Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern

Mitglied: altmetaller

altmetaller (Level 3) - Jetzt verbinden

05.06.2020, aktualisiert 06.06.2020, 1754 Aufrufe, 7 Kommentare, 4 Danke

Hallo,

Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden Anbietern geleitet. Der DNS des Betriebssystems wird ignoriert. Ob das jetzt Sinn macht oder nicht, ich persönlich habe folgende Bedenken:
  • Abhängigkeit vom DNS-Anbieter
  • Datenschutzaspekte
  • keine Erreichbarkeit lokaler Adressen (z.B. http://fritz.box/)
  • Aushebeln von lokalen, DNS-basierten Werbeblockern / Sicherheitsfiltern
  • zensurfreie DNS werden umgangen

Mozilla hat glücklicherweise einen Weg geschaffen, die Aktivierung netzwerkweit zu verhindern. Dies erfolgt über die so genannte "Canary Domain" (use-application-dns.net). Das Verfahren ist hier beschrieben: mozilla support: Canary domain - use-application-dns.net

Zusammenfassung: Irgendwann entsteht im Firefox-Browser die Begehrlichkeit, DoH zu aktivieren. In dem Fall wird ein Lookup auf die "Canary Domain" gestellt und ausgewertet. Folgende Ergebnisse können dabei herauskommen:
  • Die Abfrage liefert keinen NOERROR (NXDOMAIN, SERVFAIL) -> DoH bleibt deaktiviert
  • Die Abfrage liefert einen NOERROR, A- und AAAA-Record sind leer -> DoH bleibt deaktiviert
  • Die Abfrage liefert einen NOERROR und es wird ein A- oder AAAA-Record geliefert -> DoH wird aktiviert

Abhängig vom Ergebnis wird DoH im Anschluss aktiviert. Wichtig ist also, dass die Domain bereits blockiert ist, während dieser einmalige Test läuft. Wird die Domain erst später blockiert, hat das auf ein bereits aktiviertes DoH keine Auswirkung(en).

Wer den DNS-Resolver auf der pfSense nutzt, ist relativ schnell fertig. In der Konsole (SSH-Zugang) legt man eine entsprechende Konfigurationsdatei an:
Auf der pfSense bindet man diese Konfiguration unter Services -> DNS Resolver -> General Settings ein. Dort gibt es unten ein Feld "Custom Settings", wo man folgende Zeile ergänzt:
Danach startet man den DNS-Resolver einmal neu. Ob es geklappt hat, kann man z.B. mit einem Windows-Client mit nslookup überprüfen:
PS C:\Users\jka> nslookup use-application-dns.net
Server: sensenmann.lan.tux-net
Address: 192.168.71.1

Name: use-application-dns.net

PS C:\Users\jka>

Die Domain ist dem DNS bekannt, es wird jedoch kein A- oder AAAA-Record ausgeliefert.

Anregungen, Kritik und Ergänzungen gerne in den Kommentaren.

Gruß,
Jörg
Mitglied: IT-Prof
05.06.2020 um 19:31 Uhr
So unterschiedlich sind die "Geschmäcker"...

Ich blocke alle DNS Abfragen nach extern für das klassische DNS.
Mein DNS Anfragen nach extern werden alle per DoH gemacht.
Bitte warten ..
Mitglied: altmetaller
05.06.2020, aktualisiert um 19:44 Uhr
Hallo,

das darfst Du auch. Im gewerblichen Einsatz geht es primär um die Nutzung lokaler Dienste. Das geht alles auf den lokalen Resolver und ob der dann via klassischem DNS beim Provider oder per DoH bei Cloudflare usw. anfragt, soll den Anwender nicht interessieren.

Fatal ist, wenn DNS-Anfragen über einen Weg gestellt werden, den der Admin nicht "auf dem Zettel" hat. Vermutlich ist das der Grund, warum Du DNS blockst.

Mit DoH bekommst Du den Krempel nur noch eingefangen, indem Du das https aufbrichst. Und das halte ich z.B. überhaupt nicht für vertretbar.

Der Artikel basiert sicher auf meiner persönlichen Meinung. Ich hoffe, ich habe das klar genug dargestellt

Gruß,
Jörg
Bitte warten ..
Mitglied: Sheogorath
06.06.2020, aktualisiert um 11:17 Uhr
Moin,

ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts. Sie bittet Firefox nur DoH nicht automatisch anzuschalten. Denn die gesamte canary-domain Geschichte wird ignoriert wenn man manuell DoH aktiviert und das kann jeder Nutzer tun wenn er lust hat.

Wie disabled man also DoH jetzt richtig?

Das ganze nennt sich enterprise-policies. Kann man per GPO oder eben polices.json machen.

Für die policy.json sieht das ganze so aus:

Und kann zusammen mit vielen anderen Anpassungen einfach per enterprise policy generator erzeugt werden. Die Policy selbst kann man wie von Mozilla beschrieben verteilt werden.

Wem das alles zu kompliziert ist und so oder so nur Windows betreibt, dem reicht vielleicht auch 1 Eintrag in der GPO aus wie hier beschrieben:

https://github.com/mozilla/policy-templates/blob/master/README.md#dnsove ...

