117471
Goto Top

"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern

Hallo,

Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden Anbietern geleitet. Der DNS des Betriebssystems wird ignoriert. Ob das jetzt Sinn macht oder nicht, ich persönlich habe folgende Bedenken:
  • Abhängigkeit vom DNS-Anbieter
  • Datenschutzaspekte
  • keine Erreichbarkeit lokaler Adressen (z.B. http://fritz.box/)
  • Aushebeln von lokalen, DNS-basierten Werbeblockern / Sicherheitsfiltern
  • zensurfreie DNS werden umgangen

Mozilla hat glücklicherweise einen Weg geschaffen, die Aktivierung netzwerkweit zu verhindern. Dies erfolgt über die so genannte "Canary Domain" (use-application-dns.net). Das Verfahren ist hier beschrieben: mozilla support: Canary domain - use-application-dns.net

Zusammenfassung: Irgendwann entsteht im Firefox-Browser die Begehrlichkeit, DoH zu aktivieren. In dem Fall wird ein Lookup auf die "Canary Domain" gestellt und ausgewertet. Folgende Ergebnisse können dabei herauskommen:
  • Die Abfrage liefert keinen NOERROR (NXDOMAIN, SERVFAIL) -> DoH bleibt deaktiviert
  • Die Abfrage liefert einen NOERROR, A- und AAAA-Record sind leer -> DoH bleibt deaktiviert
  • Die Abfrage liefert einen NOERROR und es wird ein A- oder AAAA-Record geliefert -> DoH wird aktiviert

Abhängig vom Ergebnis wird DoH im Anschluss aktiviert. Wichtig ist also, dass die Domain bereits blockiert ist, während dieser einmalige Test läuft. Wird die Domain erst später blockiert, hat das auf ein bereits aktiviertes DoH keine Auswirkung(en).

Wer den DNS-Resolver auf der pfSense nutzt, ist relativ schnell fertig. In der Konsole (SSH-Zugang) legt man eine entsprechende Konfigurationsdatei an:
echo 'local-data: "use-application-dns.net IN CNAME ."' > /var/unbound/ff_canary.conf  

Auf der pfSense bindet man diese Konfiguration unter Services -> DNS Resolver -> General Settings ein. Dort gibt es unten ein Feld "Custom Settings", wo man folgende Zeile ergänzt:
server:include: /var/unbound/ff_canary.conf

Danach startet man den DNS-Resolver einmal neu. Ob es geklappt hat, kann man z.B. mit einem Windows-Client mit nslookup überprüfen:
PS C:\Users\jka> nslookup use-application-dns.net
Server: sensenmann.lan.tux-net
Address: 192.168.71.1

Name: use-application-dns.net

PS C:\Users\jka>

Die Domain ist dem DNS bekannt, es wird jedoch kein A- oder AAAA-Record ausgeliefert.

Anregungen, Kritik und Ergänzungen gerne in den Kommentaren.

Gruß,
Jörg

Content-ID: 577077

Url: https://administrator.de/contentid/577077

Printed on: December 3, 2024 at 06:12 o'clock

142583
142583 Jun 05, 2020 at 17:31:57 (UTC)
Goto Top
So unterschiedlich sind die "Geschmäcker"...

Ich blocke alle DNS Abfragen nach extern für das klassische DNS.
Mein DNS Anfragen nach extern werden alle per DoH gemacht.
117471
117471 Jun 05, 2020 updated at 17:44:29 (UTC)
Goto Top
Hallo,

das darfst Du auch. Im gewerblichen Einsatz geht es primär um die Nutzung lokaler Dienste. Das geht alles auf den lokalen Resolver und ob der dann via klassischem DNS beim Provider oder per DoH bei Cloudflare usw. anfragt, soll den Anwender nicht interessieren.

Fatal ist, wenn DNS-Anfragen über einen Weg gestellt werden, den der Admin nicht "auf dem Zettel" hat. Vermutlich ist das der Grund, warum Du DNS blockst.

Mit DoH bekommst Du den Krempel nur noch eingefangen, indem Du das https aufbrichst. Und das halte ich z.B. überhaupt nicht für vertretbar.

