Ein kurzes Thema, was von einem Leser als Frage an mich heran getragen wurde. Dieser hat sich in den letzten Tagen wieder etwas mehr mit der externen DNS-Auflösung beschäftigt und ist auf den Anbieter Blue Shield gestoßen.
Anzeige
Zum Hintergrund, warum er auf das Thema kam, schrieb der Leser: Einmal weil unser Internet etwas langsam war, zum anderen weil wir ein Angebot der Firma Blue Shield bekommen haben. Die Firma aus Österreich wirbt damit, einen Echtzeit-Whitelist-DNS-Filter auf Basis von künstlicher Intelligenz zu haben. Der große Vorteil ist natürlich die Whitelist. Das lässt Blue Shield auch richtig raushängen und hat gute verkaufs-strategische Argumente, wieso Next Generation Firewalls oder DNS-Dienste wie Quad9 nicht so gut sind, wie Blue Shield.
Ich bin grundsätzlich skeptisch, wenn Firmen mir etwas verkaufen wollen und andere Dienste schlecht machen. Mich würde aber interessieren, was die Leserschaft von diesem Whitelist-Bezahl-Dienst hält. Ist er sinnvoll, wenn man Quad9 in Verbindung mit den Features der Next Generation Firewalls betreibt? Und bei welchen externen DNS-Servern lösen die Leser ihre DNS-Anfragen auf?
Anzeige
DNS ist eine der grundlegendsten Funktionen des Internet.
Daran "herumzuspielen" kann sehr schnell zu großen Problemen führen, die dann auch nur schwer zu debuggen und auf den Verursacher zurückzuführen sind.
Ich denke mit Grausen an die "Netzsperren" der ausgehenden Merkel-Ära, die mit Zwangs-DNS der Provider (z.B. Telekom) umgesetzt werden sollten.
Vor allem wenn ich da oben noch "Whitelist" lese, man also irgendeinen Freischaltmechanismus für dem Dienst unbekannte und noch nicht gelistete Einträge braucht.
Wenn der Leser schon eine Firewall betreibt, hat er auch Zugang zu einer vom betreffenden Betreiber betriebenen Black-, White- oder auch Reputationliste, die er auf Wunsch oder bei entsprechenden Vorgaben (z.B. Jugendschutz) nutzen kann.
Zudem kann eine solche Firewall (wenn sie SSL entschlüsselt) direkt den Content der betreffenden Seite analysieren und muß sich nicht auf eine Listung verlassen, die ggf. unbeteiligte, die nur auf dem selben Servercluster gehostet sind, gleich in Sippenhaft nimmt.
Ich denke, hier soll etwas verkauft werden, für das es keinen wirklichen Bedarf gibt.
Wir haben es seit Jahren im Einsatz weil irgendwelche Entscheider und Auditoren meinen sowas wäre sinnvoll. Preislich war es glaub ich nicht so das Drama. Inhaltlich ist es das Drama, weil permanent mal irgendwas geblockt wird und man mit freischalten bei Blue Shield beschäftigt ist.
Höhepunkt war mal das wir einen Windows Server fast zerlegt haben, weil Blue Shield halt mal das Default Powershell Repo gesperrt hat.
Und warum schmeißt man dann so einen Dienst nicht raus, wenn es einen Vollzeitadmin dafür benötigt und Ressourcen frist?
Das muss doch über die nachgelagerte Kostenaufrechnung auch Entscheidern und Auditoren (da frage ich mich warum?) darstellbar sein.
Weil für Entscheider "Compliance" inzwischen noch wichtiger ist als der Gewinn.
"Compliance" aka "ans gültige Recht halten" einem fraglichen Gewinn vorzuziehen, ist eine der Sachen die erstmal gut ist.
Aber ja, gerade die Diktatur der Auditoren kann zu seltsamen Entscheidungen führen. Besonders wenn Sie Lösungen fordern, die der Markt oder die Geschäftsprozesse in bezahlbaren Umfang so nicht hergeben.
Wenn jemand mit "künstlicher Intelligenz" so deutlich Werbung macht, ist das für mich erstmal ein Zeichen, diesen besser genau nicht zu nehmen. Wenn ich dann auf die Website gehe und diese mit meinem scharfen uBlock Origin nicht nutzbar ist, danke…
Allein die Idee mit einem DNS-Filter Security und ein Schutzschild "Shield" versprechen zu wollen, kann ich nur als Witz abtun.
Dann nimmt ein böser Akteur halt die IP oder noch besser, die vermeintlich so seriösen und schnell angemieteten Hosts bei den Großen Anbietern wie MS, Apple, Google oder Amazon. Der meiste Müll kommt eh aus dieser Richtung.
Kann weg, braucht niemand…
Blue Shield macht auch keinen halt MS, Apple, Google oder Amazon mal komplett zu sperren. Wie gesagt setzt man es ein wird ein Admin damit mehr oder minder beschäftigt sein, Tickets bei Blue Shield zu erstellen um Sachen wieder freigeschalten zu bekommen. Danach darf der DNS Admin seinen Cache leeren. Damit wieder alles passt.
