DNS server privacy vraag; twee voorbeelden. - Privacy en beveiliging

maandag 3 februari 2020 11:37

Acties:

0 Henk 'm!

Topicstarter

Graag wil ik twee privacy en veiligheids, aan DNS gerelateerde stellingen voorleggen. Hopelijk begrijp ik de techniek goed. Pi-hole en Cloudfare worden als voorbeelden gebruikt.

Je gebruikt Pi-hole als een allround DNS oplossing, door Unbound te installeren als resolver. Unbound vult zijn cache aan en gebruikt DNSSEC tegen spoofing en bevraagd de DNS root servers.

Goed:

Hiermee bypass je de ISP DNS server en publieke (gratis) DNS providers en voorkom je logging door deze partijen.
Ongevoelig voor storingen bij DNS providers, wat de betrouwbaarheid verhoogd.

Minder goed:

Het DNS verkeer tussen je Unbound resolver en de DNS root servers is onderweg zichtbaar (voor de ISP).

Je gebruikt Pi-hole en stelt 1.1.1.1 is als upstream server. Dnsmasq vult zijn cache aan en gebruikt DNSSEC tegen spoofing tijdens requests aan 1.1.1.1.. Ook is DNS-over-HTTPS bij gebruik van Cloudfare’s 1.1.1.1 beschikbaar.

Goed:

Je gebruikt de DNS server van je ISP niet en voorkomt logging door deze partij.
Door encryptie van je DNS request zijn je aanvragen voor de ISP niet (of moeilijker) zichtbaar.

Minder goed:

Je bent afhankelijk van de beloften van Cloudfare met betrekking tot hun omgang met logging en jouw gegevens. Het is een Amerikaans bedrijf.
De extra halte tussen je DNS service op je Pi-hole in de vorm van Dnsmasq en de DNS root servers, in de vorm van Cloudfare, verhoogt de kans op DNS spoofing, ook al is dit minimaal door gebruik van DNSSEC.

Komt dit neer op kiezen tussen twee kwaden, of zijn er andere zaken die ik over het hoofd zie? Het gaat om de methodiek, suggesties voor met privacy adverterende DNS providers zijn niet relevant.

maandag 3 februari 2020 11:41

Acties:

+1 Henk 'm!

Groentjuh

Er gaat altijd iemand DNS verkeer kunnen zien.

Of het is je ISP, je VPN provider, je server/vps ISP of Cloudfare. Een van die zul je moeten vertrouwen!

maandag 3 februari 2020 11:56

Acties:

0 Henk 'm!

CyBeR

💩

Vanuit privacystandpunt is je ISP DNS of een dienst als Google's Public DNS/Cloudflare Resolver gebruiken beter. Zij hebben namelijk een grotere cache waardoor ze vaker zelf jou in een antwoord kunnen voorzien (en DNS dus niet eerst het halve internet af hoeft te struinen op zoek naar een antwoord), en aangezien DNS TTL's tegenwoordig vrij kort worden gehouden is schaalgrootte een voordeel hierin. En bovendien, als ze iets níet in de cache hebben, dan krijgen de nameservers die onderweg zijn naar de domeinnaam die je opzoekt niet jouw IP te zien maar die van je ISP/Google/Cloudflare.

Google en Cloudflare gebruiken DNS data beide niet om je te tracken overigens; ze bieden die dienst aan om hun ándere producten aantrekkelijker te maken. In het geval van Google bijvoorbeeld is een sneller internet er een waar ze meer aan advertenties kunnen verdienen. Zij doen dus vrij veel moeite (ook op andere manieren) om het internet sneller te maken.

Over je ISP is wat dat betreft weinig bekend maar over het algemeen kun je er van uitgaan dat dat een redelijk veilige optie is omdat ze sowieso al inzicht hebben in je verkeer. Dwz, ze kunnen wellicht je DNS requests loggen maar ze zien ook al met welke IP-adressen je verbindt dus of ze nou veel extra krijgen door dat te doen is te betwijfelen.

[ Voor 3% gewijzigd door CyBeR op 03-02-2020 11:57 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 4 februari 2020 09:24

Acties:

+1 Henk 'm!

jurroen

Security en privacy geek

Als je provider inzicht zou willen hebben in het DNS verkeer met de Pi-hole/Unbound oplossing zouden ze DPI moeten toepassen. Je hebt wel een punt, overigens - DNS is niet gemaakt met privacy in het achterhoofd - maar qua realisme ligt de kans vrij laag.

Stel, je wilt subdomein.boefs.nl resolven (in Jip en Janneketaal):

Unbound vraagt eerst op welke servers verantworodelijk zijn voor de .nl zone
Vervolgens vraagt Unbound aan de verantwoordelijke servers welke nameservers ingesteld zijn voor boefs.nl
Bij die servers vraagt Unbound weer wat de records zijn voor subdomein.boefs.nl

Dit proces verloopt inderdaad plain-text. Een andere mogelijkheid is inderdaad om bijvoorbeeld Google / Cloudflare te gebruiken met DoT/DoH, maar dat zijn niet de meest privacy vriendelijke organisaties. Hoe het ISP-wise zit weet ik niet, enkel hoe KPN dat doet op 4G verbindingen. Daar maken ze gebruik van CGNAT, de DNS server staan buiten die subnets (die met tientallen gebruikers worden gedeeld); daarbij kan dus niet de aanname worden gemaakt dat alle queries van 1 device afkomstig zijn.

