Schakel Firefox DNS via HTTPS uit op netwerkniveau met dnsmasq
Gisteren hebben we het uitgebreid uitgelegd plannen Mozilla Firefox om DNS standaard via HTTPS te integreren in zijn webbrowser, een verwachte ontwikkeling maar die zijn voor- en nadelen heeft. Vandaag laten we u zien hoe u het lokale netwerk configureert, zodat de browser detecteert dat we geen DNS over HTTPS (DoH) willen gebruiken, maar de DNS willen gebruiken die door het netwerk zelf wordt geleverd.
Wanneer DNS via HTTPS is uitgeschakeld in Mozilla Firefox
Als we deze optie hebben uitgeschakeld (die momenteel standaard is uitgeschakeld), als we met de browser zelf door een website bladeren, kunnen we zien dat alle DNS-query's volkomen duidelijk kunnen worden gezien met een programma als Wireshark, dat wil zeggen, er is geen type codering omdat we geen DNS over HTTPS gebruiken dat in de browser zelf is ingebouwd.
Zoals je kunt zien, worden alle verzoeken gedaan tegen IP 10.10.2.1, hier hebben we de DNS-server geconfigureerd, aangezien de router er zelf voor zorgt, is de DNS-server niet gedelegeerd aan de computers zelf, zodat ze het individueel oplossen, maar alles gaat via de router zelf.
Door DNS via HTTPS in Firefox in te schakelen, kunnen we geen DNS-verzoeken zien
Om handmatig DNS via HTTPS in Firefox te activeren, ga je naar "Extra / Opties / Algemeen / Netwerkconfiguratie", en eenmaal in het verbindingsinstellingenmenu zie je onderaan de optie om deze functie te activeren. Mozilla Firefox zal standaard de Cloudflare-service gebruiken om DoH aan ons te verstrekken.
Zodra we het inschakelen, kunnen we zien dat de enige DNS-resoluties die het zal uitvoeren, zijn om de DoH DNS-servers van Cloudflare te lokaliseren, aangezien het erop lijkt dat het momenteel 1.1.1.1 niet rechtstreeks gebruikt, maar in plaats daarvan de mozilla.cloudflare- dns-domein.com. Het gebruikt automatisch de DNS-servers die worden aangegeven door de volgende opname:
Zodra u deze DNS hebt opgelost, wordt DoH in Firefox volledig ingeschakeld en kunnen we geen enkele DNS-query zien. Bovendien, als de websites TLS gebruiken, kunnen we ook geen enkel type verkeer "zien".
Hoe DoH op netwerkniveau te blokkeren met dnsmasq
Als u firmware van derden gebruikt, zoals OpenWRT, DD-WRT, Asuswrt Merlin of andere, kunnen we het dnsmasq-bestand bewerken om het "canary-domein" in te sluiten, zodat Mozilla Firefox het detecteert en DoH niet gebruikt voor het oplossen van adressen.
Om dit te doen, voegt u gewoon de volgende regel toe aan de dnsmasq-configuratie:
server=/use-application-dns.net/
Zodra we het hebben geïntegreerd, hoeven we alleen de dnsmasq-service op onze router of op onze DNS-server die we op het lokale netwerk hebben opnieuw te starten. In het web use-application-dns.net kunnen we zien dat dit domein inderdaad specifiek is gericht op het controleren van de Mozilla Firefox DoH. Door het in de dnsmasq te integreren, hebben we geen toegang tot deze website, een duidelijk teken dat we het correct hebben geconfigureerd. Als je tests gaat doen, denk er dan aan om de DNS-cache leeg te maken, als je Windows gebruikt, kun je dit doen door het volgende commando uit te voeren in "cmd.exe":
ipconfig /flushdns
Als u de cache niet wist, werkt het nog steeds voor u, tenzij u het nog nooit hebt geopend.
Als we nu op internet surfen met Mozilla Firefox, hoeven we DNS via HTTPS niet langer te gebruiken. Tijdens onze tests hebben we echter geverifieerd dat Mozilla Firefox het verzoek aan deze website niet beoordeelt, dus we zullen DoH blijven gebruiken. Het is mogelijk dat in de huidige versie van Firefox de functionaliteit om dit domein te verifiëren niet beschikbaar is, omdat we DoH handmatig inschakelen, en het is niet standaard ingeschakeld.