Nochmals zum Mitschreiben! Wo liegt der Schutz für einen DNS-Filter für outbound Traffic?!?! WTF warum muss jemand bei einer Dritten Partei plötzlich anfangen zu betteln, damit diese dann etwas freischaltet? Wer entscheidet nochmals, was für mich gut und was nicht gut ist? Geh mal zurück an's Zeichenbrett und denk mal nach, was Vertrauen ist:
https://www.youtube.com/watch?v=8QuptMSA1rs
Das scheint hier wohl das eigentliche Geschäftsmodell dieser Schlangenöl-Verkäufers zu sein und es ist verabscheuungswürdig! Es ist der Kontrollverlust für jedes Unternehmen und jeden Verantwortlichen. You have had one job!
Ein Suricata als IDS/IPS steckt in jeder Firewall und lässt sich auf jedem Linux Proxy installieren. Dazu bedarf es keine dritte Partei, die einem "sicheres" DNS verkaufen will.
Wir verwenden die DNS-Server der Telekom für die Namenauflösung im Internet. Die Antworten gehen in der Firewall durch IDS/IPS. Dadurch können z.B. bekannte C&C Server-IPs geblockt werden. Das sind natürlich Listen, welche alle paar Stunden aktualisiert werden.
Der Anbieter verspricht ja nun unbekannte Domains gar nicht aufzulösen. Diese zu checken und dann ggf. in die Whitelist auf zunehmen. Hier hätte ich viele Fragen, ob die Aussagen aus der Werbung hier wirklich eingehalten werden können.
Ich kann eine Domain erstmal auch mit normalem Inhalt belegen, welcher zu einem Eintrag in der Whitelist führt. Wie oft kann der Anbieter überhaupt alle Domains überprüfen? Selbst wenn der Check jede Stunde erfolgt, so gibt es ein Zeitfenster für Angreifer. Auch kann man bei einer Anfrage basierend auf IP, User-Agent auch unterschiedlichen Content liefern. Der Check sieht Katzenbilder, der User eine Login-Seite.
Cloudflare bietet inzwischen ja auch schon die Möglichkeit den Zielserver zu verschleiern. Dort wird quasi ein Frontserver aus dem Link aufgelöst, angesprochen und dann erfolgt eine verschlüsselte Weiterleitung zum eigentlichen Zielsystem. Wie geht der Anbieter damit um?
Ich will jetzt gar nicht sagen, dass das Produkt nichts bringt, würde es aber auf jeden Fall kritisch hinterfragen.
Auch die Telekom beteiligt sich an Netzwerksperren mittels DNS (neben anderern Mitgliedern der CUII: https://cuii.info/mitglieder/).
https://netzpolitik.org/?s=CUII
https://de.wikipedia.org/wiki/Clearingstelle_Urheberrecht_im_Internet
CUIIListe (https://cuiiliste.de/) bietet u. a. eine Liste derartig gesperrter URIs (+ Quellcode und API).
Dass allgemein bei in der EU ansässigen Providern noch viel mehr "netzneutralitätskonform" (z. B. wg. EU-Sanktionsverordnungen) gesperrt wird, kann man aus einer Seite der BNetzA erahnen: https://www.bundesnetzagentur.de/DE/Fachthemen/Digitalisierung/Internet/Netzneutralitaet/DNSsperren/start.html
@Singlethreaded: Welche Listen nutzt Ihr?
Das Thema Inhalte filtern, ist nicht neu. Aber es via DNS zu machen ist enorm fehleranfällig .
Ich hab das schon Mal getestet.. und verwende für Malware Quad-Nine DNS und Cloudflare . Das geht gut und kostet nix.
Viele moderne Webseiten verwenden immer mehr Rest APIs und dynamische Inhalte sodass so ein Filter die Seite selbst zuerst komplett rendern müsste, was aber schwer ist weil z.b. Zugangsdaten fehlen. Der Ansatz ist zum Scheitern verurteilt.
Das sind IMHO die Application Guard Funktionen von Windows besser.
Blue Shield gibts ja schon seit beinahe 10 Jahren (also schon seit Zeiten, wo KI für viele noch ein Fremdwort war). Also nein: Die sind also nicht irgendwelche Neulinge, die auf irgendeinen KI-Hype aufgesprungen sind.
Im Unterschied zu ihren Mitbewerbern arbeitet Blue Shield anhand von Whitelists und nicht von Blacklists. Das ist auf der einen Seite halt der rießen Vorteil, weil nicht erst dann was geblockt wird was auffällig geworden ist. Aber halt auch der Nachteil, dass Unbekanntes (und womöglich Gutartiges) gesperrt ist.
Ich selbst habe Blue Shield bei mehreren Institutionen/Unternehmen im Einsatz und bin sehr zufrieden damit. Natürlich ist alle paar Wochen mal was nicht auf der Whitelist, was nicht blockiert sein sollte. Aber nach wenigen Minuten wird es dann zumeist von deren Technikteam entsperrt. Ist ja ein vergleichsweise kleines Unternehmen, wo mal noch schnell jemanden erreicht.
Es gibt haufenweise "Erweiterungen" für Smartphones, IP-Blacklists, Logging usw usw
Ob es nicht auch Mitbewerber gibt, die auf das gleiche Prinzip setzen, kann ich nicht sagen. Als ich mit Blue Shield angefangen hatte, waren sie halt so ziemlich die einzigen, die auf Whitelisting anstatt Blacklisting setzten.
"Also nein: Die sind also nicht irgendwelche Neulinge, die auf irgendeinen KI-Hype aufgesprungen sind."
Wir lernen: Blue Shield sind alte Hasen, die auf den KI-Zug aufgesprungen sind. Das ist natürlich ein gewaltiger Unterschied. ;)
Auch sehr zufrieden mit Blueshield, seit mehreren Jahren. Guter, schneller Support und kompetente Leute. Auch nicht Admins erhalten direkt Support.
Etwas Justierungszeit ist aber nötig.
Heute heisst eben ziemlich alles Ki ….
Bei KI-basierter Filterung muss man mit vielen Fehlern rechnen, d.h. böse Domains nicht blockiert oder gute blockiert. Selber habe ich eigene Nameserver für interne Netze und als Resolver laufen. Da erspart man sich den Stress mit lahmen Provider-Resolvern und hat alle Möglichkeiten.
Finger weg vom DNS!
Das ist so ein fundamentaler Baustein des Internets und ist keineswegs dafür designed es für irgendwelche Filter zu missbrauchen. Ich bin ein Fan davon DNS nur und ausschließlich für das zu benutzen für das es designed wurde (-> Namensauflösung). Wenn ich etwas filtern möchte, dann nutze ich dafür entsprechende Werkzeuge wie Firewalls. Getreu dem Motto "Use the right tool for the job.".
Wenn ich schon "KI" oder "künstliche Intelligenz" lese höre ich plötzlich auf einen Anbieter ernst zu nehmen der damit wirbt. Mir reicht es beruflich völlig aus dass mich da der Copilot im Edge belästigt wenn der Mauszeiger nur über dessen Symbol stehen bleibt, man muss nicht mal klicken. Jetzt fängt Google schon auf der Startseite an mit Gemini-Hinweisen zu nerven. Mir wäre natürliche Intelligenz in allen Fällen lieber. Aber mir scheint das was an "KI" zunimmt nimmt beim selbst Denken ab, kurz gesagt viele Menschen verblöden durch das neue betreute Denken langsam und merken es noch nicht einmal.
plus 1
alles gesagt was dazu zu sagen ist.
Ist doch ein super Geschäftsmodel.
Ich setzte eine Handvoll Alibi-Hansel hin die billig sind und lasse eine KI den Job macht. Wenn es knallt treten die blind dagegen und hoffen das es wieder und es gar nicht klappt geht der Laden von heute auf morgen offline.
Gibt viele solche Anbieter: NextDNS, controld.
Beides schon getestet. Beides für gut befunden. Beide bieten "gratis" Testaccounts an.
Bin bei controld hängen geblieben. Support wenn man ihn braucht bei NextDNS war für mich leider nicht gut.
CISCO Umbrella nicht zu vergessen
Die Firma die ständig massive Lücken in ihren Produkten eingewtehen muss?
Gruß
Kann ich bestätigen. NextDNS wäre gut, wenn der Support dort auch ernsthaft vorhanden wäre. Ich habe zu AdGuard DNS gewechselt, dort hat man inzwischen ein ähnliches Feature-Set und ich hatte bisher noch keine Probleme. Kann ich weiterempfehlen.
DNS mit KI und Whitelist… da sträuben sich bei mir gleich alle Nackenhaare.
Da würde ich eine riesigen Bogen drum herum machen.
Das Internet ist nicht langsam, weil es Probleme mit im Bereich des DNS gibt, aber lassen wir solche technischen Feinheiten mal beiseite ;-)
Das Ganze mit Blue Shield ist eine maximal dumme Idee und zwar aus vielen Gründen.
Zunächst sollte man einem externen Anbieter nicht das Filtern seiner DNS-Abfragen erlauben. Fritz hat diesbezüglich ja schon Gründe aufgeführt. Das gilt auch für das grundsätzliche Argument gegen eine Whitelist für DNS.
Für das Erstellen einer Whitelist aber eine KI einzusetzen, ist einfach nur Bauernfängerei. Eine KI besitzt keinerlei Intelligenz. Das kann nicht ohne Fehlentscheidungen funktionieren. Was im Umkehrschluss bedeutet, dass Blue Shield diese Fehlentscheidung egal sind. Blue Shield ist eine Antivirus-Virus-Lösung in grün.
> Und bei welchen externen DNS-Servern lösen die Leser ihre DNS-Anfragen auf?
Einen eigenen DNS-Server auf Basis von Unbound. Wenn kein eigener DNS zur Verfügung steht (kommt so gut wie nicht vor), dann DNSforge.
Die Leute wollen eben ihre kompletten Internetnutzungsdaten freiwillig einer dritten Firma schenken. Also stellen sie irgendwelche DNS ein.
