Security Professionals - ipfw add deny all from eindgebruikers to any

Clouflare DNS over HTTPS decrypd?

12-02-2020, 10:04 door jef00, 17 reacties
Beste forumleden,

Ik ben bezig met DNS OVER HTTPS waar de NSI ook encrypted is, de setup die ik heb geconfigureerd is firefox met cloudflares DNS. Dit zorgt ervoor dat de DNS query's die gemaakt worden dus versleuteld worden verzonden. Maar wat ik me afvraag is, is cloudflare om de DNS query's te decrypten? en zo alsnog te zien naar welke server er een verbinding gemaakt wordt?

Ik hoor graag van jullie!
Reacties (17)
12-02-2020, 11:22 door Anoniem
Heel kort; ja.
12-02-2020, 11:25 door Anoniem
Je maakt gebruik van de DNS server van cloudflare. Je zet dus een versleuteld tunneltje op met deze server. Uiteraard worden je queries dan wel weer op deze server ontsleuteld dus cloudflare kan jouw queries zien. De partijen daar tussen dan weer niet. Nu mag je zelf bepalen of je cloudflare wel of niet vertrouwd.
12-02-2020, 11:33 door Anoniem
Als een DNS-server al niet kan zien waar je naartoe wilt.... wie dan wel?
Iemand moet het weten anders kom je nooit meer op deze site.

DoH zorgt ervoor dat je provider niet kan zien dat het een DNS-verzoek is en welke webservice je wilt benaderen.
Hierdoor kan de provider dit verkeer dus niet redirecten, injecteren of gebruiken voor profilen.

CloudFlare logt heel beperkt en heel kort (puur voor de technische controle van hun services.)
Een prima privacy optie die bovendien ook qua performance niet te evenaren is.
Heel veel beter dan de DNS-servers van je eigen provider.

CloudFlare kent alleen je IP-adres (VPN?)
Je provider kent je naam, je adres en je surfgedrag als je het niet beschermd.
12-02-2020, 11:48 door jef00
Anoniem bedankt voor je reactie!
12-02-2020, 11:49 door Anoniem
Door Anoniem:
CloudFlare logt heel beperkt en heel kort (puur voor de technische controle van hun services.)
Daar weet je helemaal niks van!
Je kunt dat op afstand niet beoordelen en je weet niet hoe die termen gedefinieerd zijn.
12-02-2020, 11:52 door Anoniem
Door Anoniem: Je maakt gebruik van de DNS server van cloudflare. Je zet dus een versleuteld tunneltje op met deze server. Uiteraard worden je queries dan wel weer op deze server ontsleuteld dus cloudflare kan jouw queries zien. De partijen daar tussen dan weer niet. Nu mag je zelf bepalen of je cloudflare wel of niet vertrouwd.

Aanvullend hier op, ik ben niet deze anoniem, zorgt het versleutelen van de SNI er voor dat de hostname in de TLS verbinding (bijv. security.nl) niet meer zichtbaar is.

De DNS aanvraag bij Cloudflare zien zij dus wel, maar iemand op hetzelfde wifi netwerk kan geen hostname meer zien van de verbinding die je daarna opzet. Uiteraard is nog steeds het IP te zien en daarmee valt ook al veel te zeggen, maar het is iets.

Helaas heeft Firefox ervoor gekozen om eSNI te koppelen aan DoH en effectief aan Cloudflare. Ik zou je aanraden om zelf een DNS recursor te draaien (Unbound bijvoorbeeld) dan hierbij van een Amerikaans bedrijf afhankelijk te zijn. Maar dan mis je (voorlopig) wel de voordelen van eSNI
12-02-2020, 12:08 door Anoniem
Cloudflare moet doen wat de Amerikaanse overheid hen verteld. Dus gebruik gewoon een Nederlandse dns leverancier.
12-02-2020, 13:22 door Anoniem
Je kunt ook daarnaast blokada draaien als VPN met intern adres 203.0.113.1
en dns 203.0.113.2 & 203.0.113.3 (master to slave).

allowed name servers in /etc/named.conf:

CONFIG_TEXT: controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; 203.0.113.1; 203.0.113.2 } keys { "rndc-key"; };
};
Laat daar eens DNS Query Sniffer onder lopen van Nir Sofer en je weet al meer.

