Veiliger internetten met DNS over TLS
De Privédoorgifte (Private Relay) functie in iCloud+ (sinds iOS 15 en macOS Monterey) zorgt ervoor dat DNS-aanvragen vanaf je iPhone, iPad of Mac versleuteld worden. Hierdoor heb je altijd een versleutelde verbinding tussen je apparaat en de DNS-server op het internet. iCloud's Private Relay maakt hiervoor gebruik van DNS over HTTPS (DoH).
Het is echter ook mogelijk om op een router, zoals de Fritz!Box, deze functionaliteit te activeren voor al je apparaten binnen je netwerk. Hierdoor maken dan in één klap al je apparaten gebruik van een versleutelde DNS. Extra veilig!
Inhoud
Werking van een DNS server
Op het internet communiceren alle apparaten met behulp van IP-adressen met elkaar. Wanneer je een webadres opgeeft in de adresbalk van je browser, dan gaat deze bij een DNS-server vragen welk IP-adres bij de domeinnaam hoort, een zogenaamd DNS request.
Je kunt dit vergelijken met telefoonnummers opgeslagen in je iPhone. Je koppelt een herkenbare naam aan een telefoonnummer. Hierdoor kun je een persoon bellen door simpelweg zijn of haar naam te selecteren. Tegenwoordig kent bijna niemand meer dan tien telefoonnummers uit zijn hoofd.
De vertaling van domeinnaam naar een IP-adres wordt dus verzorgd door een DNS-server en dit neemt slechts enkele milliseconden in beslag. De DNS-server die je gebruikt is meestal die van je internetprovider, bijvoorbeeld van Ziggo, T-Mobile of KPN. Maar het kan ook een publiek toegankelijke DNS-server zijn van bijvoorbeeld Cloudflare (1.1.1.1) of Google (8.8.4.4).
DNS-veiligheidsproblemen
DNS is een functionaliteit die al vanaf het prille begin van het internet beschikbaar is. De laatste jaren zijn privacy en veiligheid op het internet een belangrijk onderwerp geworden. Op het gebied van veiligheid is DNS een probleem geworden, de verzoeken om een domeinnaam om te zetten naar een IP-adres worden in leesbare tekst en ongecodeerd over het internet naar de DNS-server gestuurd. Dit betekent dat het redelijk eenvoudig is om DNS-requests te onderscheppen en eventueel te manipuleren.
Een hacker kan via de DNS-verzoeken achterhalen dat je een bepaalde website wilt bezoeken, bijvoorbeeld marktplaats.nl. Op zich niet zo erg, maar de hacker kan ook het antwoord van de DNS-server manipuleren en je browser doorsturen naar een ander IP-adres. Op dit IP-adres is dan een malafide webserver aanwezig die een inlogpagina laat zien die 100% lijkt op de inlogpagina van de website die je wilt bezoeken. Met als doel, er vandoor gaan met je inloggegevens.
Een ander probleem van DNS-requests is dat je provider exact kan zien welke websites je allemaal bezoekt. Normaal gesproken worden de DNS-logbestanden bij providers slechts een korte tijd bewaard voor het geval er zich problemen met de DNS-server voordoen. Echter is het natuurlijk altijd de vraag of iedere provider zich hier aanhoudt en voldoet aan de Europese privacy richtlijnen (GDPR).
De DNS-logbestanden bevatten alle websites die jij bezoekt en zijn hierdoor interessant omdat exact kan worden opgemaakt waar je interesses liggen. Kies dus altijd voor een betrouwbare DNS-dienst, die gebruikmaakt van geen of minimale logbestanden.
DNS over HTTPS (DoH)
Om DNS-requests te beschermen tegen kwaadwillige is in 2018 door de IETF (Internet Engineering Task Force) een nieuw protocol voor beveiligde DNS-requests (RFC 8484) geïntroduceerd.
Zoals de naam al aangeeft vinden de DNS-requests plaatsen over een beveiligde HTTPS verbinding. Hierdoor zijn de DNS-requests niet meer leesbaar voor iedereen die dit verkeer analyseert. Bijkomend voordeel is dat de standaard poort 443 voor DNS over HTTPS wordt gebruikt. Hierdoor is het DNS-verkeer niet meer te onderscheiden van normaal HTTPS websiteverkeer omdat dezelfde poort wordt gebruikt.
Sinds iOS 14 en macOS Big Sur heeft Apple ondersteuning voor DoH. Om er echter gebruik van te kunnen maken moeten speciale connectie profielen worden aangemaakt. Er bestaat geen mogelijkheid om DoH via de standaard netwerkinstellingen in te stellen.
DNS over HTTPS is ook onderdeel van Private Relay (Privédoorgifte) in iCloud+ onder iOS 15 en macOS 12 Monterey of nieuwer. Om er gebruik van te kunnen maken heb je echter wel betaald iCloud+ nodig.
Op het moment dat DoH actief is zijn de DNS-requests vanaf dat apparaat niet meer zichtbaar op zowel het lokale netwerk als het internet. Een netwerkbeheerder kan hierdoor geen DNS-requests meer blokkeren voor gebruikers. Iets wat in bedrijfsnetwerken nog wel eens gebeurt wanneer malware wordt aangetroffen op apparaten. Een domein waarop een malware actief is kan dan niet meer centraal worden geblokkeerd.
