DNS Anfragen über Tor verschleiert?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
buhtz
Beiträge: 497
Registriert: 04.12.2015 17:54:49

DNS Anfragen über Tor verschleiert?

Beitrag von buhtz » 10.03.2021 11:48:10

Ich bin gerade mit einem anderen IT-Halbwisser in eine interssante Diskussion geraten.

Nehmen wir an ich befinde mich mit meinem Client-PC in einem Institutionsnetzwerk in dem man mich bereits durch den WLAN-Zugang (der mit individuellen Nutzername und Passwort versehen ist) identifizieren kann. Nehmen wir weiterhin an, dass diese Institution auf Monate nahezu alles von mir logged was nur geht - wahlweise skrupellos oder mit Sicherheitsbedürfnissen begründet.

Nehmen wir hypothetisch an, dass ich die Seite https://verfaengliche-website.zero aufrufen möchte und dass die HTTPS Verbindung sauber konfiguriert und nach aktuellem Sicherheitsstandards auch "sicher" ist.

Überig bleiben vermutlich die Meta-Daten? D.h. mein Browser fragt über DNS die IP von https://verfaengliche-website.zero an und baut erst dann eine "sichere" HTTPS Verbindung auf. D.h. die Institution sieht nicht, was ich auf der Seite tue, aber sieht dass ich diese besuche. Richtig?

Wie ist das mit Debiantor bzw. dem Tor-Browser? Verschleiert dieser bereits die DNS Anfragen?

mludwig
Beiträge: 683
Registriert: 30.01.2005 19:35:04

Re: DNS Anfragen über Tor verschleiert?

Beitrag von mludwig » 10.03.2021 12:33:53

Hier reicht vielleicht schon DoH (DNS over HTTPS), um auch die DNS-Abfragen abzusichern. Man verliert aber die Möglichkeit, lokale DNS-Namen aufzulösen, also interne Resourcen des Unternehmens aufzulösen.

Bei einer Windows-Domain in Unternehmen gibt es noch die Möglichkeit, einen zentralen Proxy auch für HTTPS aufzusetzen, der als ManInThe Middle (MITM) alle Verbindungen mitschneiden kann. Der Client bekommt ein vom Proxy ausgestelltes Zertifikat angezeigt, dass per AD (Gruppenrichtlinie) allen Clients als vertrauenswürdig untergeschoben wird. Das wird wegen Sicherheit etc. in einigen Organisationen tatsächlich gemacht, obwohl sich mir wegen Datenschutz und Sicherheit die Fußnägel aufrollen ...

tobo
Beiträge: 1027
Registriert: 10.12.2008 10:51:41

Re: DNS Anfragen über Tor verschleiert?

Beitrag von tobo » 10.03.2021 12:55:36

buhtz hat geschrieben: ↑ zum Beitrag ↑
10.03.2021 11:48:10
Wie ist das mit Debiantor bzw. dem Tor-Browser? Verschleiert dieser bereits die DNS Anfragen?
Der Tor Browser verschleiert nichts, der verschlüsselt. Für die DNS-Auflösung unter Tor ist einzig der (jeweilige) Exit-Node zuständig - es weiß also niemand (weder lokal noch extern) wohin die Reise geht. Somit auch nicht deine Guard oder der mittlere Knoten, sondern nur der entsprechende End-Knoten.
Hab' ich schon häufiger verlinkt, aber noch immer interessant. Auf folgendem Schaubild kannst du schön erkennen, wer (welche "Institution") was sieht. Einfach mal Tor bzw. https aktivieren/deaktivieren.
https://www.eff.org/pages/tor-and-https

Edit: Und was allgemein DNS angeht:
https://privacy-handbuch.de/handbuch_93.htm

Benutzeravatar
Livingston
Beiträge: 521
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: DNS Anfragen über Tor verschleiert?

Beitrag von Livingston » 11.03.2021 14:16:07

Dein lokaler TOR verbindet sich zuerst verschlüsselt mit einem ihm bekannten TOR-Server. Die Tatsache, dass Du mit TOR Verbindung aufnimmst, kannst Du also nicht verbergen, aber wenn diese Verbindung steht, werden alle Nameserver-, Port 80/http- und Port 443/https-Verbindungen im verschlüsselten Tunnel aus dem Spionagenetz herausgeschmuggelt.
Andere Portanfragen wären noch interessant, vor allem EMail und alle anderen Kommunikatoren. Man kann auch diese Anfragen TORifizieren, defaultmäßig passiert das nach meinem alten Kenntnisstand nicht. Recherchestichwort "torify"
$ <- user
# <- root. Wer meint, da müsse $sudo stehen, mache das bitte mit seinem (Ge-)wissen aus - aber nicht mit mir.

Benutzeravatar
silizium
Beiträge: 24
Registriert: 16.06.2018 12:44:09
Lizenz eigener Beiträge: MIT Lizenz

Re: DNS Anfragen über Tor verschleiert?

Beitrag von silizium » 20.03.2021 02:14:48

Ich finde TOR als Browser etwas langsam und halte es nicht für sicher.
Außerdem sind viele Knoten-Punkte aufgekauft worden und betreiben Spionage.
Desweiteren kommen die Honey-Pots dazu die dann in vielen Ländern auch verboten sind.
Aber klar ist nur meine Meinung.

tobo
Beiträge: 1027
Registriert: 10.12.2008 10:51:41

Re: DNS Anfragen über Tor verschleiert?