CloudFlare laat nogal wat abuse toe, last krijgen van DNS changer malware bijvoorbeeld schiet niet erg op.

#sockpuppet
12-02-2020, 13:40 door Anoniem
Door Anoniem:
Helaas heeft Firefox ervoor gekozen om eSNI te koppelen aan DoH en effectief aan Cloudflare.
Ja maar eSNI is helemaal geen standaard, het is een voorstel van en eigenlijk alleen geimplementeerd door Cloudflare.
12-02-2020, 13:57 door Anoniem
Door Anoniem:
Door Anoniem:
CloudFlare logt heel beperkt en heel kort (puur voor de technische controle van hun services.)
Daar weet je helemaal niks van!
Je kunt dat op afstand niet beoordelen en je weet niet hoe die termen gedefinieerd zijn.

Wat een kansloze opmerking weer. Daar weet ik dus toevallig wel wat van.

https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/
https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-policy/privacy-policy/

Daarnaast zijn deze zaken geaudit door KPMG waarover ook door Cloudflare wordt gepubliceerd.
https://www.cloudflare.com/transparency/

Er zijn niet alleen maar bad-guys op de wereld.
12-02-2020, 15:29 door Anoniem
Door Anoniem:
Door Anoniem: Je maakt gebruik van de DNS server van cloudflare. Je zet dus een versleuteld tunneltje op met deze server. Uiteraard worden je queries dan wel weer op deze server ontsleuteld dus cloudflare kan jouw queries zien. De partijen daar tussen dan weer niet. Nu mag je zelf bepalen of je cloudflare wel of niet vertrouwd.

Aanvullend hier op, ik ben niet deze anoniem, zorgt het versleutelen van de SNI er voor dat de hostname in de TLS verbinding (bijv. security.nl) niet meer zichtbaar is.

De DNS aanvraag bij Cloudflare zien zij dus wel, maar iemand op hetzelfde wifi netwerk kan geen hostname meer zien van de verbinding die je daarna opzet. Uiteraard is nog steeds het IP te zien en daarmee valt ook al veel te zeggen, maar het is iets.

Helaas heeft Firefox ervoor gekozen om eSNI te koppelen aan DoH en effectief aan Cloudflare. Ik zou je aanraden om zelf een DNS recursor te draaien (Unbound bijvoorbeeld) dan hierbij van een Amerikaans bedrijf afhankelijk te zijn. Maar dan mis je (voorlopig) wel de voordelen van eSNI

Je adviseert dat eSNI bedoeld is om te voorkomen dat iemand op het lokale Wifi netwerk de bestemmingshostname ziet.

En daarna adviseer je om zelf een DNS recursor te draaien - waarbij iemand op het lokale Wifi netwerk natuurlijk gewoon ziet welke hostnamen je resolved. (DNS Sec encrypt de queries niet !). Plus dat in de huidige implementatie van firefox eSNI dan niet werkt zonder DoH .

Wees consequent in je keuze tegen welk scenario je je wilt beveiligen :
Een meegluurder 'lokaal dichtbij - wifi, of je ISP' , of een cloudflare uit de VS die ziet wat "een IP uit NL" resolved.
12-02-2020, 15:50 door Anoniem
Door Anoniem:Ja maar eSNI is helemaal geen standaard, het is een voorstel van en eigenlijk alleen geimplementeerd door Cloudflare.
Eens, maar gelet op de context van standaardisatie binnen de IETF is dat niet heel vreemd. Daar wil men graag is real world tests draaien en echte implementaties hebben voor het als definitieve standaard bestempelt wordt. Cloudflare en Firefox verzorgen nu het testen daarvan, maar dit staat andere implementaties later niet in de weg.

