DNS-over-HTTPS en DNS-over-TLS voor de consument

zaterdag 19 oktober 2019 12:57

Acties:

0 Henk 'm!

Stop!.... Continue

Topicstarter

Door artikelen zoals deze en presentaties zoals deze ben ik ook eens gaan kijken naar DoT en DoH.

Ik vind erg vaak discussies over de voor en nadelen op grote schaal en lange termijn. Wat moet de standaard worden, wat zijn nadelen op ISP-niveau, meningen van overheden en networkproviders.
Maar wat nu, op dit moment, voor de consument?

Als ik nu zou kiezen voor bv Quad9 en zij bieden DoH en DoT om hun DNS aan te roepen, dan zijn deze, als afnemer, toch nagenoeg gelijk?

Chewing gum while cutting unions will prevent you from crying, it won't prevent you from being sad

woensdag 23 oktober 2019 17:54

LanTao

Crowmeister schreef op dinsdag 22 oktober 2019 @ 22:25:
En dan terugkomend op DoH vs DoT; deze zijn functioneel gezien toch hetzelfde voor een gebruiker?

In tegenstelling tot DoH stuurt DoT geen User-Agent en andere mogelijke HTTP-headers mee. Beide kunnen via SSL session resumption cookies getracked worden, ook dagen later, ook als van IP-adres gewisseld wordt (bijv WiFi naar 4G op je mobiele telefoon). Gewoon DNS over UDP naar je eigen provider heeft daar allemaal geen last van.

zondag 20 oktober 2019 01:28

Acties:

+1 Henk 'm!

ewoutw

Op dit moment voor Nederlandse consumenten vind ik versleutelde dns nog geen meer waarde.

Dit heeft voor mij vooral te maken dat nederlandse providers eigenlijks niets met DNS gegevens doen. We hebben hier nog geen praktijken zoals in Amerika.

Ik vind er nogal wat haken en ogen aan zitten.
De eigenaar van de DNS-server weet nog altijd wie welke DNS-query heeft opgevraagd. Hierbij moet je, je wel afvragen wie je meer vertrouwd. Je eigen provider, of Google.

Daarnaast nou een provider als ze willen wel kunnen zien aan de socket dat het (hoogst waarschijnlijk) om DoH verkeer gaat. Direct na dit verkeer komt er verkeer voor een op-adres. Dan kunnen ze met reverse-dns alsnog achterhalen welke website je op heb gevraagd. Kan natuurlijk zijn dat het shared-hosting is. Maar uiteindelijk bouwen de providers ook wel een profiel op.

Daarnaast vind het onwenselijk dat het op applicatie-niveau plaats vind. Vanuit beheer in dit echt onwenselijk.

maandag 21 oktober 2019 10:43

Acties:

0 Henk 'm!

Crowmeister

Stop!.... Continue

Topicstarter

ewoutw schreef op zondag 20 oktober 2019 @ 01:28:
Op dit moment voor Nederlandse consumenten vind ik versleutelde dns nog geen meer waarde.

Dit heeft voor mij vooral te maken dat nederlandse providers eigenlijks niets met DNS gegevens doen. We hebben hier nog geen praktijken zoals in Amerika.

Ik vind er nogal wat haken en ogen aan zitten.
De eigenaar van de DNS-server weet nog altijd wie welke DNS-query heeft opgevraagd. Hierbij moet je, je wel afvragen wie je meer vertrouwd. Je eigen provider, of Google.

Daarnaast nou een provider als ze willen wel kunnen zien aan de socket dat het (hoogst waarschijnlijk) om DoH verkeer gaat. Direct na dit verkeer komt er verkeer voor een op-adres. Dan kunnen ze met reverse-dns alsnog achterhalen welke website je op heb gevraagd. Kan natuurlijk zijn dat het shared-hosting is. Maar uiteindelijk bouwen de providers ook wel een profiel op.

Daarnaast vind het onwenselijk dat het op applicatie-niveau plaats vind. Vanuit beheer in dit echt onwenselijk.

Bedankt, goed punt over Nederlandse ISPs die in principe een stuk beter omgaan met je gegevens.
Zal een geencrypte DNS niet helpen met man-in-the-middle aanvallen bij onbekende Wi-Fi hotspots bv?

Chewing gum while cutting unions will prevent you from crying, it won't prevent you from being sad

maandag 21 oktober 2019 16:05

Acties:

+2 Henk 'm!

mediumdry

encryptie van DNS kan inderdaad helpen bij MitM aanvallen. Bij wifi hotspots ook, maar daar zijn ook heel veel andere aanvallen mogelijk

Het beste is het om een VPN naar huis op te zetten als je in een wifi hotspot bent en al je verkeer daar overheen te gooien. Als je zelf een DNS resolver draait die ook DNSSEC verifieert ben je dan redelijk beschermd tegen aanvallen die DNS misbruiken.

dinsdag 22 oktober 2019 22:25

Acties:

0 Henk 'm!

Crowmeister

Stop!.... Continue

Topicstarter

mediumdry schreef op maandag 21 oktober 2019 @ 16:05:
encryptie van DNS kan inderdaad helpen bij MitM aanvallen. Bij wifi hotspots ook, maar daar zijn ook heel veel andere aanvallen mogelijk

Het beste is het om een VPN naar huis op te zetten als je in een wifi hotspot bent en al je verkeer daar overheen te gooien. Als je zelf een DNS resolver draait die ook DNSSEC verifieert ben je dan redelijk beschermd tegen aanvallen die DNS misbruiken.

Dus eigenlijk is het encrypten van DoH en DoT niet zo belangrijk in NL en gaat het eigenlijk gewoon, net als uberhaubt van DNS wisselen, over het verplaatsen van een naming server.

En dan terugkomend op DoH vs DoT; deze zijn functioneel gezien toch hetzelfde voor een gebruiker?

Chewing gum while cutting unions will prevent you from crying, it won't prevent you from being sad

woensdag 23 oktober 2019 17:54

Acties:

Beste antwoord ✓
+1 Henk 'm!

LanTao

Crowmeister schreef op dinsdag 22 oktober 2019 @ 22:25:
En dan terugkomend op DoH vs DoT; deze zijn functioneel gezien toch hetzelfde voor een gebruiker?

In tegenstelling tot DoH stuurt DoT geen User-Agent en andere mogelijke HTTP-headers mee. Beide kunnen via SSL session resumption cookies getracked worden, ook dagen later, ook als van IP-adres gewisseld wordt (bijv WiFi naar 4G op je mobiele telefoon). Gewoon DNS over UDP naar je eigen provider heeft daar allemaal geen last van.

donderdag 24 oktober 2019 16:58

Acties:

+1 Henk 'm!

Crowmeister

Stop!.... Continue

Topicstarter

Thanks allemaal.

Is me wel duidelijk, het encryptie gedeelte kan handig zijn voor openbare plekken. Maar voor de rest verplaats je alleen maar je DNS naar een andere (buitenlandse) partij die je minder goed kent dan je provider.

Chewing gum while cutting unions will prevent you from crying, it won't prevent you from being sad

Onderwerpen

Vraag

Beste antwoord (via Crowmeister op 24-10-2019 16:56)

Alle reacties