DNS over HTTPS&TLS

[pozso123]

Szaisztok, figyelmes lettem arra hogy van olyan lehetőség hogy biztonságos DNS címfeloldást végezzen a böngészőm olyan sitokon ahol ez elérhető. Tehát ne az 53 as TCP/UDP portokon keresztül csinálja ezt hanem a 443 as HTTPS porton. 

Van e lehetőség meghatározni ezt hogy  achrome vagy firefox ezt használja kizárólag? 

Chrome esetében és firefox esetében is elvégeztem azt a módosítást a kliensben ami meghatározza ezt a DNSSec támogatást, viszont az 1.1.1.1/help diagnosztikája még mindig azt írja hogy nem használom ezeket. 

 

Chrome esetén a  chrome://flags/#dns-over-https -t bekapcsoltam. 

Firefoxnál pedig a  about:config  network.trr.mode-ot 2 re állítottam

Mind két böngészőt újraindítottam. Viszont a 1.1.1.1/help diagnosztikája még mindig nem írja hogy DoH módban lennék egyik böngészőben sem.

 

Van e valamilyen kezdeményezér valahol és módszer a DNS over TLS re?

 

[sipsza]

2 órája, pozso123 írta:

Szaisztok, figyelmes lettem arra hogy van olyan lehetőség hogy biztonságos DNS címfeloldást végezzen a böngészőm olyan sitokon ahol ez elérhető. Tehát ne az 53 as TCP/UDP portokon keresztül csinálja ezt hanem a 443 as HTTPS porton. 

Van e lehetőség meghatározni ezt hogy  achrome vagy firefox ezt használja kizárólag? 

Chrome esetében és firefox esetében is elvégeztem azt a módosítást a kliensben ami meghatározza ezt a DNSSec támogatást, viszont az 1.1.1.1/help diagnosztikája még mindig azt írja hogy nem használom ezeket. 

 

Chrome esetén a  chrome://flags/#dns-over-https -t bekapcsoltam. 

Firefoxnál pedig a  about:config  network.trr.mode-ot 2 re állítottam

Mind két böngészőt újraindítottam. Viszont a 1.1.1.1/help diagnosztikája még mindig nem írja hogy DoH módban lennék egyik böngészőben sem.

 

Van e valamilyen kezdeményezér valahol és módszer a DNS over TLS re?

 

Szia!

Szerintem kicsit kevered a fogalmakat.

A DNSCrypt, DNS over HTTPS, DNS over TLS többé-kevésbé különböző protokollok, de mindegyik célja a géped és rekurzív címfeloldó szerver (8.8.8.8, 1.1.1.1) közti kapcsolat titkosítása. Titkosítás alatt azt értem, hogy a lekérdezést más nem látja és nem is tudja meghamisítani. Ezeket a weboldalaknak nem kell támogatniuk, csak a kliensnek és a rekurzív címfeloldónak.
DNSCrypt: nem elterjedt; 443-as portot használja, de nem TLS alapú
DNS over TLS: elterjedt; 853-as portot használja; TLS-be csomagolt DNS
DNS over HTTPS: elterjedt; 443-as portot használja, ezért jobban átmegy a tűzfalakon, mint a DoT; TLS-be csomagolt HTTP-be csomagolt DNS vagy TLS-be csomagolt HTTP-be csomagolt JSON; úgy látom, hogy a chrome és a firefox csak ezt támogatja

A rekurzív és az authoritative szerverek közötti kapcsolat nincs a fenti módokon titkosítva, de említsünk meg 2 technológiát:
DNSSec: így tudsz meggyőződni, hogy az authoritative szerver válaszát nem hamisították meg; a nagyobb rekurzív szerverek ezt leellenőrzik helyetted, ezért neked ezzel nem kell foglalkoznod (feltéve, hogy megbízol bennük és a kapcsolatod velük titkosított); a támogatottsága domainenként eltérő, van olyan TLD, ami egyáltalán nem támogatja
Query name minimisation: a rekurzív szerver a lehető legkevesebb információt küldi az authoritative szervereknek;  például piros.autok.hu esetén, a hu-t kiszolgalo szerver nem fogja megtudni, hogy te az autók közül a pirosakat szereted

[pozso123]

 

Nagyon szépen köszönöm a gyors és szakszerű választ!