DNSForge ftw. Liebe es. Auf allen FritzBoxen und anderen Routern die ich betreue ist dnsforge eingetragen.
Kostenlose und Leistungsfähige Lösung die als VM / Docker oder auf einem Raspberry Pi laufen kann ist PiHole. Gibt es schon lange und hat sich mehr als bewiesen.
Mit den RBL / Dynamischen DNS Listen kann aktiv DNS abgesichert werden und mit dem Mehrwert sehr viel Tracking & Werbung zu entfernen.
Privat habe ich zur DNS-Filterung zunächst Pi-Hole genutzt, das war mir dann aber aufgrund der Architektur und einiger undokumentierter Funktionen die zu "seltsamen Verhalten" führten (und sich mit jedem x-ten Update irgendewie anders verhielten…) zu viel Gefrickel und bin dann auf AdGuard Home umgestiegen und hab es nicht bereut (1000-fach einfacher, nur das Logging & "Reporting" ist u.U. etwas schlechter). Technisch reicht so etwas mMn auch als "Basisschutz" für den KMU- / SMB-Sektor.
Die ganze Sache steht und fällt natürlich mit den Filterlisten…
Beruflich sehe ich, dass viele unserer Kunden Cisco Umbrella nutzen, oft auch in Kombination mit SIG (quasi Cloud-Proxy). Das funktioniert, soweit ich informiert bin, über eine lokale VM…
Als farblich Betroffener …
könnten wir bitte white = GUT, black = SCHLECHT endlich beerdigen und uns auf:
ALLOWLIST und BLOCKLIST einigen?
Abgesehen von der Farbe sind die Begriffe klar sprechend und in einem Fall nur ein Buchstabe entfernt … Danke.
Habe ich persönlich a bisserl Probleme mit – die Begriffe sind, wie Schwarzbrennen, Schwarzmarkt, Schwarzgeld etc. seit Generationen im Gebrauch und sollen jetzt politisch korrekt geändert werden. Ich denke, wir haben derzeit gänzlich andere Probleme – und der inkriminierte Text ist ein Wort-Zitat des Lesers – zeigt mir aber, dass ich nicht alleine bin, wenn mir statt Allow-List mal wieder White-List in einen Text rutscht.
(Sorry für mein Deutsch – Ausländer hier.)
Nächstes kommt ein Indianer und stört sich an:
– Rotlichtmilieu
– Rotlicht (stoppen/halten beim Ampel – aufhalten, nicht weiter kommen)
– Rot stehen (negativer Saldo Bankinstitut)
– …
"… wir haben derzeit gänzlich andere Probleme …"
Genau, mit Bildung zum Beispiel.
Schwarz und Weiss ist (und war immer) im Kontext von Licht und
Dunkelheit/Finsternis.
Sachen welche das (Tages)licht tragen können (legal – im Klare) oder im
Finsternis gemacht werden (illegal – nicht transparant
(verstecken/verbergen/verheimlichen).
beim Fotografieren setzt man weiße Wände zum Aufhellen ein, schwarze Wände zum ab Schatten. man will nicht glauben, aber dieses arrogante, diskriminierende Fotografen Volk nennt die dunklen Stellwände tatsächlich Neger.
haben wir echt nix anderes zutun?
wird durch solche Diskussionen nicht genau das Gegenteil. erreicht?
Ach, das kommt noch besser!
"Als farblich Betroffener" 'Weisser' (tatsächlich: Hellrosaner, der englische Sprachraum sagt treffender: Kaukasier) ist er nach derselben Ideologie, der er hier das Wort redet, privilegiert und ein postkolonialer Unterdrücker – hat also keinerlei Anrecht, Wünsche zu äussern.
+1 dafür, uns nicht diesem Wahn zu beugen, denn es ist wie ein Stellungskrieg: Jede Stellung, die wir aufgeben, wird sofort vom Gegner eingenommen und dann weitere Forderungen gestellt.
Diese Entwicklung gab es schon bei anderen Worten wie von Neger zu Schwarzer zu Farbiger zu PoC (habe ich einen Zwischenschritt vergessen?).
DNS Filter über Negativliste und positiver Klassifizierung in die Art von Webseite (Finanz, Media, …) sind bei Enterprise-Firewalls schon lange üblich und nicht wirklich problematisch. Muss man halt ab und zu mal was machen, wenn der was im falschen Hals stecken hat. Better safe than sorry.
Ob man das aber unbedingt mit dem Label "KI" verunstalten muss? Geht wahrscheinlich gerade nicht anders. Vor ein paar Jahren hing an jedem noch so unpassenden Produkt der Begriff "Blockchain" dran.
Klasse.
