Mangelhafte UPC-DNS-Resolver
UPC-Telekabel bietet zwar mittlerweile IPv6-taugliche DualStack-Lite Anschlüsse über die Connect-Box (DOCSIS 3.0 über Koaxkabel), die standardmäßig verwendeten UPC-DNS-Resolver sind jedoch in mehrerlei Hinsicht mangelhaft:
- Keine DNSSec-Prüfung!
- DNS-Resolver sind zwar per IPv6 erreichbar, die rekursive Auflösung wird jedoch nur über IPv4 bewerkstelligt
- UPC redirected diverse Hostnamen auf „Sperr-Seiten“, so wie dies auch andere österreichische Access-Provider wie T-Mobile u.a. tun – eine Liste betroffener Websites (z.B. kinox.to, thepiratebay.org, …) sind z.B. im T-Mobile-Blog zu finden.
Prüfen kann man die „Qualität“ seines Internet-Zuganges bzw. seines verwendeten Resolvers z.B. auf https://internet.nl, ein DualStack-Lite Anschluss von UPC schneidet mangelhaft ab:
Alternative: Quad 9
Der Anbieter Quad 9 positioniert sich als „datenschutzfreundliche Alternative“ zu Googles Public-DNS Projekt, eine Vorstellung des Anbieters findet man u.a. bei Heise. Das Angebot wird standardmäßig mit DNSSEC und einer „Security Blocklist“ betrieben, die Security-Blocklist blockiert bekannte Malicious-Domains ohne dabei jedoch Zensur zu betreiben. Alternativ steht auch ein Nicht-DNSSEC-fähiger Resolver zur Verfügung der auch keine Security-Blocklist implementiert.
In den FAQ findet man die Konfigurationsdaten wie folgt:
dns.quad9.net (Security blocklist, DNSSEC) |
||
IPv4 | IPv4 secondary | IPv6 |
9.9.9.9 | 149.112.112.112 | 2620:fe::fe |
dns-nosec.quad9.net (No security Blocklist, No DNSSEC) |
||
IPv4 | IPv4 secondary | IPv6 |
9.9.9.10 | 149.112.112.10 | 2620:fe::10 |
Geschwindigkeits-Test
Geschwindigkeit der Quad 9 Resolver, geprüft mit einem kurzen PowerShell-Script: nameserver-speedtest.ps1 zeigt keinen Nachteil gegenüber der UPC-Nameserver, das DNS-Antwortzeitverhalten liegt in beiden Fällen bei ca. 20 Millisekunden.
Funktionalitäts-Check: Quad 9
Erneute Prüfung des Resolvers mittels des Online-Checks von https://internet.nl:
Google Public DNS
Zum Vergleich, die Google Public-DNS Resolver (eignen sich ebenso):
IPv4 | IPv6 |
8.8.8.8 8.8.4.4 |
2001:4860:4860::8888 2001:4860:4860::8844 |
Cloudflare DNS Resover
Seit April 2018 stehen auch die (durchwegs sehr schnellen) Cloudflare DNS Resolver zur Verfügung:
IPv4 | IPv6 |
1.1.1.1 1.0.0.1 |
2606:4700:4700::1111 2606:4700:4700::1001 |
Nebeneffekt: Zugang zu „blockierten“ WebSites
Hinweis auf DNS-Privacy, DNS-over-TLS:
DNS bietet (auch mit DNSSEC) keinerlei Vertraulichkeitsschutz, DNSSEC stellt lediglich Integritätsschutz bereit. Wer DNS-over-TLS auf Windows einsetzen möchte, kann sich hierzu z.B. Stubby ansehen: Getestet, OK – funktioniert. Für Menschen mit Vertraulichkeits-Bedarf sicherlich eine Überlegung wert, kann im Config-File auch mit den Quad9 Servern betrieben werden (welche DNS-over-TLS anbieten).