Elnézést a pontatlanságokért, sokat tanultam abból amit leírtál!

Még lenne pár dolog ami eszembe jutott:

Hogy tudom leellenőrizni hogy a chrome-ban való böngészés során a gépem és a rekurzív címfeloldó között milyen fajta kapcsoalt van? Ezen a gépen parancssorban? Vagy routerben? 

Azért kérdezem mert a nem tudom hogy külön kapcsolatként hogyan szerepelnek a DNS lekérdezések. A router meg csak a site oldali szerver címét jeleníti meg.

Mi a legegyszerübb módja annak hogy beállítsam hogy mindig DoH, DoT protokolok segítségével történjen a komunikáció a DNS szerverrel?

Ebben a szerepkörben a router vagy a kliens számítógépet kell beállítani? vagy mindkettőt? SOHO routerek képesek lehetnek PL Asus RT N18U  erre a beállításra?

Mivel én úgy érzem hogy annak ellenére hogy a chromeban bekapcsoltam a DoH-ot, nem azt a módszert használja, hanem a sima titkosítatlan DNS lekérdezést. Mivel az 53 as port szűrésével ilyenkor megszünt az internet kapcsolatom. 

Honnét tudod, egy oldal felkeresésekor hogy a TLD támogatja e a DNSSec et? Lehet ennek ellenére HTTPS-es az oldal? 

Tudod valahonnét egy adott oldal esetén hogy ki a kiszolgálója egy oldal TDL-nek? Hogyan tudod meg? 

Mi az az anycast? Miért használják ezt a címzést a DNS kiszolgálók? Hátrányos a DoH, DoT támogatottságban? 

 

 

[sipsza]

18 órája, pozso123 írta:

 

Nagyon szépen köszönöm a gyors és szakszerű választ!

Elnézést a pontatlanságokért, sokat tanultam abból amit leírtál!

Még lenne pár dolog ami eszembe jutott:

Hogy tudom leellenőrizni hogy a chrome-ban való böngészés során a gépem és a rekurzív címfeloldó között milyen fajta kapcsoalt van? Ezen a gépen parancssorban? Vagy routerben? 

Azért kérdezem mert a nem tudom hogy külön kapcsolatként hogyan szerepelnek a DNS lekérdezések. A router meg csak a site oldali szerver címét jeleníti meg.

Mi a legegyszerübb módja annak hogy beállítsam hogy mindig DoH, DoT protokolok segítségével történjen a komunikáció a DNS szerverrel?

Ebben a szerepkörben a router vagy a kliens számítógépet kell beállítani? vagy mindkettőt? SOHO routerek képesek lehetnek PL Asus RT N18U  erre a beállításra?

Mivel én úgy érzem hogy annak ellenére hogy a chromeban bekapcsoltam a DoH-ot, nem azt a módszert használja, hanem a sima titkosítatlan DNS lekérdezést. Mivel az 53 as port szűrésével ilyenkor megszünt az internet kapcsolatom. 

Honnét tudod, egy oldal felkeresésekor hogy a TLD támogatja e a DNSSec et? Lehet ennek ellenére HTTPS-es az oldal? 

Tudod valahonnét egy adott oldal esetén hogy ki a kiszolgálója egy oldal TDL-nek? Hogyan tudod meg? 

Mi az az anycast? Miért használják ezt a címzést a DNS kiszolgálók? Hátrányos a DoH, DoT támogatottságban?

