Jonglieren mit Schlüsseln
Fritzbox und DNS-over-TLS: Analyse mit Wireshark
Fritzboxen können ihren DNS-Verkehr neuerdings verschlüsseln und so helfen, die Privatsphäre aller Nutzer im Netzwerk zu schützen. Aber was genau passiert auf Ebene der Datenpakete? Aufschluss gibt eine Untersuchung mit dem Analysewerkzeug Wireshark.
Alle Geräte, die Internet-fähig sind, ermitteln mit DNS-Anfragen die IP-Adressen von Servern, um diese ansprechen zu können. Das ist etwa der Fall, wenn ein Browser die Domain ct.de ansteuert – der konfigurierte DNS-Resolver, meist der des Providers, liefert dann die IP-Adresse 193.99.144.80. Diese ruft dann der Browser auf, um eine HTTP-Verbindung zum Server aufzubauen. Weil die Geräte solche Anfragen unverschlüsselt und täglich vielfach an Resolver versenden, können fremde Nachrichtendienste oder Spione Profile von Nutzern erstellen.
DNS-over-TLS (DoT) gehört zu den Protokollen, die das unterbinden. Ein DoT-Client baut zunächst eine TLS-verschlüsselte Verbindung zum konfigurierten DoT-Resolver auf und kommuniziert mit diesem durch den TLS-Tunnel. Das ist auch bei Fritzboxen der Fall; sie schützen damit alle daran angekoppelten WLAN- und LAN-Clients. In c’t 22/2020 haben wir ausführlich über Einrichtung, Monitoring und Testergebnisse mit FritzOS 7.20 berichtet.