norsemanGrey Skrevet 27. januar 2020 Del Skrevet 27. januar 2020 Er det noen som vet hvordan man kan sette opp DoT (DNS-Over-TLS) slik at DNS spørringer ut fra fra enheter på nettverket blir kryptert? Lenke til kommentar
Civilix Skrevet 27. januar 2020 Del Skrevet 27. januar 2020 Hva klient er det du tenker å slå dette på i? I nettverket er det bare utgående port 853 som må være åpen. Lenke til kommentar
sk0yern Skrevet 27. januar 2020 Del Skrevet 27. januar 2020 norsemanGrey skrev (På 27.1.2020 den 12.53): Er det noen som vet hvordan man kan sette opp DoT (DNS-Over-TLS) slik at DNS spørringer ut fra fra enheter på nettverket blir kryptert? Ekspander Det kommer helt an på enheten. Android 9: https://developers.google.com/speed/public-dns/docs/using#android Windows: ikke mulig foreløpig Løsningen er å kjøre sin egen dns-server hjemme, og la den snakke DoT ut mot f.eks cloudflare eller google sine dns-servere. Lenke til kommentar
norsemanGrey Skrevet 28. januar 2020 Forfatter Del Skrevet 28. januar 2020 sk0yern skrev (På 27.1.2020 den 16.58): Det kommer helt an på enheten. Android 9: https://developers.google.com/speed/public-dns/docs/using#android Windows: ikke mulig foreløpig Løsningen er å kjøre sin egen dns-server hjemme, og la den snakke DoT ut mot f.eks cloudflare eller google sine dns-servere. Ekspander Ja det er egentlig det jeg lurer på. Jeg ønsker ikke å sette opp dette pr. enhet da det som du sier ikke er alt som støtter DoT enda. Men som jeg har forstått så er en DNS -server er så mangt. Jeg har i dag en Pi-Hole som er satt opp mot Google. Men hva med trafikken mellom e.g. Google/Cloudflare og andre navn-servere? Er denne kryptert? Lenke til kommentar
Civilix Skrevet 28. januar 2020 Del Skrevet 28. januar 2020 norsemanGrey skrev (På 28.1.2020 den 13.01): Men hva med trafikken mellom e.g. Google/Cloudflare og andre navn-servere? Er denne kryptert? Ekspander Tror ikke helt du forstår hvordan DNS fungerer, hva som skjer videre etter din DNS-leverandør er totalt irrelevant når det kommer til DoT. Lenke til kommentar
norsemanGrey Skrevet 29. januar 2020 Forfatter Del Skrevet 29. januar 2020 Civilix skrev (På 28.1.2020 den 13.27): Tror ikke helt du forstår hvordan DNS fungerer, hva som skjer videre etter din DNS-leverandør er totalt irrelevant når det kommer til DoT. Ekspander Nei er ingen ekspert ihvertfall, men tror jeg har forstått det noenlunde. Hvorfor vil du si at det som skjer mellom "DNS-leverandøren" og de autoritative navne-serverne er irrelevant? Lenke til kommentar
sk0yern Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 norsemanGrey skrev (På 29.1.2020 den 10.03): Nei er ingen ekspert ihvertfall, men tror jeg har forstått det noenlunde. Hvorfor vil du si at det som skjer mellom "DNS-leverandøren" og de autoritative navne-serverne er irrelevant? Ekspander Hvis Cloudflare sin 1.1.1.1 spør etter www.pornhub.com, så er det vanskelig å knytte det til hvilken klient som igjen spurte cloudflare om dette. Lenke til kommentar
oddeh Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 norsemanGrey skrev (På 29.1.2020 den 10.03): Nei er ingen ekspert ihvertfall, men tror jeg har forstått det noenlunde. Hvorfor vil du si at det som skjer mellom "DNS-leverandøren" og de autoritative navne-serverne er irrelevant? Ekspander din ip er skjult/ikke relevant da. Lenke til kommentar
sk0yern Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 Spørsmålet du kanskje uansett bør stille deg, er hvorfor du vil at dns-forespørsler skal gå kryptert. Hva eller hvem er det du skal beskytte deg mot? Lenke til kommentar
Rudde Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 sk0yern skrev (På 29.1.2020 den 10.52): Hvis Cloudflare sin 1.1.1.1 spør etter www.pornhub.com, så er det vanskelig å knytte det til hvilken klient som igjen spurte cloudflare om dette. Ekspander Mulig, men kanskje ikke like vanskelig om det er OlaNordmannsmancaveogræl.no ? Lenke til kommentar
Civilix Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 (endret) Rudde skrev (På 29.1.2020 den 13.36): Mulig, men kanskje ikke like vanskelig om det er OlaNordmannsmancaveogræl.no ? Ekspander Igjen ikke relevant, den som sitter på informasjonen er din DNS-leverandør og de vil alltid ha mulighet til å logge noe som sier noe om trafikken fra din adresse. Å skulle snappe opp den informasjonen for en tredjepart ville være helt teoretisk. Å ha en ende til ende kryptert DNS er ikke mulig, alle leverandører langs veien må ha informasjon om hvor forespørselen skal gå. Heldigvis tar ikke noen DNS server å sender med informasjon om endepunktet til neste DNS-server i kjeden. Så alt du som ett endepunkt trenger å bekymre deg for er transporten til din valgte leverandør av DNS tjeneste, og at du velger en leverandør som du stoler på at ikke utleverer dine data. Endret 29. januar 2020 av Civilix 1 Lenke til kommentar
Rudde Skrevet 29. januar 2020 Del Skrevet 29. januar 2020 Civilix skrev (På 29.1.2020 den 14.52): Igjen ikke relevant, den som sitter på informasjonen er din DNS-leverandør og de vil alltid ha mulighet til å logge noe som sier noe om trafikken fra din adresse. Å skulle snappe opp den informasjonen for en tredjepart ville være helt teoretisk. Å ha en ende til ende kryptert DNS er ikke mulig, alle leverandører langs veien må ha informasjon om hvor forespørselen skal gå. Heldigvis tar ikke noen DNS server å sender med informasjon om endepunktet til neste DNS-server i kjeden. Så alt du som ett endepunkt trenger å bekymre deg for er transporten til din valgte leverandør av DNS tjeneste, og at du velger en leverandør som du stoler på at ikke utleverer dine data. Ekspander Problemet oppstår jo når du innser det ikke er noen det er noe grunn til å stole på, og du må hoste DNS selv og igjen har samme problem. Dette er jo NØYAKTIG hvorfor vi vil ha DoT og spør om løsninger for det. Det er fordi vi ikke skal trenge å stole på noen. Det er hele poenget. Lenke til kommentar
Civilix Skrevet 30. januar 2020 Del Skrevet 30. januar 2020 Rudde skrev (På 29.1.2020 den 22.53): Problemet oppstår jo når du innser det ikke er noen det er noe grunn til å stole på, og du må hoste DNS selv og igjen har samme problem. Dette er jo NØYAKTIG hvorfor vi vil ha DoT og spør om løsninger for det. Det er fordi vi ikke skal trenge å stole på noen. Det er hele poenget. Ekspander Tror også du kan med fordel lese litt om hvordan DNS fungerer. Selv med DoT har hvem enn du velger å sende forespørsler til mulighet til å få innblikk i hva oppslag du gjør, skal du bruke DNS må du eksponere dine oppslag til noen andre. Eneste forskjellen DoT gjør er at det bare er DNS leverandør som kan se dine oppslag, og ikke eventuelle nettverksleverandører underveis. Ved å flytte DNS inn i eget hus kan du velge at den gjør oppslag rett mot rotservere men da kan det være at den gjør oppslag mot servere lengre ned i kjeden som ikke er beskyttet av DoT, du kan tvinge DoT men da risikerer du å ikke få svar på noen av oppslaga. Alternativt setter du opp din DNS mot en annen DNS-leverandør, da kan du kjøre DoT for alle oppslag ut fra deg, men det blir ingen forskjell på å gjøre dette og å kjøre DoT direkte fra klient. Ser du på f.eks. cloudflare sier jo de at de ikke logger dine oppslag eller ipadresse og alle logger forsvinner etter 24 timer. De har til og med leid inn eksterne til å bekrefte disse påstandene. Men hvis du ikke stoler på cloudflare eller de eksterne revisorene har jo ikke den lovnaden mye å si... Missforstå meg riktig, DoT er kjempefint og ett steg i riktig retning, men det er like viktig å forstå hva det ikke er. For privatpersoner holder det lenge med å kjøre DoH(DNS over HTTPS) fra nettleser fram til klienten støtter DoT. DoH er også støttet av flere DNS servere enn DoT. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå