Ein kurzes Thema, was von einem Leser als Frage an mich heran getragen wurde. Dieser hat sich in den letzten Tagen wieder etwas mehr mit der externen DNS-Auflösung beschäftigt und ist auf den Anbieter Blue Shield gestoßen.
Anzeige
Zum Hintergrund, warum er auf das Thema kam, schrieb der Leser: Einmal weil unser Internet etwas langsam war, zum anderen weil wir ein Angebot der Firma Blue Shield bekommen haben. Die Firma aus Österreich wirbt damit, einen Echtzeit-Whitelist-DNS-Filter auf Basis von künstlicher Intelligenz zu haben. Der große Vorteil ist natürlich die Whitelist. Das lässt Blue Shield auch richtig raushängen und hat gute verkaufs-strategische Argumente, wieso Next Generation Firewalls oder DNS-Dienste wie Quad9 nicht so gut sind, wie Blue Shield.
Ich bin grundsätzlich skeptisch, wenn Firmen mir etwas verkaufen wollen und andere Dienste schlecht machen. Mich würde aber interessieren, was die Leserschaft von diesem Whitelist-Bezahl-Dienst hält. Ist er sinnvoll, wenn man Quad9 in Verbindung mit den Features der Next Generation Firewalls betreibt? Und bei welchen externen DNS-Servern lösen die Leser ihre DNS-Anfragen auf?
Anzeige
DNS ist eine der grundlegendsten Funktionen des Internet.
Daran "herumzuspielen" kann sehr schnell zu großen Problemen führen, die dann auch nur schwer zu debuggen und auf den Verursacher zurückzuführen sind.
Ich denke mit Grausen an die "Netzsperren" der ausgehenden Merkel-Ära, die mit Zwangs-DNS der Provider (z.B. Telekom) umgesetzt werden sollten.
Vor allem wenn ich da oben noch "Whitelist" lese, man also irgendeinen Freischaltmechanismus für dem Dienst unbekannte und noch nicht gelistete Einträge braucht.
Wenn der Leser schon eine Firewall betreibt, hat er auch Zugang zu einer vom betreffenden Betreiber betriebenen Black-, White- oder auch Reputationliste, die er auf Wunsch oder bei entsprechenden Vorgaben (z.B. Jugendschutz) nutzen kann.
Zudem kann eine solche Firewall (wenn sie SSL entschlüsselt) direkt den Content der betreffenden Seite analysieren und muß sich nicht auf eine Listung verlassen, die ggf. unbeteiligte, die nur auf dem selben Servercluster gehostet sind, gleich in Sippenhaft nimmt.
Ich denke, hier soll etwas verkauft werden, für das es keinen wirklichen Bedarf gibt.
Wir haben es seit Jahren im Einsatz weil irgendwelche Entscheider und Auditoren meinen sowas wäre sinnvoll. Preislich war es glaub ich nicht so das Drama. Inhaltlich ist es das Drama, weil permanent mal irgendwas geblockt wird und man mit freischalten bei Blue Shield beschäftigt ist.
Höhepunkt war mal das wir einen Windows Server fast zerlegt haben, weil Blue Shield halt mal das Default Powershell Repo gesperrt hat.
Und warum schmeißt man dann so einen Dienst nicht raus, wenn es einen Vollzeitadmin dafür benötigt und Ressourcen frist?
Das muss doch über die nachgelagerte Kostenaufrechnung auch Entscheidern und Auditoren (da frage ich mich warum?) darstellbar sein.
Wenn jemand mit "künstlicher Intelligenz" so deutlich Werbung macht, ist das für mich erstmal ein Zeichen, diesen besser genau nicht zu nehmen. Wenn ich dann auf die Website gehe und diese mit meinem scharfen uBlock Origin nicht nutzbar ist, danke…
Allein die Idee mit einem DNS-Filter Security und ein Schutzschild "Shield" versprechen zu wollen, kann ich nur als Witz abtun.
Dann nimmt ein böser Akteur halt die IP oder noch besser, die vermeintlich so seriösen und schnell angemieteten Hosts bei den Großen Anbietern wie MS, Apple, Google oder Amazon. Der meiste Müll kommt eh aus dieser Richtung.
Kann weg, braucht niemand…
Blue Shield macht auch keinen halt MS, Apple, Google oder Amazon mal komplett zu sperren. Wie gesagt setzt man es ein wird ein Admin damit mehr oder minder beschäftigt sein, Tickets bei Blue Shield zu erstellen um Sachen wieder freigeschalten zu bekommen. Danach darf der DNS Admin seinen Cache leeren. Damit wieder alles passt.
