da gab es hier sogar ein urteil vom BGH zu:
juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=73491
in sektion 66 wird agumentiert, dass alles außer DNS-blocking dazu führen würde, dass ISPs den datenstrom zu viel analysieren, d.h., dass die in dem datenstrom schauen müssten, wer mit wem kommuniziert.
ganz grundsätzlich: ip und url analysen wären verfassungswidrig und gegen art. 10 GG verstoßen würde (auch wenn sie nicht vom staat durchgesetzt werden hat der staat die verpflichtung, bürger vor solchen sachen zu beschützen)
DNS blocking ist nur in ordnung, da die anfrage ja direkt an den internetanbieter geschickt wird.
Am besten ist halt immer noch pihole mit unbound nutzen.
Dann muss man sich mit solchen Themen nicht auseinandersetzen, zeitgleich steigert man seine Privatsphäre und Sicherheit im Netz beachtlich. ^^
Auch Rootserver haben IP Adressen
Eine Lösung für betroffene Nutzer könnte die Nutzung von DNS über HTTPS (DoH) sein
Was hilft das gegen die Umleitung der IP ?
Rootserver loggen aber nicht, soweit mir bekannt ist, dienen sie als reine Datenbank für DNS resolver.
Und du hast mit dieser Konfiguration nochmal einen zwischenabierter (DNS Resolver wie Google, cloudfare, Quad9) den du sonst vertrauen müsstest und evtl Filtern entfernt.
Privatsphäre und Sicherheitstechnisch ist das gerade das Maximum was du erreichen kannst.
Es gibt weltweit nur 13 DNS-Roots! Die harte Begrenzung auf 13 Stück, ist technisch begründet, berücksichtigt die maximale Größe von DNS-Antwortpaketen und dient der Optimierung der Antwortzeiten.
Über Anycast-Routing wird technisch realisiert, dass die identische IP-Adresse eines DNS-Root-Servers an verschiedenen Standorten auf der Welt gehostet werden kann. Warum, sollte wohl klar sein!?!
Der Root-Backbone besteht aus 600 Ersatz-Roots, die ebenfalls weltweit verteilt sind.
Sollte es erforderlich sein, eine IP-Adresse eines Root-Servers zu aktualisieren, gewährleisten die verbleibenden Server die fortgesetzte Stabilität und Zugänglichkeit des DNS-Systems, indem rekursive Resolver nahtlos auf die aktualisierten Informationen zugreifen können. Wie man unschwer sieht, sind diese Roots nicht nur eine DB, sondern das Herz des gesamten DNS!
Die Verwaltung und Koordination dieser kritischen Infrastruktur obliegt der Internet Corporation for Assigned Names and Numbers (ICANN), die Änderungen an der Root-Zone über die Public Technical Identifiers (PTI) entgegennimmt und diese an Verisign weiterleitet, welches für die Implementierung der Änderungen zuständig ist.
Man kann also mal ganz stark davon ausgehen, dass beim Betrieb jeder Fliegenschiss analysiert / geloggt wird!!
Okay, gut zu wissen, danke.
Demgemäß fällt trotzdem schon mal ein Logger weg, wenn du deine Anfragen direkt an die Root-Server schickst, ohne den Umweg des DNS-Resolvers. Abgesehen davon das du noch ein paar ms Ping einsparst.
Aus einem privaten DNS-Resolver ergeben sich folgende Vorteile: Du kannst ihn hinter einem VPN nutzen, und du kannst den DNS-Resolver und den normalen Traffic über zwei verschiedene VPN-Verbindungen laufen lassen (vorausgesetzt, man hat den passenden Router). Das erschwert das Nachverfolgen zusätzlich.
Eventuelle Netzsperren und Filterung fällt sowieso weg.
Liege ich da falsch? Gibt es noch Mittel, mit denen man die Privatsphäre weiter steigern kann?
Jap…
Du musst deinen eigenen DNS-Resolver als rekursiven Server einrichten, ansonsten fragt dieser auch nur vorgelagerte Upstream DNS-Server ab.
Hast du also einen rekursiven DNS-Resolver, dann steigert das zwar den Schutz deiner Daten, aber man muss Abstriche beim Thema Sicherheit machen. Der DNS-Resolver bekommt auf seine Anfragen immer unverschlüsselte Antworten zurück, das heiß die Root- und TLD-Nameserver können mit DOH und DOT nichts anfangen.
Bei Upstream DNS-Server eines vorgelagerten Anbieters werden die Antworten ja auch erst auf dem Upstream-Server verschlüsselt, bevor diese dann an den Benutzer weitergeleitet werden.
Die DNS-Queries liegen somit unverschlüsselt im Caches deines DNS-Resolvers Sollte der Server komprimitiert werden, können die Daten aus dem Cache problemlos ausgelesen werden.
Wenn man einen Resolver (z.B. Unbound oder Stubby) über ein Pi-hole laufen lässt, kann man das Problem der unverschlüsselten Antworten, zumindest halbwegs umgehen, indem man die DNS-Abfragen anonymisiert. Damit werden die Domänen ausgeblendet (hidden) dargestellt.
Oder man schaltet den Cache komplett aus… Dann werden keine Anfragen mehr gespeichert und somit kann auch nichts ausgelesen werden. Der Nachteil ist, dass mit jeder neuen Webabfrage ständig alle Routen bis zum Erhalt der richtigen Adresse durchlaufen werden, was die Geschwindigkeit der Seitendarstellung erheblich verlangsamt.