklich langsamer als ohne. Insofern kostet es Geschwindigkeit.
Zum Vergrößern anklicken....

Ich habe keine Ahnung was für Hardware bei dir läuft. Bei mir sind das zwischen 0-15 ms mehr.

Spezialexperte schrieb:
Nach meinem Verständnis ist Cache Poisoning / DNS-Spoofing wirkungslos bei TLS-Verbindungen und jede ernsthafte Seite benutzt heute TLS für alles. In Großbritannien validieren weniger als 10% der Domains, trotzdem gibt es keine Berichte über Cache Poisoning. Zeigt das nicht, daß DNSSEC überflüssig ist? (ich sage nicht daß es nutzlos ist)
Zum Vergrößern anklicken....
block mal port 80 und 8080 ausgehend auf dem Router und sei überrascht wieviel dabei kaputt geht. Vieles davon validiert das runtergeladene dann auch nicht mit Signaturen sondern führt es einfach aus.
Ich weiß auch ehrlichgesagt nicht wie Faulheit und Inkompetenz in anderen Ländern anzeigen sollte das eine Technik überflüssig wäre. Nebenbei wird dauerhaft Cache Poisoning betrieben und IP Netze gehijacked. Das ist so alltäglich das da einfach nicht mehr drüber berichtet wird, weil man das sonst 40 mal pro Tag machen würde und das führt nach wie vor zu erfolgreichen angriffen.
 
Zuletzt bearbeitet:
Es liegt eher nicht an der Hardware. Gerade habe ich es noch mal ausprobiert mit systemd-resolved und Cloudflare DNS (angeblich der schnellste Service). Mit DNSSEC ist es ca 20ms / 25% langsamer (Test mit 3 Domains). Das ist doch besser als erwartet. Da habe ich vielleicht das letzte Mal einen schlechten Server genommen, das weiß ich nicht mehr.

Lacher am Rande: heise.de validiert nicht, obwohl sie DNSSEC-Workshops verkaufen.

TheBigG schrieb:
block mal port 80 und 8080 ausgehend auf dem Router und sei überrascht wieviel dabei kaputt geht. Vieles davon validiert das runtergeladene dann auch nicht
Zum Vergrößern anklicken....
Naja, wenn man unverschlüsselte Binaries unverifiziert ausführt ist Cache Poisoning wohl eher ein Nebenproblem. Ich habe sowas schon lange nicht mehr gesehen.

TheBigG schrieb:
führt nach wie vor zu erfolgreichen angriffen
Zum Vergrößern anklicken....
Was für Angriffe? Hast du da Quellen dazu. DNS ist nicht mein Fachgebiet und ich finde absolut nichts dazu. Schon klar das Firmen keine Pressemitteilung machen wenn sie gegen die Hacker verlieren, aber ich lese nie was über erfolgreiche Angriffe auf DNS in der Praxis.
 
Das war eine BGP-Entführung, wohl die größte zu dem Zeitpunkt. Hatte ich jetzt noch gar nicht auf dem Radar. Viel bessere Version der Geschichte: https://www.theregister.com/2018/04/24/myetherwallet_dns_hijack

Today's attack on @myetherwallet (via BGP hijack of AWS name servers) proves beyond doubt that everyone should implement DNSSEC and HSTS asap!
Zum Vergrößern anklicken....

Da hätte DNSSEC tatsächlich geholfen, wenn der Betreiber der Seite es unterstützt hätte.
TLS hätte es verhindert, hätten die Opfer die Sicherheitswarnung nicht weggeklickt.
HSTS hätte das Wegklicken verhindert, hätte der Betreiber es aktiviert mit einer Zeile in der Serverkonfig.

Spricht für mich eher für HSTS (super einfach) und TLS (funktioniert immer), aber ja, DNSSEC würde da helfen.

Zeigt aber auch nebenbei das offenbar schon 2018 dieser BGP-Angriff einfacher war als Cache Poisoning.
 
TLS hätte da nur bedingt geholfen, der Angreifer hätte sich an der Stelle auch einfach ein valides TLS cert ausstellen können und da hätte es bei dir keinerlei wahrnung gegeben. Daher als Betreiber und Nutzer dnssec an und gut ist und falls man die Wahl hat auch am besten einen ISP nehmen der auch RPKI validiert
 
BGP und RPKI kann man als Normalo aber nicht beeinflussen oder überprüfen. Wenn ich den ISP frage ob ihr BGP sicher ist, werden sie kaum sagen "nee, geh lieber woanders hin".

