(Policy) DoH: Abschalten forcieren?

DoH wird zunehmend real, jetzt soll es wohl möglich werden, per DNS (-Filter) dem Browser zu signalisieren, daß DoH-Einsatz unerwünscht ist (weil DNS-Filter greifen sollen).

Das eröffnet dann die Frage, ob das Freifunk-Netz (im zentralistischen batman-Ansatz) dieses Signal setzen sollte, um Nutzer nicht der nächsten Datenkrake auszuliefern. (FTR: Da es um den Internet-Übergang geht, ist das PPA außen vor.) Pro/Contra, anyone?

1 Like

Ich würde das nach wie vor den Clients überlassen für sich zu entscheiden.

2 Likes

Tja, schwieriges Thema.
DNS-Daten Cloudflare zu überlassen finde ich auch mächtig uncool, allerdings ist die Alternative (wie bisher) dass die DNS-Pakete unverschlüsselt über offenes WLAN quer durch die Stadt laufen…

Auf lange Sicht wäre es wünschenswert, wenn Freifunk-Communities DoH selbst anbieten, aber so schöner Caching-Betrieb direkt auf den Routern wie bisher wird dann auch schwer, weil die dann wieder TLS-Zertifikate benötigen.
Alles nicht ganz trivial, leider.

1 Like

Wir haben einen DOH und DOT Endpunkt für FFMUC.

https://doh.ffmuc.net und dot.ffmuc.net

Und wir sammeln keine Daten :).

6 Likes

o.k. nächster Punkt für die ToDo-Liste…

3 Likes

Ich finde DoH generell eine sehr schwierige Angelegenheit. Einerseits geht einem damit als „lokaler Netzwerkadmin“ sehr die Kontrolle darüber verloren wie Clients Namensauflösung betreiben. Andererseits ist es ein weiterer Schritt in Richtung allen Traffic zu verschlüsseln, was ich als eine sehr gute Sache empfinde. Aber dadurch das dann eben sehr stark die Dezentralität verloren gehen wird sehe ich eben auch erhebliche Risiken.

Das aktuell im Freifunk Netz sämtliche DNS Daten komplett unverschlüsselt über das für jeden offene Netz gehen für den falschen weg es einfach zu deaktivieren. Ich denke der richtige Schritt für Freifunk wäre es jewiels eigene DoH Server aufzusetzen. Dafür müssten diese aber halt (realistischerweise) automatisch konfiguriert werden. Doch das ist ja aktuell meines Wissens nicht möglich.

Doch diese Möglichkeit eigene DNS bzw. DoH Server aufzuzwingen ist aber halt eine Möglichkeit für Angreifer den Schutz (den DoH ja eigentlich bieten soll) auszuhebeln. Ob es jetzt der „Hacker“ oder der kommerzielle WLAN Anbieter ist der etwas „Marktanalyse“ betreiben möchte ist, ist ja erstmal ziemlich egal.

Deshalb würde ich bei irgendeinem öffentlichen WLAN DoH schon sehr gerne nutzten (natürlich mit einem eingenen gewählten DoH Server der dann vielleicht nicht von Google, CloudFlare oder dergleichen betrieben wird) und ohne die Möglichkeit das es mir deaktiviert wird.

Das „schöne“ ist ja immerhin, das die Freifunk Communitys eigentlich meistens zum Glück sehr stark auf IPv6 setzten und daher die Deaktivierung von DoH nicht nötig ist um interne IPv4 Dienste anders aufzulösen oder dergleichen.

Aber wie @Manawyrm bereits schrieb enfällt damit dann auch so ziemlich die Möglichkeit DNS lokal auf den Knoten zu cachen und dergleichen und es wird alles etwas zentraler. Natürlich wird so ein Cache auf den Knoten eigentlich nur relevant sobald der Uplink ausfällt und man lokale Dienste weiterhin per DNS ereichbar halten möchte. Da dann aber ja auch eben der Uplink fehlt werden die Cleints wohl auf das klasische DNS zurückfallen und solange man auf den Routern nicht cacht sondern eher die relevanten Daten pullt oder pusht wäre es kein Problem.

Also öffentlich zugängliche von den Freifunkern vor Ort betriebene DoH und DoT Server halte ich für eine sehr schöne Idee. So bleiben die Daten jedenfalls zerstreuter. So könnte man über Deutschland verteilt schon Mal einige Server bereitstellen. Viel Traffic fällt dabei ja vermutlich nicht an. Und ich würde den Aussagen, das sie nichts sammeln schon Recht stark vertrauen.

@awlnx wo und mit welcher Methode fragt ihr dann bei den „höheren“ DNS Servern an?

Der DOH/DOT Server connected zu unseren drei Resolvern. Und die machen ganz normales Rootzone Lookup mit caching.

Somit wäre das noch ein Weg, der im Moment gesniffed werden könnte. Nur eben nicht mehr auf einzelne User mapbar. Ich warte da noch auf einen neuen Release des PowerDNS Recursors.

BTW kann man cloudflared sehr schön benutzen, um gegen https://doh.ffmuc.net anfragen zu schicken ;).

bash-3.2$ sudo cloudflared proxy-dns --upstream https://doh.ffmuc.net
1 Like

Wer es in seinem Firefox ausprobieren will.

In Tools => Preferences => Network Settings

2 Likes

Ihr seid alle herzlich zum Testen eingeladen. DoT und DoH sind öffentlich erreichbar auch außerhalb von Freifunk.

