IPv6 & DNSSEC-taugliche Public-Resolver: Quad 9 & CloudFlare & Google-Public-DNS

internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang und Quad 9 DNS: DNSSEC-Support

Mangelhafte UPC-DNS-Resolver

UPC-Telekabel bietet zwar mittlerweile IPv6-taugliche DualStack-Lite Anschlüsse über die Connect-Box (DOCSIS 3.0 über Koaxkabel), die standardmäßig verwendeten UPC-DNS-Resolver sind jedoch in mehrerlei Hinsicht mangelhaft:

  • Keine DNSSec-Prüfung!
  • DNS-Resolver sind zwar per IPv6 erreichbar, die rekursive Auflösung wird jedoch nur über IPv4 bewerkstelligt
  • UPC redirected diverse Hostnamen auf “Sperr-Seiten”, so wie dies auch andere österreichische Access-Provider wie T-Mobile u.a. tun – eine Liste betroffener Websites (z.B. kinox.to, thepiratebay.org, …) sind z.B. im T-Mobile-Blog zu finden.

Prüfen kann man die “Qualität” seines Internet-Zuganges bzw. seines verwendeten Resolvers z.B. auf https://internet.nl, ein DualStack-Lite Anschluss von UPC schneidet mangelhaft ab: 

internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang

internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang: Kein DNSSEC-Support
internet.nl – Test mit UPC-DualStack-Lite IPv6 Zugang: Kein DNSSEC-Support

Alternative: Quad 9

Der Anbieter Quad 9 positioniert sich als “datenschutzfreundliche Alternative” zu Googles Public-DNS Projekt, eine Vorstellung des Anbieters findet man u.a. bei Heise. Das Angebot wird standardmäßig mit DNSSEC und einer “Security Blocklist” betrieben, die Security-Blocklist blockiert bekannte Malicious-Domains ohne dabei jedoch Zensur zu betreiben. Alternativ steht auch ein Nicht-DNSSEC-fähiger Resolver zur Verfügung der auch keine Security-Blocklist implementiert.

In den FAQ findet man die Konfigurationsdaten wie folgt:

dns.quad9.net
(Security blocklist, DNSSEC)
IPv4 IPv4 secondary IPv6
9.9.9.9 149.112.112.112 2620:fe::fe
dns-nosec.quad9.net
(No security Blocklist, No DNSSEC)
IPv4 IPv4 secondary IPv6
9.9.9.10 149.112.112.10 2620:fe::10

Geschwindigkeits-Test

Geschwindigkeit der Quad 9 Resolver, geprüft mit einem kurzen PowerShell-Script: nameserver-speedtest.ps1 zeigt keinen Nachteil gegenüber der UPC-Nameserver, das DNS-Antwortzeitverhalten liegt in beiden Fällen bei ca. 20 Millisekunden.

NameServer SpeedTest
NameServer SpeedTest

Funktionalitäts-Check: Quad 9

Erneute Prüfung des Resolvers mittels des Online-Checks von https://internet.nl:

internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang und Quad 9 DNS: DNSSEC-Support

internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang und Quad 9 DNS: DNSSEC-Support
internet.nl – Test mit UPC-DualStack-Lite IPv6 Zugang und Quad 9 DNS: DNSSEC-Support

Google Public DNS

Zum Vergleich, die Google Public-DNS Resolver (eignen sich ebenso):

IPv4 IPv6
8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844

Cloudflare DNS Resover

Seit April 2018 stehen auch die (durchwegs sehr schnellen) Cloudflare DNS Resolver zur Verfügung:

IPv4 IPv6
1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001

Nebeneffekt: Zugang zu “blockierten” WebSites

Zugang zu ThePirateBay.org von UPC blockiert
Zugang zu ThePirateBay.org von UPC-Nameservern blockiert

 

Auflösung von ThePirateBay.org mit Quad 9 unverfälscht
Auflösung von ThePirateBay.org mit Quad 9 unverfälscht

Hinweis auf DNS-Privacy, DNS-over-TLS:

DNS bietet (auch mit DNSSEC) keinerlei Vertraulichkeitsschutz, DNSSEC stellt lediglich Integritätsschutz bereit. Wer DNS-over-TLS auf Windows einsetzen möchte, kann sich hierzu z.B. Stubby ansehen: Getestet, OK – funktioniert. Für Menschen mit Vertraulichkeits-Bedarf sicherlich eine Überlegung wert, kann im Config-File auch mit den Quad9 Servern betrieben werden (welche DNS-over-TLS anbieten).

You May Also Like

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.