Surfnet biedt bijvoorbeeld ook DNS over TLS aan, die zou ik persoonlijk wat meer vertrouwen met mijn queries dan een Google/Cloudflare. En verder is er ook DNScrypt, hoewel dat waarschijnlijk een lokaal draaiende proxy vereist. Bij mijn weten is er nog geen OS/distro die dat native support out of the box.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

dinsdag 4 februari 2020 11:47

Acties:

0 Henk 'm!

CyBeR

💩

jurroen schreef op dinsdag 4 februari 2020 @ 09:24:
Unbound vraagt eerst op welke servers verantworodelijk zijn voor de .nl zone

Dit doen de meeste resolvers overigens niet: die geven elke stap de volledige naam.

Dus dan is het proces:
• Resolver kijkt naar cache of subdomein.boefs.nl er al in staat; zo niet
• Resolver vraagt aan root nameservers om 'subdomein.boefs.nl'; krijgt een verwijzing naar .nl nameservers
• Resolver vraagt aan .nl nameservers om 'subdomein.boefs.nl', krijgt een verwijzing naar boefs.nl nameservers
• Resolver vraagt om boefs.nl nameservers om 'subdomein.boefs.nl', krijgt (hopelijk) antwoord.

Dit is feitelijk een optimalisatie: elke stap onderweg kan die informatie hebben. Maar privacyvriendelijk is het niet.

Overigens staat Cloudflare volgens mij niet bekend als privacy-onvriendelijk. Google wel inderdaad maar hebben meermaals aangeven dat ze zich aan hun privacy policy houden waarin staat dat identificeerbare data uit de 8.8.8.8/8.8.4.4-dienst niet bijgehouden wordt anders dan tijdelijk om misbruik op te sporen, en dat die data niet aan gebruikersprofielen gekoppeld wordt.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 6 februari 2020 08:58

Acties:

0 Henk 'm!

jurroen

Security en privacy geek

CyBeR schreef op dinsdag 4 februari 2020 @ 11:47:
[...]

Dit doen de meeste resolvers overigens niet: die geven elke stap de volledige naam.

Dus dan is het proces:
• Resolver kijkt naar cache of subdomein.boefs.nl er al in staat; zo niet
• Resolver vraagt aan root nameservers om 'subdomein.boefs.nl'; krijgt een verwijzing naar .nl nameservers
• Resolver vraagt aan .nl nameservers om 'subdomein.boefs.nl', krijgt een verwijzing naar boefs.nl nameservers
• Resolver vraagt om boefs.nl nameservers om 'subdomein.boefs.nl', krijgt (hopelijk) antwoord.

Dit is feitelijk een optimalisatie: elke stap onderweg kan die informatie hebben. Maar privacyvriendelijk is het niet.

Overigens staat Cloudflare volgens mij niet bekend als privacy-onvriendelijk. Google wel inderdaad maar hebben meermaals aangeven dat ze zich aan hun privacy policy houden waarin staat dat identificeerbare data uit de 8.8.8.8/8.8.4.4-dienst niet bijgehouden wordt anders dan tijdelijk om misbruik op te sporen, en dat die data niet aan gebruikersprofielen gekoppeld wordt.

Weet jij zo welke resolvers zo werken? Ik weet dat Unbound en PowerDNS bijvoorbeeld RFC7816 (ook wel qname minimization) honoreren "by default". PowerDNS overigens pas in 4.3 - Unbound al langer.

Ik vind CloudFlare niet privacy-vriendelijk, omdat ze al zoveel informatie hebben. Technisch gezien is hun CDN/WAF/anti-DDoS een soot van "MitM by design" en hebben ze eigenlijk alle tools om al het verkeer af te vangen van websites die CF gebruiken, inclusief credentials, input, etc. Ze beloven plechtig dat nooit te doen - hetzelfde bij de DNS - maar een belofte is voor mij persoonlijk niet voldoende.

Ja, ik ben daar wat fundamentalistisch in - dat is puur een persoonlijke attitude en ik vind het ook niet erg dat anderen daar anders in staan.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

donderdag 6 februari 2020 16:56

Acties:

+1 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Nog wat dingen om te overwegen.
- Anonimzed DNSCrypt.
Een toevoeging aan DNSCrypt die lijkt op TOR. Je queries worden eerst een paar keer doorgegeven zodat niemand nog weet waar ze vandaan zijn gekomen.

- Randomized DNS
Stuur niet al je verkeer naar dezelfde externe resolver, maar verdeel het over een aantal systemen. Dan kan niemand alles zien wat je doet (maar een hoop partijen kunnen een beetje zien).

Vergeet ook niet dat er nog steeds op andere manier informatie lekt.
- ip-adressen zijn nog altijd gewoon zichtbaar en zeggen ook veel over wat je doet
- via SNI lekt de hostname die je bezoekt (tenzij er ESNI gebruikt wordt).
- OCSP lekt in clear text welke ssl-certificaten je gebruikt.

This post is warranted for the full amount you paid me for it.

zaterdag 8 februari 2020 07:54

Acties:

+1 Henk 'm!

mrmrmr

CyBeR schreef op maandag 3 februari 2020 @ 11:56:
Google en Cloudflare gebruiken DNS data beide niet om je te tracken overigens; ze bieden die dienst aan om hun ándere producten aantrekkelijker te maken.

Daar geloof ik niets van.

Cloudflare is een partij die werkt voor criminelen (die hebben hun diensten nodig en er komt veel ongewenst verkeer van hun netwerk). Ze zijn ongeloofwaardig en zelfzuchtig. Google logt of je bijvoorbeeld fonts laadt, of scripts. Dat kun je zelf zien door dat soort sites te (de)blokkeren en een Recaptcha v3 test uit te voeren. Als je blokkeert denkt Google dat je een bot bent. Dat toont aan dat er gelogd wordt voor identificatiedoeleinden.

Zowel Google als Cloudflare hebben een belang bij tracken.