Meta Navigation

  • 🔎

    Globale Suche

    Häufig gesucht

Swisscom Community

759 User online
0 Posts heute
Antworten
Expert Silver
Beiträge: 73
Registriert: ‎28-11-2010
Akzeptierte Lösung

Swisscom DNS Server kein dnssec

Weiss jemand von Euch, warum die Swisscom DNS-Server 195.186.1.162 und 4.162 kein dnssec unterstützen?


Akzeptierte Lösungen
Beiträge: 6.763
Likes: 1.332
Lösungen: 432
Registriert: ‎01-07-2010

Swisscom DNS Server kein dnssec

DNS ist sicher ein sehr spannendes Thema. Gerade mal wieder aus anderen Gründen aktuell...

Schlussendlich basiert eine Systemwahl aus ganz verschiedenen Gründen.

Neben DNSSEC ist für mich auch die Rolle des lokalen DNS ganz zentral und auch DNSBL ist eine Funktion welche ich nicht unbedingt missen möchte. Auch die Performance stimmt, sonst wäre ich der Erste der da ganz schnell wieder tunen würde.

In dem Sinne kann man keine generellen Aussagen machen. Spielt ja neben dem Cachen auch noch eine Rolle was die Soft- und Hardware daraus macht.

 

Ich denke das für die Masse es aber ok ist wenn ihr Internet Access in den Standard-Einstellungen nicht den üblichen Standards von heute entsprechen. Es entspricht ja auch der üblichen Problemlösung der Internet Box, dass man hierbei sogar eine der heutigen Zeit aktuelle Funktion wieder deaktiviert.

 

http://en.conn.internet.nl/connection/

 

Mir hingegen fehlt eigentlich noch DANE Smiley (überglücklich) Aber da ich kein eigenes RZ bin sondern auch nur Standardsysteme und Lieferanten benutze, fehlt es da noch. Smiley (überglücklich)





Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

xmpp:webmaster@tuxone.ch [OMEMO] [OTR] [openPGP C479 D377]

Selbstdeklaration

Lösung in ursprünglichem Beitrag anzeigen


Alle Antworten
Highlighted
VIP
Beiträge: 262
Registriert: ‎06-07-2013

Swisscom DNS Server kein dnssec

[ Bearbeitet ]

Die Swisscom hatte Anfang 2010 ihre DNS-Server als DNSSEC-validierende DNS-Server in Betrieb. Fiel Anfang 2010 die DNSSEC-Validierung fehl, wie zum Beispiel auf der Testseite:

 

https://dnssec.vs.uni-due.de/

 

wurde vom DNSSEC-validierenden DNS-Server der Swisscom anfangs 2010 auf DNS-Anfragen keine gültige DNS-Antwort geliefert. Anfang 2010 lief die DNSSEC-Validierung auf den DNS-Server ausgezeichnet und Swisscom war sicherheitsmässig ein sehr lobenswertes Vorbild.

 

Dann kam der 04.01.2010, an diesem Tag unterlief der SWITCH (https://www.switch.ch) ein Konfigurationsfehler in der DNSSEC-Konfiguration, welche Auswirkung auf alle Schweizer Internetadressen "*.ch" hatte. Durch den Konfigurationsfehler der SWITCH lieferte der DNSSEC-validierende DNS-Server der Swisscom auf DNS-Anfragen für *.ch keine gültige Antwort mehr. Dies wirkte sich für alle Swisscom-Kunden so aus, dass keine Internetseiten mit *.ch mehr aufrufbar waren.

 

https://forum.vis.ethz.ch/showthread.php?13368-Swisscom-DNS-Server-kaputt&s=869e21c8bc885a8c76a2dd91...

 

http://lists.swinog.ch/public/swinog/2010-January/004188.html

 

http://www.20min.ch/digital/webpage/story/Serverproblem-bei-Swisscom-legte-Seiten-lahm-17072072

 

Obwohl der Fehler zu 100% der SWITCH zuzuschieben ist, musste die Swisscom verärgerte Kunden beruhigen und einen grossen Imageschaden hinnehmen. Der 04.01.2010 wird auch der Grund sein, weshalb die Swisscom keinen DNSSEC-validierenden DNS-Server mehr betreibt, was aus Sicherheitsgründen Schade ist.

 

Trotz dem Vorfall am 04.01.2010 dürfte auch Swisscom ihre DNS-Server "DNSSEC-aware" konfigurieren. Dass Swisscom ihre DNS-Server nicht DNSSEC-validierend konfiguriert ist seit dem 04.01.2010 verständlich und grundsätzlich auch nicht notwendig.

