117471
Jun 05, 2020, updated at Jun 06, 2020 (UTC)
7184
7
4
"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern
Hallo,
Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden Anbietern geleitet. Der DNS des Betriebssystems wird ignoriert. Ob das jetzt Sinn macht oder nicht, ich persönlich habe folgende Bedenken:
Mozilla hat glücklicherweise einen Weg geschaffen, die Aktivierung netzwerkweit zu verhindern. Dies erfolgt über die so genannte "Canary Domain" (use-application-dns.net). Das Verfahren ist hier beschrieben: mozilla support: Canary domain - use-application-dns.net
Zusammenfassung: Irgendwann entsteht im Firefox-Browser die Begehrlichkeit, DoH zu aktivieren. In dem Fall wird ein Lookup auf die "Canary Domain" gestellt und ausgewertet. Folgende Ergebnisse können dabei herauskommen:
Abhängig vom Ergebnis wird DoH im Anschluss aktiviert. Wichtig ist also, dass die Domain bereits blockiert ist, während dieser einmalige Test läuft. Wird die Domain erst später blockiert, hat das auf ein bereits aktiviertes DoH keine Auswirkung(en).
Wer den DNS-Resolver auf der pfSense nutzt, ist relativ schnell fertig. In der Konsole (SSH-Zugang) legt man eine entsprechende Konfigurationsdatei an:
Auf der pfSense bindet man diese Konfiguration unter Services -> DNS Resolver -> General Settings ein. Dort gibt es unten ein Feld "Custom Settings", wo man folgende Zeile ergänzt:
Danach startet man den DNS-Resolver einmal neu. Ob es geklappt hat, kann man z.B. mit einem Windows-Client mit nslookup überprüfen:
Die Domain ist dem DNS bekannt, es wird jedoch kein A- oder AAAA-Record ausgeliefert.
Anregungen, Kritik und Ergänzungen gerne in den Kommentaren.
Gruß,
Jörg
Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden Anbietern geleitet. Der DNS des Betriebssystems wird ignoriert. Ob das jetzt Sinn macht oder nicht, ich persönlich habe folgende Bedenken:
- Abhängigkeit vom DNS-Anbieter
- Datenschutzaspekte
- keine Erreichbarkeit lokaler Adressen (z.B. http://fritz.box/)
- Aushebeln von lokalen, DNS-basierten Werbeblockern / Sicherheitsfiltern
- zensurfreie DNS werden umgangen
Mozilla hat glücklicherweise einen Weg geschaffen, die Aktivierung netzwerkweit zu verhindern. Dies erfolgt über die so genannte "Canary Domain" (use-application-dns.net). Das Verfahren ist hier beschrieben: mozilla support: Canary domain - use-application-dns.net
Zusammenfassung: Irgendwann entsteht im Firefox-Browser die Begehrlichkeit, DoH zu aktivieren. In dem Fall wird ein Lookup auf die "Canary Domain" gestellt und ausgewertet. Folgende Ergebnisse können dabei herauskommen:
- Die Abfrage liefert keinen NOERROR (NXDOMAIN, SERVFAIL) -> DoH bleibt deaktiviert
- Die Abfrage liefert einen NOERROR, A- und AAAA-Record sind leer -> DoH bleibt deaktiviert
- Die Abfrage liefert einen NOERROR und es wird ein A- oder AAAA-Record geliefert -> DoH wird aktiviert
Abhängig vom Ergebnis wird DoH im Anschluss aktiviert. Wichtig ist also, dass die Domain bereits blockiert ist, während dieser einmalige Test läuft. Wird die Domain erst später blockiert, hat das auf ein bereits aktiviertes DoH keine Auswirkung(en).
Wer den DNS-Resolver auf der pfSense nutzt, ist relativ schnell fertig. In der Konsole (SSH-Zugang) legt man eine entsprechende Konfigurationsdatei an:
echo 'local-data: "use-application-dns.net IN CNAME ."' > /var/unbound/ff_canary.conf Auf der pfSense bindet man diese Konfiguration unter Services -> DNS Resolver -> General Settings ein. Dort gibt es unten ein Feld "Custom Settings", wo man folgende Zeile ergänzt:
server:include: /var/unbound/ff_canary.confDanach startet man den DNS-Resolver einmal neu. Ob es geklappt hat, kann man z.B. mit einem Windows-Client mit nslookup überprüfen:
PS C:\Users\jka> nslookup use-application-dns.net
Server: sensenmann.lan.tux-net
Address: 192.168.71.1
Name: use-application-dns.net
PS C:\Users\jka>
Server: sensenmann.lan.tux-net
Address: 192.168.71.1
Name: use-application-dns.net
PS C:\Users\jka>
Die Domain ist dem DNS bekannt, es wird jedoch kein A- oder AAAA-Record ausgeliefert.
