Problemi configurazione DNS over TLS su Fritzbox

adkilo

Salve a tutti
Sto provando a far funzionare l'opzione DNS over TLS, utilizzando l'hostname di Quad9, ma niente... ho aperto la porta 853 sul router (Fritzbox), ma continua a saltare e non sono nemmeno del tutto sicuro che stia funzionando. Ho abilitato l'opzione per impedire che utilizzi la configurazione di fallback, ma utilizzando alcuni siti online (es. Tenta o Cloudflare) me lo indica sempre come connessione NON sicura.
Altra cosa strana è che ho notato come il router tenda a utilizzare l'IP secondario di Quad9 (e non il principale 9.9.9.9).
Ultima cosa, ma qui ammetto la mia ignoranza, utilizzando dnsleaktest ho notato come la richiesta al resolver passi attraverso molti IP diversi, presumo sia la funzionalità di IP anycast di Quad9... quindi in teoria tutti questi server ricevono gli stessi pacchetti e quindi il mio IP? Non mi è ben chiaro come operi la funzionalità anycast. Ma non è poco sicuro (per la privacy) che questo avvenga? Non parlo della questione performance che mi interessa relativamente.

matteocontrini

adkilo

1) perché dici aprire la porta? Non devi aprire porte per usare DoT come client

2) il fallback puoi lasciarlo

3) in che senso "connessione non sicura"? Il DNS non riguarda le connessioni ma la risoluzione degli IP. Se vedi IP Quad9 su dnsleaktest sei a posto

Gli IP Quad9 che vedi sono i loro server DNS, ovviamente se ti affidi a quel servizio il servizio può sapere tutti i domini che risolvi.

Io trovo che la questione privacy in relazione al DNS sia ampiamente sovrastimata... se il vostro ISP vuole sapere che siti visitate lo può comunque fare con inspection HTTP o di TLS SNI. Se invece il motivo di usare Quad9 o CF è evitare Google per me è insensato perché la privacy policy di 8.8.8.8 è molto chiara. Se il motivo è evitare il supporto a EDNS Client Subnet: che senso ha nascondere la propria subnet (nemmeno l'IP) a un server DNS se mezzo secondo dopo in ogni caso viene usato il proprio IP per le comunicazioni? Il tutto con il rischio di ridurre le prestazioni dei servizi offerti via CDN: https://forum.fibra.click/d/9833-dns-cloudflare-attenzione-alle-cdn

https://fibra.click/dns/

adkilo

matteocontrini 1) perché dici aprire la porta? Non devi aprire porte per usare DoT come client

Intendevo sul router.

3) in che senso "connessione non sicura"? Il DNS non riguarda le connessioni ma la risoluzione degli IP. Se vedi IP Quad9 su dnsleaktest sei a posto

Sì certo, in linea di massima so come funzione un DNS, intendevo la connessione tra router (più che client, dato che non intendo utilizzare DoH) e server DNS per la risoluzione degli IP.

Gli IP Quad9 che vedi sono i loro server DNS, ovviamente se ti affidi a quel servizio il servizio può sapere tutti i domini che risolvi.

Ma si vedono molti IP perché utilizza IP anycast? (nel senso che non avendo una loro rete proprietaria, questa viene esposta)

Io trovo che la questione privacy in relazione al DNS sia ampiamente sovrastimata... se il vostro ISP vuole sapere che siti visitate lo può comunque fare con inspection HTTP o di TLS SNI. Se invece il

Su questo non sono molto d'accordo. E' vero che potrebbero esserci modi alternativi per ricavare un'elenco di domini visitati, ma si tratterebbe comunque di azioni "onerose" per un ISP che non credo compierebbe senza uno specifico motivo. Altro discorso è se hai logs che poi ritieni per un tempo indeterminato e non esiste una policy che specifica come, quando e se li utilizzi.

motivo di usare Quad9 o CF è evitare Google per me è insensato perché la privacy policy di 8.8.8.8 è molto chiara.

Proprio perché è chiara, che voglio evitare di usarlo... tra Google e Cloudflare meglio quest'ultimo piuttosto.
Quad9 dichiara di non conservare IP (nemmeno per 24 o 48 ore), anche se poi condivide logs parziali anonimizzati.

matteocontrini

Visto ora...

https://forum.fibra.click/d/21810-configurare-dns-over-tls-su-fritz/37

matteocontrini

adkilo Intendevo sul router.

Anche io. Non è necessario

adkilo Ma si vedono molti IP perché utilizza IP anycast? (nel senso che non avendo una loro rete proprietaria, questa viene esposta)

Non so se ho capito. Gli IP che vedi sono gli IP dei server DNS. Li vedi perché per le query in uscita dal resolver usano quegli IP e non l'IP Anycast (che funziona per le richieste in ingresso).

adkilo E' vero che potrebbero esserci modi alternativi per ricavare un'elenco di domini visitati, ma si tratterebbe comunque di azioni "onerose" per un ISP che non credo compierebbe senza uno specifico motivo.