Wir verwenden die DNS-Server der Telekom für die Namenauflösung im Internet. Die Antworten gehen in der Firewall durch IDS/IPS. Dadurch können z.B. bekannte C&C Server-IPs geblockt werden. Das sind natürlich Listen, welche alle paar Stunden aktualisiert werden.
Der Anbieter verspricht ja nun unbekannte Domains gar nicht aufzulösen. Diese zu checken und dann ggf. in die Whitelist auf zunehmen. Hier hätte ich viele Fragen, ob die Aussagen aus der Werbung hier wirklich eingehalten werden können.
Ich kann eine Domain erstmal auch mit normalem Inhalt belegen, welcher zu einem Eintrag in der Whitelist führt. Wie oft kann der Anbieter überhaupt alle Domains überprüfen? Selbst wenn der Check jede Stunde erfolgt, so gibt es ein Zeitfenster für Angreifer. Auch kann man bei einer Anfrage basierend auf IP, User-Agent auch unterschiedlichen Content liefern. Der Check sieht Katzenbilder, der User eine Login-Seite.
Cloudflare bietet inzwischen ja auch schon die Möglichkeit den Zielserver zu verschleiern. Dort wird quasi ein Frontserver aus dem Link aufgelöst, angesprochen und dann erfolgt eine verschlüsselte Weiterleitung zum eigentlichen Zielsystem. Wie geht der Anbieter damit um?
Ich will jetzt gar nicht sagen, dass das Produkt nichts bringt, würde es aber auf jeden Fall kritisch hinterfragen.
Das Thema Inhalte filtern, ist nicht neu. Aber es via DNS zu machen ist enorm fehleranfällig .
Ich hab das schon Mal getestet.. und verwende für Malware Quad-Nine DNS und Cloudflare . Das geht gut und kostet nix.
Viele moderne Webseiten verwenden immer mehr Rest APIs und dynamische Inhalte sodass so ein Filter die Seite selbst zuerst komplett rendern müsste, was aber schwer ist weil z.b. Zugangsdaten fehlen. Der Ansatz ist zum Scheitern verurteilt.
Das sind IMHO die Application Guard Funktionen von Windows besser.
Blue Shield gibts ja schon seit beinahe 10 Jahren (also schon seit Zeiten, wo KI für viele noch ein Fremdwort war). Also nein: Die sind also nicht irgendwelche Neulinge, die auf irgendeinen KI-Hype aufgesprungen sind.
Im Unterschied zu ihren Mitbewerbern arbeitet Blue Shield anhand von Whitelists und nicht von Blacklists. Das ist auf der einen Seite halt der rießen Vorteil, weil nicht erst dann was geblockt wird was auffällig geworden ist. Aber halt auch der Nachteil, dass Unbekanntes (und womöglich Gutartiges) gesperrt ist.
Ich selbst habe Blue Shield bei mehreren Institutionen/Unternehmen im Einsatz und bin sehr zufrieden damit. Natürlich ist alle paar Wochen mal was nicht auf der Whitelist, was nicht blockiert sein sollte. Aber nach wenigen Minuten wird es dann zumeist von deren Technikteam entsperrt. Ist ja ein vergleichsweise kleines Unternehmen, wo mal noch schnell jemanden erreicht.
Es gibt haufenweise "Erweiterungen" für Smartphones, IP-Blacklists, Logging usw usw
Ob es nicht auch Mitbewerber gibt, die auf das gleiche Prinzip setzen, kann ich nicht sagen. Als ich mit Blue Shield angefangen hatte, waren sie halt so ziemlich die einzigen, die auf Whitelisting anstatt Blacklisting setzten.
Bei KI-basierter Filterung muss man mit vielen Fehlern rechnen, d.h. böse Domains nicht blockiert oder gute blockiert. Selber habe ich eigene Nameserver für interne Netze und als Resolver laufen. Da erspart man sich den Stress mit lahmen Provider-Resolvern und hat alle Möglichkeiten.
Finger weg vom DNS!
Das ist so ein fundamentaler Baustein des Internets und ist keineswegs dafür designed es für irgendwelche Filter zu missbrauchen. Ich bin ein Fan davon DNS nur und ausschließlich für das zu benutzen für das es designed wurde (-> Namensauflösung). Wenn ich etwas filtern möchte, dann nutze ich dafür entsprechende Werkzeuge wie Firewalls. Getreu dem Motto "Use the right tool for the job.".
