Kategorien
Netzwerk(e) Windows Wissen

„Quickie“: Unerwünschte Aktivierung von Mozillas „DNS over HTTPS“ in pfSense verhindern

Mozilla macht jetzt wohl wirklich Ernst mit „DNS over HTTPS“ (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden Anbietern geleitet. Der im Betriebssystem konfigurierte DNS-Server wird dabei von Firefox ignoriert.

Ob das jetzt Sinn macht oder nicht, ich persönlich habe mindestens(!) folgende Bedenken:

  • Abhängigkeit von einem externen DNS-Anbieter
  • Der externe Anbieter „fährt“ unter Umständen eine Firmenpolitik, die nicht im Einklang mit den persönlichen Bedürfnissen steht (Möglichkeiten zur Zensur usw.)
  • Datenschutzaspekte – der externe Anbieter erhält Einsicht in alle(!) Internetaufrufe aus dem lokalen Netz
  • keine Erreichbarkeit lokaler Adressen (z.B. http://fritz.box/)
  • Aushebeln von lokalen, DNS-basierten Werbeblockern, Sicherheitsfiltern

Glücklicherweise hat man einen Weg geschaffen, die Aktivierung netzwerkweit zu verhindern. Dies erfolgt über die so genannte „Canary Domain“ (use-application-dns.net). Das Verfahren ist hier beschrieben: https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet

Zusammenfassung: Irgendwann entsteht im Firefox-Browser die Begehrlichkeit, DoH zu aktivieren. In dem Fall wird ein Lookup auf die „Canary Domain“ gestellt und ausgewertet. Folgende Ergebnisse können dabei herauskommen:

  • Die Abfrage liefert keinen NOERROR (NXDOMAIN, SERVFAIL) -> DoH bleibt deaktiviert
  • Die Abfrage liefert einen NOERROR, A- und AAAA-Record sind leer -> DoH bleibt deaktiviert
  • Die Abfrage liefert einen NOERROR und es wird ein A- oder AAAA-Record geliefert -> DoH wird aktiviert

Abhängig vom Ergebnis wird DoH im Anschluss aktiviert. Wichtig ist also, dass die Domain bereits blockiert ist, während dieser einmalige Test läuft. Wird die Domain erst später blockiert, hat das auf ein bereits aktiviertes DoH keine Auswirkung(en).

Wer den DNS-Resolver auf der pfSense nutzt, ist relativ schnell fertig. In der Konsole (SSH-Zugang) legt man eine entsprechende Konfigurationsdatei an:

echo 'local-data: "use-application-dns.net IN CNAME ."' > /var/unbound/ff_canary.conf

Auf der pfSense bindet man diese Konfiguration unter Services -> DNS Resolver -> General Settings ein. Dort gibt es unten ein Feld „Custom Settings“, wo man folgende Zeile ergänzt:

server:include: /var/unbound/ff_canary.conf

Danach startet man den DNS-Resolver einmal über das WebUI neu.

Ob es geklappt hat, kann man z.B. mit einem Windows-Client in der Eingabeaufforderung oder der Powershell mit nslookup überprüfen. Bei mir sieht das in etwa so aus:

C:\Users\altmetaller> nslookup use-application-dns.net
Server: sensenmann.lan.altmetaller
Address: 192.168.11.1

Name: use-application-dns.net

PS C:\Users\altmetaller>

Man sehe und staune – die Domain ist dem DNS bekannt, es wird jedoch kein A- oder AAAA-Record ausgeliefert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.