DNS mit unbound oder nur Pi-Hole?

[D0bby]

Moin,

ich bin gerade dabei, unser Netzwerk ein wenig umzustrukturieren und beschäftige mich aktuell mit dem Thema DNS.
Dabei prallen gerade zwei Welten aufeinander, die ich vielleicht noch nicht ganz durchblicke, und ich brauche mal Input von außen.

Für mich liegt der Vorteil von Pi-hole mit z. B. 9.9.9.9 darin, dass die Verbindung verschlüsselt ist und im Prinzip nur Quad9 Zugriff darauf hat.

Jetzt lese ich aber von vielen, dass sie lieber den „Mittelsmann“ eliminieren und direkt die Root-Server abfragen, um sich die DNS-Adressen selbst via Unbound zu holen. Nur ist die Kommunikation mit den Root-Servern doch komplett offen und unverschlüsselt …
Wo entsteht dabei ein Sicherheitsgewinn, wenn der ISP und jeder, der im Netz mitliest, das sehen kann?

Was verstehe ich hier noch nicht / wie ist eure Meinung?

 

[Helge01]

Wo entsteht dabei ein Sicherheitsgewinn, wenn der ISP und jeder, der im Netz mitliest, das sehen kann?

Ohne VPN kann das der ISP sowieso. Die aufgerufene Webseite sieht dieser trotz Verschlüsselung in der Client-Hello-Nachricht.

Bei einem Unbound sieht man auch die DNS-Adresse, nur weiß man nicht von welchem Gerät diese Anfrage stammt, sondern nur aus welchem Netz.

 

[Azghul0815]

Die Daten sind ja eh durch HTTPS verschlüsselt und wohin die Verbindung geht, sieht dein ISP doch am Ende trotzdem.

Es geht ja eher drum, Cloudflare, Quad9 und co im dunklen zu lassen.

 

[Helge01]

Es geht ja eher drum, Cloudflare, Quad9 und co im dunklen zu lassen.

Genau so ist es. Der Provider weiß es sowieso, man bringt nur einen zusätzlich DNS-Anbieter ins Spiel der dann alle aufgerufenen Webseiten kennt.

Rein vom Datenschutz her wäre es sogar die beste Lösung das DNS vom ISP zu nutzen, Voraussetzung ist das dieser nicht zensiert. So kennt nur einer deine Surfgewohnheiten.

 

[Avenger84]

ich betreibe Zuhause auch seit Jahren PiHole, seit kurzem habe ich Unbound installiert und gehe damit direkt zu den Root Namensservern.
Die Verbindung von mir zu den Rootservern ist allerdings unverschlüsselt, das geht wohl nicht anders.

 

[Helge01]

Die Verbindung von mir zu den Rootservern ist allerdings unverschlüsselt, das geht wohl nicht anders.

Nutze auch einen eigenen DNS-Resolver. Das es unverschlüsselt ist stört mich nicht da immer einer erfährt welche Seite du im Internet aufrufst.

DoH/DoT -> der DNS-Anbieter und der ISP

VPN + DoH/DoT -> der VPN- und DNS-Anbieter

Tor + DoH/DoT -> der DNS-Anbieter und die befreundeten Dienste die sonst nichts davon mitbekommen würden da sie selbst Exit Node betreiben

Unbound/Resolver oder ISP-DNS -> der ISP

 

[Drahminedum]

Werfe vielleicht auch noch
https://dnsforge.de/
als Tipp in den Raum.