Wenn ich schon "KI" oder "künstliche Intelligenz" lese höre ich plötzlich auf einen Anbieter ernst zu nehmen der damit wirbt. Mir reicht es beruflich völlig aus dass mich da der Copilot im Edge belästigt wenn der Mauszeiger nur über dessen Symbol stehen bleibt, man muss nicht mal klicken. Jetzt fängt Google schon auf der Startseite an mit Gemini-Hinweisen zu nerven. Mir wäre natürliche Intelligenz in allen Fällen lieber. Aber mir scheint das was an "KI" zunimmt nimmt beim selbst Denken ab, kurz gesagt viele Menschen verblöden durch das neue betreute Denken langsam und merken es noch nicht einmal.
plus 1
alles gesagt was dazu zu sagen ist.
Ist doch ein super Geschäftsmodel.
Ich setzte eine Handvoll Alibi-Hansel hin die billig sind und lasse eine KI den Job macht. Wenn es knallt treten die blind dagegen und hoffen das es wieder und es gar nicht klappt geht der Laden von heute auf morgen offline.
Gibt viele solche Anbieter: NextDNS, controld.
Beides schon getestet. Beides für gut befunden. Beide bieten "gratis" Testaccounts an.
Bin bei controld hängen geblieben. Support wenn man ihn braucht bei NextDNS war für mich leider nicht gut.
CISCO Umbrella nicht zu vergessen
DNS mit KI und Whitelist… da sträuben sich bei mir gleich alle Nackenhaare.
Da würde ich eine riesigen Bogen drum herum machen.
Das Internet ist nicht langsam, weil es Probleme mit im Bereich des DNS gibt, aber lassen wir solche technischen Feinheiten mal beiseite ;-)
Das Ganze mit Blue Shield ist eine maximal dumme Idee und zwar aus vielen Gründen.
Zunächst sollte man einem externen Anbieter nicht das Filtern seiner DNS-Abfragen erlauben. Fritz hat diesbezüglich ja schon Gründe aufgeführt. Das gilt auch für das grundsätzliche Argument gegen eine Whitelist für DNS.
Für das Erstellen einer Whitelist aber eine KI einzusetzen, ist einfach nur Bauernfängerei. Eine KI besitzt keinerlei Intelligenz. Das kann nicht ohne Fehlentscheidungen funktionieren. Was im Umkehrschluss bedeutet, dass Blue Shield diese Fehlentscheidung egal sind. Blue Shield ist eine Antivirus-Virus-Lösung in grün.
> Und bei welchen externen DNS-Servern lösen die Leser ihre DNS-Anfragen auf?
Einen eigenen DNS-Server auf Basis von Unbound. Wenn kein eigener DNS zur Verfügung steht (kommt so gut wie nicht vor), dann DNSforge.
Die Leute wollen eben ihre kompletten Internetnutzungsdaten freiwillig einer dritten Firma schenken. Also stellen sie irgendwelche DNS ein.
Kostenlose und Leistungsfähige Lösung die als VM / Docker oder auf einem Raspberry Pi laufen kann ist PiHole. Gibt es schon lange und hat sich mehr als bewiesen.
Mit den RBL / Dynamischen DNS Listen kann aktiv DNS abgesichert werden und mit dem Mehrwert sehr viel Tracking & Werbung zu entfernen.
Privat habe ich zur DNS-Filterung zunächst Pi-Hole genutzt, das war mir dann aber aufgrund der Architektur und einiger undokumentierter Funktionen die zu "seltsamen Verhalten" führten (und sich mit jedem x-ten Update irgendewie anders verhielten…) zu viel Gefrickel und bin dann auf AdGuard Home umgestiegen und hab es nicht bereut (1000-fach einfacher, nur das Logging & "Reporting" ist u.U. etwas schlechter). Technisch reicht so etwas mMn auch als "Basisschutz" für den KMU- / SMB-Sektor.
Die ganze Sache steht und fällt natürlich mit den Filterlisten…
Beruflich sehe ich, dass viele unserer Kunden Cisco Umbrella nutzen, oft auch in Kombination mit SIG (quasi Cloud-Proxy). Das funktioniert, soweit ich informiert bin, über eine lokale VM…