L'inspection la fanno, è così che possono stimare quanto traffico streaming video c'è, ad esempio. Ci sono mille modi per profilarti oltre il DNS, Vodafone lo fa anche con la rete mobile senza tanti giri di parole: https://www.vodafone.it/portal/Aziende/Grandi-Aziende/Soluzioni/Soluzioni/analytics

Non dico non abbiano senso DoT/DoH (ce l'ho attivo anche io ovunque). Però il provider il traffico lo vede comunque e se vuole un tuo profilo lo costruisce a prescindere dal DNS.

adkilo Proprio perché è chiara, che voglio evitare di usarlo... tra Google e Cloudflare meglio quest'ultimo piuttosto. Quad9 dichiara di non conservare IP (nemmeno per 24 o 48 ore)

Non ho capito di cosa hai paura. Che Google abbia il tuo IP per una settimana? Beh, sappi che ce l'hanno già permanentemente se hai un account Google o anche solo hai visitato questo forum 🙂

adkilo

matteocontrini
Beh almeno si cerca di rendere più complicata la cosa, in questo senso dicevo più "oneroso" di un semplice log.
Dubito che Google conosca il mio IP, su questo sito, dato che blocco javascript in modo selettivo e non uso nulla di Google da desktop. 🙂

PS.
Quindi se non ho capito male, il router non tiene conto della configurazione del firewall (nel caso qui fosse bloccato il traffico TCP/UDP verso la porta 853) e comunicando con il DNS configurato considera sempre aperta quella porta?

matteocontrini Non so se ho capito. Gli IP che vedi sono gli IP dei server DNS. Li vedi perché per le query in uscita dal resolver usano quegli IP e non l'IP Anycast (che funziona per le richieste in ingresso).

Non mi è ben chiaro questo punto. Perché vedo 4-5-6 IP diversi e non un unico IP in uscita, come invece accade con tutti gli altri DNS che ho provato?

matteocontrini

adkilo Dubito che Google conosca il mio IP, su questo sito, dato che blocco javascript in modo selettivo e non uso nulla di Google da desktop. 🙂

Basta Google Fonts. Ma se non è qui è un altro sito. Per me è inutile nascondere l'IP al resolver DNS di Google... Non ci fanno nulla sia perché c'è scritto nella privacy policy sia perché ci sono altri mille metodi mille volte più semplici e approfonditi con cui Google profila gli utenti. Ad esempio basta un click su reCaptcha (che non puoi evitare) e la fingerprint è fatta.

adkilo Quindi se non ho capito male, il router non tiene conto della configurazione del firewall (nel caso qui fosse bloccato il traffico TCP/UDP verso la porta 853) e comunicando con il DNS configurato considera sempre aperta quella porta?

Ma penso di essermi perso da quando i Fritzbox hanno un firewall configurabile 😆

Il traffico DNS di risposta chiaramente viene gestito dal router. Non so se parli delle regole di port forwarding... Altrimenti non ho capito.

Il traffico DNS di risposta comunque arriva a una porta sorgente ephemeral che è indicata nel pacchetto UDP ed è scelta circa-casualmente prendendo da un range di porte che è comunque >1023. Nel caso di DoT c'è TLS di mezzo e quindi TCP, ma l'effetto osservabile è lo stesso, la connessione TCP parte da una porta random sulla WAN del router e il router si attende una risposta lì. Il connection tracking poi fa il resto in modo trasparente e si occupa di tenere "aperta" la porta finché la comunicazione è in corso. Non so esattamente come sia implementato tutto ciò sui fritzbox.

adkilo Non mi è ben chiaro questo punto. Perché vedo 4-5-6 IP diversi e non un unico IP in uscita, come invece accade con tutti gli altri DNS che ho provato?

Non lo so, presumo che gli altri resolver abbiano un algoritmo deterministico (o una sticky session) per decidere verso quale server viene indirizzato un pacchetto che arriva all'IP Anycast, quindi se fai più query arrivi sempre allo stesso server con lo stesso indirizzo IP in uscita verso i server authoritative. Ma conosco Anycast solo superficialmente quindi potrei dire cose imprecise, invoco @gandalf2016.

gandalf2016

matteocontrini
Google e altri big fanno load balancing tra varii server dietro gli IP anycast.
Per questo vede IP diversi, son quelli unicast di ciascun server.

