DEENFRELIDESCA
my.iacboxiacbox.cloudMeine WLAN Lösung

Encrypted DNS: Verschlüsseltes DNS für maximale Sicherheit und Privatsphäre

Die IACBOX v24.2.0 führt verschlüsseltes DNS für Gäste und den Upstream-DNS-Server ein.

Was ist verschlüsseltes DNS?

Das DNS-Protokoll ist eines der ältesten Internetprotokolle und verfügt über keine integrierte Sicherheit. Die Anfragen und Antworten werden in einem unverschlüsselten, unsignierten Binärformat gesendet, meist über UDP auf Port 53. Insbesondere in öffentlichen WLAN-Netzwerken kann dies ein Sicherheitsrisiko darstellen, da die DNS-Abfragen und -Antworten von Angreifern abgefangen und manipuliert werden können. Selbst wenn kein direktes Sicherheitsrisiko besteht, handelt es sich zumindest um ein Datenschutzproblem.

Um diese Sicherheitsprobleme zu beheben, wurden in den letzten Jahren neue sichere Transportwege für DNS definiert. Mit TLS steht bereits ein etabliertes und sicheres Transportprotokoll zur Verfügung, daher war es ein logischer Schritt, DNS über TLS zu tunneln. Generell stellt der sichere Transport sicher, dass DNS-Abfragen und -Antworten verschlüsselt werden, um Abhören und Manipulationen zu verhindern.

Arten von verschlüsselten DNS-Protokollen

Derzeit gibt es 4 verschiedene Typen von verschlüsseltem DNS:

  1. DoT: DNS-over-TLS (RFC 7858)
  2. DoQ: DNS-over-QUIC (RFC 9250)
  3. DoH: DNS-over-HTTP2 (RFC 8484)
  4. DoH3: DNS-over-HTTP3 (= DoH über HTTP3)

1.) DoT ist das am weitesten verbreitete verschlüsselte DNS-Protokoll. Es bietet eine sichere und zuverlässige Möglichkeit, DNS-Server über TLS mit dem Standard-TCP-Port 853 abzufragen.

2.) DoQ ist ein neueres Protokoll, das dieselben Sicherheitseigenschaften wie DoT aufweist, aber das UDP-basierte QUIC-Protokoll anstelle von TCP verwendet.

Da DoT und DoQ einen dedizierten Port verwenden, wurden Datenschutzbedenken geäußert, da der DNS-Verkehr leicht blockiert oder gefiltert werden kann (obwohl auch benutzerdefinierte Ports zulässig sind). Daraus entstand die Idee, DNS über HTTPS (DoH) zu tunneln, welches denselben Port wie HTTPS (443) nutzt und einfach per Proxy weitergeleitet und geroutet werden kann. Dies erschwert das Blockieren oder Filtern erheblich.

3.) DoH kapselt den DNS-Verkehr in HTTPS, speziell unter Verwendung des HTTP2-Protokolls. Wenn ein Nutzer den Fokus mehr auf Privatsphäre als rein auf Sicherheit legt, ist DoH derzeit die beste Wahl.

4.) DoH3 ist wie DoH, verwendet aber HTTP3 als Transport, welches wiederum auf QUIC basiert. Dies wird bisher noch nicht flächendeckend unterstützt.

Warum sollte man das nutzen?

Es gibt zwei Hauptgründe für den Einsatz von verschlüsseltem DNS:

  1. Sicherheit: Verschlüsselte DNS-Protokolle bieten eine sichere und zuverlässige Möglichkeit, DNS-Server abzufragen, wodurch das Risiko von DNS-Spoofing und anderen Sicherheitsbedrohungen verringert wird.
  2. Privatsphäre: Verschlüsselte DNS-Protokolle stellen sicher, dass Ihre DNS-Abfragen und -Antworten verschlüsselt sind, was unbefugtes Abhören verhindert.

Wie funktioniert die Bereitstellung (Provisioning)?

  1. Manuelle Konfiguration

Ein sicherheits- und datenschutzbewusster Nutzer kann sein Gerät manuell so konfigurieren, dass es ein verschlüsseltes DNS-Protokoll verwendet, sofern der Server dies unterstützt. Es sind auch mobile Apps verfügbar, die die Konfiguration für den Nutzer übernehmen.

  1. Automatische Konfiguration über DHCP

In Unternehmens- und Gästenetzwerken sollte diese Konfiguration jedoch ohne zusätzliche Einstellungen „einfach funktionieren“.

Es gibt eine neue DHCP-Option OPTION_V4_DNR (162), definiert in RFC 9463 Discovery of Network-designated Resolvers (DNR), die verwendet werden kann, um das Gerät automatisch für die Nutzung eines verschlüsselten DNS-Protokolls zu konfigurieren, sofern das Betriebssystem des Geräts dies unterstützt.

  1. Automatische Konfiguration über Discovery

Eine weitere Methode der automatischen Erkennung ist das sogenannte DDR (RFC 9462 Discovery of Designated Resolvers), ein Mechanismus zur Entdeckung bestimmter Resolver in einem Netzwerk. Der Client hat bereits einen unverschlüsselten DNS-Server konfiguriert und fragt diesen nach der speziellen Domain _dns.resolver.arpa mit dem Ressourceneintragstyp SVCB ab. Wenn der DNS-Server eine verschlüsselte Alternative kennt (was bei der IACBOX derselbe DNS-Server sein kann), antwortet er mit einem SVCB-Eintrag, der auf den verschlüsselten DNS-Server und seinen Typ (DoT, DoH, …) verweist.

Verschlüsseltes DNS auf der IACBOX

Seit Version 24.2.0 unterstützt die IACBOX verschlüsselte DNS-Protokolle auf beiden Seiten:

  • Auf der Gästenetzwerk-Seite (Surf-LAN) werden DoT und DoH unterstützt.
  • Auf der WAN/Uplink-Seite (Office-LAN) wird DoT unterstützt.

Gästenetzwerk-Seite (Surf-LAN)

Auf der Gästenetzwerk-Seite sind DoT und DoH standardmäßig aktiviert.

Die IACBOX unterstützt zudem beide Arten der automatischen Bereitstellung: die DHCP-Option 162 sowie DDR – die automatische Erkennung verschlüsselter DNS-Server via DNS-Abfrage (insbesondere iOS-Geräte nutzen dies häufig).

Die Einstellungen finden Sie im WebAdmin unter Netzwerk -> Surf-LAN DNS. Hier können Sie DoT und DoH für das Surf-LAN aktivieren oder deaktivieren.

WAN/Uplink-Seite

Die Einstellungen finden Sie im WebAdmin unter Netzwerk -> Einstellungen. Dort können Sie einen Upstream-DNS-Server verwenden, der verschlüsselte DNS-Protokolle unterstützt, oder einen unserer vordefinierten DNS-Server auswählen.

Bleiben Sie wie immer auf dem Laufenden und sicher mit Ihrer IACBOX!

Sie sind UnternehmerIn und suchen eine Lösung für diese Anforderungen? Oder sind Sie DienstleisterIn und beraten Unternehmen bei kabellosen oder kabelgebundenen Netzwerklösungen?

Starten wir gemeinsam ein Projekt

Privatsphäre-Einstellungen

Wir verwenden Cookies, um Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Mehr Informationen

Alle akzeptieren
Speichern & schließen

Beratung anfragen