Es sollen alle Spiele gesperrt werden. die Mitarbeiter sollen arbeiten, nicht spielen oder gar per Internet Musik hören
Sony ist ein bekannter Spiele Hersteller und die vertreiben sich Musik. ganz klar Sperren.
sonn Pech aber auch
Sony baut auch ein paar sehr gute Chips. Wie will ein Unternehmen den Frust der Entwickler kompensieren, die wegen solcher kaputter Regeln nicht an die Daten Blätter kommen?
wenn ein Unternehmen Probleme damit hat, das seine Mitarbeiter das Vertrauen missbrauchen, dann sollte es seinen Führungs Stil ändern, denn technische Lösungen haben noch nie ein soziales Problem gelöst..
wir setzen blueshield seit fast 4 jahren ein und ich muss sagen das teil funktioniert besten.
die paar false positives werden von dem technikteam innerhalb von minuten freigeschaltet oder man bekommt eine genaue Begründung wieso diese seite gerade "böse" ist.
weil oben mal wo stand von wegen ip adresse, man bekommt von blueshield eine liste von bösen ip adressen die mal alle paar minuten in seine firewall importieren kann (oder über den windows agent in die windows firewall) und dann ist dieser weg auch versperrt.
die firma stammt auch nicht aus dem aktuellen KI Hype, sondern macht das schon seit vielen jahren, es kommen immer wieder interessante features hinzu..
wir haben auch gerade für weitere 3 jahre verlängert.
Es ist befremdlich auf welchem fachlichen und technischen Niveau diskutiert wird.
Die Frage ist relativ klar und einfach gestellt und es mag sehr gute Argumente dafür und dagegen geben. Die Diskussion treibt eher die Bauernschlauen hervor und markiert deren Niveau aus dem ersten Satz, die sich hinsichtlich KI, DNS, Firewall und Security für schlau halten, aber nur ein nicht glaubwürdiges Level widerspiegeln. Daher lieber Autor ist die Frage gestellt an Menschen wie in dem Sprichwort Perlen für die Schweine.
Es macht schon Angst, dass das die Leserschaft repräsentieren soll und noch schlimmer, Fachpersonal, auf welches sich Unternehmen verlassen.
Beste Grüße
Maik
und dein conclusio? Soll ich zensieren? Den Beitrag nicht bringen, obwohl der Leser darum gebeten hat? Mann, mann. Ich denke, der Leser ist so fit, die Kommentare zu filtern und sich eine Meinung zu bilden. Oder er kommt zum Schluss 'alles Humbug und die Kommentare sind nicht brauchbar'. Dann ist er aber auch schlauer, Zweck erfüllt, imho.
Über den Rest deines Kommentars muss ich mir keinen Kopf machen, da es im Beitrag nicht relevant ist und es auch nicht meine Aufgabe ist, über die IT-Kompetenz in Firmen zu urteilen..
Born steht wohl für Burn… die Emotionen lassen sich sonst nicht erklären.
Du musst gar nichts. Dein Blog; du hättest es nicht veröffentlichen müssen noch kommentieren. Deine Entscheidung.
Eine Reflexion… statt Emotion hätte wohl gut getan. Bin ich Computerbild oder ct.
Wenn jemand sich über Blueshield informieren möchte, dann sind also nicht kompetente Meinungen gefragt, die gerne auch auf entsprechenden Niveau differieren dürfen, sondern der Leser soll Filtern und zum Schluß kommen, dass die Antworten nicht sinnvoll sind.
Ich verabschiede mich.
Maik
Sachfremde oder gar beleidigende Antworten nicht freizuschalten ist keine Zensur, Herr Born.
Es würde dem Blog sehr gut tun, wenn die Moderation strenger wäre.
Also entweder man nimmt nen DNS die "neutral" sind und nicht auf irgendwelche Demokratie-Dikatoren reagieren oder man setzt seinen eigenen auf!
Bei so einem Dinest wie BlueShield mit seinem Bullshit Buzzword Bingo kann man nur direkt verlieren. Aber Heh es stehen jeden Morgen genug Dumme auf, die muss man mittlerweilen nicht mal mehr suchen ;-P
Filterlisten sollte jede gute Security Appliance von Haus aus mitbringen… sowohl Black wie White… dazu braucht es nicht noch ein Dienst der nur ein zusätzlicher Angriffvektor ist.
DNS ist für die Namensauflösung und sonst nix! Man pfuscht nicht an den Grundlagen rum.
Mit dem Motto: Wenn KI draufsteht ist Bullshit drinn fährt man ganz gut.
Hängt schon etwas von der Umgebung ab. Bei einem Sicherheitsprodukt gehe ich mal von Unternehmen deutlich über einem MA aus, und da braucht man sich nicht mit Provider-DNS rumzuschlagen, sondern kann selbst einen normalen DNS Resolver aufsetzen. Kompliziert ist das nicht. Damit sind Provider-Filter draussen.
Mit Sicherheitsprodukten welcher Art auch immer ist das immer so eine Sache. Mit ihnen vermeidet man ein paar Probleme, riskiert aber andere. Ohne sie ist es genau umgekehrt. :)
Jedenfalls finde ich nicht nur eingehende Sperren nützlich, sondern auch ausgehende. Wenn nicht jeder im Netz auswärts alles darf. Wie auch immer man das en detail implementiert, man hängt von anderen Unternehmen ab.
