image

Nieuwe testversie Windows 11 ondersteunt DNS over TLS

donderdag 14 juli 2022, 14:19 door Redactie, 6 reacties

Microsoft heeft een nieuwe testversie van Windows 11 uitgebracht die DNS over TLS (DoT) ondersteunt, waarmee DNS-verzoeken van gebruikers worden beschermd. Het besturingssysteem ondersteunt al DNS over HTTPS (DoH). DNS-verzoeken bevatten informatie over bijvoorbeeld websites die een gebruiker bezoekt. Deze verzoeken zijn normaal onversleuteld, waardoor informatie over de gebruiker kan lekken en kwaadwillenden DNS-verkeer kunnen inzien en aanpassen.

"DNS over TLS (DoT) transporteert DNS-verkeer over een TLS-tunnel op tcp/853. DNS over HTTPS (DoH) transporteert DNS-verkeer over een https-verbinding op tcp/443. Beide kunnen vertrouwelijkheid en integriteit bieden in de aanwezigheid van een actieve aanvaller op het netwerk", aldus het Nationaal Cyber Security Centrum (NCSC) in een factsheet over beide transportprotocollen. Om DoT of DoH te kunnen gebruiken moet dit wel door de DNS-provider van de gebruiker worden ondersteund.

In Windows 11 Insider Preview Build 25158 is ondersteuning van DoT nu aanwezig. "Waar DoH DNS-verkeer behandelt als gewoon een HTTPS-datastroom over poort 443, gebruikt DoT poort 853 apart voor versleuteld DNS-verkeer en draait direct over een TLS-tunnel zonder HTTP daaronder", aldus Microsofts Tommy Jensen, die toevoegt dat DoT voor iets betere prestaties kan zorgen, afhankelijk van de netwerkomgeving. Vanwege het gebruik van de commandline voor het instellen van DoT adviseert Microsoft dat alleen gevorderde netwerkgebruikers hiermee aan de slag gaan.

Reacties (6)
14-07-2022, 15:54 door Anoniem
Op security gebied is dit een grote vooruitgang. DNS-over-HTTP is namelijk een stuk complexer dan DNS-over-TLS. Voor DoH moet de DNS software namelijk een complete HTTP parser hebben. Dat vergroot het aanvalsoppervlak en is een stuk foutgevoeliger. Goede zaak dus dat DoT nu beschikbaar komt. Het enige lastige is dat firewalls nu naast 53/udp ook 853/tcp moeten gaan toe staan.
15-07-2022, 08:59 door Anoniem
DOT zou ook de kans geven om de afzender van verzoeken te valideren... Bv client certificate uitgegeven door een bepaalde CA al of niet met een bepaald subject.
15-07-2022, 09:36 door Anoniem
Ik vraag me af hoe integer deze informatie behandeld word.
Dat er peer to peer gecrypt word is een ding wat er achter welke peer gebeurt is toch echt twee.
Ook bij browsers zie je al dat datamining op dns request gebied al redelijk ontgonnen word. Nu wilt Micro$oft zijn bestaans recht net als elke andere grote speler ook haar bestaans recht vergroten door dit te minen.

Zelf gebruik ik mijn lokale dns en weiger ik dns requests hoe dan ook naar buiten, behalve voor mijn dns server naar root servers. Niet perfect maar beter dan dat ik niet weet waar het heengaat en bij wie het ligt.

Mensen pas op en creer je eigen facaliteiten en maak het beschikbaar met een door je zelf gefaciliteerd vpn.
15-07-2022, 20:22 door Anoniem
En poof weg is de ThePirateBay blokkade
15-07-2022, 20:43 door Anoniem
Zolang het verzoek maar niet naar microsoft gaat maar naar de dns provider. Want data verzamelen wordt je toch echt ziek van bij die bedrijven.
15-07-2022, 22:27 door cyberpunk
Het is misschien veiliger, maar ik werk via een Pi-Hole, dus ik weet niet of dit een optie is.
.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.