OpenDNS - Besser nicht

Mit Google (8.8.8.8, 8.8.4.4), Quad9 (9.9.9.9) und CloudFlare (1.1.1.1) gibt es schon einige unabhängige DNS-Provider, die einen schnelle und "sichere" Namensauflösung versprechen. Mit 114dns.com gibt es auch in China einen Provider unter 114.114.114.114 (public1.114dns.com), der sogar weitere DNS-Server mit "Kinderschutzfilter" 114.114.114.110 (protect-children-1.114dns.com) und 114.114.115.110 (protect-children-2.114dns.com) und Phishing-Schutz unter 114.114.114.119 und 114.114.115.119 anbieten.

Ich stehe all diesen Providern eher skeptisch gegenüber, denn sie versprechen zwar eine "sehr schnelle Namensauflösung" aber wichtiger ist mir, die "richtige Antwort", damit mein Client auch den nächsten und schnellsten Server für die Applikation erreicht.

OpenDNS in Kürze

Bislang habe ich OpenDNS noch nie im Einsatz gesehen. Die Firma hat auch eine durchwachsene Geschichte, da Sie darauf beruht, dass Sie als Anwender oder Firma die DNS-Server von OpenDNS als Forwarder eintragen. OpenDNS sieht also jede DNS-Abfrage und kann diese Daten auch auswerten. Zudem hat OpenDNS am Anfang auch Adressen für Domains geliefert, die gar nicht registriert waren. Es wurde dann eine Umleitung auf eine Werbe/Suchseite von OpenDNS geschaltet. Ähnlich der "Telekom Navigationshilfe" etc. Dieses Verhalten hat OpenDNS mittlerweile eingestellt.

OpenDNS pflegt aber weiterhin eine Datenbank von "Malware-Sites", um diese dann bei einer DNS-Anfragen nicht mehr auszuliefern. Technisch kann OpenDNS als DNS-Anfrage damit natürlich nur den FQDN-Hostnamen erkennen und umleiten und nicht einzelne Teil-URLs unterscheiden.

Mittlerweile gehört OpenDNS zu Cisco und wird dort als Ein Teil unter "Umbrella" mit vermarktet. Es gibt kostenfreie Angebote, die aber nur für Privatanschlüsse gelten. Für Firmen gibt es natürlich kommerzielle Angebote. Im Hintergrund betreibt OpenDNS eine Menge von DNS-Servern weltweit, die unter Anycast-IP-Adressen (208.67.222.222 + 208.67.220.220 2620:119:35::35 + 2620:119:53::53) zu erreichen sind.

False Positive

Aufgefallen ist dieses Verhalten das erste Mal bei einem Kunden, der OpenDNS als "DNS-Forwarder" statt dem Provider oder der Root-Server genutzt hat und ich von Audiocodes eine Software herunter laden wollte. Der Link verweist dazu auf redirect.audiocodes.com und warum auch immer wurde diese Adresse von OpenDNS als Phishing-Seite angesehen. Im Browser habe ich dann folgende Meldung gesehen:

So war ein Download erst mal nicht möglich. Das ist OK, wenn es richtige böse Seiten erwischt UND sie wissentlich OpenDNS als DNS-Resolver eingebunden haben.

OpenDNS und Office 365

Damit war natürlich meine Neugierde geweckt und ich habe OpenDNS hinsichtlich Office 365-Einträge gefragt. Wenn alles richtig läuft, dann sollte der DNS-Resolver die gleichen Zugangsdaten liefern, wie eine normale direkte Anfrage.

Ich habe in dem Moment in einem Hotel in Brno mit der IP-Adresse 62.209.224.147 gearbeitet, welche dem Provider "T-Mobile Czech Republic" zugewiesen ist.

Zuerst also wieder die normale Anfrage eines Clients, der NICHT OpenDNS nutzt. Wir wissen ja schon, dass "outlook.office365.com" als CNAME auf den Namen "outlook.ms-acdc.office.com" verweist und daher der folgende Aufruf die Azure Eingangstür liefert.

PS C:\> (Resolve-DnsName outlook.ms-acdc.office.com)[-1].name
FRA-efz.ms-acdc.office.com

Routenverfolgung zu 52.97.152.210 über maximal 30 Hops

1 4 ms 4 ms 1 ms 192.168.10.1
2 7 ms 4 ms 5 ms 62.209.224.145
3 7 ms 9 ms 7 ms 62.168.33.113
4 8 ms 11 ms 10 ms 213.29.165.78
5 9 ms 8 ms 8 ms 213.29.165.78
6 16 ms 29 ms 16 ms ae-2.fra2027-ex1.gtsce.net [193.85.195.94]
7 16 ms 19 ms 17 ms msft-decix-01-fra.ntwk.msn.net [80.81.194.52]

