this post was submitted on 05 Aug 2023
15 points (100.0% liked)
de_EDV
3805 readers
1 users here now
Ableger von r/de_EDV auf Lemmy.
News, Diskussionen und Hilfestellung zu Hard- und Software
Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!
Weitere IT Communitys:
!informationstechnik@feddit.de
founded 2 years ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
Du hast gesagt, DNS per Port blockieren erhöht die Sicherheit, weil dann keiner den verpflichtenden DNS der Firma umgehen kann.
Jeder Browser kann inzwischen DoH und viele andere Software auch. Damit kann man auch so den DNS umgehen. Das war mein Punkt.
DNS per Port blocken bringt im Endeffekt genau gar nichts. Hat der Nutzer genug Rechte um auf seinem PC den DNS umzustellen, dann kann er auch DoH verwenden und kommt damit um deinen DNS rum.
Deswegen halte ich das für Sicherheitstheater.
DNS Reflection kannst du auch intelligenter blocken indem du die maximale Bandbreite für DNS pro Client limitierst.
Sobald du Port 443 ausgehend erlaubst, ist aber so oder so eigentlich alles wurscht, weil du ohne SSL DPI keine Chance hast zu erkennen, was tatsächlich über den Port raus geht.
Stattdessen führen solche Blockaden zu erhöhter Reibung, sorgen dafür, dass die Mitarbeiter ihre Arbeit nicht erledigen können und bringen quasi gar nichts für die Sicherheit.