Das längste Thema

    Zitat von mainziman

    Paul die Zielgruppe wären Kleinstunternehmen, welche keine eigene Serverinfrastruktur gar nicht haben;


    eigene DNS-Resolver zu betreiben, auch wenn dies die 'einfachste' Übung wäre ist aber das letzte was man als Unternehmen macht;

    da macht es mehr Sinn, die File-/Mailserver-Infrastruktur selbst zu betreiben;

    Das widerspricht aber so ein bisschen meinem Verständnis von einer "hochsensiblen Umgebung", womit der Anbieter ja wirbt. Was will denn ein Kleinunternehmen mit ein paar Client PCs denn so hochsensibles machen? Früher oder später braucht jedes Unternehmen irgendeine Art von Serverinfrastruktur. Wer es nicht selbst machen kann oder will, was ja völlig ok ist, geht zu einem Anbieter der auf solche (managed) Services spezialisiert ist. Und die haben sowieso eigene Resolver.

    Zitat von mainziman

    1.1.1.1 is net DSGVO-konform

    Sagt wer?


    Ah geil, die dns0 Infrastruktur läuft auf NextDNS Infrastruktur und der Olivier Poitrey macht da mit - der arbeitet unter anderem für die sympathischen Amerikanischen Unternehmen Netflix und Dailymotion.



    Zitat von mainziman

    DNS-Resolver, welche so manches unnütze Zeug wegfiltern;

    Unnützes Zeug wie:...


    Neu registrierte Domains (NRD)
    Blockieren Sie Domänen, die vor weniger als 30 Tagen registriert wurden. Diese Domänen sind dafür bekannt, dass sie von Angreifern gerne benutzt werden, um Angriffe zu starten.

    Neu registrierte Domains (NRD)
    Blockieren von Domains, die, nachdem sie eine Zeit lang inaktiv waren, plötzlich wieder aktiv werden. Dieses Verhalten ist in den meisten Fällen ein Zeichen für bösartige Aktivitäten.


    Wer braucht schon Netzneutralität?


    Domänen-Generierungsalgorithmus

    Blockieren von Domains, die von Domänen-Generierungsalgorithmen generiert werden. Diese Domains sind in verschiedenen Malware-Familien zu finden und können als Sammelpunkt für ihre Befehls- und Kontrollserver genutzt werden.


    Was auch immer das für ein Algorithmus ist?


    DNS-Rebinding

    Verhindern Sie, dass Angreifer über das Internet die Kontrolle über lokale Geräte übernehmen, indem DNS-Antworten mit privaten IP-Adressen automatisch blockiert werden.


    Super Feature, vor allem für Firmenumgebung, für die das ja perfekt ist.


    Dynamisches DNS (DDNS)

    Dynamische DNS- (oder DDNS-) Dienste ermöglichen es Angreifern, schnell und kostenlos Hostnamen einzurichten, ohne dass eine Validierung oder Identitätsüberprüfung durchgeführt wird. Während legale DDNS-Hostnamen im Alltag nur selten genutzt werden, werden diese häufig in Phishing-Angriffen verwendet - z. B. paypal-login.duckdns.org.


    Schlimm, diese DynDNS Dienste. Hat auch noch nie jemand im Alltag benutzt, aber wie oft ich schon auf die Domains dahinter reingefallen bin.


    Hochrisiko-Top-Level-Domains (TLD)

    Blockieren von Top-Level Domains (TLDs), die dafür bekannt sind, dass sie von kriminellen Betreibern aufgrund ihres niedrigen Preises, des Fehlens einer Überprüfung oder des Fehlens von juristischen Handlungsmöglichkeiten gerne eingesetzt werden.


    Wir kennen sie alle, die TLDs die nur kriminelle Domains haben. Bestimmt .crime und .uceprotect


    Wenn es bloß so etwas wie PiHole, nur für DNS gäbe, wären all diese "Probleme" gelöst. Auch für Firmen geeignet, ohne eigene Server.

    Das müsste mal jemand programmieren.


    Danke, dass du diesen Dienst gefunden hast und ihn uneingeschränkt empfehlen kannst.

    Zitat von Paul

    Das widerspricht aber so ein bisschen meinem Verständnis von einer "hochsensiblen Umgebung", womit der Anbieter ja wirbt. Was will denn ein Kleinunternehmen mit ein paar Client PCs denn so hochsensibles machen? Früher oder später braucht jedes Unternehmen irgendeine Art von Serverinfrastruktur. Wer es nicht selbst machen kann oder will, was ja völlig ok ist, geht zu einem Anbieter der auf solche (managed) Services spezialisiert ist. Und die haben sowieso eigene Resolver.

    Nehmen wir zum Beispiel eine Arztpraxis. Definitiv hochsensible (Patienten-)Daten. Ob ich da allerdings einen solchen Anbieter würde haben wollen?

    Zitat von tab

    Nehmen wir zum Beispiel eine Arztpraxis. Definitiv hochsensible (Patienten-)Daten. Ob ich da allerdings einen solchen Anbieter würde haben wollen?

    Es geht immer noch um DNS Resolver. Welche (Sub)Domain enthält sensible Daten?

    Durch TLS und/oder DNSSEC sollte es eigentlich egal sein, welchen DNS Anbieter ich nutze. (Agnostik)

    Zitat von H6G

    Durch TLS und/oder DNSSEC sollte es eigentlich egal sein, welchen DNS Anbieter ich nutze.

    dann is es auch egal, ob Personal geschult und kompetent ist od. jeder schwindlige Kurpfuscher Dir Diagnosen stellt, oder?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Zitat von mainziman

    dann is es auch egal, ob Personal geschult und kompetent ist od. jeder schwindlige Kurpfuscher Dir Diagnosen stellt, oder?

    Ich wüsste nicht, warum mein Arzt eine Internetverbindung bräuchte, um mir eine Diagnose zu unterbreiten.

    Ging früher auch ohne Internet - und heute haben die alle irgendwelche VPN Router der Gematik da stehen, die werden definitiv nicht über einen Public DNS Resolver angesprochen.


    Aber ja, DNS hat definitiv etwas mit der Qualität meiner Ärzte zu tun.

    Bin mit 1.1.1.1 super zufrieden, weiß nicht warum ich das ändern sollte, vorallem ist der Dienst ganz frisch daher werd ich den erst Recht nicht nutzen

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    mail@compi653.net

    Zitat von H6G

    Es geht immer noch um DNS Resolver. Welche (Sub)Domain enthält sensible Daten?

    Durch TLS und/oder DNSSEC sollte es eigentlich egal sein, welchen DNS Anbieter ich nutze. (Agnostik)

    Es geht ja hauptsächlich um das Blocken potenziell "gefährlicher" Domains. Ein Malware-Link ist schnell angeklickt und mit ein wenig Pech hat man sich schnell was eingefangen. Auch Antivirensoftware blockt nicht immer rechtzeitig. Und schon ist deine Krankengeschichte potenziell ganz schnell da, wo du sie nicht haben willst. Insofern sehe ich die größte Gefahr schon bei Kleinunternehmen, die eben keine IT-Abteilung haben, die ihre PCs absichert (und manchmal auch ihre Backups verhunzt :rolleyes: ). TLS und DNSSEC werden das jedenfalls nicht verhindern können, weil es nicht (nur) um den Zugriff auf die Information geht, welche Domains angefragt werden. Einen Malware-Link und auch die zugehörige Malware kann ich auch auf einer Domain mit DNSSEC platzieren.

    Zitat von tab

    Ein Malware-Link ist schnell angeklickt und mit ein wenig Pech hat man sich schnell was eingefangen. Auch Antivirensoftware blockt nicht immer rechtzeitig.

    Der Link ist aber auch genau so schnell angeklickt, wenn er http://142.250.180.67/very-interesting-document.docx oder http://[2a00:1450:4008:804::2003]/not-a.pdf heißen würde. Dafür brauche ich keine Domain, wenn der Anwender sowieso alles anklickt und den Scheiß dann auch noch ausführt.

    Was mache ich falsch?

    dig +tls google.de @zero.dns0.eu

    ;; communications error to 2a00:11c0:e:ffff:1::1003#853: end of file

    ;; communications error to 2a00:11c0:e:ffff:1::1003#853: end of file

    ;; communications error to 2a00:11c0:e:ffff:1::1003#853: end of file

    ;; communications error to 2a03:90c0:94::34#853: end of file

    ;; communications error to 185.14.45.185#853: end of file

    ;; communications error to 217.146.22.69#853: end of file

    ; <<>> DiG 9.18.11-2~bpo11+1-Debian <<>> +tls google.de @zero.dns0.eu

    ;; global options: +cmd

    ;; no servers could be reached

    Zitat von H6G

    Der Link ist aber auch genau so schnell angeklickt, wenn er http://142.250.180.67/very-interesting-document.docx oder http://[2a00:1450:4008:804::2003]/not-a.pdf heißen würde. Dafür brauche ich keine Domain, wenn der Anwender sowieso alles anklickt und den Scheiß dann auch noch ausführt.

    Angeklickt ja, aber wird dann eben geblockt. Wenn in Arztpraxen, Anwaltskanzleien usw. nur Mitarbeiter beschäftigt wären, die genau wissen, was sie anklicken dürfen und was nicht, dann müssten die das Doppelte von dem verdienen was sie verdienen. Wenn's reicht. Und Ärzte bzw Anwälte gäbe es dann dort wahrscheinlich nicht, weil oft die Chefs die Schlimmsten (Unvorsichtigsten) sind :rolleyes: .

    Zitat von H6G

    Ich wüsste nicht, warum mein Arzt eine Internetverbindung bräuchte, um mir eine Diagnose zu unterbreiten.

    Ging früher auch ohne Internet - und heute haben die alle irgendwelche VPN Router der Gematik da stehen, die werden definitiv nicht über einen Public DNS Resolver angesprochen.


    Aber ja, DNS hat definitiv etwas mit der Qualität meiner Ärzte zu tun.

    LOL. Ging früher auch ohne Auto, ohne Smartphone, ohne IT. Karteikarte lässt grüßen... Reicht ja, wenn nur ein PC oder Notebook nicht über den VPN Router läuft. Die da arbeiten, insbesondere auch die Chefs, sind meist echte Koryphäen - auf ihrem Fachgebiet. Abseits davon sieht es oft anders aus, da muss man gelegentlich froh sein, wenn sie ihr Mikrofon finden. Noch besser wäre es manchmal, sie würden sich auch anschauen, was ihre Spracherkennung aus ihrem Diktat gemacht hat. Am allerbesten noch bevor sie das rausschicken. Keine Zeit für gar nichts, bis es dann halt irgendwann passiert.


    Wie gesagt, ich glaube nicht, dass der hier vorliegende Service das Gelbe vom Ei ist. Sogar in Frankreich gibt es eine Impressumspflicht und es sind auch nicht alle "Features" unbedingt sinnvoll. Aber so ganz ohne Netz und doppelten Boden kann man da viele nicht aufs Internet loslassen.


    Und was manche Sicherheitsfirmen so für großes Geld produzieren, was dann verpflichtend genutzt werden muss, das kann man sich z.B. beim beA (besonderes elektronisches Anwaltspostfach) anschauen. Das war zumindest in der Anfangszeit auch nur Murks. Die Experten vom CCC waren jedenfalls begeistert :) . Naja, Hauptsache es gibt der Sache einen sicheren Anschein.

    Zitat von KB19

    Wie soll ein DNS-Resolver so eine IP-Adresse blocken? Die bekommt er nie zu Gesicht, weil dabei gar kein Hostname aufgelöst wird. 8o

    sowas kannst hardcoded durch Policies generell sperren; und mit SSL/TLS (= https) spielt es das ohnehin nicht mehr ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Einmal editiert, zuletzt von mainziman ()

    Verwirrend 3
    Zitat von mainziman

    und mit SSL/TLS (= https) spielt es das ohnehin nicht mehr

    Klar, Zertifikate können auf IP Adressen ausgestellt werden. Siehe https://1.1.1.1 - IP SAN nennt sich das.


    Code
    X509v3 Subject Alternative Name:
DNS:cloudflare-dns.com, DNS:*.cloudflare-dns.com, DNS:one.one.one.one, IP Address:1.0.0.1, IP Address:1.1.1.1, IP Address:162.159.36.1, IP Address:162.159.46.1, IP Address:2606:4700:4700:0:0:0:0:1001, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:64, IP Address:2606:4700:4700:0:0:0:0:6400
    Zitat von H6G

    Klar, Zertifikate können auf IP Adressen ausgestellt werden. Siehe https://1.1.1.1 - IP SAN nennt sich das.

    und rate mal, wennst des per policy hardcoded gesperrt hast, was das dann f. https://1.1.1.1 bedeutet?

    nebenbei wären Browser gut beraten, derartigen Quark zu ignorieren; welcher ohnehin nur wegen DNS-over-HTTPS/-TLS notwendig gemacht wurde;


    nebenbei hustet der Browser Dir was bei https://0x01010101/

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    3 Mal editiert, zuletzt von mainziman ()