De echte vraag is wat het nut van eSNI is wanneer je je website niet host bij een grote CDN als Cloudflare. Immers zijn websites op vele andere manieren linkbaar. Dan is dit werk wat ook aan andere zaken ten goede kon komen, zaken die geen verdere centralisatie van het internet in de hand werken.
12-02-2020, 15:59 door Anoniem
Door Anoniem:Wees consequent in je keuze tegen welk scenario je je wilt beveiligen :
Een meegluurder 'lokaal dichtbij - wifi, of je ISP' , of een cloudflare uit de VS die ziet wat "een IP uit NL" resolved.
Deze twee kunnen prima gecombineerd worden. Het is mogelijk om ook een eigen DoH server te draaien welke gebruik maakt van een eiger recursor.

Daarmee bescherm je wel tegen iemand op het wifi, zowel DNS verkeer als TLS SNI is versleuteld, maar niet tegen de ISP. Je DNS server stuurt nog in cleartext de queries langs je ISP.

Persoonlijk zou ik zeggen dat het beter is om niet mee te gaan in de trend van centralisatie van privacy gevoelige gegevens bij commerciele partijen. Als je ISP wil zien welke websites je bezoekt kan dat op vele andere manieren, ook met eSNI en je DNS queries bij Cloudflare. Het heeft niet heel veel nut om daar tegen te beschermen, anders dan de Tor Browser gebruiken.
12-02-2020, 16:09 door Anoniem
Door Anoniem:
En daarna adviseer je om zelf een DNS recursor te draaien - waarbij iemand op het lokale Wifi netwerk natuurlijk gewoon ziet welke hostnamen je resolved. (DNS Sec encrypt de queries niet !).

Nee maar je lokale WiFi netwerk encrypt de queries wel, aangenomen dat je geen totaal open netwerk draait.
"Iemand op het lokale WiFi netwerk" kan niet meekijken met wat anderen op dat netwerk versturen en ontvangen, tenzij
het broadcasts/multicasts zijn (mDNS bijvoorbeeld).
12-02-2020, 16:51 door Anoniem
Door Anoniem:
Door Anoniem:
CloudFlare logt heel beperkt en heel kort (puur voor de technische controle van hun services.)
Daar weet je helemaal niks van!
Je kunt dat op afstand niet beoordelen en je weet niet hoe die termen gedefinieerd zijn.
Daarom zijn er audits.
12-02-2020, 17:20 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
CloudFlare logt heel beperkt en heel kort (puur voor de technische controle van hun services.)
Daar weet je helemaal niks van!
Je kunt dat op afstand niet beoordelen en je weet niet hoe die termen gedefinieerd zijn.
Daarom zijn er audits.
Met audits haal je niets naar boven wat geheim moet blijven.
Daarvoor zijn audits veel te oppervlakkig en veel te veel gebaseerd op wat er lokaal dan weer gedocumenteerd is.
De auditor leest de verklaringen zoals die ook al op de website staan en tekent dat af. Die gaat niet in het draaiende
systeem speuren naar logs of feeds naar externe loggers.

Bovendien betreft dit alleen de door het bedrijf zelf gestelde policy regels en niet de wetten van het land. Als de wetgever
zegt "jullie moeten alles loggen" of "jullie moeten alle verkeersinfo naar ons doorsturen" dan doen ze dat gewoon.
12-02-2020, 19:43 door Anoniem
NextDNS is het proberen waard als 'tweede' DoH resolver voor Firefox. Ik gebruik het nu 2 maanden naar tevredenheid. Ik ervaar geen verschil in performance zonder DoH. Misschien vanwege de uBlock origin Ff plugin. Ook gaat alles hier over VPN, kill switched verstrengeld met comodo firewall.
Cloudflare beschouw ik persoonlijk als google filiaal. Jammer, want ik vind de performance top. Een snelle resolver. Wereldwijd veel servers.
NextDNS had in het begin wat issues, zoals soms ALLE scripts blokkeren, maar de performance is meer dan verbeterd.
Qua privacy? Het blijft een Amerikaans bedrijf. Wel één met twee Franse oprichters die, naar eigen zeggen, privacy hoog hebben staan. Hun no-logs privacy policy stemt ook hoopvol. Maar de tijd zal het leren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.