Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Praxis: DNSSEC beim Pi-hole

In der Weboberfläche vom Pi-hole gibt es unter Settings/DNS die Option "Use DNSSEC". Wieso benötige ich dann noch die in Ihrem Artikel "Doppelt verschlüsselt" beschriebenen Tools Stubby und DNSCrypt-Proxy auf dem Pi-hole, wenn der Pi-hole selber bereits DNSSEC unterstützt?


DNSSEC einerseits und DoH, DoT und DNSCrypt andererseits sind verschiedene Methoden, die die DNS-Information auf unterschiedlichen Teilstücken absichern. DNSSEC schützt die DNS-Information gegen Manipulation auf der Übertragungsstrecke und prüft, ob der Sender der DNS-Information vertrauenswürdig ist (genauer, der für eine Domain zuständige DNS-Server).

Aber DNSSEC verschlüsselt nicht, sondern signiert nur DNS-Antworten. Der Resolver, der die DNS-Information vom autoritativen DNS-Server einholt, sendet sie im Klartext zum anfragenden DNS-Client wie Ihrem Pi-hole weiter. Unter der DNS-Antwort, also etwa der IP-Adresse eines Webservers, steht die Signatur, anhand der der empfangende Client prüft, ob die Nachricht unverfälscht ist und ob der autoritative DNS-Server vertrauenswürdig ist.

Um nun das Mitlesen durch Dritte zu unterbinden, wurden Verschlüsselungsmethoden wie DoT, DoH oder DNSCrypt entwickelt. Diese verschlüsseln das gesamte DNS-Paket auf dem Teilstück vom DNS-Client zum Resolver. Pi-hole setzt auf Dnsmasq auf, das den DNS-Verkehr konzeptbedingt bisher nicht verschlüsseln kann. Um das zu kompensieren, kann man Pi-hole, wie im Artikel gezeigt, einen verschlüsselnden Resolver wie Stubby oder DNSCrypt-Proxy vorsetzen.

Quelle: c‘t
 
Zurück
Oben