[Aporte] Activar DNS over HTTPS (DoH) en Mozilla Firefox

Iniciado por kub0x, 9 Julio 2019, 17:18 PM

0 Miembros y 1 Visitante están viendo este tema.

kub0x

Hace unos días se hablabá de la inclusion de DNS over HTTPS en Firefox, el cual resuelve uno de los problemas más graves del ancestral protocolo DNS: la privacidad. Cada vez que visitas un sitio web, tu navegador se encarga de enviar y recibir una solicitud que traduce la dirección web que estás visitando a una dirección IP, este proceso puede ser visto por cualquiera dentro de tu red local o bien por tu ISP, aunque la web cuente con HTTPS esto no evita que terceros sepan que sitios visitas, aunque no sepan que contenidos de dichos sitios visualizas. Esto se evita realizando una petición HTTPS encapsulándo la consulta DNS, y cómo HTTPS autentica al servidor además de negociar una clave de cifrado con el mismo, pues el resultado es que ningún tercero sepa que sitios visitas, además de que le es imposible modificar dichos paquetes. OJO que DoH no ofrece autenticación, es decir, nadie puede leer ni modificar los paquetes, pero el servidor DNS puede ser o no el legítimo (para paliar esto tenemos Dnssec).

Lo he activado hoy, y verificado mediante Wireshark que todo va cifrado. Firefox de normal hace las consultas DNS en plano así que cuando lo abres, las entradas mas visitadas o los highlights los puede ver un atacante puesto que Firefox hará consultas DNS, pero con DoH eso ya no sucede. Tened en cuenta que esto solo se aplica al tráfico DNS generado en Firefox, el resto de componentes de tu sistema operativo están sujetos al servidor DNS especificado en la pila TCP/IP o bien del router.

Después de esta introducción tan simple, os dejo un enlace donde podeís activar el uso de este protocolo -> https://www.zdnet.com/article/how-to-enable-dns-over-https-doh-in-firefox/

Y si alguien utiliza los servidores de Google, dejo la URL necesaria para sustituir la que viene de cloudflare en Firefox -> https://dns.google/dns-query

Saludos.
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


cspj

Hola,

¿Cuándo dices que los has verificado mediante Wireshark, que es lo que has confirmado realmente?

En mi experiencia, con
network.trr.bootstrapAddress = 1.1.1.1
network.trr.mode = 3
network.trr.uri = https://mozilla.cloudflare-dns.com/dns-query
network.security.esni.enabled = true

Al visitar sitios como youtube, o la propia web de chekeo https://www.cloudflare.com/ssl/encrypted-sni/ el server name sigue viendose en claro en Wireshark.

Te pasa lo mismo? No sé si me estoy saltando algo


MinusFour

#2
Cita de: cspj en 10 Octubre 2019, 17:27 PM
Hola,

¿Cuándo dices que los has verificado mediante Wireshark, que es lo que has confirmado realmente?

En mi experiencia, con
network.trr.bootstrapAddress = 1.1.1.1
network.trr.mode = 3
network.trr.uri = https://mozilla.cloudflare-dns.com/dns-query
network.security.esni.enabled = true

Al visitar sitios como youtube, o la propia web de chekeo https://www.cloudflare.com/ssl/encrypted-sni/ el server name sigue viendose en claro en Wireshark.

Te pasa lo mismo? No sé si me estoy saltando algo



Youtube no soporta ESNI. Puedes ver que sitios web soportan ESNI usando:

Código (bash) [Seleccionar]

dig _esni.nombredelsitio.com TXT


Si obtienes una respuesta de un texto en base64, es probable que lo soporten. Por ejemplo CloudFlare:


;; ANSWER SECTION:
_esni.cloudflare.com.   3600    IN      TXT     "/wHhUpSpACQAHQAgUXREKNMgA4hpZre0LRbkYY2fyb0IVJcr7CMlOu5lm3sAAhMBAQQAAAAAXZthAAAAAABdo0oAAAA="


También puedes usar:
https://mxtoolbox.com/TXTLookup.aspx

O cualquier otra herramienta para hacer queries a servidores DNS.

@XSStringManolo

Muy buen aporte Kub0x. Estoy seguro que no tardaremos en ver un montón de comentarios sobre DoH y malware. Mucha gente no lo conoce.