Unsere Stats dazu:
https://stats.ffmuc.net/d/tlvoghcZk/doh-dot?orgId=1&refresh=1m

1 Like

Moin,

danke für die rege Beteiligung. Es sollte hier im Thread nur um ein Meinungsbild, ggf, auch „Head Up!“, gehen, insofern will ich nicht zu stark auf die einzelnen Beiträge eingehen …

Meine Meinung ist, daß dies mit einer viel zu starken Brechstange ins Netz geprügelt wird, und insbesondere die Systemlandschaft vollkommen außer Acht läßt. @TomH fassß das ganz schön zusammen:

Das ist Teil des Problems: DHCP/RA konfiguriert derzeit nur die Systemresolver, dort DoT/DoH als Technik zu kommunizieren, ist AFAIK derzeit nicht möglich. DNS an sich ist jetzt gar nicht so scheiße, wie die DoH-Drängler sagen; auf dem lokalen System ist unverschlüsseltes Port-53-DNS weit weniger problematisch als quer durch’s Netz. Und DNS-Resolver-Funktionalität in jede Anwendung zu verschieben, ist von der Gesamtbetrachtung eher ein Griff ins Klo.

Die Frage ist nun, nachdem zumindest Mozilla mit Firefox eine Abschaltung über DNS-Modifikation ermöglichen wird, sollte „man“ in einem Freifunk-Netz dieses Signal geben, damit Firefox das voreingestellte DoH deaktiviert? Das hat ja ggf. auch Rückwirkungen auf die Nutzung der privaten TLDs einiger Communities, die dann im FF-Netz nicht mehr funktionieren. (Das Konzept ist an anderer Stelle broken, aber nun ja.) Ich denke ja, denn soweit ich das verstanden habe, wird Firefox eine aktive Konfiguration honorieren, bei „wir machen mal DoH weil der Nutzer es nicht abgestellt hat“ würde hingegen auf DoH verzichtet.

(Und ja, eigene DoT/DoH-Server fände ich sinnvoll — nur, da die Umsetzung ja hingeschludert wurde, ohne auf das System-DNS Rücksicht zu nehmen, wer wird den nutzen? :anguished:)

Kann dnsmasq denn DoH? Viele Leute haben ja sowieso in der Firmware einen lokalen Resolver im Knoten und announcen diesen auch per dhcpv4 und rrdns.
(Ja, 4/32er-Devices, wäre aber dann endlich mal ein für mich valider Grund, warum diese Geräte vielleicht doch inzwischen ersetzt werden sollten, wenn TLS auf dem Knoten nun einen sinnvollen Alltagsnutzen ergeben würde.)

1 Like

Ich bin gegen Eingriffe in das Netz, denn wo fangen wir an wo hören wir auf?

Wer es nicht will sollte einen anderen Browser benutzen, der kein DoH erzwingt oder DoH so konfigurieren wie gewünscht. Von blockieren halte ich aber wenig. Es gibt bestimmt genug Leute die es nutzen wollen, hier wäre ein blockieren kontraproduktiv.

Um wirklich konsequent zu sein, müsste ich an der Stelle nämlich auch 1.1.1.1 und 8.8.8.8 generell blockieren um den Nutzer zu „schützen“. Wovor überhaupt schützen? Vor der eigenen Unmündigkeit? Dann muss ich noch viel weiter gehen.

„Frei“ im Sinne von uneingeschränkt gilt auch hier, ich will als Nutzer keine Nachteile haben, nur weil sich die Admins durch DoH in Richtung Cloudflare gestört fühlen.

1 Like

Für DoH etc brauchst du ein valides Zertifikat, das heißt jeder deiner Knoten müsste zum Beispiel Letsencrypt benutzen und eine sinnvolle TLD haben.

Das ist ja durchaus machbar inzwischen. die Ratelimit für einige FF-Domains bei LE wurde doch gelockert. FQDNs für Router sind mit etwas bind-scripting machbar.
(Wenngleich das natürlich gleich wieder Diskussionen um „zentralistische Strukturen im Freifunk“ geben kann.)

Nun auch einfacher benutzbar:

Tja, schwieriges Thema.
DNS-Daten Cloudflare zu überlassen finde ich auch mächtig uncool,
allerdings ist die Alternative (wie bisher) dass die DNS-Pakete
unverschlüsselt über offenes WLAN quer durch die Stadt laufen…

Das stimmt nur ohne DNS resolver auf dem Node. Die sind zumindest bei
Gluon seit einiger Zeit Standard. Mit Resolver ist man im Bezug auf DNS
unter den gemeinsamen Nutzern des Nodes auf dem man angemeldet ist
anonym.

Nur in v6, oder? Und wenn auf jene nicht per DHCP & RA (was außerhalb Gluons Einfluß liegt) hingewiesen wird, wer nutzt die dann? (Und ist das nicht eine Config-Option?)

Spätensens mit WPA3 kann man das dann doch sowieso alles irgendwie „strukturiert“, also „out of band“ übermitteln, was man den Clients mit auf den Weg geben möchte.

Nur in v6, oder? Und wenn auf jene nicht per DHCP & RA (was außerhalb
Gluons Einfluß liegt) hingewiesen wird, wer nutzt die dann? (Und ist
das nicht eine Config-Option?)

Auch IPv4. Klar muss via radvd oder dhcp auf die Server hingewiesen
werden. Für die Babel Patches passiert das vom Node aus und ist damit
von gluon kontrolliert. Bei Batman macht es ein batman gateway.

1 Like