117471
Jun 05, 2020, updated at Jun 06, 2020 (UTC)
7507
7
4
"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern
Hallo,
Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden Anbietern geleitet. Der DNS des Betriebssystems wird ignoriert. Ob das jetzt Sinn macht oder nicht, ich persönlich habe folgende Bedenken:
Mozilla hat glücklicherweise einen Weg geschaffen, die Aktivierung netzwerkweit zu verhindern. Dies erfolgt über die so genannte "Canary Domain" (use-application-dns.net). Das Verfahren ist hier beschrieben: mozilla support: Canary domain - use-application-dns.net
Zusammenfassung: Irgendwann entsteht im Firefox-Browser die Begehrlichkeit, DoH zu aktivieren. In dem Fall wird ein Lookup auf die "Canary Domain" gestellt und ausgewertet. Folgende Ergebnisse können dabei herauskommen:
Abhängig vom Ergebnis wird DoH im Anschluss aktiviert. Wichtig ist also, dass die Domain bereits blockiert ist, während dieser einmalige Test läuft. Wird die Domain erst später blockiert, hat das auf ein bereits aktiviertes DoH keine Auswirkung(en).
Wer den DNS-Resolver auf der pfSense nutzt, ist relativ schnell fertig. In der Konsole (SSH-Zugang) legt man eine entsprechende Konfigurationsdatei an:
Auf der pfSense bindet man diese Konfiguration unter Services -> DNS Resolver -> General Settings ein. Dort gibt es unten ein Feld "Custom Settings", wo man folgende Zeile ergänzt:
Danach startet man den DNS-Resolver einmal neu. Ob es geklappt hat, kann man z.B. mit einem Windows-Client mit nslookup überprüfen:
Die Domain ist dem DNS bekannt, es wird jedoch kein A- oder AAAA-Record ausgeliefert.
Anregungen, Kritik und Ergänzungen gerne in den Kommentaren.
Gruß,
Jörg
Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden Anbietern geleitet. Der DNS des Betriebssystems wird ignoriert. Ob das jetzt Sinn macht oder nicht, ich persönlich habe folgende Bedenken:
- Abhängigkeit vom DNS-Anbieter
- Datenschutzaspekte
- keine Erreichbarkeit lokaler Adressen (z.B. http://fritz.box/)
- Aushebeln von lokalen, DNS-basierten Werbeblockern / Sicherheitsfiltern
- zensurfreie DNS werden umgangen
Mozilla hat glücklicherweise einen Weg geschaffen, die Aktivierung netzwerkweit zu verhindern. Dies erfolgt über die so genannte "Canary Domain" (use-application-dns.net). Das Verfahren ist hier beschrieben: mozilla support: Canary domain - use-application-dns.net
Zusammenfassung: Irgendwann entsteht im Firefox-Browser die Begehrlichkeit, DoH zu aktivieren. In dem Fall wird ein Lookup auf die "Canary Domain" gestellt und ausgewertet. Folgende Ergebnisse können dabei herauskommen:
- Die Abfrage liefert keinen NOERROR (NXDOMAIN, SERVFAIL) -> DoH bleibt deaktiviert
- Die Abfrage liefert einen NOERROR, A- und AAAA-Record sind leer -> DoH bleibt deaktiviert
- Die Abfrage liefert einen NOERROR und es wird ein A- oder AAAA-Record geliefert -> DoH wird aktiviert
Abhängig vom Ergebnis wird DoH im Anschluss aktiviert. Wichtig ist also, dass die Domain bereits blockiert ist, während dieser einmalige Test läuft. Wird die Domain erst später blockiert, hat das auf ein bereits aktiviertes DoH keine Auswirkung(en).
Wer den DNS-Resolver auf der pfSense nutzt, ist relativ schnell fertig. In der Konsole (SSH-Zugang) legt man eine entsprechende Konfigurationsdatei an:
echo 'local-data: "use-application-dns.net IN CNAME ."' > /var/unbound/ff_canary.conf
Auf der pfSense bindet man diese Konfiguration unter Services -> DNS Resolver -> General Settings ein. Dort gibt es unten ein Feld "Custom Settings", wo man folgende Zeile ergänzt:
server:include: /var/unbound/ff_canary.conf
Danach startet man den DNS-Resolver einmal neu. Ob es geklappt hat, kann man z.B. mit einem Windows-Client mit nslookup überprüfen:
PS C:\Users\jka> nslookup use-application-dns.net
Server: sensenmann.lan.tux-net
Address: 192.168.71.1
Name: use-application-dns.net
PS C:\Users\jka>
Server: sensenmann.lan.tux-net
Address: 192.168.71.1
Name: use-application-dns.net
PS C:\Users\jka>
Die Domain ist dem DNS bekannt, es wird jedoch kein A- oder AAAA-Record ausgeliefert.
Anregungen, Kritik und Ergänzungen gerne in den Kommentaren.
Gruß,
Jörg
Please also mark the comments that contributed to the solution of the article
Content-ID: 577077
Url: https://administrator.de/contentid/577077
Printed on: December 3, 2024 at 06:12 o'clock
7 Comments
Latest comment
So unterschiedlich sind die "Geschmäcker"...
