DNS-Privacy: Stubby verschlüsselt DNS-Anfrage auf Windows

Originalartikel

Backup

<html> <p class=„printversionback-to-article printversion–hide“> <a href=„https://www.heise.de/newsticker/meldung/DNS-Privacy-Stubby-verschluesselt-DNS-Anfrage-auf-Windows-3873609.html“>zur&#252;ck zum Artikel</a> </p><figure class=„printversionlogo“><img src=„https://1.f.ix.de/icons/svg/logos/svg/heiseonline.svg“ alt=„heise online“ width=„180“ heigth=„40“/></figure><!– RSPEAK_STOP –><figure class=„aufmacherbild“><img src=„https://1.f.ix.de/scale/geometry/700/q75/imgs/18/2/3/0/6/2/7/1/DNS-Netzwerksymbol-49bdc2af1bdbba68-6d05fc5f8bccdb6a.jpeg“/></figure><!– RSPEAK_START –><p><strong>Ohne den Domain Name Service funktionieren moderne Internet-Anwendungen kaum. Zugleich konnten Fremde die DNS-Anfragen lange Zeit m&#252;helos abfischen. Stubby verschickt nun die begehrten Metadaten TLS-verschl&#252;sselt.</strong></p> 

  <p>Der erste Windows-Client f&#252;r verschl&#252;sselte DNS-Anfragen ist fertig (DNS-over-TLS). Damit k&#246;nnen nun auch Windows-Nutzer einen wesentlichen Teil ihrer bisher leicht abzugreifenden Meta-Daten mit einer einfachen Erweiterung vor neugierigen Augen verbergen. </p>

<p>DNS &#252;ber TLS verschl&#252;sselt die Strecke zwischen Client-PC und rekursivem DNS-Resolver. Die Spezifikation hat die Internet Engineering Task Force im RFC 7858 2016 entwickelt &#8211; in der ersten Emp&#246;rung &#252;ber die Enth&#252;llungen von Edward Snowden. Demnach werten Sicherheitsbeh&#246;rden gerne DNS-Anfragen aus, um Einblicke in das Surf-Verhalten von Nutzern zu gewinnen.</p> <p>Das f&#228;llt leicht, wenn der Client-PC seine DNS-Anfragen auf g&#228;ngige Art zum DNS-Resolver seines Providers schickt &#8211; urspr&#252;nglich sah der gesamte DNS-Dienst n&#228;mlich keinerlei Verschl&#252;sselung oder Manipulationsschutz vor. Gegen Manipulation der DNS-Daten hilft immerhin DNSSEC. In der DNS-Hierarchie h&#246;her gelegene Elemente arbeiten freilich weiterhin unverschl&#252;sselt. Aber deren Verkehr l&#228;sst sich nicht mehr so einfach einzelnen Nutzern zuordnen, sodass deren Absicherung sp&#228;ter erfolgt. </p> <p>Bisher gab es Stubby nur f&#252;r macOS und Linux. Sara Dickinson von der Entwicklerschmiede Sinodun hat nun eine erste Beta-Fassung f&#252;r Windows 8 und 10 ver&#246;ffentlicht.<b> Stubby ist gratis &#252;ber den Server der Arbeitsgruppe dnsprivacy.org erh&#228;ltlich.[1]</b> Im besten Fall &#252;bernimmt die Software nach der Installation automatisch alle DNS-Anfragen. In Einzelf&#228;llen muss der lokale Resolver allerdings noch h&#228;ndisch konfiguriert werden.</p> <h5 id=„nav_eine_hand_voll1“>Eine Hand voll Privacy-Server</h5><p>In der Grundkonfiguration arbeitet Stubby im „strict privacy mode“, nutzt also ausschlie&#223;lich TLS-Verbindungen und verteilt seine Anfragen an verschiedene rekursive Resolver. Die Entwickler sprechen von DNS-Privacy-Servern. Davon gibt es derzeit nur eine Hand voll auf der Welt. Gro&#223;e Resolver-Betreiber, darunter Googles offene DNS-Server, fehlen bislang noch. Der DNS-&#252;ber-TLS-Verkehr l&#228;uft &#252;ber den eigens daf&#252;r von der IETF definierten Port 853. </p> <p>In den n&#228;chsten Schritten soll Stubby eine grafische Oberfl&#228;che bekommen. Zuerst d&#252;rfte eine Version f&#252;r macOS erscheinen. Au&#223;erdem wollen Dickinson und ihre Kollegen Stubby zu einem Service auf Windows 10 weiterentwickeln. Eine Variante f&#252;r Android soll ebenfalls folgen. </p> <h5 id=„nav_dns_privacy_f&#252;r2“>DNS-Privacy f&#252;r Arbeitsgruppen</h5><p>DNS-over-TLS l&#228;sst sich aber nicht nur mittels einfachen Clients nutzen. Wer die Anfragen kompletter Netze auf diese Weise absichern will, kann den beliebten DNS-Resolver Unbound auf einem Mini-Rechner wie dem Raspi einrichten. Eine komplette Anleitung dazu finden Sie im kostenpflichtigen c't-Artikel „<b>Privatsph&#228;re per Tunnel &#8211; Domain Name Service: Datenschutz selbstgebaut[2]</b>“.<!– AUTHOR-DATA-MARKER-BEGIN –> (<em>Monika Ermert</em>) /

<!– RSPEAK_STOP –> (<b>dz[3]</b>) <br class=„clear“/><!– RSPEAK_START –><!– AUTHOR-DATA-MARKER-END –></p> 

  <hr/><p>
    <strong>URL dieses Artikels:</strong><br/><small><code>http://www.heise.de/-3873609</code></small>
  </p>
    <p>
      <strong>Links in diesem Artikel:</strong><br/><small><code><b>[1]</b>&#160;https://dnsprivacy.org/wiki/display/DP/Windows+installer+for+Stubby</code></small><br/><small><code><b>[2]</b>&#160;https://www.heise.de/ct/ausgabe/2017-20-Domain-Name-Service-Datenschutz-selbstgebaut-3825108.html</code></small><br/><small><code><b>[3]</b>&#160;mailto:dz@ct.de</code></small><br/></p>
  <p class="printversion__copyright">
    <i>Copyright &#169; 2017 Heise Medien</i>
  </p>

</html>