Anregungen, Kritik und Ergänzungen gerne in den Kommentaren.
Gruß,
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 577077
Url: https://administrator.de/contentid/577077
Printed on: April 16, 2024 at 09:04 o'clock
7 Comments
Latest comment
So unterschiedlich sind die "Geschmäcker"...
Ich blocke alle DNS Abfragen nach extern für das klassische DNS.
Mein DNS Anfragen nach extern werden alle per DoH gemacht.
Ich blocke alle DNS Abfragen nach extern für das klassische DNS.
Mein DNS Anfragen nach extern werden alle per DoH gemacht.
Hallo,
das darfst Du auch. Im gewerblichen Einsatz geht es primär um die Nutzung lokaler Dienste. Das geht alles auf den lokalen Resolver und ob der dann via klassischem DNS beim Provider oder per DoH bei Cloudflare usw. anfragt, soll den Anwender nicht interessieren.
Fatal ist, wenn DNS-Anfragen über einen Weg gestellt werden, den der Admin nicht "auf dem Zettel" hat. Vermutlich ist das der Grund, warum Du DNS blockst.
Mit DoH bekommst Du den Krempel nur noch eingefangen, indem Du das https aufbrichst. Und das halte ich z.B. überhaupt nicht für vertretbar.
Der Artikel basiert sicher auf meiner persönlichen Meinung. Ich hoffe, ich habe das klar genug dargestellt
Gruß,
Jörg
das darfst Du auch. Im gewerblichen Einsatz geht es primär um die Nutzung lokaler Dienste. Das geht alles auf den lokalen Resolver und ob der dann via klassischem DNS beim Provider oder per DoH bei Cloudflare usw. anfragt, soll den Anwender nicht interessieren.
Fatal ist, wenn DNS-Anfragen über einen Weg gestellt werden, den der Admin nicht "auf dem Zettel" hat. Vermutlich ist das der Grund, warum Du DNS blockst.
Mit DoH bekommst Du den Krempel nur noch eingefangen, indem Du das https aufbrichst. Und das halte ich z.B. überhaupt nicht für vertretbar.
Der Artikel basiert sicher auf meiner persönlichen Meinung. Ich hoffe, ich habe das klar genug dargestellt
Gruß,
Jörg
Moin,
ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts. Sie bittet Firefox nur DoH nicht automatisch anzuschalten. Denn die gesamte canary-domain Geschichte wird ignoriert wenn man manuell DoH aktiviert und das kann jeder Nutzer tun wenn er lust hat.
Wie disabled man also DoH jetzt richtig?
Das ganze nennt sich enterprise-policies. Kann man per GPO oder eben polices.json machen.
Für die policy.json sieht das ganze so aus:
Und kann zusammen mit vielen anderen Anpassungen einfach per enterprise policy generator erzeugt werden. Die Policy selbst kann man wie von Mozilla beschrieben verteilt werden.
Wem das alles zu kompliziert ist und so oder so nur Windows betreibt, dem reicht vielleicht auch 1 Eintrag in der GPO aus wie hier beschrieben:
https://github.com/mozilla/policy-templates/blob/master/README.md#dnsove ...
Hoffe das hilft den Leuten wirklich DoH zu disablen. Oder was ich noch viel mehr empfehle: Eigene DoH Server aufsetzen und ausrollen.
Wie das funktioniert hab ich hier mal zusammen gefasst:
https://git.shivering-isles.com/container-library/dns-over-https
Diesen DoH Server kann man dann auch einfach per policy verteilen und man bekommt all die Eigenschaften die man mit einem eigenen DNS server hat + zusätzliche Privatsphäre durch die Verwendung von TLS auf Verbindungsebene.
Ich hoffe mal das hilft.
In diesem Sinne
Gruß
Chris
ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts. Sie bittet Firefox nur DoH nicht automatisch anzuschalten. Denn die gesamte canary-domain Geschichte wird ignoriert wenn man manuell DoH aktiviert und das kann jeder Nutzer tun wenn er lust hat.