Unicast: Van egy szerver egy IP címmel. Bárki bármikor bárhonnan küld egy csomagot arra az IP címre, akkor azt az a szerver fogja megkapni. Egyik hátránya, hogy az az egy szerver nagy terhelést kap (erre vannak megoldások). Másik, hogy az a szerver egy fix helyen van, emiatt lesznek olyan helyek a Földön, ahonnan magas lesz a válaszidő.
Anycast: Van sok szerver szétszórva (pl. minden fővárosba), akik mind kihirdetik, hogy ők az 1.1.1.1. Ha küldesz egy csomagot az 1.1.1.1-re, akkor azt valamelyik megkapja, általában egy közelben lévő. Hátránya, hogy ha van két szerver hasonló távolságra, akkor lehet, hogy két egymás utáni csomagot két különböző szerver fog megkapni. Ez nem gond a klasszikus udp DNS-nél, ahol egy csomagba belefér ez egész lekérdezés. Azonban gond lehetne TCP, TCP+TLS esetén, ahol 3+ csomagot küldesz a szervernek csak, hogy felépüljön a kapcsolat. A gyakorlatban a rövid életű tcp kapcsolatok (dns, weboldalak forrásai) nagyon ritkán szakadnak meg emiatt, ha mégis, akkor a kliens újrapróbálja.

A beállításokra visszatérve:
Ha vannak mobil eszközeid, amiket nem csak a routered mögött használsz, akkor azokon mindenképp állítsd be a DoH/DoT-t. Érdemes magát az operációs rendszert beállítani, hogy használja ezeket. Android 9+ támogatja és elvileg a Win10 is. A Chrome linuxon nem engedi ezt böngésző szinten beállítani, ezért abban nem tudok segíteni. A Firefoxnál (mobilon is megy) nekem ezek kellettek: network.trr.mode=3, network.trr.bootstrapAddress=1.1.1.1 . A bootstrapAddress a network.trr.uri IP címe, Firefox 74-nél már nem fog kelleni.
A routered nem ismerem, ha másképp nem, OpenWRT-vel (+stubby/unbound) megoldható, hogy a belső hálózatodon maradjon a klasszikus DNS, és csak azon kívül használj DoT-ot.

Rekurzív címfeloldás röviden:
autok.hu.  esetén megkérdezzük gyöké_r authoritative szervereket (.) . Ezeknek a címe be van égetve és biztosan támogatják a DNSSec-et. Ezek megmondják, hogy a hu. -t melyik szerver szolgálja ki és azt, hogy az támogatja-e a DNSSec-et. Ezután megkérdezzük, a hu. -t kiszolgáló szervert, hogy az autok.hu. DNS szerverének mi a címe és, hogy az támogatja-e a DNSSec-et. Végül megkérdezzük az autok.hu. DNS szerveret az autok.hu címéről. Látszik, hogy ha egy domain nem támogatja a DNSSec-et, akkor annak az aldomainei hiába, mert a rekurzív szerver csak a gyöké_r szerverekben bízik feltétel nélkül és a bizalmi lánc megszakadt.

Bár vannak próbálkozások a HTTPS megerősítésére DNS (és szükségképpen DNSSec) segítségével, a HTTPS-hez nem kell DNSSec. Fordítva is igaz, az interneten nem csak a webből áll, a DNS szervereken sokféle bejegyzést lehet tárolni, amiket ugyanúgy szeretnénk védeni.

Szerkesztve ekkor: March 5, 2020 Szerkesztő: sipsza

[sipsza]

38 perce, pozso123 írta:

Sajnos nem tudottam el odáig hogy megtaláltam volna az opciót a Windows 10/vagy Android 9 es operációs rendszerek beállítására. Illetve az Asus RTN18U routerem:  3.0.0.4.382_51640 verziójú gyári firmware-ben.

 

Lehetőség szerint ebben még segítséget kérnék!

Firefoxban sikerült összehozni? Azóta kijött a 74-es verzió, ezért elég a network.trr.mode-ot 3-ra állítani.

Android:
Settings → Network & internet → Advanced → Private DNS → Private DNS provider hostname = 1dot1dot1dot1.cloudflare-dns.com

A többivel nem tudok segíteni.