Der Artikel basiert sicher auf meiner persönlichen Meinung. Ich hoffe, ich habe das klar genug dargestellt face-smile

Gruß,
Jörg
Sheogorath
Sheogorath Jun 06, 2020 updated at 09:17:25 (UTC)
Goto Top
Moin,

ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts. Sie bittet Firefox nur DoH nicht automatisch anzuschalten. Denn die gesamte canary-domain Geschichte wird ignoriert wenn man manuell DoH aktiviert und das kann jeder Nutzer tun wenn er lust hat.

Wie disabled man also DoH jetzt richtig?

Das ganze nennt sich enterprise-policies. Kann man per GPO oder eben polices.json machen.

Für die policy.json sieht das ganze so aus:

{
  "policies": {  
    "DNSOverHTTPS": {  
      "Enabled": false,  
      "Locked": true  
    }
  }
}

Und kann zusammen mit vielen anderen Anpassungen einfach per enterprise policy generator erzeugt werden. Die Policy selbst kann man wie von Mozilla beschrieben verteilt werden.

Wem das alles zu kompliziert ist und so oder so nur Windows betreibt, dem reicht vielleicht auch 1 Eintrag in der GPO aus wie hier beschrieben:

https://github.com/mozilla/policy-templates/blob/master/README.md#dnsove ...

Hoffe das hilft den Leuten wirklich DoH zu disablen. Oder was ich noch viel mehr empfehle: Eigene DoH Server aufsetzen und ausrollen.

Wie das funktioniert hab ich hier mal zusammen gefasst:

https://git.shivering-isles.com/container-library/dns-over-https

Diesen DoH Server kann man dann auch einfach per policy verteilen und man bekommt all die Eigenschaften die man mit einem eigenen DNS server hat + zusätzliche Privatsphäre durch die Verwendung von TLS auf Verbindungsebene.

Ich hoffe mal das hilft. face-smile

In diesem Sinne

Gruß
Chris
117471
117471 Jun 06, 2020 at 13:40:15 (UTC)
Goto Top
Hallo,

Zitat von @Sheogorath:


ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts.

Das hat auch niemand behauptet. Es geht lediglich darum, die automatisierte Aktivierung im Rahmen des Updates zu verhindern. Der Ansatz mit den Richtlinien ist natürlich nachhaltig(er), setzt aber eine entsprechende Infrastruktur voraus. Wer derartige Möglichkeiten hat, nutzt sie natürlich auch und weiß diese Anleitung entsprechend einzuordnen.

Gruß,
Jörg
Sheogorath
Sheogorath Jun 06, 2020 updated at 18:33:46 (UTC)
Goto Top
Moin,

Zitat von @117471:

Hallo,

Zitat von @Sheogorath:


ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts.

Das hat auch niemand behauptet.

Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt. Mit 5 clicks ist DoH eingeschaltet und nichts geblockt.

Aber gut, ich hab nichts gesagt.

Gruß
Chris
117471
117471 Jun 06, 2020 at 20:22:22 (UTC)
Goto Top
Hallo,

Zitat von @Sheogorath:

Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt.

Naja, wenn das das einzige Problem ist - ich habe den Titel entsprechend angepasst. Danke für den Hinweis face-smile

Gruß,
Jörg
viragomann
viragomann Jul 02, 2020 at 10:43:56 (UTC)
Goto Top
Hallo,

ich habe die Vorkehrung gegen die automatische DoH-Aktivierung gestern bei mir umgesetzt, ehe der FF aktiv wird.

Ich habe mich allerdings an die Empfehlung von johnpoz in der pfSense Community gehalten:

https://forum.netgate.com/topic/154408/firefox-users-and-doh/14

Demnach reicht es aus, in den Custom Options diese Zeile einzufügen:
local-zone: "use-application-dns.net" always_nxdomain  

Damit gibt der Resolver bei Abfrage der use-application-dns.net Domain 'NXDOMAIN' zurück, was dem FF laut Mozilla signalisiert, DoH nicht zu aktiviern.

Grüße