 

http://wiki.ipfire.org/en/dns/public-servers

 

Die grosse Fernsehkabelnetz-Konkurrenz (UPC Cablecom) betreibt ihre DNS-Servern mit PowerDNS Recursor:

 

https://www.powerdns.com/

 

PowerDNS Recursor ab Version 4.0 ist DNSSEC-aware. Betreibt der UPC Cablecom-Endkunde auf seinem Rechner oder Router zum Beispiel einen DNSSEC-validierenden DNSMasq ab Version 2.74:

 

http://www.thekelleys.org.uk/dnsmasq/doc.html

 

mit den dnsmasq.conf-Parameter:

 

conf-file=/etc/dnsmasq.d/trust-anchors.conf
dnssec
dnssec-check-unsigned

kann der Heimrechner oder das Heimnetzwerk mit DNSSEC abgesichert werden. Die DNSSEC-Implementierung von DNSMasq vor Version 2.74 sollte wegen Programmierfehler nicht eingesetzt werden.

 

Swisscom Kunden die ihr Heimnetzwerk oder Heimrechner mit DNSSEC absichern möchten, müssen vorläufig mit den Google DNS-Servern (8.8.8.8 und 8.8.4.4) vertröstet werden:

 

https://developers.google.com/speed/public-dns/docs/intro

Expert Silver
Beiträge: 73
Registriert: ‎28-11-2010

Swisscom DNS Server kein dnssec

Wow, vielen herzlichen Dank für diese ausführliche Antwort. Ich versuche mich einmal in alle aufgeführten Links einzulesen. Dann sehe ich hoffentlich, ob es für mich eine Lösung ist...

Beiträge: 1.450
Lösungen: 84
Registriert: ‎01-06-2012

Swisscom DNS Server kein dnssec

Vielen Dank für die einleuchtende Erklärung - an diesen Vorfall erinnere ich mich vage, jetzt wo du es erwähnst. Dass Swisscom es offenbar deswegen seither nicht wieder aktiviert hat, ist schade. Die Schweiz ist sowohl im europäischen als auch weltweiten Vergleich leider total im Hintertreffen mit der DNSSEC-Absicherung. Auch wenn DNSSEC protokolltechnisch vielleicht nicht der grösste Geniestreich der Internetgeschichte war, bringts sicherheitsmässig doch einen Vorteil. Wäre noch interessant den Grund für den temporären Anstieg der DNSSEC-Nutzung zwischen April 2014 und Februar 2015 in der Schweiz zu wissen...

 

Jedenfalls bin ich absolut gleicher Meinung: Liebe Swisscom, aktiviert doch bitte auf euren DNS-Resolvern (wieder) die DNSSEC-Validierung.

Beiträge: 6.763
Likes: 1.332
Lösungen: 432
Registriert: ‎01-07-2010

Swisscom DNS Server kein dnssec

Ich bin so oder so dafür das man mit unbound keine Anbieter DNS verwendet.
Nur eine weitere entscheidende Stelle zum kompletten Datenstriptease.
Natürlich nebenbei mit dnssec validation.




Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

xmpp:webmaster@tuxone.ch [OMEMO] [OTR] [openPGP C479 D377]

Selbstdeklaration

Expert Silver
Beiträge: 73
Registriert: ‎28-11-2010

Swisscom DNS Server kein dnssec

Ich bin jetzt die verschiedenen Anleitungen durchgegangen und habe mir einen kleinen Raspery Pi mit bind9 und aktiviertem dnssec aufgesetzt. Via DHCP des Swisscom Routers werden den Clients jetzt die IP des Raspery als DNS-Servers mitgeteilt. Die Prüfung für den 'DNSSEC Resolver Test' funktioniert jetzt bestens.

Vielleicht bietet die Swisscom ja einmal einen validen DNS Server, dann könnte ich den noch als forwarder im bind9 eintragen. 

VIP
Beiträge: 262
Registriert: ‎06-07-2013

Swisscom DNS Server kein dnssec


Tux0ne schrieb:
Ich bin so oder so dafür das man mit unbound keine Anbieter DNS verwendet.

Aus Performance-Gründen sollten DNS-Anfragen immer an den DNS-Server des ISP (z.B. Swisscom) weitergeleitet werden (DNS Forwarder/forwarding). Es gilt das Sprichwort:

 

A busy name server is a happy name server

Quelle: https://securityblog.switch.ch/tag/powerdns/

 

Ob die Auflösung über die Root-Nameserver einen besseren Datenschutz bietet, bezweifle ich persönlich.

Beiträge: 6.763
Likes: 1.332
Lösungen: 432
Registriert: ‎01-07-2010

Swisscom DNS Server kein dnssec

DNS ist sicher ein sehr spannendes Thema. Gerade mal wieder aus anderen Gründen aktuell...

Schlussendlich basiert eine Systemwahl aus ganz verschiedenen Gründen.

Neben DNSSEC ist für mich auch die Rolle des lokalen DNS ganz zentral und auch DNSBL ist eine Funktion welche ich nicht unbedingt missen möchte. Auch die Performance stimmt, sonst wäre ich der Erste der da ganz schnell wieder tunen würde.

In dem Sinne kann man keine generellen Aussagen machen. Spielt ja neben dem Cachen auch noch eine Rolle was die Soft- und Hardware daraus macht.

 

Ich denke das für die Masse es aber ok ist wenn ihr Internet Access in den Standard-Einstellungen nicht den üblichen Standards von heute entsprechen. Es entspricht ja auch der üblichen Problemlösung der Internet Box, dass man hierbei sogar eine der heutigen Zeit aktuelle Funktion wieder deaktiviert.

 

http://en.conn.internet.nl/connection/

 

Mir hingegen fehlt eigentlich noch DANE Smiley (überglücklich) Aber da ich kein eigenes RZ bin sondern auch nur Standardsysteme und Lieferanten benutze, fehlt es da noch. Smiley (überglücklich)





Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

xmpp:webmaster@tuxone.ch [OMEMO] [OTR] [openPGP C479 D377]

Selbstdeklaration

Beiträge: 6.763
Likes: 1.332
Lösungen: 432
Registriert: ‎01-07-2010

Swisscom DNS Server kein dnssec

passend dazu:

https://www.digitale-gesellschaft.ch/2017/03/20/it-sicherheit-die-schweiz-und-dnssec/





Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

xmpp:webmaster@tuxone.ch [OMEMO] [OTR] [openPGP C479 D377]

Selbstdeklaration

Beiträge: 1.450
Lösungen: 84
Registriert: ‎01-06-2012

Swisscom DNS Server kein dnssec

Im verlinkten Artikel ist die Nationalratsdebatte zum Glücksspielgesetz verlinkt.

Balthasar Glättli: "[...] Wissen Sie, dass bei Angeboten, die gesichert sind, also Seiten mit "https", mit dem Schlüsselchen vorne - und das wird bei jedem Geldspielangebot so sein, weil man ja Kreditkartennummern eingibt -, diese Warnseite technisch nicht angezeigt wird? [...]"

Simonetta Sommaruga: "Ich kann Ihnen nur sagen, was mir meine Experten sagen.
Sie sprechen hier von einer Technologie, von der sogenannten Dee-Enn-Ess-Ess-Ee-Ce, die sich aber offenbar nicht durchgesetzt hat. [...]"

 

Aha. https = DNSSEC. Und weil die Schweiz und die Mehrheit ihrer ISPs bei letzterem gepennt hat, hat sich diese nicht durchgesetzt. Alles klar. Soll ich lachen oder weinen? Und wo kann man sich im Bundeshaus als IT-Experte bewerben?

Beiträge: 6.763
Likes: 1.332
Lösungen: 432
Registriert: ‎01-07-2010

Swisscom DNS Server kein dnssec

Ja gut öffentlich wird halt noch so macher Seich rausgelassen.

Aber zu Frau Sommaruga kann man auch hier was lesen was ja eigentlich eher zum schmunzeln ist :

 

Die Motion auf Bluewin TV zu beziehen ist nicht sinnvoll. Denn im Gegensatz zum Kabelfernsehen gibt es keine Fernseher auf dem Markt, welche einen Digitalempfänger für Internet Procotol Television (IPTV) eingebaut haben. Genauso wenig gibt es alternative Set-Top-Boxen. Denn in diesem Bereich sind – ebenfalls im Gegensatz zum digitalen Kabelfernsehen – keine internationalen Standards entwickelt, welche die Hersteller von Fernsehern und von Set-Top-Boxen anwenden könnten. Daher hat Swisscom für die Fernsehzuschauerinnen und -zuschauer ein eigenes Fernsehangebot entwickelt. Die SKS würdigt diese Innovation.

 

https://www.konsumentenschutz.ch/medienmitteilungen/2008/09/offener-brief-an-swisscom-ceo-carsten-sc...

 

Ich habe das auch schon als Anekdote genommen, im Bezug auf SIP Daten. Da wurde uns auch schon seit vielen Jahren hier drin sehr viel Scheiss erzählt....

Und nun zeigt man sich hier angepisst wie ich so in anderen Threads lese.

Ist schon lustig. Zeigt mir nur das vieles doch nicht so verkehrt war wie man mir immer mal gerne anhängen will Smiley (überglücklich)

Have a nice day.





Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

xmpp:webmaster@tuxone.ch [OMEMO] [OTR] [openPGP C479 D377]

Selbstdeklaration