Beitrag von tobo » 20.03.2021 10:23:08

silizium hat geschrieben: ↑ zum Beitrag ↑
20.03.2021 02:14:48
Außerdem sind viele Knoten-Punkte aufgekauft worden und betreiben Spionage.
Mal unabhängig davon, welcher der drei Knoten gemeint ist: Wieso (Consensus Weight?) sollte man sowas kaufen - jeder kann (nach Gegenprüfung) einen Knoten anlegen. Und dort (End-Knoten) "Spionage betreiben" wäre ungefähr genau so sinnvoll, wie die Straße entlang zu gehen und alle Hausnummern aufzuschreiben!?
Desweiteren kommen die Honey-Pots dazu die dann in vielen Ländern auch verboten sind.
Kompromitierte Exit-Guards sind nicht länderspezifisch, sondern tor-spezifisch verboten!

Benutzeravatar
silizium
Beiträge: 24
Registriert: 16.06.2018 12:44:09
Lizenz eigener Beiträge: MIT Lizenz

Re: DNS Anfragen über Tor verschleiert?

Beitrag von silizium » 20.03.2021 12:06:55

tobo hat geschrieben: ↑ zum Beitrag ↑
20.03.2021 10:23:08
silizium hat geschrieben: ↑ zum Beitrag ↑
20.03.2021 02:14:48
Außerdem sind viele Knoten-Punkte aufgekauft worden und betreiben Spionage.
Mal unabhängig davon, welcher der drei Knoten gemeint ist: Wieso (Consensus Weight?) sollte man sowas kaufen - jeder kann (nach Gegenprüfung) einen Knoten anlegen. Und dort (End-Knoten) "Spionage betreiben" wäre ungefähr genau so sinnvoll, wie die Straße entlang zu gehen und alle Hausnummern aufzuschreiben!?
Desweiteren kommen die Honey-Pots dazu die dann in vielen Ländern auch verboten sind.
Kompromitierte Exit-Guards sind nicht länderspezifisch, sondern tor-spezifisch verboten!
Ok danke schön für die Erkenntnis. Wusste ich gar nicht damit es Tor-spezifisch verboten ist.
Ich habe halt aus verschiedenen Quellen gelesen damit "Geheimdienste" sich solche Knoten-Punkte erkauft haben.
Kann natürlich sein damit solche Quellen manchmal nicht ganz Zuverlässig sind weil die letzter Zeit in diesen News viel "Angst" verbreiten.
Ich fühle mich halt mit anderer Methodik im Netz irgendwie "sicherer" vielleicht liegt es aber auch daran damit ich nichts verwerfliches vorhabe außer die Sicherheit vor Angreifern auf einem Rechner immer wieder zu verbessern.
Ich lasse mich gerne besseren Belehren aber mit weiterer Hardware kann man doch auch die DNS verschleiern wie z.b. Raspberry Pi.
Will nichts falsches Erwähnen deshalb halte ich mich lieber zurück bin schließlich "Neu" hier im Forum und halte mich mal lieber an den Verhaltenskodex.

tobo
Beiträge: 1027
Registriert: 10.12.2008 10:51:41

Re: DNS Anfragen über Tor verschleiert?

Beitrag von tobo » 20.03.2021 13:31:48

silizium hat geschrieben: ↑ zum Beitrag ↑
20.03.2021 12:06:55
Ok danke schön für die Erkenntnis. Wusste ich gar nicht damit es Tor-spezifisch verboten ist.
Exit-Knoten sind ja nur im Tor-Netzwerk existent, können also auch nur dort verboten sein!? Länderspezifisch kann man natürlich auch Tor-Knoten im Allgemeinen oder Exit-Knoten (keine Exit-Guards?!) im Besonderen verbieten. Das kann aber auch jeder für sich selbst konfigurieren und Tor macht das bei einem begründeten Verdacht.
Ich habe halt aus verschiedenen Quellen gelesen damit "Geheimdienste" sich solche Knoten-Punkte erkauft haben.
Geheimdienste arbeiten komplett im Dunkeln und zwar ausnahmslos! Alles was über die Machenschaften von Geheimdiensten zu lesen ist (und kein Leak einer Person ist, die jetzt um sein Leben fürchten muss), solltest du also mit Vorsicht genießen, da diese Informationen mit Vorsatz veröffentlicht werden und vermutlich Sekundärinteressen dienen!?
Ich lasse mich gerne besseren Belehren
Das war keine Belehrung, sondern nur meine Meinung, da ich vermute, dass wir ungefähr dieselbe Einblickstiefe in Geheimdienstinformationen haben!?

Will nichts falsches Erwähnen deshalb halte ich mich lieber zurück bin schließlich "Neu" hier im Forum und halte mich mal lieber an den Verhaltenskodex.
Da würde ich mir jetzt weniger Gedanken darüber machen und eher zum Gegenteil ermuntern. Es gibt hier keinen Verhaltenskodex, der nur sogenannten/selbsternannten Profis/Experten das Wort erteilt. Im Gegenteil...

buhtz
Beiträge: 497
Registriert: 04.12.2015 17:54:49

Re: DNS Anfragen über Tor verschleiert?

Beitrag von buhtz » 25.03.2021 14:35:12

Livingston hat geschrieben: ↑ zum Beitrag ↑
11.03.2021 14:16:07
Dein lokaler TOR verbindet sich zuerst verschlüsselt mit einem ihm bekannten TOR-Server. Die Tatsache, dass Du mit TOR Verbindung aufnimmst, kannst Du also nicht verbergen, aber wenn diese Verbindung steht, werden alle Nameserver-, Port 80/http- und Port 443/https-Verbindungen im verschlüsselten Tunnel aus dem Spionagenetz herausgeschmuggelt.
Danke, dass war die Info die ich brauchte.

Antworten