Hilfe

DNS Teil 3: Kriterien und Konflikte

Veröffentlicht am

Je nach VPN Anbieter kann es sein, dass trotzdem der DNS von Ihrem ISP verwendet wird. Das nennt sich ein sog. DNS Leak. Zur Wiederholung:
D.h. Sie surfen zwar auf den Webseiten mit der IP Adresse des VPN Anbieters, aber Ihr ISP weiss trotzdem von jeder Webseite, die Sie besuchen. Ob das bei Ihnen der Fall ist, können Sie auf den Seiten www.dnsleaktest.com oder www.ipleak.net sehen. Wenn Sie über die Schweiz mit Ihrem VPN surfen und der angezeigte DNS im Nachbargebäude steht, dann haben Sie einen Leak. Es kann aber auch sein, dass der Cache noch nicht erneuert wurde. Starten Sie den Browser neu und probieren Sie es noch einmal.

Ein paar Hinweise zu einigen Kombinationen.

  1. Wenn Sie Little Snitch auf macOS verwenden (was ich dringend empfehle), dann bekommen Sie einen Konflikt mit Firefox und DNS über HTTPS. Das ist schade, aber nicht zu ändern. Die Antwort der Little Snitch Entwickler zu dem Thema:

we are aware that the DoH implementation of Firefox is not compatible with Little Snitch. We have already discussed this issue and will continue to discuss it internally, i.e. there is no concrete plan yet. In general, we are in favor of a system-wide support of DNS encryption (why only for the browser?), such as in the concept of DNSCrypt, which is compatible with Little Snitch

Übersetzung:

wir sind uns bewusst, dass die DoH-Implementierung von Firefox nicht mit Little Snitch kompatibel ist. Wir haben dieses Thema bereits diskutiert und werden es intern weiter diskutieren, d.h. es gibt noch keinen konkreten Plan. Generell sind wir für eine systemweite Unterstützung von DNS-Verschlüsselung (warum nur für den Browser?), wie im Konzept von DNSCrypt, das mit Little Snitch kompatibel ist

Email von Objective Development

2. Wenn Sie einen VPN installieren (was ich dringend empfehle) und dieser seinen eigenen DNS Server mitbringt, dann umgeht Firefox diesen Server in vielen Fällen (sie erhalten sehr unterschiedliche Resultate), wenn Sie DNS über HTTPS aktiviert haben. Die Antwort von ProtonVPN dazu:

…and the reason you are receiving it as DNS is because you are using DNS over HTTPS. If you want to receive only DNS from our service, then you should disable the DNS over HTTPS feature within your browser.

Übersetzung:

…und der Grund, warum Sie es als DNS empfangen, ist, dass Sie DNS over HTTPS verwenden. Wenn Sie nur DNS von unserem Dienst erhalten möchten, sollten Sie die Funktion DNS over HTTPS in Ihrem Browser deaktivieren.

Email vom ProtonVPN Support

3. Wenn Sie aber VPN und Little Snitch verwenden, dann können Sie DNS über HTTPS deaktivieren, wenn der VPN Anbieter einen DNS anbietet. Bei ProtonVPN ist der Server im Rahmen sicher. Aber vor allem haben sie eine Zero Knowledge Policy and die Server stehen in deren Netzwerk und daher haben Sie ein gewisses Mass an Sicherheit. Die Anfrage landet nicht bei Ihrem Anbieter und bleibt letztendlich im Tunnel des ProtonVPN Netzes. Ich finde das gut.

Wenn Sie sich umschauen, sollten Sie die folgenden Kriterien bei der Auswahl eines DNS in Betracht ziehen:

  • Geschwindigkeit
  • Zuverlässigkeit
  • Keine DNS Leaks, wenn Sie einen VPN verwenden, siehe oben, liegt oft am VPN Anbieter
  • Zero Knowledge Policy
  • Unterstützung von verschlüsselten Verbindungen (wenn Sie keinen VPN verwenden)
    • Secure DNS
      Normalerweise sind die Anfragen lesbar. Jeder auf den vielen Stationen kann mitlesen, welche IP Adresse gerade welche Seite ansurfen will. Denken Sie an den GCHQ, der direkt an den Internetkabel abhört. Um das zu beheben benötigen Sie eine DNS über HTTPS (DoH) oder DNS über TLS (DoT).
    • DNSSEC
      Bei DNSSEC geht es darum, dass man der Antwort des DNS Servers vertrauen kann. Es gab schon Vorfälle, bei denen Hacker sich in die Verbindung geklinkt und falsche Antworten gegeben haben.  Dadurch hatten die Nutzer den Eindruck, sie wären wirklich auf www.bank.de, aber es war ein WebServer einer kriminellen Bande. Das ist nicht vom Original zu erkennen.
      DNSSEC stellt die Authentizität und die Integrität der Antwort sicher. Aber: Das ist nicht verschlüsselt.
    • TLS 1.3
      TLS 1.3 ist die Verschlüsselung des Transports im Internet. D.h. von einem Rechner zum anderen werden die Daten vorher verschlüsselt. Das wird u.a. auch bei HTTPS, dem Webprotokoll, verwendet.
    • (Encrypted SNI)
      Die Server Name Indication (SNI) ist eine Erweiterung zu TLS und erlaubt es unter bestimmten Umständen, dass vor der Übermittlung der Zertifikate zum verschlüsselten Kommunizieren die Hostnamen unverschlüsselt übertragen werden. Encrypted SNI verhindert dies. Im Prinzip haben Sie darauf wenig Einfluss. Cloudflare verwendet das und Sie können das testen (und noch mehr).
, , , , ,