DNS over TLS

[dsecure]

Moin,

kurze Frage allgemein zur DNS Auflösung über TLS. Ich habe die Sense FW so konfiguriert, dass alle DNS Anfragen vom LAN an die Sense selbst weitergeleitet werden, quasi Standard Port 53.

Das funktioniert so weit zufriedenstellend, lokale Domain werden aufgelöst + externe DNS Anfragen werden auf die DNS-Server weitergeleitet, die unter System eingetragen wurden. Passt!

Was ist aber, wenn jetzt ein Client, eine Domain über TLS auflösen möchte, dann wird doch die FW Regel umgangen, oder? Wie könnte man das verhindern, auch wenn das jetzt im Moment kein akutes Problem darstellt, so finde ich doch besser darüber die Kontrolle zu behalten, welcher Service wo hingeht, weil für mich dabei ein privacy bzw. Sicherheitsrisiko entstehen könnte, zB. wenn ein Client über 8.8.8.8 per TLS geht, wäre mir das nicht recht.

Beste Grüße

[chemlud]

Port 853 blocken? Viiiiiiel schlimmer ist DNS-over-HTTPS. No way to control, ausser mit irgendwelchen von Hand gepflegten Blocklists aus dem Netz...

[dsecure]

Port 853 blocken? Viiiiiiel schlimmer ist DNS-over-HTTPS. No way to control, ausser mit irgendwelchen von Hand gepflegten Blocklists aus dem Netz...

Stimmt, das meinte ich, Port 443 müsste das dann sein. TLS wäre ja dann kein Problem das zu blockieren aber wie du schon sagst, wenn die Namensauflösung über SSL geht, wirds problematisch. Würde das mit einem IPS funktionieren?

Welche Blocklists wären das dann, hast du dafür Referenzen?

LG

[chemlud]

https://forum.opnsense.org/index.php?topic=12238.msg56905#msg56905

https://heuristicsecurity.com/dohservers.txt
https://raw.githubusercontent.com/bambenek/block-doh/master/doh-hosts.txt
https://raw.githubusercontent.com/oneoffdallas/dohservers/master/list.txt
https://public-dns.info/nameservers.txt


Suchmaschine: block DOH

...und ähnliches. Ich habe es bisher nicht umgesetzt. Meine Hoffnung war auch, dass suricata da was macht, habe mich aber nicht mehr darum kümmern können.

[dsecure]

https://forum.opnsense.org/index.php?topic=12238.msg56905#msg56905

https://heuristicsecurity.com/dohservers.txt
https://raw.githubusercontent.com/bambenek/block-doh/master/doh-hosts.txt
https://raw.githubusercontent.com/oneoffdallas/dohservers/master/list.txt
https://public-dns.info/nameservers.txt


Suchmaschine: block DOH

...und ähnliches. Ich habe es bisher nicht umgesetzt. Meine Hoffnung war auch, dass suricata da was macht, habe mich aber nicht mehr darum kümmern können.

Danke für die Links, werde mich die Tage damit genauer auseinandersetzen, das mit den IPS/IDS ist so eine Sache, ich habe bisher nicht viele Tutorials dafür gefunden und die Konfiguration scheint auch nicht gerade Anfänger freundlich zu sein.

[mimugmail]

DoH wird echt schwer, eventuell transparenter Proxy und Http Tunnel verbieten, aber ist nur ein wild guess

[micneu]

ich frage mal ganz doof, in welcher umgebung muss es denn so abgeschottet sein, welches unternehmen ist so gefährdet, kannst du mal bitte einem nicht verstehenden erklären warum du dir so einen aufwand machst. vielleicht hilft mir deine erklärung ich ich mache es dann auch da deine begründungen für mich schlüssig sind?

[chemlud]

Auch wenn ich vermutlich nicht angesprochen bin, hier zum Einstieg:

https://www.zdnet.com/article/dns-over-https-causes-more-problems-than-it-solves-experts-say/

...und dann "security risks DoH" als Suchbegriffe.

Die Tatsache, dass sich Leute die Mühe machen, Listen mit DNS-servern zu pflegen, um DoH zu blockieren spricht auch nicht dafür, dass das Feature unumstritten ist. Es ist eine riesige Fehlentwicklung imho...

[mimugmail]

Die Linuxvariante von Emotet läd content per DNS nach, da will man als Firma den DNS Traffic schon unter eigener Kontrolle haben

[chemlud]

Die Linuxvariante von Emotet ...

Ich kriege gerade Schüttelfrost, hast du einen Link dazu? oO

[mimugmail]

Heise Newsticker letzte Woche, einfach mal suchen

[chemlud]

https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html

oweia...

[dsecure]

ich frage mal ganz doof, in welcher umgebung muss es denn so abgeschottet sein, welches unternehmen ist so gefährdet, kannst du mal bitte einem nicht verstehenden erklären warum du dir so einen aufwand machst. vielleicht hilft mir deine erklärung ich ich mache es dann auch da deine begründungen für mich schlüssig sind?

Meinst du mich?

Es geht einfach darum, zu wissen was im LAN passiert und wie man möglich sicherheitsrelevante Schlupflöcher schließt. Ich sehe das auch als Fortbildung und was ist das Problem daran, dass man es dahingehend weiterbildet.

Es würde mich freuen, wenn hier mal jemand der Ahnung von IDS/IPS hat, ein etwas ausführlicheres Tutorial machen könnten oder ist es von OPNSENSE gewünscht, dass man dafür bezahlt?

https://shop.opnsense.com/

Danke auch für die interessanten Links!

LG

[mimugmail]

Das sind doch nur Regeln in dem Shop.
Ich mach Mitte September mit Thomas Krenn einen Webcast zu IPS, gibt dann auch im Nachhinein sicher nen YouTube video

[dsecure]

Das sind doch nur Regeln in dem Shop.
Ich mach Mitte September mit Thomas Krenn einen Webcast zu IPS, gibt dann auch im Nachhinein sicher nen YouTube video

Das mit dem Video wäre super.