unbound DNS

  • Ich hatte das mit unbound nie wirklich verstanden, dachte immer ich muss explizit einen DNS Server

    angeben, deshalb den von Digitalcourge. Das jede DNS Anfrage an diesen gestellt wird ist mir bewusst.

    Die könnten wenn Sie wollten mich tracken, das werden die aber nicht tun.


    Das selbst hosten finde ich trotzdem besser. Also wenn ich Digitalcourage in

    der opnsense deaktiviere, das meinst Du dann mit selber hosten?

    Über Digitalcourage hatte ich DNS over TLS eingestellt, also jede Anfrage von

    mir an den DNS von Digitalcourage war verschlüsselt. Der Server bietet diese Option.


    Beim selber gehosteten DNS, macht da DNS over TLS Sinn, oder braucht das in diesem

    Fall dann nicht mehr?

    Finde da auch kein Punkt wo ich das aktiviern kann. Eine verschlüsselte Übertragung finde

    ich schon wichtig, oder macht das unbound schon so automatisch?

  • da es lokal aufgelöst wird, ist das total irrelevant

    Vielleicht verstehe ich das Prinzip immer noch nicht richtig.


    Ok, alles was im Cache von unbound ist wird lokal aufgelöst.

    Aber der unbound muss ja auch mal in die weite Welt hinaus telefonieren um neue IPs zu holen die er noch nicht kennt.

    Das ist dann doch unverschlüsselt, oder?

  • Vielleicht verstehe ich das Prinzip immer noch nicht richtig.


    Ok, alles was im Cache von unbound ist wird lokal aufgelöst.

    Aber der unbound muss ja auch mal in die weite Welt hinaus telefonieren um neue IPs zu holen die er noch nicht kennt.

    Das ist dann doch unverschlüsselt, oder?

    Kannst ja mal den Beitrag Raspberry Pi als DNS-Server: größtmögliche Selbstbestimmung [Debian][Pi-hole][Unbound] im alten Kuketz-Forum anschauen, da werden viele ähnliche Fragen beantwortet.


    Gleich auf der ersten Seite wird auch auf das Thema Verschlüsselung eingegangen.

  • Danke, das beantwortet meine Frage.


    Code
    [F] Aber beim DNS-Server X ist alles mit DNS over TLS (DoT) oder DNS over HTTPS (DoH) verschlüsselt und keiner sieht meine Anfragen. Hier ist alles unverschlüsselt!
    [A] Auch beim DNS-Server X sind die Anfragen nur von uns bis zum Server verschlüsselt. Dieser entschlüsselt die Anfragen und hat diese im Klartext vorliegen. Übrigens erhält er auch unverschlüsselt seine Daten von den autoritativen Servern. Die zentrale Instanz mit der kompletten Kenntnis aller Anfragen bliebe also – nämlich der DNS-Server X. Andere Entitäten dazwischen, bspw. der Internetprovider (ISP), sehen allerdings die DNS-Anfragen nicht mehr, soweit richtig. Doch kontaktieren wir direkt nach der DNS-Anfrage ohnehin meist die entsprechende Stelle. Selbst wenn dies verschlüsselt wäre, stünde die Ziel-IP-Adresse im Klartext in den Kopf-Daten der Pakete. Da können wir DNS-Anfragen verschlüsseln wie wir wollen, wir Posaunen unser Ziel anschließend sowieso raus. Der Informationsgehalt ist dabei nicht exakt derselbe, aber vergleichbar. Hier ist also kein Blumentopf zu gewinnen. Es ist derzeit auch schlicht nicht möglich, die Anfragen an die autoritativen Server zu verschlüsseln. Es gab u. A. schon eine Bestrebung in diese Richtung durch die IETF, allerdings sollten wir uns für die nahe Zukunft nicht allzu große Hoffnungen machen. Vertraulichkeit ist demzufolge nicht das beste Argument. Integrität der DNS-Daten schaffen DoT oder DoH auch nicht, da wir damit nicht überprüfen können, ob der DNS-Server überhaupt korrekte Daten losschickt, sondern nur, ob die Daten auf dem Weg zu uns nicht verändert wurden.
  • Ich sag jetzt mal nicht, dass das auch bei meinem Link zum Nachlesen war, ist ja genau die Anleitung aus dem Forum; als das Forum zugemacht worden ist habe ich die mal, mit Erlaubnis natürlich, weg gesichert.

    Fragen & Antworten - Raspberry Pi als DNS-Server


    Hups nu hab ichs doch gemacht :P

  • Ich sag jetzt mal nicht, dass das auch bei meinem Link zum Nachlesen war, ist ja genau die Anleitung aus dem Forum; als das Forum zugemacht worden ist habe ich die mal, mit Erlaubnis natürlich, weg gesichert.

    https://anleitungen.codeberg.p…Hole-einrichtung/faq.html


    Hups nu hab ichs doch gemacht :P

    Na ja, wer ist denn dieser Codeberg? Bestimmt wieder so ein unseriöser Link, bei dem mir irgendwas untergejubelt werden soll. Da bleibe ich lieber beim Original.


    Nein, cool das du das gesichert hast! :thumbup:

    Wäre echt schade, wenn so etwas verloren gehen würde.

  • Ich sag jetzt mal nicht, dass das auch bei meinem Link zum Nachlesen war, ist ja genau die Anleitung aus dem Forum; als das Forum zugemacht worden ist habe ich die mal, mit Erlaubnis natürlich, weg gesichert.

    an meine haut lasse ich nur wasser und cd äh forum.kuketz-blog.de

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!