Das Thema ist komplexer als ich dachte:

Mit DNSSEC (und HSTS) kann sich der Betreiber einer Website schützen - wenn der DNS des Nutzers DNSSEC macht oder der Kunde es selbst macht. Der Browser zeigt es aber nicht an und der Nutzer kann sich auf DNSSEC nicht verlassen, weil nicht jede Domain es unterstützt (aber viele der großen).

Mit TLS kann sich der Nutzer einer Website schützen, außer er ist dämlich und klickt die Sicherheitswarnung weg. TLS ist aber nicht narrensicher, es hat Fälle gegeben in denen Kriminelle Domains kurz besessen haben und ein TLS-Zertifikat von einer anderen CA erlangen konnten. DNS CAA würde das unterbinden, macht aber kaum jemand (3,5% der Top Sites 2021).

Am besten in eine Hütte im Wald ziehen.

BGP leaks and cryptocurrencies

Over the few last hours, a dozen news stories have broken about how an attacker attempted (and perhaps managed) to steal cryptocurrencies using a BGP leak.
blog.cloudflare.com blog.cloudflare.com
www.f5.com

The 2021 TLS Telemetry Report | F5 Labs

Creating an encrypted HTTPS website depends on a lot more than simply throwing a digital certificate at it and hoping for the best. In fact, Transport Layer Security (TLS) and HTTPS misconfigurations are now so commonplace that in the 2021 OWASP Top 10, Cryptographic Failures now comes in second...
www.f5.com www.f5.com
 
Spezialexperte schrieb:
BGP und RPKI kann man als Normalo aber nicht beeinflussen oder überprüfen. Wenn ich den ISP frage ob ihr BGP sicher ist, werden sie kaum sagen "nee, geh lieber woanders hin".
Zum Vergrößern anklicken....
isbgpsafeyet.com

Is BGP safe yet? · Cloudflare

On the Internet, network devices exchange routes via a protocol called BGP (Border Gateway Protocol). Unfortunately, issues with BGP have led to malicious actors being able to hijack and misconfigure devices leading to security problems which have the potential to cause widespread problems. BGP...
isbgpsafeyet.com isbgpsafeyet.com

Allerdings hätte ich tatsächlich auch ganz gerne das der Verbraucherschutz durchsetzen würde das man als ISP ein looking glass, sowie eine weathermap betreiben muss (Beispiel http://weathermap.ovh.net/ ), sowie offenlegen wo man überall DSL Anschlüsse Terminiert und ob man RPKI validiert, ob der Anschluss Dual Stack ist, alle 24 Stunden eine Zwangstrennung passiert, usw. Es mangelt leider massiv an Transparenz bevor man Kunde wird. Wenn man an der Ostsee wohnt und der ISP keinen PoP in Berlin hat und stattdessen Stumpf alles nach Frankfurt routet ist das für die Latenz vom Anschluss echt scheiße und hätte man das vorher gewusst wäre man wohl nie Kunde bei dem ISP geworden.
Beitrag automatisch zusammengeführt:

Spezialexperte schrieb:
Mit TLS kann sich der Nutzer einer Website schützen, außer er ist dämlich und klickt die Sicherheitswarnung weg. TLS ist aber nicht narrensicher, es hat Fälle gegeben in denen Kriminelle Domains kurz besessen haben und ein TLS-Zertifikat von einer anderen CA erlangen konnten. DNS CAA würde das unterbinden, macht aber kaum jemand (3,5% der Top Sites 2021).
Zum Vergrößern anklicken....
Um das Sauber zu machen müsste man DNS CAA mit Account pinning machen (https://datatracker.ietf.org/doc/html/rfc8657#name-extensions-to-the-caa-recor), momentan tragen die meisten nur die CA ein wenn sie CAA überhaupt aktiv haben, so könnte sich ein Angreifer aber nach wie vor ein Zertifikat für die Domain Ausstellen. Damit das ganze aber wirklich wirksam ist muss man dann auch DNSSEC aktiv haben, sonst könnte man ja wieder DNS Antworten ohne CAA geben die akzeptiert würden.
 
Zuletzt bearbeitet:
TheBigG schrieb:
Es mangelt leider massiv an Transparenz bevor man Kunde wir
Zum Vergrößern anklicken....
Dann würde ja auffallen, dass die Telekom 75% Marktanteil hat.

Golem.de: IT-News für Profis

www.golem.de

TheBigG schrieb:
momentan tragen die meisten nur die CA
Zum Vergrößern anklicken....
Kann daran liegen, dass laut https://www.golem.de/news/tls-zerti...-bei-validierung-ueberwinden-2212-170597.html die mit Abstand größte CA das erst im Dez 2022 eingeführt hat. Manche CAs scheinen eine interne Lösung dafür zu haben, die nicht im CAA-Eintrag auftaucht. Bei facebook.com habe ich einen account=xx Parameter gesehen, offenbar eine Sonderlösung von Digicert: https://docs.digicert.com/en/certce...ion-and-domain-management/domain-locking.html. Cloudflare soll CAA von Lets Encrypt ignorieren um irgendwas automatisch zu machen?
 
Spezialexperte schrieb:
Dann würde ja auffallen, dass die Telekom 75% Marktanteil hat.
Zum Vergrößern anklicken....
Was mittlerweile erstaunlich wenig ist dafür das sie mit VDSL das Monopol auf die TAL hat, man konkurriert ja nur mit DOCSIS und Glasfaser Anschlüssen. Wahrscheinlich hat die Telekom deshalb angefangen auch Glasfaser zu bauen, da ihr Monopol am Bröckeln ist.
Spezialexperte schrieb:
Kann daran liegen, dass laut https://www.golem.de/news/tls-zerti...-bei-validierung-ueberwinden-2212-170597.html die mit Abstand größte CA das erst im Dez 2022 eingeführt hat.
Zum Vergrößern anklicken....
Mehr als genug Zeit das zu implementieren.
Spezialexperte schrieb:
Manche CAs scheinen eine interne Lösung dafür zu haben, die nicht im CAA-Eintrag auftaucht. Bei facebook.com habe ich einen account=xx Parameter gesehen, offenbar eine Sonderlösung von Digicert: https://docs.digicert.com/en/certce...ion-and-domain-management/domain-locking.html.
Zum Vergrößern anklicken....
Das brauchte man nur vor dem RFC und ist jetzt überflüssig.
Spezialexperte schrieb:
Cloudflare soll CAA von Lets Encrypt ignorieren um irgendwas automatisch zu machen?
Zum Vergrößern anklicken....
Cloudflare braucht das da die jede TLS Verbindung aufbrechen und reingucken und daher für jede Domain die durch deren Server geleitet werden ein valides Zertifikat präsentieren können müssen. Wenn man Cloudflare nur als DNS Anbieter nutzt kann man das abschalten.
 
TheBigG schrieb:
Wahrscheinlich hat die Telekom deshalb angefangen auch Glasfaser zu bauen, da ihr Monopol am Bröckeln is
Zum Vergrößern anklicken....
Die Telekom versucht definitiv die Konkurrenten an die Wand zu drücken, Stichwort "strategischer Überbau". Laut https://www.spglobal.com/ratings/en...ecoms-relative-strength-ranking-2022-12288708 ist die Telekom der stärkste Ex-Monopolist in Europa, obwohl ihr Netz schlecht ist.

TheBigG schrieb:
Mehr als genug Zeit das zu implementieren.
Zum Vergrößern anklicken....
Das Problem ist wohl eher die Motivation. Realistisch gesehen hat sich TLS durchgesetzt nicht weil die Betreiber es eingesehen haben, sondern weil sie Angst haben dass Google sie schlecht bewertet und man das Zertifikat mit einem Mausklick anfordern kann. Wenn die Seite erst mal steht, wird i.d.R. erst nach Katastrophen was dran geändert. Myetherwallet hat heute auch DNSSEC und CAA.
 
Anmelden, um zu antworten.

Ähnliche Themen

patrickbuhr
[User-Review] MSI MPG 271QRXDE QD-OLED
Antworten
12
Aufrufe
1K
Radiant
Radiant
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh