DNS over TLS (DoT) nur so wird deine FritzBox ein grosses Stück sicherer.
Вставка
- Опубліковано 8 лют 2025
- DNS Attacken werden immer häufiger, umso wichtiger ist es eine verschlüsselte Verbindung für die Kommunikation zum DNS Server einzusetzen.
wer mehr wissen möchte hier der Link:
dnsprivacy.org...
#mend it mark
Klasse Vid.
Danke !
Danke für das informative Video! Die Einrichtung von DNS over TLS (DoT) auf dem Router klingt vielversprechend, aber ich habe ein paar Fragen und Bedenken.
Kompatibilität mit allen Geräten: Nicht alle Geräte und Betriebssysteme unterstützen DoT. Wie wirkt sich das auf ältere oder nicht aktualisierte Geräte in meinem Netzwerk aus? Gibt es eine Möglichkeit, eine Fallback-Lösung zu implementieren? Weil ich es wichtig finde, auch vom Router unabhängig sein zu können z.B. Smartphone oder Notebook die sogar an Öffentlichen Router angewiesen sein können wenn man unterwegs ist.
Leistungsüberkopf und Latenz: DoT fügt eine Verschlüsselungsebene hinzu, was zu einer erhöhten Latenz führen kann. Hast du eine Performance-Analyse durchgeführt, um zu sehen, wie sich das auf die Ladezeiten von Webseiten auswirkt?
Gibt es spürbare Verzögerungen im Alltag?
Kompatibilität mit bestehenden Netzwerkdiensten: Manche Netzwerkdienste oder -anwendungen könnten Probleme mit verschlüsselten DNS-Anfragen haben. Welche potenziellen Konflikte könnten auftreten und wie lassen sich diese beheben?
Firewall und Sicherheitslösungen: Verschlüsselter DNS-Verkehr kann von einigen Firewall- und Netzwerksicherheitslösungen nicht einfach analysiert werden. Wie kann ich sicherstellen, dass meine Netzwerksicherheit nicht darunter leidet? Gibt es empfohlene Konfigurationen oder zusätzliche Maßnahmen?
Serverauswahl und Zuverlässigkeit: Da nicht alle DNS-Server DoT unterstützen, könnte die Auswahl an verfügbaren Servern eingeschränkt sein. Welche DNS-Server empfiehlst du und wie zuverlässig sind diese? Gibt es bekannte Ausfallzeiten oder Leistungsprobleme bei den empfohlenen Servern?
Ich Würde OpenDNS, Quad9 für DoT verwenden. Google ist nicht so schön.
Langfristige Wartung und Support: Wie sieht es mit der langfristigen Unterstützung und Wartung aus? Muss ich regelmäßig Updates für meinen Router oder die DNS-Servereinstellungen vornehmen? Gibt es automatisierte Lösungen, die das erleichtern?
Datenschutz und Vertrauenswürdigkeit der DNS-Anbieter: Obwohl DoT die Privatsphäre gegenüber Dritten verbessert, wie steht es um die Vertrauenswürdigkeit der DNS-Anbieter selbst? Google kennt keine Privatsphäre aber Kannst du etwas zur Datenschutzpolitik einiger Anbieter sagen?
Jo, das wäre es, ein Like kriegst du definitiv.
Hallo, schön das dir mein Video gefallen hat.
Ich denke aber es liebt hier eine grundsätzliches Verständnis Problem vor:
Also diese Einstellungen werden ALLE in der Firtzbox gemacht und wirken sich auf das ganze Netzwerk aus, daher ist es unerheblich ob ein Gerät DOS über TLS unterstützt oder nicht da sich nur die Fitzbox darum kümmert und jedes gerät dann wie bisher mit DNS versorgt wird.
zu deinen Fragen:
Leistung und Latenz:
Die Auswirkungen sind so gering dass es kaum ins Gewicht fällt.
Kompatibilität:
s. oben die FritzBox sitzt dazwischen und es gibt keine Änderungen für die Netzwerkgeräte.
Firewall und Sicherheitslösungen:
Ja das ist trotzdem möglich wenn man nach der Verschlüsselung die Firewall einsetzt. Grundsätzlich ist aber zu sagen dass in einem Netzwerkumgebung die so Sicherheitsansprüche erfüllen soll eine Fritzbox grundsätzlich fehl am Platz ist.
DNS-Server DoT unterstützen: s.oben
Langfristige Wartung und Support das hängt von AVM ab ob es Updates gibt.
Datenschutz und Vertrauenswürdigkeit der DNS-Anbieter:
das Thema Vertrauenswürdigkeit von Internet und Internet Service Providern ist ein Thema für sich das gilt genauso bei DNS wie für den Internetzugang an sich.
Beste Grüsse
Die Aussage das eine https Verbindung ohne passendes Zertifikat sicher ist, ist absoluter Humbug. Das (passende) Zertifikat sorgt u.A. dafür, dass man sich sicher sein kann, dass seine Kommunikation nicht über Dritte abgefangen wird, z.b. auf Grund von Schadsoftware auf dem eigenen PC.
Hallo
vollkommen richtig ich dachte ich hätte im Video gesagt "NICHT SICHER" leider konnte ich die Stelle nicht finden wo dieser Versprecher gewesen ist.
1:39 denke das wird der Zeitpunkt sein
Naja. Google Server und Sicherheit, ein Widerspruch in sich. Gegen welche von möglichen Angriffen und Abfragen sichern die TLS und DOT DNS jetzt ab? Welche Vor und Nachteile gibt es wenn man die einträgt?Statt auf Wikipedia zu verweisen sollte man das schon erklären können im Video.
Nun manm kann auch den DNS von cloudflare verwenden die sagen das sie nix loggen IP 1.1.1.1 und 2606:4700:4700::1111
DNS name 1dot1dot1dot1.cloudflare-dns.com
Folglich, auch wenn eine DNS Abfrage gestellt wird, ist nicht der DNS-Dienst der erste best Hop der angesprochen wird. Das/Die Pakete werden ja auch erst mal weiter geroutet, bis Sie da ankommen. Somit ist jetzt erst ein mal der Weg bis zum DNS mit der ersten Anfrage unverschlüsselt. Sollte ein korrumpiertes System dazwischen sein, so können zumindest die Metadaten abgefangen werden. Wohin Du willst, was du suchst. Zu welcher Zeit. usw. Gerade zur Zeit, wo das Massenspeichern von Daten in Mode kommt, ist es interessant zu wissen, das der persönliche Fußabdruck "noch" verschlüsselt ist.
Die Frage ob google hier sich Daten abgreift stellt sich doch nicht? Es war ein Beispiel. Gibt genug DNS Anbieter da draußen die man nutzen kann.
Einfach mal einen trace machen und man stellt fest, wie oft das Datenpaket eigentlich erst mal hin und her geschoben wird.
Frage: Und wenn ich ein Pihole/Adguard betreibe, was trage ich dann unter der Punkt DNS over TLS (DoT) ein? Das ist ja ein gerät was lokal bei im im Netzwerk läuft. Das habe ich auch als bevorzugter und alternativer DNSv4 Server fest eingetragen.
Das gerät muss DNS over TLS unterstützen sonst geht es nicht.
Klasse Video! Was stelle ich denn in meinem Netzwerkadapter bei IPv6 ein? Bei IPv4 ist es die IP meiner Fritzbox, aber hat die auch eine IPv6-IP (wo sehe ich die?)? Im Video war IPv6 deaktiviert. Was ist denn die Konsequenz, wenn das abgeschaltet ist?
Hallo,
nein ganz im Gegenteil IPv6 war nicht deaktiviert der DNS über IPv6 wird ja auch als funktionsfähig angezeigt.
Ich habe nur in der Übersicht meine eigene IPv6 Adresse unleserlich gemacht (muss ja nicht jeder wissen)
Zur 2. Frage in Windows kann man es über die netzwerkkarten Infos einfach einsehen, oder im der console den Befehl "ipconfig /all" eingeben.
@@WastunHerrIngenieur Sorry, ich muss nochmal nachfragen: bei 6:50 im Video sehe ich, dass der Schieber für IPv6 abgeschaltet ist. Daher meine Frage, was ich denn in dem Abschnitt eintragen muss, wenn der Schieber auf "AN" steht (oder muss ich IPv6 abschalten?)? Wenn ich analog zu IPv4 auch dort die IP der Fritzbox eintragen muss, dann vermutlich deren IPv6 Variante, oder? Sehe ich die irgendwo im Menü der Fritzbox, oder woher bekomme ich diese Info?
@@Nice_Try_Mate Ach so, es geht um Einstellungen in Windows und nicht um die Fritzbox.
Bei IPv6 geht eigentlich alles automatisch da muss man bei Windows nur Schieber von IPv6 einschalten, sofern man überhaupt IPv6 von seinem Internetanbieter hat, funktioniert der Rest von ganz alleine.
Vielleicht mach ich mal ein Video dazu.
Wie verhält sich dann mit der Ping? Online Gamer...
Was meinst Du genau?
Auf einen Ping hat das absolut keine Auswirkung. Denn die DNS-Adresse wird ja erstmal aufgelöst in eine IP-Adresse. Und danach geht es alles zwischen dir und dem Server direkt via IP-Adresse, da hat DNS keinen Einfluß mehr drauf.
Na, dann erkläre mal, wie die Man-in-the-middle-Attacke ablaufen soll.
de.wikipedia.org/wiki/Man-in-the-Middle-Angriff
@@WastunHerrIngenieur Danke, aber ich wollte nicht wissen, was eine Man-in-the-middle-Attacke ist, sondern wie sie in diesem Fall funktionieren soll.
@@ReinerWahnsinn-kb9cm Ich versteh die Farge nicht ganz, aber allgemein: kann es sein dass der DNS server nicht echt ist und alle Daten dann mitgeschrieben oder ungelenkt werden. Der DNS Server ist dann der "Man" der in the middle sitzt.
@@WastunHerrIngenieur Wenn der DNS Server nicht echt ist, dann hilt auch TLS nicht. Genau dafür dibt es DNSSEC.
@ReinerWahnsinn-kb9cm Schau dir das mal an:
vercara.com/resources/what-is-the-difference-between-dnssec-vs-dns-dot-and-doh