Krautkanal.com

Veröffentlicht am 2018-01-21 17:42:49 in /c/

/c/ 222078: Vertrauenswürdiger DNS

jffgrdnr Avatar
jffgrdnr:#222078

Kann Bernd vetrauenswürdige DNS-Server ohne Zensur und Protokollierung für IPv4 und 6 empfehlen?

jasontdsn Avatar
jasontdsn:#222079

Kommt drauf an wie hoch Dein Aluhutlevel ist.

evandrix Avatar
evandrix:#222080

Was soll denn vertrauenswürdig bedeuten? Den Ausschluss von:
8.8.8.8
8.8.4.4
9.9.9.9
?

Was macht den CCC-DNS vertrauenswürdiger als den von Google?

nateschulte Avatar
nateschulte:#222084

>>222080
> Google
> CCC
Würde keinen von den beiden SJW-Scheißvereinen trauen.

Wenn du es gleich richtig machen willst setzt du auf DNS-over-TLS

https://www.heise.de/newsticker/meldung/DNS-Privacy-Stubby-verschluesselt-DNS-Anfrage-auf-Windows-3873609.html

pdugan19 Avatar
pdugan19:#222085

>>222084
Hat das schonmal jemand mit Pi-Hole kombiniert? Funktioniert das?

mj_berthelsen Avatar
mj_berthelsen:#222087

>>222085
Ja das geht, der Stubby-Client macht ja auch nur einen lokalen DNS-Server auf und lässt sich einfach bei PiHole eintragen.
Habe es auch genau so am laufen, allerdings nicht auf einem Pi.

oanacr Avatar
oanacr:#222091

>>222084
>>222087
Stubby holt es sich auch nur unverschlüsselt auf Port 53 rein, und ein Garant für korrekt Antworten ist es ebenfalls nicht, wer garantiert schon, dass die die DNS-Root-Server nicht schon verseucht sind? Und ach ja die alternatviven wie open-nic, orsn etc. speisen sich auch nur aus den Standard-Stammhinweisen.

craighenneberry Avatar
craighenneberry:#222094

>>222091
> Stubby holt es sich auch nur unverschlüsselt auf Port 53 rein

Schwachsinn, Stubby baut eine TLS-Verbindung zu den Server vom DNS Privacy Project auf.

> wer garantiert schon, dass die die DNS-Root-Server nicht schon verseucht sind?

DNSSEC, kennste?

> Und ach ja die alternatviven wie open-nic, orsn etc. speisen sich auch nur aus den Standard-Stammhinweisen.

Auch Blödsinn, OpenNIC und ORSN betreibt eigene Root-Nameserver und sind unabhängig von der ICANN

bassamology Avatar
bassamology:#222095

>>222094
lerne2Wireshark, da kann man sehen wie toll *ALLES* verschlüsselt wird ... und DNSSEC hat schon Fehler im Konzept, die sich so auch nicht einfach rauspatchen lassen failure-by-design sozusagen, wer es nicht kapiert, ist ein Idiot, wer es auszusprechen wagt - wahrscheinlich auch!

sava2500 Avatar
sava2500:#222097

>>222095
Zeig doch mal dein Setzauf und die entsprechenden Kabelhai-Mitschnitte.

nateschulte Avatar
nateschulte:#222102

foebud dns

85.214.20.141

erikdkennedy Avatar
erikdkennedy:#222110

>>222095
>>222097
> stelle wilde Behauptung auf
> jemand fordert Beweise

ich_muss_weg.jpg

samihah Avatar
samihah:#222138

>>222110
DNSSEC ist ähnlich wie IPv6, https://sockpuppet.org/blog/2015/01/15/against-dnssec/ - ein unnötiger Humunkulus.

marciotoledo Avatar
marciotoledo:#222141

>>222138
Und wo sind jetzt die Beweise das Stubby Klartext überträgt?

linux29 Avatar
linux29:#222142

>>222141
Es zeigt das DNSSEC schon Schrott ist und somit auch alles, was darauf aufbaut. Ferner lässt stubby einen Fallback auf opportunistische Verschlüsselung zu, was nichts anderes heißt, dass auch selfsigned Zertifikate gefressen werden, was wiederrum MITM Tür und Tor öffnen. Auch interessant: https://chefkochblog.wordpress.com/2018/01/16/back-from-the-dead-dnscrypt-proxy-v2/

Es ist alles so halbgar und vor allem nicht zu Ende gedacht!

im_jsmith Avatar
im_jsmith:#222143

>>222142
> DNSSEC schon Schrott ist und somit auch alles, was darauf aufbaut
DNS over TLS baut also auf DNSSEC auf? Soso interessent...

> Ferner lässt stubby einen Fallback auf opportunistische Verschlüsselung zu
Wenn man zu duhm inzu Config ist

> https://chefkochblog.wordpress.com/2018/01/16/back-from-the-dead-dnscrypt-proxy-v2/
> a test and there all more or less unstable for a daily usage
Läuft bei mir seit Monaten ohne Probleme

iqbalperkasa Avatar
iqbalperkasa:#222144

>>222143
lerne2default-wird-schon-passen.bmp

kriegs Avatar
kriegs:#222149

>>222142
>>222138
Und wo sind jetzt die Kabelhaimitschnitte?

wiljanslofstra Avatar
wiljanslofstra:#222162

>>222149
Nicht verstanden? Gibbet nicht!

adriancogliano Avatar
adriancogliano:#222170

>>222162
Wieso nicht?

id835559 Avatar
id835559:#222173

>>222170
Offensichtlichkeit?

karalek Avatar
karalek:#222174

>>222173
Dies! Wer lädt schon Wiresharkmitschnitte aus dem Firmennetz bei KC hoch?!

gmourier Avatar
gmourier:#222175

>>222173
Also ist es offensichtlich das du gelogen hast?

chrisvanderkooi Avatar
chrisvanderkooi:#222176

>>222175
Lerne in2 Lesen & Verstehen!
1. Nicht der mit der steilen These
2. Hat derjenige in >>222174 doch bereits angeführt, warum es keine Captures gibt, _offensichtlich_ weil es zu aufwendig ist, diese
zu bereinigen/anonymisieren.

a_harris88 Avatar
a_harris88:#222189

141.1.1.1
Kennt fast niemand, ist noch aus den Zeiten vpm Cable & Wireless. Ansonsten gibts hier auch ne gute Liste: https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver
Von AS250 gibts auch noch einen Werbezensierenden Resolver, aber von dem kennt Bernd gerade die IP nicht.

joeymurdah Avatar
joeymurdah:#222208

>>222189
> 141.1.1.1

Was macht den _vertrauenswürdig_? Das schiere Alter kann es nicht sein, Geheimdienste gibt es auch schon ewig.

samscouto Avatar
samscouto:#222209

>>222078
1. Raspi kaufen
2. apt-get install pdns-recursor
3. DNS einstellungen auf rapsi umbiegen
4. ???
5. Profit

mauriolg Avatar
mauriolg:#222210

>>222209
DNS-Leak einkommend

aluisio_azevedo Avatar
aluisio_azevedo:#222212

>>222210
Was genau soll da denn lecken?

Drin bevor: Irgendwelche kaputt konfigurierten VPNs um die es hier gar nicht geht.