Hook-Einleitung
Als ich vor einiger Zeit meinen Home-Server mit Proxmox neu konfigurierte, beschloss ich, mich auch um die DNS-Sicherheit zu kümmern. Während ich mich weiterhin um DoH und DNSSEC kümmere, fällt mir auf, dass viele Menschen mich fragen, was die Unterschiede zwischen DoT, DoH und DNSSEC sind und wie sie diese Technologien in ihrer eigenen Umgebung implementieren können. In diesem Artikel werde ich die wichtigsten Aspekte von DoT, DoH und DNSSEC klären und Ihnen zeige, wie Sie diese Technologien in Ihre eigene Umgebung integrieren können.
DoT (DNS over TLS) – Wie es funktioniert
DoT (DNS over TLS) ist eine Technologie, die es ermöglicht, DNS-Anfragen und - Antworten über TLS (Transport Layer Security) zu verschlüsseln. Ziel ist es, das Risiko von DNS-Man-in-the-Middle (MitM)-Angriffen zu verringern und eine höhere Sicherheit für drahtlose Netzwerke (WLAN) zu erreichen.
Beispiel 1: DoT als lokales Kabelnetz
Wenn Sie beispielsweise bei Ihrem Internetanbieter ein lokales Kabelnetz haben, kann ein Angreifer leicht Ihr Kabelnetz mit einem Rogue-AP angriffen. Mit DoT können Sie dagegen wehren. Sie können eine eigene DNS-Server-Instanz auf Ihrem Server einrichten, die DoT benutzt. Dieser Server wird mit Ihrem lokalen Netzwerk verbunden und gibt DNS- Antworten aus, die über DoT verschlüsselt sind.
Beispiel:
server{
listen 53 ;
server_name server.de;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-CBC-SHA384:ECDHE-RSA-AES256-CBC-SHA384;
}
Einschätzung:
DoT ist eine gute Lösung, um das Risiko von DNS-MitM-Angriffen im lokalen Netzwerk zu reduzieren. Es eignet sich jedoch nicht für alle Szenarien, da es nicht immer möglich ist, einen eigenen DNS-Server einzurichten.
DoH (DNS over HTTPS) – Wie es funktioniert
DoH (DNS over HTTPS) ist eine weitere Technologie, die DNS-Anfragen und -Antworten über HTTPS verschlüsselt. Es ist eine weitere Option, um die Sicherheit von DNS-Anfragen zu erhöhen.
Beispiel 2: DoH über Google
Um DoH mit Google zu verwenden, müssen Sie lediglich die IP-Adresse von Googles DoH-Server zu Ihren DNS-Einstellungen hinzufügen. Dies können Sie beispielsweise über die DNS-Einstellungen Ihres Providern tun.
Beispiel:
resolver 1.1.1.2
resolver 1.1.1.3
resolver 2001:4860:4860::8888
resolver [2001:4860:4860::8844]
Einschätzung:
DoH ist eine gute Option, wenn Sie schnell eine schnelle DNS-Wiederherstellung einrichten möchten. Es ist jedoch nicht so zuverlässig wie eigenen DNS-Server.
DNSSEC – Wie es funktioniert
DNSSEC (Domain Name System Security Extensions) ist eine Technologie, die DNS-Anfragen und -Antworten signiert, so dass es unmöglich ist, DNS-MitM-Angriffe durchzuführen.
Beispiel 3: DNSSEC mit bind9
Zuerst müssen Sie den DNS-Server mit bind9 aktualisieren. Danach können Sie ein Neustart durchführen, dass bind9 dann DNSSEC in seiner Konfiguration installiert.
Beispiel:
options {
listen-on port 53 ;
listen-on-v6 port 53 ;
directory /var/named
recursion yes;
};
zone
Top comments (0)