Selbstverständlich muss sowohl ein wie auch ausgehend gefiltert werden… aber das macht man nicht über den DNS Server… der hat die Namensauflösung zu liefern und zwar unverfälscht! Filtern tut man dann über ein nachgeordnete Instanz, ob nun Security Appliance, Firewall oder Pi-Hole oder sonst was entscheidet die Anforderung.
Privat und Firma Pi-Hole mit Auswahl DNS Quad9 (filtered, ECS, DNSSEC)
https://www.quad9.net/de/
Alte Versicherungs Vertreter Regel:
Es steht jeden Morgen ein Dummer auf, Dein Job ist, ihn zu finden.
ich sehe gerade dass ich nicht als Einziger an diese Regel erinnert wurde.
kann mir jemand erklären, wie ein DNS mein Internet langsam machen kann?
ich kann mir jetzt nur vorstellen, das mein DNS jede Abfrage um mehrere Sekunden verzögert.
Dann ist der erste Wechsel zwischen den Seiten träge, ja.
natürlich könnte der DNS alle Ab fragen von Werbe Seiten nach Null lenken und so den Traffic auf meiner viel zu dünnen Leitung reduzieren.
was ist der Trick?
DNS macht das "Internet langsam" indem es zum zwar eigentlich richten Ziel auflöst, aber eben zur falschen (Standort) Stelle.
Normal ist vieles im Netz von größeren bis großen CDNs bereit gestellt. Akamai, Cloudflare, Amazon, Google, … Da gibt es viele viele derartige Anbieter. Und je nachdem kann die falsche DNS Auflösung dazu führen, dass du IPs zurück bekommst, die du vom gegenwertigen Standort schlecht(er) erreichst als eben andere Endpunkte.
Als Telekom Kunde kann dir das bspw. bei deren eher mäßigem Peering auf die Füße fallen, weil du im Zweifel für bspw. Streaming Dienste wie YT und Co. zwar Zielserver bekommst, aber diese aufgrund des Peerings schlecht erreichbar sind. Niedrige Bandbreite, hohe Latenzen sind die Folge. Auch kann das bspw. in Verbindung mit IPv6 ein Problem sein, vor allem mit dynamisch wechselnden IPs, wo diese zeitweise gar nicht oder erst spät erreichbar sind und "das Internet" dadurch langsam wird, weil Kontent erst nach dem Fallback zu IPv4 geladen werden kann.
Idealerweise sollte der DNS Resolver möglichst "nah" am eigenen Standort sein. Damit man Wartezeit durch lange Antwortzeiten vermeidet. Auch hier ist bspw. je nach Provider und deren DNS System viel Potential drin. Ich kenne Endkundenanschlüsse, die erreichen die 8.8.8.8 von Google in ~1ms. Wenn der provider DNS aber 10, 15ms weg ist, dann "spürt" man das natürlich. Vor allem bei Seiten mit viel dynamisch nachgeladenem Inhalt und Anti-Werbeblocker-Maßnahmen, damit der Spaß erst spät im Webseitenaufbau mit Werbung zugepflastert wird.
Telekom ist bekannt für die schlechte Anbindung an Cloudflare und auch andere Anbieter. Wer gerne Websites besucht die in Deutschland von einer DNS-Sperre betroffen sind merkt das sehr deutlich:
Very long loading times or page not accessible at all with Telekom Germany
https://community.cloudflare.com/t/very-long-loading-times-or-page-not-accessible-at-all-with-telekom-germany/652905
Ich würde – aus eigener Erfahrung – eher auf einen gescheiten Proxy setzen. Die machen Deep-Packet-Inspections um Schadcode in Webseiten zu erkennen und abzufangen, prüfen Downloads in einer Sandbox und setzen auf vom Hersteller redaktionell gepflegte Blocklisten, die man nach Kategorien auch selbst ein und ausschalten kann. Außerdem kann man eigene Filter-Regeln setzen usw. Die gibts von Cisco, Sophos, Trellix (ex McAffee), usw. Ggf. muss man hier aber den Betriebsrat konsultiueren, weil über die Appliance die Surfaktivitäten der Benutzer überwachbar werden. Und ja, das Teil muss auch administriert werden.
So sehe ich das auch. Ab einer bestimmten Unternehmensgröße, Anzahl von Mitarbeiter, viele Standorte auf der ganzen Welt, führt an solchen Services wie z.B. Zscaler Portfolio kein Weg mehr dran vorbei.
Da spielen dann auch irgendwann Latenzen von DNS-Antworten eine Rolle. Zumal du da auch mit ein paar Pi-Holes nicht mehr weit kommst. Sowohl was Verfügbarkeit, Skalierung, Wartung und Troubleshooting angeht. Mann stelle sich vor, dass die Niederlassung in Australien den Pi-Hole in Deutschland anfragen muss.
Abgesehen davon geht es da auch um den ganzheitlichen Schutz von Clients, wenn diese nicht im VPN sind bzw. Internet Traffic heutzutage nicht durch den VPN geschickt, um hier bessere Latenzen und Performance für den Anwender zu haben. Von der Nutzung von öffentlichen WLANs bei Unternehmen, Hotels, etc. will nicht gar nicht sprechen.
