[Frage] DNSSEC und Fritzbox und Clients im Heimnetzwerk

[Peter931]

Hallo,
ich habe eine Frage zu DNSSEC.

1. Ich habe auf der Fritzbox angewählt, dass der DNS-Server vom Internetprovider übernommen werden soll.
2. ich habe auf allen Clients im Heimnetzwerk autom. DHCP eingestellt.

Validiert die Fritzbox DNS-Antworten vom Internetprovider-DNS-Server mittels DNSSEC?

Muss ich zusätzlich auf den Clients etwas konfigurieren, oder reicht eine eventuelle Verifizierung durch die Fritzbox aus?

 

[sf3978]

Validiert die Fritzbox DNS-Antworten vom Internetprovider-DNS-Server mittels DNSSEC?

Evtl. testen mit:

dig +dnssec bund.de @192.168.178.1
dig +dnssec bundestag.de @192.168.178.1

(oder gleichwertig).

 

[HabNeFritzbox]

DNS vom Anbieter kann man leider teils vergessen für sowas. Verwende daher auch kein DNS von Telekom mehr.

Teste einfach auf Webseite ob alles positiv ist.
https://en.internet.nl/test-connection/

Sonst halt 1.1.1.1 oder 8.8.8.8 verwenden in der FB, weitere Konfiguration ist nicht notwendig.

 

[rmh]

http://www.dnssec-or-not.com/

 

[HabNeFritzbox]

Bei dem Link von mir sind mehr Informationen zum Test, und auch welcher DNS verwendet wird.

Ist evt. mal eine nette Info wenn man keine Kontrolle hat über den Router.

 

[rmh]

Ups, den Link wollte ich gar nicht posten, das trägt so tatsächlich nichts zur Fragestellung bei.

 

[Joe_57]

Sonst halt 1.1.1.1 oder 8.8.8.8 verwenden in der FB...

Macht es wirklich Sinn, die DNS-Server der Datenkrake Google für DNSSEC zu verwenden?

 

[TSMusik]

Besser Quad9 (9.9.9.9/2620:fe::fe), da gibt es auch DNSSEC.

 

[MuP]

Validiert die Fritzbox DNS-Antworten vom Internetprovider-DNS-Server mittels DNSSEC?

Nein.

Allen DNS(SEC)-Serverbetreibern ist gemeinsam, dass sie die Userdaten in bare Münze umwandeln.
Google ist lediglich der Überkrake mit dem akt. größten Vorrat an $$$.

 

[Theo Tintensich]

Allen DNS(SEC)-Serverbetreibern ist gemeinsam, dass sie die Userdaten in bare Münze umwandeln.

Verstehst du das System bei DNSSEC?

Deiner Antwort nach, nicht.

 

[MuP]

Das war jetzt deine Antwort auf die Frage aus #1 oder eher ein OT-Schuss aus persönlichem Frustablasstrieb heraus ?
Erkläre doch stattdessen einfach im Detail, wie die FB die Validierung gem. RFC im Detail durchführt, denn das war die Frage aus #1.
Hier die Liste der aktuellen Regeln: http://www.dnssec.net/rfc
Bin schon ganz gespannt auf deine ausführliche Experten-Antwort ...
---
Ich bin mir lediglich sicher, dass der Serverbetreiber eine klitzekleine Rolle dabei spielt.
Der ganze bereitgestellte Signaturkram inkl Auth. und Proxy kann jederzeit hintergangen werden.
Es ist unerheblich, ob die FB-Firmware irgendeine Aktion in petto hat.
Nichts, aber auch gar nichts, ist heutzutage sicher.
Da gab es doch gerade erst eine Riesenpanne bei AVM ...

 

[sf3978]

Muss ich zusätzlich auf den Clients etwas konfigurieren, oder reicht eine eventuelle Verifizierung durch die Fritzbox aus?

Die FritzBox reicht die Antwort vom upstream-DNS-Server lediglich an den Client durch. Die FritzBox fungiert in diesem Fall als DNSSEC-Proxy. Der Client muss die Anfrage mit dem DNSSEC OK bit (do) machen.

 

[MuP]

Kurz gesagt: Die FB validiert gemäß Anfrage aus #1 nicht.

 

[HabNeFritzbox]

Die großen bekannten 8.8.8.8, 1.1.1.1 oder 9.9.9.9 können DNSSEC, viele vom Internetprovider oder auch andere bekannte nicht unbedingt.

Daher ausprobieren. Was Geschwindigkeit angeht, kommt man um die 3 genannten kaum herum, manche vom Internetanbieter sind schneller, dann aber kein DNSSEC.

Muss man also für sich selbst entscheiden, was einem wichtiger ist, DNSSEC, Geschwindigkeit oder Datenschutz.

Die Wahl des DNS wirkt sich teils auch Downloads aus von US Diensten, welche dann ggf. langsamer sein könnten, oder VoIP Anbieter an weiter entferntere Standorte geroutet wird.

Die FB verwendet immer schnellsten von den 4 welche man angeben kann.

Oder halt eigenen DNS Server betreiben mit allen root Zonen.

Selbst dann muss der Browser bzw. User ganze auch verifizieren, sonst ist ganz eh zwecklos. Selbst Banken und so halten es nicht für nötig nen TLSA Eintrag zu setzen, dass Browser Addon wie https://addons.mozilla.org/de/firefox/addon/dnssec-validator/ es prüfen können. Auch bei Mailservern wird kaum DANE verwendet.

 

[Theo Tintensich]

Kurz gesagt: Die FB validiert gemäß Anfrage aus #1 nicht.

Brauch sie, wenn sie nur als Proxy arbeitet, auch nicht.
Denn dann reicht sie den DNSSEC-Verkehr einfach durch.
Hier muss dann der Client das validieren.
Wenn er das nicht kann, ist nicht die F!B schuld.

 

[MuP]

Validiert die Fritzbox DNS-Antworten vom Internetprovider-DNS-Server mittels DNSSEC?

Nein. ....

Verstehst du das System bei DNSSEC? Deiner Antwort nach, nicht.

Jetzt verstehe ich deine Antwort beim besten Willen überhaupt nicht mehr, da du gerade genau das vorher angezeifelte "Nein" bejahst.

Meine Antwort auf die Frage aus #1 bleibt bei einem stabilen "Nein"

 

[henry90]

Hier muss dann der Client das validieren.

Für den Firefox (ab Vers 61)gibt es eine interessante Seite:
https://www.privacy-handbuch.de/handbuch_21w.htm

 

[HabNeFritzbox]

Damit umgeht man auch DNS des Systems und Routers, heißt also sowas wie fritz.box usw. fällt weg.

 

[henry90]

Richtig!

 

[HabNeFritzbox]

Und in Praxis ist bei mir öfter FF abgestürzt mit der ganzen ttr Geschichte.

Zudem gilt es ja nur für den Browser nicht für andere Dienste.