Hoffe das hilft den Leuten wirklich DoH zu disablen. Oder was ich noch viel mehr empfehle: Eigene DoH Server aufsetzen und ausrollen.

Wie das funktioniert hab ich hier mal zusammen gefasst:

https://git.shivering-isles.com/container-library/dns-over-https

Diesen DoH Server kann man dann auch einfach per policy verteilen und man bekommt all die Eigenschaften die man mit einem eigenen DNS server hat + zusätzliche Privatsphäre durch die Verwendung von TLS auf Verbindungsebene.

Ich hoffe mal das hilft.

In diesem Sinne

Gruß
Chris
Bitte warten ..
Mitglied: altmetaller
06.06.2020 um 15:40 Uhr
Hallo,

Zitat von Sheogorath:


ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts.

Das hat auch niemand behauptet. Es geht lediglich darum, die automatisierte Aktivierung im Rahmen des Updates zu verhindern. Der Ansatz mit den Richtlinien ist natürlich nachhaltig(er), setzt aber eine entsprechende Infrastruktur voraus. Wer derartige Möglichkeiten hat, nutzt sie natürlich auch und weiß diese Anleitung entsprechend einzuordnen.

Gruß,
Jörg
Bitte warten ..
Mitglied: Sheogorath
06.06.2020, aktualisiert um 20:33 Uhr
Moin,

Zitat von altmetaller:

Hallo,

Zitat von Sheogorath:


ich will dich hier ja nur ungern bremsen, aber die Anleitung blockt nichts.

Das hat auch niemand behauptet.

Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt. Mit 5 clicks ist DoH eingeschaltet und nichts geblockt.

Aber gut, ich hab nichts gesagt.

Gruß
Chris
Bitte warten ..
Mitglied: altmetaller
06.06.2020 um 22:22 Uhr
Hallo,

Zitat von Sheogorath:

Ähm, der Titel lautet "Mozillas "DNS over HTTPS" in pfSense [>>>>>>]blockieren[<<<<<<]" und das findet halt einfach nicht statt.

Naja, wenn das das einzige Problem ist - ich habe den Titel entsprechend angepasst. Danke für den Hinweis

Gruß,
Jörg
Bitte warten ..
Mitglied: viragomann
02.07.2020 um 12:43 Uhr
Hallo,

ich habe die Vorkehrung gegen die automatische DoH-Aktivierung gestern bei mir umgesetzt, ehe der FF aktiv wird.

Ich habe mich allerdings an die Empfehlung von johnpoz in der pfSense Community gehalten:

https://forum.netgate.com/topic/154408/firefox-users-and-doh/14

Demnach reicht es aus, in den Custom Options diese Zeile einzufügen:
Damit gibt der Resolver bei Abfrage der use-application-dns.net Domain 'NXDOMAIN' zurück, was dem FF laut Mozilla signalisiert, DoH nicht zu aktiviern.

Grüße
Bitte warten ..
Ähnliche Inhalte
Windows 7

Januar 2019-Updates bricht KMS-Aktivierung bei Windows 7

Information von kgbornWindows 74 Kommentare

Die Januar-Updates für Windows 7 haben es in sich. Neben den Netzwerkzugriffproblemen auf Freigaben (SMBv1 bei Scannern oder SMBv2 ...

Windows Server

Windows Konvertierung von Evaluierung auf Non-Evaluierung und Aktivierung

Anleitung von beidermachtvongreyscullWindows Server5 Kommentare

Moin Kollegen, weil es gefragt wurde und auch in anderen Foren anscheinend immer wieder ein Thema ist, beschreibe ich ...

Neue Wissensbeiträge
Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 2 TagenDatenschutz

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 4 TagenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 5 TagenOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Ausbildung
Crashkurs in Computertools - das fehlende Semester
Information von NetzwerkDude vor 6 TagenAusbildung

Moin, habe eigentlich was anderes gesucht, aber zufällig diesen MIT Kurs gefunden: Sind 11 Lektionen je 1 Stunde, als ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Verschiedene Subnetzmaske in der Praxis: Völlig unnötig für kleine Netzwerke!?
Frage von media0815Netzwerkgrundlagen16 Kommentare

Hallo, mal eine ketzerische Frage: Ist die Verwendung unterschiedlicher Subnetzmasken in kleineren Netzwerke nicht völlig unnötig!? Oder anders gefragt: ...

LAN, WAN, Wireless
CAT 5 (nicht CAT 5e) vs. 1 GBit - kann man das "heilen" (bspw. durch Adern zu manipulieren o.ä.)?
Frage von xdevelxLAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich habe nun endlich eine Internet-Leitung erhalten, die die 100 MBit-Grenze übersteigt - leider kann ich zu ...

Ubuntu
Wie kann man zwei Spalten austauschen und dabei das Trennzeichen " " durch ":" ersetzen?
gelöst Frage von 144803Ubuntu9 Kommentare

Guten Tag an alle, ich habe eine Datei: Was ich brauche ist folgendes: Wie kann man das realisieren? Das ...

Router & Routing
Routingproblem 2 Router
gelöst Frage von e1ns2woRouter & Routing8 Kommentare

Hallo zusammen, ich habe hinter meiner Fritzbox (Routerzwang Provider) noch einen Asus RT-AC68U Router hängen. Der Asus Router ist ...