Hi Zusammen,
wenn ich dnsforge.de als DNS bei mir nutze (DoT oder DoH bzw. DoQ) dann zeigt er mir bei dnscheck.tools an, dass EDNS genutzt wird, aber er zeigt nicht an, dass auch ECS läuft. Sprich das scheint irgendwie deaktiviert zu sein in der Config (evtl. bei PowerDNS dann?).
Macht es nicht Sinn, ECS auch zu aktivieren?
Das habe ich bis jetzt immer vermieden zu aktivieren, die Sicherheit geht dann ja etwas flöten.
Was ist ECS:
ECS (Extended Client Subnet) defines a mechanism for recursive resolvers to send partial client IP address information to authoritative DNS name servers. Content Delivery Networks (CDNs) and latency-sensitive services use this to give geo-located responses when responding to name lookups coming through public DNS resolvers. Note that ECS may result in reduced privacy.
Aber kann man als ECS IP nicht die IP des DNS Servers setzen und hat somit für CDNs dann auch die „Nähe“ die man braucht/will.
Wenn ich das richtig verstehe (EDNS ist ja aktiviert) ist es so doch viel gefährlicher, oder? Bedeutet das nicht, dass man die User IP übermittelt, wenn man EDNS aktiviert hat und ECS nicht auf eine andere IP (z.B. DNS Server IP) setzt?
huch wäre mir neu. EDNS ist doch da um die 512 Byte Header zu erweitern, um vor allem das DNSSEC in einem Paket noch mit unterzubekommen.
Edit: bezüglich ECS und IP des Servers … was soll das bringen? Diese IP wird doch dem CDN eh übermittelt oder welche IP sieht der CDN anbieter?
Bei meinem Test ist es, so, dass der CDN Anbieter beim setzen des ECS auf die DNS-Server IP eben diese sieht (gekürzt im die letzte Stelle bei IPv4 und /56 bei IPv6).
Wenn man dort „nichts“ einträgt, dann erscheint die IP des Users.
So sieht man es zumindest im Log von AdGuard Home dargestellt.
Wie kann ich das testen? Mit https://speed.cloudflare.com/ sehe ich immer meinen Standort und den nächsten Cloudflare Standort.
Sollte ein CDN Anbieter nicht die IP des Users nutzen für die Edge-Location?
Schau mal hier: https://www.dnscheck.tools/
Dann mit der Maus über ECS gehen und er zeigt es Dir an.
mhh also ich habe nun OpenDNS und Google DNS ausprobiert. Die sollten meines Wissens nach ECS aktiv haben. Im FF habe ich diese als DoH eingestellt und sehe leider kein ECS auf der dnscheck.tools Seite.
Und momentan macht doch ein CDN Anbieter die Abfrage beim Recursive DNS wo er steht. Und nimmt dort die nächstgelegene Region für die Auslieferung.
Wird auch hier beschrieben:
Ich würde ECS nicht aktivieren wollen, dann wird der Standort der User geleakt.
Hello guys, I am new to this community.
Can you explain me about the discussion, so I can make some contribution to this discussion too.
Probiere mal NextDNS, ControlD oder AdGuardDNS als Anbieter aus. Dann sieht man das auf jeden Fall.
https://www.akamai.com/blog/developers/introducing-new-whoami-tool-dns-resolver-information
Damit kann man es auch checken.