Welche „Privatsphären Einbuße“ hat man denn bei einem standartmäßigen und nicht konfigurierten DNS Server. Ist es gängige Praxis hier mitzulauschen? Wenn ein ISP diese Daten auswertet, müsste es dazu doch auch irgendetwas Datenschutztechnisches zu lesen geben.
Angenommen man nutzt nun einen alternativen DNS Server, könnte ein ISP nicht einfach die Verbindungen gegenchecken um weiterhin ein Nutzungsverhalten festzustellen?
Aktuell experimentiere ich mit PiHole und Unbound. Allerdings hat sich mir noch nicht erschlossen, welchen Privatsphärenvorteil ich durch letzteren habe. Gemäß meinem Verständis, frage ich bei irgendwelchen (bzw. den jeweiligen zuständigen) Servern die IP direkt an. Welche mir dann, unverschlüsselt an meinem ISP vorbei, mitgeteilt wird. Im Kontrast dazu steht ein vertrauenswürdiger „privatsphärenrespektierender“ DoT/DoH Resolver.
Da ich leider nicht fachkundig, dafür aber interessiert bin, freue ich mich umso mehr eines besseren belehrt zu werden.
Was verstehst du unter einem standartmäßigen und nicht konfigurierten DNS-Server?
Inwiefern (wo genau) „mitzulauschen“?
… Verbindungen gegenchecken … ?
Sofern man als Internetnutzer den alternativen DNS richtig verwendet (fehlerfrei einbindet), wird der Traffic (im Gegensatz zum Standardverfahren, DNS-Server vom ISP) transportverschlüsselt übertragen. Das geschieht entweder per DNS over HTTPS (DoH, Port 443) oder besser noch per DNS over TLS (DoT, Port 853), bestenfalls noch zusätzlich abgesichert mittels DNSSEC.
Der ISP kann diesen Traffic nicht mitlesen. Der ISP kann hierbei lediglich „mitschneiden“ das eine Verbindung hergestellt wird. Doch weder das Verbindungsziel noch die Inhalte sind für den ISP einsehbar. Zudem bekommt der ISP keine Kenntnis davon, welche Webseiten angefragt und schließlich aufgerufen werden.
Die Vorteile der Nutzung von alternativen DNS liegen damit klar auf der Hand. Nicht zuletzt bieten sichere DNS-Server oft bessere Latenzen (niedrige Werte, also schnell). Selbstredend der deutliche Zugewinn an Sicherheit.
Wenn du sowieso schon einen Pi-hole verwendest, dann würde sich das Tutorial von Tschaeggaer/bummelstein anbieten und ganz auf externe DNS-Server verzichten.
Der ISP kann weiterhin Rückschlüsse ziehen. DNS ist vielleicht verschlüsselt aber der Domain Name wird auch noch im Klartext übertragen falls du TLS Verbindungen benutzt.
Das soll sich zwar iwann ändern aber ggf. kann man den Namen auch schlicht anhand der IP Adresse ableiten. https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
Dann sollte man auch noch alles durch ein VPN jagen mit einem vertrauenswürdigen Endpunkt… Aber wem vertraut man? Ich vertraue Hetzner, wenn ich mobil unterwegs bin bzw. nutze ich da meinen dort laufenden Pi-hole auch unterwegs auf meiner VM.
Ist das tatsächlich so? Denn ich habe das anders in Erinnerung. Irrtum meinerseits?
Bei Hetzner wurden auch schon Server beschlagnahmt (noch gar nicht so lange her). Davor ist man in der sogenannten „Freien Welt“ nie sicher, Vertrauen hin oder her.
Ich frag mich immer, warum einige es mit der Privatsphäre so maßlos übertreiben. Komplett anonym seid ihr im Internet nirgends.
Die Mitarbeiter der Geheimnisdienste sitzen in ihren Räumen und lachen sich kaputt, weil manche alles versuchen komplett anonym zu sein, während das für die Geheimdienste eine ganz simple Angelegenheit ist herauszufinden wer vor dem Bildschirm sitzt.
Die haben nämlich ihre Technik für sowas…
Und zum Thema TOR: glaubt nicht, dass ihr damit anonym seid. Die Zeiten sind schon lange vorbei.