Das Unternehmen will ich sehen, welches weltweit agiert und an solchen Lösungen noch vorbei kommt, ohne den Zorn der Anwender bezüglich Latenzen und Performance auf sich zu ziehen.
heute hast du zu allen Websites HTTPS.
bitte erkläre, wie Du an verschlüsselten Daten deep package Inspektion machst.
das interessiert nicht nur mich sondern gewiss auch euren Datenschutz beauftragen und Betriebsrat, oder gehe ich recht in der Abnahme dass ihr beides nicht habt und auch sonst eine eher liberale Interpretation von Gesetzen habt?
der Betriebs Rat muss Umzugsstimmung gefragt werden.
Er darf einer solchen Mitarbeiter über Waschung zustimmen, wenn es konkrete Hinweise gibt.
es spielt keine Rolle ob man die Mitarbeiter überwacht. in Deutschland ist schon das einrichten einer solchen Möglichkeit Mitbestimmung s pflichtig.
leider sind evtl
Strafen völlig lächerlich.
das macht aber das begehen von Unrecht nicht zu Recht.
ich würde gerne die Fehler n im Text beseitigen, aber die Werbung verschiebt mir ständig den Views Point. Aber Günter brauchtja das Geld so nötig
Deinen letzten Satz habe ich nicht verstanden. Nach 10 Sek. blende ich die Header-Anzeige komplett aus (könnte ich raus nehmen, ist eh nur ein Test). Wo hindert dich das am Korrigieren eines Texts? Mir ist da noch nichts aufgefallen.
nim mal ein 3" Display, hochkant.
sobald da simply, wird das über die letzte Zeile geklatscht, an der ich gerade editiere.
sind irgendwie bewegliche Grafiken in der Werbung, so wird das bei jedem neuen GIF gemacht.
wenn die Werbung eingeblendet wird, müsste sie die Edith Box erst nach oben verschieben oder sich immer nur auf den Teil darunter beschränken.
hth
Verstehe den Einwand nicht?
Rein technisch wird die Verschlüsslung aufgebrochen und MitM like der Inhalt untersucht. Der Client hat eine verschlüsselte Verbindung zum Proxy und der Proxy wiederum zum eigentlichen Ziel. Für den Client ist das dahingehend transparent, weil er der CA, welche das Zertifikat signiert, was der Proxy nutzt um dem Client den eigentlichen Inhalt zu präsentieren, eben per Richtlinie vertraut.
Soweit technisch.
Ob das organisatorisch oder rechtlich funktioniert, ist eine andere Frage. Viele Betriebe haben keinen Betriebsrat oder erlauben die Nutzung der Gerätschaften rein für betriebliche Belange. Gleiches gilt auch für etwaig vorhandene Maßnahmen. Manches ist Zustimmungspflichtig, aber ob am Ende eine Zustimmung abgelehnt wird, vor allem seitens der Belegschaft ist eine ganz andere Frage. Zudem auch der Passus der Mitarbeiterüberwachung fraglich ist. Es geht dabei um Sicherheit und Erkennung von Schadsoftware oder Analyse von Traffic um frühzeitig potentiell unerwünschte Dinge zu zu erkennen. Da kann sich meist auch der eigentliche MA wenig gegen wehren wenn die Daten rein zu diesem Zweck erhoben und ausgewertet werden und zu nichts anderem.
darum sind auch Taschen Kontrollen am Tor und eine 24*7 Video über Wachung in den West deutschen betrieben üblich?
die Deutschen ja schon mehrfach sehr gute Erfolge mit totaler Überwachung gemacht, oder?
nochmals!
es kommt nicht darauf an, das die Einrichtung für eine Kontrolle gebaut worden ist, sondern nur ob eine Überwachung möglich wäre.
es ist für Laien schwer verständlich, aber die Verschlüsselung auf zu brechen ist ein Problem, das nur in faschistischen Systemen kein Problem darstellt…
ganz abgesehen davon, dass solche mitm immer schwieriger geworden sind und das natürlich so ein mitm Proxy ein ideales Ziel für den Angriff auf eine komplette Firma sein kann.
der Betriebsrat muss nicht nur über eine solche Einrichtung rechtzeitig vorher informiert werden, er muss auch zustimmen. leicht vorstellbar, das ein Ad min den BR belügt, die Existenz solcher in amerikanischen Produkten üblichen Mitarbeiter Bespitzelungs Features negiert.
Leider nutzen viele Betriebsräte nicht ihr Recht das Know-how extern einzu kaufen. Ein Beschluss reicht und Cheffe muss zahlen..
Sorry, Ihnen in den Rücken zu fallen, aber MITM auf dem
Firmenproxy hat mitnichten mit Faschismus zu tun!
Sie unterstellen fälschlich, dass Scanning == Logging sei. Es dient aber primär dem sehr berechtigten Interesse des AV-/Malwarescannings und weitere Anwendungsbereiche (wie Logging) sind bestenfalls nach Zustimmung von Betriebs-/Personalrat und u.U. Weiteren möglich.