[sipsza]

56 perce, pozso123 írta:

Androidnál is működik köszönöm és találtam egy alkalmazást a microsoft storeban amivel működik már a DoT.

Sajnos a routerem szerintem nem támogatja evvel a szoftverrel hogy csak azt preferálja. Mondjuk ha a router arra van állítva hogy sima dns t el se fogadjon abból még lehet összeakadás is ha a kliens meg éppen sima DNS hívást akar csinálni. Nem? 

A sima DNS-t nem tilthatod teljesen, mert valahogy le kell kérdezni a 1dot1dot1dot1.cloudflare-dns.com -hoz tartozó IP címet.
Firefoxnál erre a tyúk vagy a tojás problémára a network.trr.bootstrapAddress volt a megoldás, de most már választhatsz.

18 perce, McBelaba írta:

Nekem a FireFox-ban a "prefs.js" fájlban ezek megoldották:

user_pref("security.enable_ssl3", true);
user_pref("security.enable_ssl2", true);
user_pref("security.enable_ssl1", true);
user_pref("security.enable_tls", true);

Ezek pontosan mit oldottak meg? Az SSL1, SSL2, SSL3, TLS1.0, TLS1.1 azért vannak tiltva alapból, mert törhetőek. Ha ezeket engedélyezed, nem az lesz a legnagyobb problémád, hogy megtudják, melyik oldalakat látogatod.

Fontos megemlíteni, hogy a DoT/DoH nem teljes körű megoldás a weboldalak címének elrejtésére. Ha HTTP-t használ az oldal, akkor a teljes lekérdezés (többek között a host header is) titkosítatlan lesz. Ha HTTPS-t, akkor a TLS Server Name Indication (SNI) tartalmazni fogja a domaint. Ez a legtöbb esetben még titkosítatlan. A TLS1.3 óta van lehetőség titkosítani (Encrypted SNI), de jelenleg csak a Firefox támogatja, az is csak részben. Emellett a weboldalak üzemeltetőinek is tenni kell azért, hogy működjön az ESNI.

[sipsza]

14 órája, pozso123 írta:

Nem lehetne a DNS host cim helyett a claudfare DNS Ip címet használni hogy ne kelljen feloldani sima DNS el? Mint az 1.1.1.1 vagy 1.0.0.1

HTTP-nél, TLS-nél bevett szokás, hogy egy IP cím alatti szerver több oldalt szolgál ki. Hogy melyiket, azt a host/SNI mező alapján dönti el. Gondolom azt akarták, hogy a DoH/DoT könnyen integrálható legyen a meglévő rendszerekbe. Így egy URL-t vagy domain nevet mindenképp meg kell adnod.
Firefoxnál te magad is megadhatod a DNS szerverek IP címeit. Androidnál szerintem nem akarták ezzel bonyolítani a felhasználói felületet. Amúgy semmi sem garantálja, hogy a domain mögötti IP cím nem fog változni. Főleg, ha az nem egy jól csengő IP, mint az 1.1.1.1 vagy a 8.8.8.8.

[pozso123]

Sajnos nem tudottam el odáig hogy megtaláltam volna az opciót a Windows 10/vagy Android 9 es operációs rendszerek beállítására. Illetve az Asus RTN18U routerem:  3.0.0.4.382_51640 verziójú gyári firmware-ben.

 

Lehetőség szerint ebben még segítséget kérnék!

[pozso123]

Androidnál is működik köszönöm és találtam egy alkalmazást a microsoft storeban amivel működik már a DoT.

Sajnos a routerem szerintem nem támogatja evvel a szoftverrel hogy csak azt preferálja. Mondjuk ha a router arra van állítva hogy sima dns t el se fogadjon abból még lehet összeakadás is ha a kliens meg éppen sima DNS hívást akar csinálni. Nem? 

[pozso123]

Nem lehetne a DNS host cim helyett a claudfare DNS Ip címet használni hogy ne kelljen feloldani sima DNS el? Mint az 1.1.1.1 vagy 1.0.0.1