Die Anfrage bei Microsoft von dem aktuellen Provider verweist mich Richtung Frankfurt. Das ist schon interessant, da geografisch sogar Wien näherliegen würde aber anscheinend hat die Telekom kein Peering Richtung Microsoft in CZ oder Österreich und routet den Verkehr nach Frankfurt. Nun nutze ich vom gleichen Client aus die OpenDNS-Server

PS C:> (Resolve-DnsName outlook.ms-acdc.office.com -Server 208.67.222.222)[-1].name
sxf-efz.ms-acdc.office.com

Bei der Abfrage über OpenDNS bekam ich nun "Berlin Schönefeld" als Zugangsknoten zu sehen. Beim anschließenden Traceroute war der Weg bis zum Microsoft Global Netzwerk (MGN) aber identisch und laut DNS-Namen der Router auch in Frankfurt. Nur innerhalb des MGN wurde der Verkehr natürlich dann anderweitig weiter geleitet.

Auch wenn der Weg durch den Carrier gleich war, ist der Zugangspunkt Berlin, den mir OpenDNS geliefert hat, weiter entfernt und tendenziell schlechter.

Lassen Sie es sich eine Warnung sein, wenn Sie angeblichen Propheten vertrauen und DNS-Server in ihrem Firmennetzwerk nutzen, deren Funktionsweise und Auswirkungen sie nicht vollständig verstanden habe.

Datenschutz

Die Umstellung der Namensauflösung über diese "öffentlichen DNS-Server" ist schnell gemacht aber wenn ihnen jemand etwas "schenkt", dann sollten Sie erst noch einmal nachdenken. Ja, es gibt selbstlose Menschen, die ohne Hintergedanken etwas verschenken. Aber diese sind fast so selten wie Einhörner. Wer etwas von Wert verschenkt, gibt ja was ab und schenken ist nur leicht, wenn man selbst nichts dabei verliert, z.B. Freude, Liebe oder auch einfach zu kopierende elektronische Informationen, die quasi ohne Kosten kopiert werden können.

Der Betrieb von DNS-Servern im Internet mit so "schönen" IP-Adressen wie 1.1.1.1, 8.8.8.8, 9.9.9.9 ist aber ein hartes Geschäfts und natürlich bezahlen sie auf die ein oder andere Weise mit ihren Daten. Der DNS-Betreiber bekommt nämlich drei Informationen kostenfrei und unverschlüsselt geliefert.

  • Zeitpunkt
    Die Anbieter können also den zeitlichen Verlauf der Anfragen analysieren
  • IP-Adresse
    Damit kann der DNS-Anbieter z.B. auch den Provider ausfindig machen.
  • Abgefragter Name
    Der Anbieter sieht, welche Adressen Sie per DNS auflösen wollen

Das scheint erst einmal unkritisch zu sein, wenngleich die IP-Adresse schon zu den personenbezogenen Daten gehört. Es geht aber noch mehr. Hier ein paar Beispiele:

  • Interne Informationen
    Wenn ihre Firmennotebook im Home-Office ist, dann versucht er dennoch z.B. Domain Controller zu finden. Diese Abfragen sind aus dem Internet nicht erfolgreich aber lassen Rückschlüsse zu, zu welcher Firma vermutlich ein Client gehört. Wenn ihre Firma viele Notebooks hat, kann der DNS-Anbieter schon eine Landkarte der "Homeoffice-User" bauen und über die Zeit auch Betriebszeiten erkennen.
  • Profiling
    Die IP-Adresse ist meist für einige Stunden oder länger "gleich" und so kann der DNS-Anbieter einen Zeitstrahl mit den Hostnamen ermitteln. Da verschiedene Personen im Grunde bevorzugte Seiten haben, kann man die Person recht gut einordnen. Wenn sie z.B. per DNS dann Firmware-Seiten zu Apple, AVm o.a. abfragen oder IoT-Hubs nutzen, dann weiß der DNS-Anbieter schon recht viel.
  • Verknüpfung
    Besonders interessant sind Querverbindungen. 8.8.8.8 ist ja "Google" und Cloudflare (1.1.1.1) ist ja ein Content Delivery Network, welches auch Client per HTTPS mit Inhalten versieht und so sie noch genauer kennt. Wenn Sie nun auch noch deren DNS-Server nutzen, dann erhält der Anbieter auch noch ihren gesamten anderen Besuchsverlauf

Die Betreiber haben also durchaus ein native Interesse, dass möglichst viele Anwender auch DNS nutzen, um das Bild zu komplettieren. Das sie dann den DNS-Service selbst "Kostenfrei" anbieten und sogar noch mit eine "Malware-Filter" gegen böse Hostnamen versehen, ist für das Marketing natürlich ein weiteres Argument. Sie bezahlen aber, wie immer, mit ihren Daten. Siehe auch In den Händen der Werbenetzwerk - Tracking im Internet

Weitere Links