Deaktivieren Sie Firefox DNS über HTTPS auf Netzwerkebene mit dnsmasq

Gestern haben wir es ausführlich erklärt die Pläne Mozilla Firefox integriert DNS standardmäßig über HTTPS in seinem Webbrowser, eine erwartete Entwicklung, die aber ihre Vor- und Nachteile hat. Heute zeigen wir Ihnen, wie Sie das lokale Netzwerk konfigurieren, damit der Browser erkennt, dass wir DNS über HTTPS (DoH) nicht verwenden möchten, sondern das vom Netzwerk selbst bereitgestellte DNS verwenden möchten.

Wenn DNS über HTTPS in Mozilla Firefox deaktiviert ist

Wenn wir diese Option deaktiviert haben (die derzeit standardmäßig deaktiviert ist), können wir, wenn wir eine Website mit dem Browser selbst durchsuchen, sehen, dass alle DNS-Abfragen mit einem Programm wie Wireshark perfekt sichtbar sind, dh es gibt keine Art der Verschlüsselung, da wir kein DNS über HTTPS verwenden, das in den Browser selbst integriert ist.

Wie Sie sehen, werden alle Anfragen gegen IP 10.10.2.1 gestellt, hier haben wir den DNS-Server konfiguriert, da sich der Router selbst darum kümmert, wird der DNS-Server nicht an die Computer selbst delegiert, damit sie ihn einzeln lösen, aber alles läuft über den Router selbst.

Durch die Aktivierung von DNS über HTTPS in Firefox können wir keine DNS-Anfragen sehen

Um DNS über HTTPS in Firefox manuell zu aktivieren, gehen Sie zu "Extras / Optionen / Allgemein / Netzwerkkonfiguration", und einmal im Verbindungseinstellungsmenü sehen Sie unten die Option zum Aktivieren dieser Funktion . Mozilla Firefox verwendet standardmäßig den Cloudflare-Dienst, um uns DoH bereitzustellen.

Sobald wir es einschalten, können wir sehen, dass die einzigen DNS-Auflösungen darin bestehen, die DoH-DNS-Server von Cloudflare zu lokalisieren, da es anscheinend 1.1.1.1 derzeit nicht direkt verwendet, sondern stattdessen die Datei mozilla.cloudflare- auflöst. DNS-Domain.com. Es verwendet automatisch die DNS-Server, die durch die folgende Erfassung angezeigt werden:

Sobald Sie diese DNS aufgelöst haben, wird DoH in Firefox vollständig aktiviert und wir können keine Art von DNS-Abfrage sehen. Wenn die Websites außerdem TLS verwenden, können wir auch keine Art von Datenverkehr "sehen".

So blockieren Sie DoH auf Netzwerkebene mit dnsmasq

Wenn Sie Firmware von Drittanbietern wie OpenWRT, DD-WRT, Asuswrt Merlin oder andere verwenden, können wir die dnsmasq-Datei bearbeiten, um die "canary domain" einzubetten, sodass Mozilla Firefox sie erkennt und DoH nicht zur Auflösung verwendet.

Fügen Sie dazu einfach die folgende Zeile zur dnsmasq-Konfiguration hinzu:

server=/use-application-dns.net/

Sobald wir es integriert haben, müssen wir nur den dnsmasq-Dienst auf unserem Router oder auf unserem DNS-Server, den wir im lokalen Netzwerk haben, neu starten. Im Web use-application-dns.net können wir sehen, dass diese Domain tatsächlich speziell darauf ausgerichtet ist, den Mozilla Firefox DoH zu überprüfen. Durch die Einbindung in den dnsmasq können wir nicht auf diese Website zugreifen, ein klares Zeichen dafür, dass wir sie richtig konfiguriert haben. Wenn Sie Tests durchführen, denken Sie daran, den DNS-Cache zu leeren, wenn Sie Windows verwenden, können Sie dies tun, indem Sie den folgenden Befehl in "cmd.exe" ausführen:

ipconfig /flushdns

Wenn Sie den Cache nicht leeren, funktioniert er trotzdem für Sie, es sei denn, Sie haben noch nie darauf zugegriffen.

Wenn wir jetzt mit Mozilla Firefox im Internet surfen, müssen wir DNS über HTTPS nicht mehr verwenden. Während unserer Tests haben wir jedoch festgestellt, dass Mozilla Firefox die Anfrage an diese Website nicht überprüft, sodass wir DoH weiterhin verwenden werden. Es ist möglich, dass in der aktuellen Firefox-Version die Funktion zum Verifizieren dieser Domain nicht verfügbar ist, da wir DoH manuell aktivieren und es nicht standardmäßig aktiviert ist.