Ein kurzes Thema, was von einem Leser als Frage an mich heran getragen wurde. Dieser hat sich in den letzten Tagen wieder etwas mehr mit der externen DNS-Auflösung beschäftigt und ist auf den Anbieter Blue Shield gestoßen.
Anzeige
Zum Hintergrund, warum er auf das Thema kam, schrieb der Leser: Einmal weil unser Internet etwas langsam war, zum anderen weil wir ein Angebot der Firma Blue Shield bekommen haben. Die Firma aus Österreich wirbt damit, einen Echtzeit-Whitelist-DNS-Filter auf Basis von künstlicher Intelligenz zu haben. Der große Vorteil ist natürlich die Whitelist. Das lässt Blue Shield auch richtig raushängen und hat gute verkaufs-strategische Argumente, wieso Next Generation Firewalls oder DNS-Dienste wie Quad9 nicht so gut sind, wie Blue Shield.
Ich bin grundsätzlich skeptisch, wenn Firmen mir etwas verkaufen wollen und andere Dienste schlecht machen. Mich würde aber interessieren, was die Leserschaft von diesem Whitelist-Bezahl-Dienst hält. Ist er sinnvoll, wenn man Quad9 in Verbindung mit den Features der Next Generation Firewalls betreibt? Und bei welchen externen DNS-Servern lösen die Leser ihre DNS-Anfragen auf?
Anzeige
DNS ist eine der grundlegendsten Funktionen des Internet.
Daran "herumzuspielen" kann sehr schnell zu großen Problemen führen, die dann auch nur schwer zu debuggen und auf den Verursacher zurückzuführen sind.
Ich denke mit Grausen an die "Netzsperren" der ausgehenden Merkel-Ära, die mit Zwangs-DNS der Provider (z.B. Telekom) umgesetzt werden sollten.
Vor allem wenn ich da oben noch "Whitelist" lese, man also irgendeinen Freischaltmechanismus für dem Dienst unbekannte und noch nicht gelistete Einträge braucht.
Wenn der Leser schon eine Firewall betreibt, hat er auch Zugang zu einer vom betreffenden Betreiber betriebenen Black-, White- oder auch Reputationliste, die er auf Wunsch oder bei entsprechenden Vorgaben (z.B. Jugendschutz) nutzen kann.
Zudem kann eine solche Firewall (wenn sie SSL entschlüsselt) direkt den Content der betreffenden Seite analysieren und muß sich nicht auf eine Listung verlassen, die ggf. unbeteiligte, die nur auf dem selben Servercluster gehostet sind, gleich in Sippenhaft nimmt.
Ich denke, hier soll etwas verkauft werden, für das es keinen wirklichen Bedarf gibt.
Wir haben es seit Jahren im Einsatz weil irgendwelche Entscheider und Auditoren meinen sowas wäre sinnvoll. Preislich war es glaub ich nicht so das Drama. Inhaltlich ist es das Drama, weil permanent mal irgendwas geblockt wird und man mit freischalten bei Blue Shield beschäftigt ist.
Höhepunkt war mal das wir einen Windows Server fast zerlegt haben, weil Blue Shield halt mal das Default Powershell Repo gesperrt hat.
Wenn jemand mit "künstlicher Intelligenz" so deutlich Werbung macht, ist das für mich erstmal ein Zeichen, diesen besser genau nicht zu nehmen. Wenn ich dann auf die Website gehe und diese mit meinem scharfen uBlock Origin nicht nutzbar ist, danke…
Allein die Idee mit einem DNS-Filter Security und ein Schutzschild "Shield" versprechen zu wollen, kann ich nur als Witz abtun.
Dann nimmt ein böser Akteur halt die IP oder noch besser, die vermeintlich so seriösen und schnell angemieteten Hosts bei den Großen Anbietern wie MS, Apple, Google oder Amazon. Der meiste Müll kommt eh aus dieser Richtung.
Kann weg, braucht niemand…
Blue Shield macht auch keinen halt MS, Apple, Google oder Amazon mal komplett zu sperren. Wie gesagt setzt man es ein wird ein Admin damit mehr oder minder beschäftigt sein, Tickets bei Blue Shield zu erstellen um Sachen wieder freigeschalten zu bekommen. Danach darf der DNS Admin seinen Cache leeren. Damit wieder alles passt.
Wir verwenden die DNS-Server der Telekom für die Namenauflösung im Internet. Die Antworten gehen in der Firewall durch IDS/IPS. Dadurch können z.B. bekannte C&C Server-IPs geblockt werden. Das sind natürlich Listen, welche alle paar Stunden aktualisiert werden.
Der Anbieter verspricht ja nun unbekannte Domains gar nicht aufzulösen. Diese zu checken und dann ggf. in die Whitelist auf zunehmen. Hier hätte ich viele Fragen, ob die Aussagen aus der Werbung hier wirklich eingehalten werden können.
Ich kann eine Domain erstmal auch mit normalem Inhalt belegen, welcher zu einem Eintrag in der Whitelist führt. Wie oft kann der Anbieter überhaupt alle Domains überprüfen? Selbst wenn der Check jede Stunde erfolgt, so gibt es ein Zeitfenster für Angreifer. Auch kann man bei einer Anfrage basierend auf IP, User-Agent auch unterschiedlichen Content liefern. Der Check sieht Katzenbilder, der User eine Login-Seite.
Cloudflare bietet inzwischen ja auch schon die Möglichkeit den Zielserver zu verschleiern. Dort wird quasi ein Frontserver aus dem Link aufgelöst, angesprochen und dann erfolgt eine verschlüsselte Weiterleitung zum eigentlichen Zielsystem. Wie geht der Anbieter damit um?
Ich will jetzt gar nicht sagen, dass das Produkt nichts bringt, würde es aber auf jeden Fall kritisch hinterfragen.
Das Thema Inhalte filtern, ist nicht neu. Aber es via DNS zu machen ist enorm fehleranfällig .
Ich hab das schon Mal getestet.. und verwende für Malware Quad-Nine DNS und Cloudflare . Das geht gut und kostet nix.
Viele moderne Webseiten verwenden immer mehr Rest APIs und dynamische Inhalte sodass so ein Filter die Seite selbst zuerst komplett rendern müsste, was aber schwer ist weil z.b. Zugangsdaten fehlen. Der Ansatz ist zum Scheitern verurteilt.
Das sind IMHO die Application Guard Funktionen von Windows besser.
Wenn ich schon "KI" oder "künstliche Intelligenz" lese höre ich plötzlich auf einen Anbieter ernst zu nehmen der damit wirbt. Mir reicht es beruflich völlig aus dass mich da der Copilot im Edge belästigt wenn der Mauszeiger nur über dessen Symbol stehen bleibt, man muss nicht mal klicken. Jetzt fängt Google schon auf der Startseite an mit Gemini-Hinweisen zu nerven. Mir wäre natürliche Intelligenz in allen Fällen lieber. Aber mir scheint das was an "KI" zunimmt nimmt beim selbst Denken ab, kurz gesagt viele Menschen verblöden durch das neue betreute Denken langsam und merken es noch nicht einmal.
Gibt viele solche Anbieter: NextDNS, controld.
Beides schon getestet. Beides für gut befunden. Beide bieten "gratis" Testaccounts an.
Bin bei controld hängen geblieben. Support wenn man ihn braucht bei NextDNS war für mich leider nicht gut.
CISCO Umbrella nicht zu vergessen
DNS mit KI und Whitelist… da sträuben sich bei mir gleich alle Nackenhaare.
Da würde ich eine riesigen Bogen drum herum machen.