Das zitierte Dokument bzgl. TLS 1.3 und Thema SNI im Kontext von DNS verstehe ich so:
Wenn ich nichts mache, geht die DNS-Anfrage an den Provider, der es damit direkt kennt.
Verwende ich einen lokalen DNS wie Unbound, wird DNS am Provider vorbeigeführt und liefert mir die IP. Beim ersten direkten Aufruf der IP muss die Zieldomain wg. SNI unverschlüsselt gesendet werden. Damit kann der aufgerufene Webserver anhand Domainname die zuständige Konfiguration ermitteln. Erst wenn die Verbindung steht, wird die nicht mehr unverschlüsselt gesendet.
Wg. Hetzner: Bei Gerichtsbeschluß wird sehr wahrscheinlich jeder Provider in DE dem Gesuch nachkommen. Die Frage ist hier, ob das was man macht oder worin man befürchtet hinein zu geraten derart schwerwiegend ist, dass ein solcher Beschluß wahrscheinlich ist
Nein, es wird nichts am Provider vorbeigeführt.
Der lokale DNS-Server sucht hinter der Domain die IP-Adresse heraus und dann verbindet man sich mit dem Server anhand der IP-Adresse.
Der ISP kann selbstverständlich sehen welche Seite man aufruft, da man schließlich deren Server nutzt um ins Internet zu kommen.
Ja, besten Dank. Da habe ich mich falsch ausgedrückt.
Die Problematik bezieht sich nur auf bereits unterbrochene Leitungen.
Der Provider sieht aber dann entsprechend nur noch die IP und hat nach meinem Verständnis keine Kenntnis der konkreten Seite im Sinne von Webseite / Domain. Wenn auf dem Server natürlich nur eine Domain betrieben wird, kann er es in Erfahrung bringen.
@nobody Das hat es mir dann wieder in Erinnerung gerufen
Der ISP weiß welche Domain unter einer IP-Adresse aufgerufen wird, weil das in Klartext im ersten Paket mitgesendet werden muss. Eine Verschlüsselung ist vor der Auswahl eines Zertifikates nicht möglich. Unter einer IP-Adresse können mehrere Domains mit unterschiedlichen Zertifikaten erreichbar sein.
Auszug aus der verlinkten Webseite:
Yes, the full URL string is hidden, and all further communication, including the application-specific parameters.
However, the Server Name Indicator that is formed from the hostname and domain name part of the URL is sent in clear text during the first part of the TLS negotiation.
Ein eigener DNS Server wie Pihole oder Adguard trägt ja trotzdem enorm zur Verbesserung der Privatsphäre bei, da du ja kontrollieren kannst, welche Domains aufgelöst werden und welche nicht.
Dass der ISP theoretisch diese Information ziehen kann ist ja oben technisch beschrieben worden.
Allerdings glaube ich, dass der technische Aufwand, die zweifelhafte Rechtssicherheit es eher unwahrscheinlich machen, dass ISP die paar Menschen die einen eigenen DNS Server nutzen zu tracken.
(außerdem würde für ISPs wie z.B. Vodafone daraus auch Probleme erwachsen, da sie ja per Gerichtsbeschluss dazu verdonnert wurden bestimmte Websites nicht mehr aufzulösen)
Bzgl. staatlicher Akteuren: Zumindest ich beziehe die nicht in mein Bedrohungsmodell mit ein, hier wird dein DNS Server oder der ISP dein kleinstes Problem sein.
Wenn es um das Thema DNS und Privatsphäre geht, sollte man sich vielleicht auch mal dnscrpyt-proxy und speziell das darin implementierte Anonymized DNS sowie ODoH anschauen. Hier ist noch ein deutschsprachiger Artikel dazu und ein Vorschlag zur Umsetzung. Und wie in dem Artikel zurecht erwähnt wird, ist damit auch die Verwendung der (üblicherweise schnellen) DNS-Server von Cloudflare oder Google unter Privatsphäreaspekten unproblematisch.
Ich vertraue Hetzner, wenn ich mobil unterwegs bin bzw. nutze ich da meinen dort laufenden Pi-hole auch unterwegs auf meiner VM.