Ich blocke alle DNS Abfragen nach extern für das klassische DNS.
Mein DNS Anfragen nach extern werden alle per DoH gemacht.
Ich blocke alle DNS Abfragen nach extern für das klassische DNS.
Mein DNS Anfragen nach extern werden alle per DoH gemacht.
Moin,
ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts. Sie bittet Firefox nur DoH nicht automatisch anzuschalten. Denn die gesamte canary-domain Geschichte wird ignoriert wenn man manuell DoH aktiviert und das kann jeder Nutzer tun wenn er lust hat.
Wie disabled man also DoH jetzt richtig?
Das ganze nennt sich enterprise-policies. Kann man per GPO oder eben polices.json machen.
Für die policy.json sieht das ganze so aus:
Und kann zusammen mit vielen anderen Anpassungen einfach per enterprise policy generator erzeugt werden. Die Policy selbst kann man wie von Mozilla beschrieben verteilt werden.
Wem das alles zu kompliziert ist und so oder so nur Windows betreibt, dem reicht vielleicht auch 1 Eintrag in der GPO aus wie hier beschrieben:
https://github.com/mozilla/policy-templates/blob/master/README.md#dnsove ...
Hoffe das hilft den Leuten wirklich DoH zu disablen. Oder was ich noch viel mehr empfehle: Eigene DoH Server aufsetzen und ausrollen.
Wie das funktioniert hab ich hier mal zusammen gefasst:
https://git.shivering-isles.com/container-library/dns-over-https
Diesen DoH Server kann man dann auch einfach per policy verteilen und man bekommt all die Eigenschaften die man mit einem eigenen DNS server hat + zusätzliche Privatsphäre durch die Verwendung von TLS auf Verbindungsebene.
Ich hoffe mal das hilft.
In diesem Sinne
Gruß
Chris
ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts. Sie bittet Firefox nur DoH nicht automatisch anzuschalten. Denn die gesamte canary-domain Geschichte wird ignoriert wenn man manuell DoH aktiviert und das kann jeder Nutzer tun wenn er lust hat.
Wie disabled man also DoH jetzt richtig?
Das ganze nennt sich enterprise-policies. Kann man per GPO oder eben polices.json machen.
Für die policy.json sieht das ganze so aus:
{
"policies": {
"DNSOverHTTPS": {
"Enabled": false,
"Locked": true
}
}
}
Und kann zusammen mit vielen anderen Anpassungen einfach per enterprise policy generator erzeugt werden. Die Policy selbst kann man wie von Mozilla beschrieben verteilt werden.
Wem das alles zu kompliziert ist und so oder so nur Windows betreibt, dem reicht vielleicht auch 1 Eintrag in der GPO aus wie hier beschrieben:
https://github.com/mozilla/policy-templates/blob/master/README.md#dnsove ...
Hoffe das hilft den Leuten wirklich DoH zu disablen. Oder was ich noch viel mehr empfehle: Eigene DoH Server aufsetzen und ausrollen.
Wie das funktioniert hab ich hier mal zusammen gefasst:
https://git.shivering-isles.com/container-library/dns-over-https
Diesen DoH Server kann man dann auch einfach per policy verteilen und man bekommt all die Eigenschaften die man mit einem eigenen DNS server hat + zusätzliche Privatsphäre durch die Verwendung von TLS auf Verbindungsebene.
Ich hoffe mal das hilft.
In diesem Sinne
Gruß
Chris
Moin,
Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt. Mit 5 clicks ist DoH eingeschaltet und nichts geblockt.
Aber gut, ich hab nichts gesagt.
Gruß
Chris
Zitat von @117471:
Hallo,
Das hat auch niemand behauptet.
Hallo,
Das hat auch niemand behauptet.
Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt. Mit 5 clicks ist DoH eingeschaltet und nichts geblockt.
Aber gut, ich hab nichts gesagt.
Gruß
Chris
Hallo,
ich habe die Vorkehrung gegen die automatische DoH-Aktivierung gestern bei mir umgesetzt, ehe der FF aktiv wird.
Ich habe mich allerdings an die Empfehlung von johnpoz in der pfSense Community gehalten:
https://forum.netgate.com/topic/154408/firefox-users-and-doh/14
Demnach reicht es aus, in den Custom Options diese Zeile einzufügen:
Damit gibt der Resolver bei Abfrage der use-application-dns.net Domain 'NXDOMAIN' zurück, was dem FF laut Mozilla signalisiert, DoH nicht zu aktiviern.
Grüße
ich habe die Vorkehrung gegen die automatische DoH-Aktivierung gestern bei mir umgesetzt, ehe der FF aktiv wird.
Ich habe mich allerdings an die Empfehlung von johnpoz in der pfSense Community gehalten:
https://forum.netgate.com/topic/154408/firefox-users-and-doh/14
Demnach reicht es aus, in den Custom Options diese Zeile einzufügen:
local-zone: "use-application-dns.net" always_nxdomain
Damit gibt der Resolver bei Abfrage der use-application-dns.net Domain 'NXDOMAIN' zurück, was dem FF laut Mozilla signalisiert, DoH nicht zu aktiviern.
Grüße