Wie disabled man also DoH jetzt richtig?
Das ganze nennt sich enterprise-policies. Kann man per GPO oder eben polices.json machen.
Für die policy.json sieht das ganze so aus:
{
"policies": {
"DNSOverHTTPS": {
"Enabled": false,
"Locked": true
}
}
}Und kann zusammen mit vielen anderen Anpassungen einfach per enterprise policy generator erzeugt werden. Die Policy selbst kann man wie von Mozilla beschrieben verteilt werden.
Wem das alles zu kompliziert ist und so oder so nur Windows betreibt, dem reicht vielleicht auch 1 Eintrag in der GPO aus wie hier beschrieben:
https://github.com/mozilla/policy-templates/blob/master/README.md#dnsove ...
Hoffe das hilft den Leuten wirklich DoH zu disablen. Oder was ich noch viel mehr empfehle: Eigene DoH Server aufsetzen und ausrollen.
Wie das funktioniert hab ich hier mal zusammen gefasst:
https://git.shivering-isles.com/container-library/dns-over-https
Diesen DoH Server kann man dann auch einfach per policy verteilen und man bekommt all die Eigenschaften die man mit einem eigenen DNS server hat + zusätzliche Privatsphäre durch die Verwendung von TLS auf Verbindungsebene.
Ich hoffe mal das hilft.
In diesem Sinne
Gruß
Chris
1
Hallo,
Das hat auch niemand behauptet. Es geht lediglich darum, die automatisierte Aktivierung im Rahmen des Updates zu verhindern. Der Ansatz mit den Richtlinien ist natürlich nachhaltig(er), setzt aber eine entsprechende Infrastruktur voraus. Wer derartige Möglichkeiten hat, nutzt sie natürlich auch und weiß diese Anleitung entsprechend einzuordnen.
Gruß,
Jörg
Das hat auch niemand behauptet. Es geht lediglich darum, die automatisierte Aktivierung im Rahmen des Updates zu verhindern. Der Ansatz mit den Richtlinien ist natürlich nachhaltig(er), setzt aber eine entsprechende Infrastruktur voraus. Wer derartige Möglichkeiten hat, nutzt sie natürlich auch und weiß diese Anleitung entsprechend einzuordnen.
Gruß,
Jörg
Moin,
Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt. Mit 5 clicks ist DoH eingeschaltet und nichts geblockt.
Aber gut, ich hab nichts gesagt.
Gruß
Chris
Zitat von @117471:
Hallo,
Das hat auch niemand behauptet.
Hallo,
Das hat auch niemand behauptet.
Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt. Mit 5 clicks ist DoH eingeschaltet und nichts geblockt.
Aber gut, ich hab nichts gesagt.
Gruß
Chris
Hallo,
Naja, wenn das das einzige Problem ist - ich habe den Titel entsprechend angepasst. Danke für den Hinweis
Gruß,
Jörg
Zitat von @Sheogorath:
Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt.
Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt.
Naja, wenn das das einzige Problem ist - ich habe den Titel entsprechend angepasst. Danke für den Hinweis
Gruß,
Jörg
Hallo,
ich habe die Vorkehrung gegen die automatische DoH-Aktivierung gestern bei mir umgesetzt, ehe der FF aktiv wird.
Ich habe mich allerdings an die Empfehlung von johnpoz in der pfSense Community gehalten:
https://forum.netgate.com/topic/154408/firefox-users-and-doh/14
Demnach reicht es aus, in den Custom Options diese Zeile einzufügen:
Damit gibt der Resolver bei Abfrage der use-application-dns.net Domain 'NXDOMAIN' zurück, was dem FF laut Mozilla signalisiert, DoH nicht zu aktiviern.
Grüße
ich habe die Vorkehrung gegen die automatische DoH-Aktivierung gestern bei mir umgesetzt, ehe der FF aktiv wird.
Ich habe mich allerdings an die Empfehlung von johnpoz in der pfSense Community gehalten:
https://forum.netgate.com/topic/154408/firefox-users-and-doh/14
Demnach reicht es aus, in den Custom Options diese Zeile einzufügen:
local-zone: "use-application-dns.net" always_nxdomain Damit gibt der Resolver bei Abfrage der use-application-dns.net Domain 'NXDOMAIN' zurück, was dem FF laut Mozilla signalisiert, DoH nicht zu aktiviern.
Grüße