Sehr hilfreich ist eine "kein Privatgebrauch!"-Policy (die man sehr lax handhaben kann, sie dient nur dem Abwenden von Datenschutzblabla und Einwänden wie den Ihren).
Aber rein moralisch betrachtet: Der Schutz der Betriebsfähigkeit (und damit der Arbeitsplätze aller MA!) überwiegt bei Weitem das Interesse einiger MA, unerkannt gewissen Seiten anzusurfen.
P.S. im selbst kontrollierten Umfeld (a.k.a. Unternehmens-IT) ist MITM mitnichten "immer schwieriger geworden", wie am ersten Tag muss die CA des Proxys nur als vertrauenswürdig in die Software der Clients importiert werden.
Ich tu mich ehrlich gesagt schwer, den Sinn dieses Dienstes zu verstehen, speziell die Whitelist wirft bei mir eher Fragezeichen auf. Bei DNS will ich doch, dass die Namen alle und immer korrekt aufgelöst werden. Wenn ich nicht will, dass die User bestimmte Seiten ansurfen, dann löse ich das über den Webfilter in der Firewall und nicht auf dem DNS.
@Günter, eine Zusammenfassung wäre doch sicherlich sinnvoll.
wenn da ein ehemaliger Politiker der FPÖ drinnen ist / war würde ich die Qualität bezweifeln….
BlueShield schützt vor Cyberkriminalität (GB: PDF-Auszug eines Artikels aus der Krone – wobei nicht erkennbar ist, ob das ein redaktioneller Artikel oder eher eine Anzeige darstellt").
Schon eine "beeindruckende Vita" von Hubert Gorbach – da ist man sozusagen in guten Händen. In Deutschland hätte Böhmermann jetzt übernommen ;-)
Nicht nur ehmaliger FPÖ, sondern ganz offensichtlich ein bezahlter "Putin-Freund", der Wahlbeobachter spielte und "alles demokratisch" attestiert hatte. Ekelhaft!
So einem Laden vertraut man ja noch mehr mit solchen Connections…
Und ich tippe auf einen 100% Presseartikel des Unternehmens als redaktioneller Artikel getarnt.
Vor einigen Jahren haben wir einen 3-Jahres-Vertrag mit BlueShield abgeschlossen. Anfangs klang das Konzept vielversprechend, und es wurde uns eine deutliche Verbesserung in Aussicht gestellt.
Es gab auch Versuche, mit der Geschäftsführung von BlueShield Kontakt aufzunehmen, jedoch blieben diese erfolglos.
Leider hat sich die Zusammenarbeit schnell als wenig zufriedenstellend erwiesen. Der Support war ausschließlich per E-Mail erreichbar, und selbst bei telefonischen Nachfragen landeten wir bei einer Person, die keinerlei fachliche Expertise hatte – in einem Fall sogar bei einer älteren Dame, die sich offenbar nicht mit unserem Anliegen auskannte.
Die Zusammenarbeit entwickelte sich eher zu einer Beschäftigungstherapie, da BlueShield wiederholt Prozesse blockiert hat, anstatt uns zu unterstützen. Die Zeit bis zum Vertragsende war ehrlich gesagt mehr ein Durchhalten als ein produktiver Austausch.
Nach Ablauf der drei Jahre haben wir keinerlei negative Veränderung gespürt.
Seitdem verzichten wir schon seit einigen Jahren auf diese Lösung und fahren deutlich besser ohne. Dieser Erfahrungswert hat uns gezeigt, wie wichtig es ist, künftige Partnerschaften noch genauer zu prüfen.
@GB also ich hab mal getestet, 2 minuten gegoogelt, getestet. war nicht ausgiebig aber zeigt probleme.
Deren DNS server addresse ist öffentlich sichtbar und nutzbar, ich schätze das die whitelist jedoch nur für zahlende kunden funktioniert.
Aber, die haben anscheinend vergessen das CDN's existieren, oder es interessiert die nicht.
Wenn ich etwas per nslookup suche bekomme ich immer die AT IP des CDN…
Kein großes problem, ja, solange es DE und AT bleibt.
Das ganze scheint kein DNS dienst zu sein sondern ein "wir filtern für dich" die einen externen DNS benutzen und jediglich filtern. Und sie ersetzen halt nicht ihre eigenen "countrycode" mit dem des anfragers.
Wenn du die IP haben willst schreib mir ne mail, öffentlich traue ich micht sowas nicht zu schreiben, möchte ja keine hausdurchsuchung bei mir haben :(
warum braucht man fremde DNS caching server zum namen aufloesen? man nimmt einfach seinen eigenen. in dem moment als ich linux lernte, schnappte ich mir das bind paket damals und hatte den eigenen resolver. der spricht ohnehin mit den dns rootservern und hangelt sich von dort aus weiter. was soll der geiz?
Zitat/Frage: Ich bin grundsätzlich skeptisch, wenn Firmen mir etwas verkaufen wollen und andere Dienste schlecht machen.
Für mich ist sowas ein Auschlusskriterium.
Ich zeige was ich gut kann.
Wenn ich nur darstellen kann, in was die Konkurrenz noch schlechter ist als ich, mache ich etwas falsch.