DNS over TLS (DoT)
Naast DoH is er ook DoT (DNS over TLS) dit beveiligingsprotocol maakt gebruik van dezelfde encryptie als de DoH-variant. Echter in plaats van poort 443 wordt 843 voor de beveiligde DNS-requests gebruikt.
In tegenstelling tot DNS over HTTPS kan echter wel worden gedetecteerd dat er een DNS-request wordt gedaan omdat dit plaats vind op poort 843. De inhoud van verkeer is echter niet zichtbaar omdat deze versleuteld is.
Over het algemeen wordt DNS over TLS vaak gebruikt op routers om alle apparaten binnen het netwerk te voorzien van veilige DNS-requests. Omdat DoT op de router wordt ingesteld, zal het DNS-request vanaf een apparaat ongecodeerd naar de router worden gestuurd. Hierna wordt het verzoek pas versleuteld. Binnen het lokale netwerk blijft het dus mogelijk om te achterhalen welke websites er worden bezocht en kunnen eventueel bepaalde domeinen worden geblokkeerd.
DoH of DoT gebruiken?
DNS over TLS versleuteld de DNS-requests vanaf je router, DNS over HTTPS vanaf het apparaat waarop het actief is. In beide gevallen is het hoofddoel: versleutelen van het DNS-verkeer van en naar de DNS-server. De inhoud van het DNS-request verkeer kan niet worden achterhaald en/of aangepast worden.
Voor de aanbieders van een DNS-diensten blijft het altijd mogelijk om te achterhalen welke websites worden bezocht. Deze verwerken nu eenmaal de omzetting van domeinnaam naar IP-adres.
Als je router DNS over TLS ondersteund dan is het aan te raden om deze functionaliteit te activeren. Je bent er dan zeker van dat alle DNS-requests van al je apparaten versleuteld over het internet gaan. Zonder dat je iets op je netwerkapparaten hoeft aan te passen.
DNS over HTTPS zal je op ieder apparaat individueel moeten instellen. Voor een thuisnetwerk is dan ook DNS over TLS een betere oplossing, tenzij je samenwoont met een hacker.
Om gebruik te kunnen maken van DoH of DoT moet je een DNS-server/dienst gebruiken die dit ondersteunt. Op dit moment ondersteunen de grootste internet aanbieders van Nederland KPN en Ziggo nog geen versleutelde DNS.
De Google DNS (8.8.4.4) en Cloudflare DNS (1.1.1.1) bieden deze functionaliteit gratis aan. Met als bijkomend voordeel dat ze ook nog een sneller zijn dan de gemiddelde DNS-servers van een provider.
DNS over TLS instellen op een Fritz!Box
Bezit je een Fritz!Box dan kun je vanaf Fritz!OS v7.20 eenvoudig DNS over TLS instellen. In de onderstaande stappen gaan we de versleutelde DNS-server van Cloudflare DNS configureren.
- Log in op de Fritz!Box
- Ga naar Internet > Toegangsgegevens > DNS Server.
- Activeer de optie "Versleutelde naamresolutie op internet (DNS over TLS)"
- Zorg ervoor dat de optie 'Certificaatcontrole afdwingen...' is geactiveerd.
- Activeer de optie "Fallback naar niet-versleutelde naamresolutie op internet toestaan"
- Vul bij Resolutienamen van de DNS-servers in: 1dot1dot1dot1.cloudflare-dns.com
- Klik op de knop 'Toepassen' rechtsonderin het scherm.
DNS over TLS is nu ingesteld. Je kunt dit controleren door naar https://1.1.1.1/help te gaan. Bij 'Using DNS over TLS (DoT)' zal 'YES' worden weergegeven.
Mocht dit niet het geval zijn herstart dan je apparaat, hierdoor wordt de lokale DNS-cache op je apparaat gewist. Hierna is DoT actief voor alle DNS-requests.
Door de fallback optie val je automatisch terug op een niet versleutelde DNS-server als de versleutelde DNS (tijdelijke) niet beschikbaar is. Wil je dit niet dan moet je de fallback optie uitschakelen.
Eventueel kun je met het kdig commando (via Homebrew) ook controleren of DoH en DoT werkt.
| Auteur | Richard IJzermans | |
| Datum | 22/12/2021 19:55 | |
| Categorie | macOS, Privacy | |
Reacties
Reactie op vorige post….
Om het te laten werken op al je Apple apparaten (mac, iPhone, iPad etc) moet je iCloud private relay uitzetten. Anders werkt het niet
Nou ik heb een nieuwe fritzbox. Alles gedaan wat er staat. Maar het werkt niet
Ik heb de gegevens op mijn Fritz!box aangepast en ik krijg de indruk dat de algehele internet snelheid omhoog is gegaan. Dit zijn lekkere tips! Thanx! ??
Ziggo en KPN bieden zelf geen secure DNS servers aan, alleen een standaard niet versleutelde DNS server. Je kunt echter wel gebruikmaken van de Secure DNS (DoT of DoH) via de Cloudflare DNS servers zoals in het artikel staat beschreven.
Wil je DoT (DNS over TLS) gebruiken dan moet je router dit ondersteunen. Op de Fritzbox is deze optie aanwezig.
In het artikel staat:
Op dit moment ondersteunen de grootste internet aanbieders van Nederland KPN en Ziggo nog geen versleutelde DNS.
Het heeft dus nog geen zin op een Ziggo modem.
Ja, daar ben ik ook benieuwd naar
En hoe dan met Ziggo’s modem ?