norsemanGrey Skrevet 27. januar 2020 Del Skrevet 27. januar 2020 Er det noen som vet hvordan man kan sette opp DoT (DNS-Over-TLS) slik at DNS spørringer ut fra fra enheter på nettverket blir kryptert? Lenke til kommentar
Civilix Skrevet 27. januar 2020 Del Skrevet 27. januar 2020 Hva klient er det du tenker å slå dette på i? I nettverket er det bare utgående port 853 som må være åpen. Lenke til kommentar
sk0yern Skrevet 27. januar 2020 Del Skrevet 27. januar 2020 norsemanGrey skrev (4 timer siden): Er det noen som vet hvordan man kan sette opp DoT (DNS-Over-TLS) slik at DNS spørringer ut fra fra enheter på nettverket blir kryptert? Det kommer helt an på enheten. Android 9: https://developers.google.com/speed/public-dns/docs/using#android Windows: ikke mulig foreløpig Løsningen er å kjøre sin egen dns-server hjemme, og la den snakke DoT ut mot f.eks cloudflare eller google sine dns-servere. Lenke til kommentar
norsemanGrey Skrevet 28. januar 2020 Forfatter Del Skrevet 28. januar 2020 19 hours ago, sk0yern said: Det kommer helt an på enheten. Android 9: https://developers.google.com/speed/public-dns/docs/using#android Windows: ikke mulig foreløpig Løsningen er å kjøre sin egen dns-server hjemme, og la den snakke DoT ut mot f.eks cloudflare eller google sine dns-servere. Ja det er egentlig det jeg lurer på. Jeg ønsker ikke å sette opp dette pr. enhet da det som du sier ikke er alt som støtter DoT enda. Men som jeg har forstått så er en DNS -server er så mangt. Jeg har i dag en Pi-Hole som er satt opp mot Google. Men hva med trafikken mellom e.g. Google/Cloudflare og andre navn-servere? Er denne kryptert? Lenke til kommentar
Civilix Skrevet 28. januar 2020 Del Skrevet 28. januar 2020 norsemanGrey skrev (22 minutter siden): Men hva med trafikken mellom e.g. Google/Cloudflare og andre navn-servere? Er denne kryptert? Tror ikke helt du forstår hvordan DNS fungerer, hva som skjer videre etter din DNS-leverandør er totalt irrelevant når det kommer til DoT. Lenke til kommentar
norsemanGrey Skrevet 29. januar 2020 Forfatter Del Skrevet 29. januar 2020 20 hours ago, Civilix said: Tror ikke helt du forstår hvordan DNS fungerer, hva som skjer videre etter din DNS-leverandør er totalt irrelevant når det kommer til DoT. Nei er ingen ekspert ihvertfall, men tror jeg har forstått det noenlunde. Hvorfor vil du si at det som skjer mellom "DNS-leverandøren" og de autoritative navne-serverne er irrelevant? Lenke til kommentar
sk0yern Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 norsemanGrey skrev (44 minutter siden): Nei er ingen ekspert ihvertfall, men tror jeg har forstått det noenlunde. Hvorfor vil du si at det som skjer mellom "DNS-leverandøren" og de autoritative navne-serverne er irrelevant? Hvis Cloudflare sin 1.1.1.1 spør etter www.pornhub.com, så er det vanskelig å knytte det til hvilken klient som igjen spurte cloudflare om dette. Lenke til kommentar
oddeh Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 norsemanGrey skrev (1 time siden): Nei er ingen ekspert ihvertfall, men tror jeg har forstått det noenlunde. Hvorfor vil du si at det som skjer mellom "DNS-leverandøren" og de autoritative navne-serverne er irrelevant? din ip er skjult/ikke relevant da. Lenke til kommentar
sk0yern Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 Spørsmålet du kanskje uansett bør stille deg, er hvorfor du vil at dns-forespørsler skal gå kryptert. Hva eller hvem er det du skal beskytte deg mot? Lenke til kommentar
Rudde Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 sk0yern skrev (2 timer siden): Hvis Cloudflare sin 1.1.1.1 spør etter www.pornhub.com, så er det vanskelig å knytte det til hvilken klient som igjen spurte cloudflare om dette. Mulig, men kanskje ikke like vanskelig om det er OlaNordmannsmancaveogræl.no ? Lenke til kommentar
Civilix Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 (endret) Rudde skrev (1 time siden): Mulig, men kanskje ikke like vanskelig om det er OlaNordmannsmancaveogræl.no ? Igjen ikke relevant, den som sitter på informasjonen er din DNS-leverandør og de vil alltid ha mulighet til å logge noe som sier noe om trafikken fra din adresse. Å skulle snappe opp den informasjonen for en tredjepart ville være helt teoretisk. Å ha en ende til ende kryptert DNS er ikke mulig, alle leverandører langs veien må ha informasjon om hvor forespørselen skal gå. Heldigvis tar ikke noen DNS server å sender med informasjon om endepunktet til neste DNS-server i kjeden. Så alt du som ett endepunkt trenger å bekymre deg for er transporten til din valgte leverandør av DNS tjeneste, og at du velger en leverandør som du stoler på at ikke utleverer dine data. Endret 29. januar 2020 av Civilix 1 Lenke til kommentar
Rudde Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 Civilix skrev (7 timer siden): Igjen ikke relevant, den som sitter på informasjonen er din DNS-leverandør og de vil alltid ha mulighet til å logge noe som sier noe om trafikken fra din adresse. Å skulle snappe opp den informasjonen for en tredjepart ville være helt teoretisk. Å ha en ende til ende kryptert DNS er ikke mulig, alle leverandører langs veien må ha informasjon om hvor forespørselen skal gå. Heldigvis tar ikke noen DNS server å sender med informasjon om endepunktet til neste DNS-server i kjeden. Så alt du som ett endepunkt trenger å bekymre deg for er transporten til din valgte leverandør av DNS tjeneste, og at du velger en leverandør som du stoler på at ikke utleverer dine data. Problemet oppstår jo når du innser det ikke er noen det er noe grunn til å stole på, og du må hoste DNS selv og igjen har samme problem. Dette er jo NØYAKTIG hvorfor vi vil ha DoT og spør om løsninger for det. Det er fordi vi ikke skal trenge å stole på noen. Det er hele poenget. Lenke til kommentar
Civilix Skrevet 30. januar 2020 Del Skrevet 30. januar 2020 Rudde skrev (9 timer siden): Problemet oppstår jo når du innser det ikke er noen det er noe grunn til å stole på, og du må hoste DNS selv og igjen har samme problem. Dette er jo NØYAKTIG hvorfor vi vil ha DoT og spør om løsninger for det. Det er fordi vi ikke skal trenge å stole på noen. Det er hele poenget. Tror også du kan med fordel lese litt om hvordan DNS fungerer. Selv med DoT har hvem enn du velger å sende forespørsler til mulighet til å få innblikk i hva oppslag du gjør, skal du bruke DNS må du eksponere dine oppslag til noen andre. Eneste forskjellen DoT gjør er at det bare er DNS leverandør som kan se dine oppslag, og ikke eventuelle nettverksleverandører underveis. Ved å flytte DNS inn i eget hus kan du velge at den gjør oppslag rett mot rotservere men da kan det være at den gjør oppslag mot servere lengre ned i kjeden som ikke er beskyttet av DoT, du kan tvinge DoT men da risikerer du å ikke få svar på noen av oppslaga. Alternativt setter du opp din DNS mot en annen DNS-leverandør, da kan du kjøre DoT for alle oppslag ut fra deg, men det blir ingen forskjell på å gjøre dette og å kjøre DoT direkte fra klient. Ser du på f.eks. cloudflare sier jo de at de ikke logger dine oppslag eller ipadresse og alle logger forsvinner etter 24 timer. De har til og med leid inn eksterne til å bekrefte disse påstandene. Men hvis du ikke stoler på cloudflare eller de eksterne revisorene har jo ikke den lovnaden mye å si... Missforstå meg riktig, DoT er kjempefint og ett steg i riktig retning, men det er like viktig å forstå hva det ikke er. For privatpersoner holder det lenge med å kjøre DoH(DNS over HTTPS) fra nettleser fram til klienten støtter DoT. DoH er også støttet av flere DNS servere enn DoT. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå