Tags: DNS, Verschlüsselung
Die aktuelle Insider-Preview im Dev-Channel enthält die Unterstützung für DNS over TLS (DoT). Bei diesem handelt es sich um ein alternatives verschlüsseltes DNS-Protokoll zu DNS over HTTPS (DoH). Es läuft ohne HTTP-Schicht direkt über einen TLS-Tunnel und fällt daher schlanker aus. Die Konfiguration erfolgt aktuell nur mit netsh.
Wie DoH soll auch DoT die Anwender davor schützen, Opfer eines manipulierten DNS-Servers oder eines Man-in-the-Middle-Angriffs zu werden, wenn DNS-Anfragen im Klartext übertragen werden.
Beiden ist allerdings auch gemeinsam, dass es noch relativ wenige DNS-Server gibt, die diese Technologie unterstützen. Diese werden in den meisten Fällen von öffentlichen Anbietern wie Google oder Cloudflare bereitgestellt.
DoT versus DoH
DNS over TLS schickt normale DNS-Anfragen über einen TLS-Tunnel, während DNS over HTTPS eine HTTPS-Verbindung aufbaut. Das erzeugt zwar einigen Overhead, dafür läuft die Kommunikation normerweise über Port 443, der in den meisten Umgebungen geöffnet ist. DoT nutzt dagegen Port 853.
Bei DoH mischen sich DNS-Abfragen unter den normalen verschlüsselten HTTP-Traffic, was zwar Vorteile für die Wahrung der Privatsphäre hat, da ein Lauscher die DNS-Abfragen von anderen HTTP-Requests nicht unterschieden kann.
Dies erschwert aber auf der anderen Seite einem Netzwerk-Admin das Überwachen und Blockieren von DNS-Abfragen. Hingegen lässt sich bei DoT böswilliger Traffic identifizieren und damit auch unterbinden.
DoT-Implementierung in Windows 11 Preview
Unter Windows 11 bekommen die Anwender nun die Möglichkeit, sich zwischen beiden Protokollen zu entscheiden. Während DoH bei Windows 11 aktuell bereits an Bord ist, gibt es für DoT bloß eine erste Implementierung in der Preview ab dem Build 25158.
Entsprechend lässt sich das Feature aktuell nur über die Kommandozeile konfigurieren, und im Unterschied zu DoH bietet Microsoft dafür noch keine Einstellung in den Gruppenrichtlinien an.
DNS-Server konfigurieren
Um DoT zu aktivieren, legt man (manuell) einen DNS-Server fest, der dieses Protokoll unterstützt. Dies kann man über die App Einstellungen unter Netzwerk in den Eigenschaften einer Verbindung, zum Beispiel von Ethernet oder WiFi, tun.
Dort editiert man die DNS-Serverzuweisung und trägt, je nach Bedarf, unter IPv4 oder IPv6 die IP-Adresse des DoT-Servers ein.
Alternativ kann man diese Aufgabe in PowerShell mit Set-DnsClientServerAddress erledigen.
DoT aktivieren
Die eigentliche Aktivierung von DoT erfolgt dann über diese Befehle:
netsh dns add global dot=yes
netsh dns add encryption server=<IP des neuen DNS-Servers> dothost=: autoupgrade=yes
ipconfig /flushdns
Um sich zu überzeugen, ob DoT nun verwendet wird, ruft man netsh erneut auf:
netsh dns show global
Die Ausgabe dieses Kommandos sollte die Zeile "DoT-Einstellungen: enabled" enthalten.
Schließlich kann man sich noch von den korrekten DoT-Einstellungen des spezifischen DNS-Servers so überzeugen:
netsh dns show encryption
Die Ausgabe sollte beim gewählten DNS-Server einen Eintrag für "DNS-über-TLS-Host" enthalten, der Wert für "Automatische Aktualisierung" lautet dann yes und "UDP-Fallback" auf no.
Fazit
Mit DNS over TLS unterstützt Microsoft in Windows 11 neben DNS over HTTPS ein zweites sicheres DNS-Protokoll. Für welches sich die Anwender entscheiden, hängt von den jeweiligen Anforderungen ab. Eine wesentliche Rolle spielt dabei, ob Admins den DNS-Traffic isolieren möchten oder ob eine Kommunikation über den üblicherweise offenen HTTPS-Port bevorzugt wird.
Aktuell lassen sich beide Protokolle nur mit einer Handvoll öffentlicher DNS-Server nutzen. Unklar ist indes, ob Microsoft DoH und DoT jemals in Windows Server für den internen Einsatz unterstützen wird.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
Weitere Links