Sì può fare con BGP Multipath dando alle varie rotte lo stesso costo, per esempio.

adkilo

matteocontrini Basta Google Fonts. Ma se non è qui è un altro sito. Per me è inutile nascondere l'IP al resolver DNS di Google... Non ci fanno nulla sia perché c'è scritto nella privacy policy sia perché ci sono altri mille metodi mille volte più semplici e approfonditi con cui Google profila gli utenti. Ad esempio basta un click su reCaptcha (che non puoi evitare) e la fingerprint è fatta.

Ho detto che blocco selettivamente javascript, ma blocco pure Google fonts (il dominio, ovunque). Solo in casi rarissimi, quando è in uso recaptcha, questo lo sblocco temporaneamente (così come altre librerie se sono su google, o le risorse gstatic), ma sono rari i casi in cui per proseguire la navigazione è necessario attivarlo. Si può navigare tranquillamente bloccando il 99,99% di google (è ovvio che se uso google.it catturano il mio IP indipendentemente dal fatto che io blocchi risorse loro - ma non è questo il punto, se voglio il mio IP lo nascondo dietro a una VPN - è una questione di NON fiducia verso Google, che ovviamente si può non condividere). Poi ovviamente dipende dal dispositivo che uso, cosa devo farci etc...

matteocontrini Ma penso di essermi perso da quando i Fritzbox hanno un firewall configurabile

Parlo dei profili dei dispositivi di rete (ognuno ha filtri ad hoc). Presumo che in questo caso non faccia differenza cosa viene bloccato o no, giusto?

matteocontrini lui però dice di vedere IP diversi con Quad9 e lo stesso IP con "altri DNS", tra cui presumo Cloudflare e Google.

Sì esatto con altri DNS (ISP, google, cloudflare, vari di VPN, etc...) vedo sempre un unico IP, solo con Quad9 vedo almeno 3-4 IP diversi, tutti riconducibili a quad9. Parlo del test effettato su dnsleaktest.com

Questo è un esempio

Cloudflare

NextDNS

Effettivamente usando il DoH di Google vedo questo

Quindi il motivo è quello indicato da @gandalf2016 giusto?

matteocontrini

gandalf2016 lui però dice di vedere IP diversi con Quad9 e lo stesso IP con "altri DNS", tra cui presumo Cloudflare e Google. Quindi il dubbio era nel secondo caso cosa succede in pratica. Mi immagino ci sia qualche sorta di indirizzamento deterministico, hash-based o non so cosa

handymenny

matteocontrini

In realtà diversi danno sempre IP diversi, ad esempio con Google vedo 12 IP diversi, con Opendns 10, con quelli iliad 3.
Mentre altri come Wind e Cloudflare hanno un solo IP che fa da resolver per colo (ma non è detto che ci sia un solo server ad occuparsene)

In ogni caso è semplice load balancing (e non mi stupirebbe se fosse L4)

[cancellato]

adkilo Parlo dei profili dei dispositivi di rete (ognuno ha filtri ad hoc).

Mia opinione: prima di fare filtri avanzati più o meno a caso, uno dovrebbe sapere per lo meno le basi di ciò che sta facendo.

Bloccare Google e permettere altre centinaia di aziende che comunque campano con le attività di profilazione utente è al limite del complottismo, senza contare che i tuoi dati possono essere condivisi anche dal backend del server che contatti, non solo dai client.

adkilo

[cancellato]
Se ti riferisci a me, ovviamente non blocco solo google, e non blocco a caso (e il blocco non avviene solo a livello del router, ma su più livelli). Bloccare a casaccio può significare interrompere funzionalità utili o necessarie. Alcuni siti ospitano decine di traccianti, spesso fancedosi beffa della normativa vigente, utilizzando cookies o altre tecnologie più subdole.
Intervenire direttamente è l'unico modo per fare una scelta consapevole, questo è ciò che penso, ovviamente questo non significa che non esistano sotterfugi per aggirare alcuni blocchi, ma se voglio limitare ulteriormente l'area di esposizione PII ci sono altri strumenti più efficaci.
Ma l'idea che "tanto non serve a nulla" o "ti profilano comunque", non rientra nel mio modo di vedere le cose, e non penso che sia una questione di complottismo (che rimane una semplice opinione altrui, del valore che può avere qualsiasi altra opinione).
Tra l'altro siti ripuliti da codice di prima e terza parte superfluo sono più veloci da caricare, oltre al fatto che si riduce la superficie d'attacco.

[cancellato] senza contare che i tuoi dati possono essere condivisi anche dal backend del server che contatti, non solo dai client.

Se condividono i dati e non lo dichiarano, o lo dichiarano non permettendone il blocco, se ne assumono la responsabilità (GDPR)

adkilo

handymenny
Giusto per curiosità, in caso di load balacing, ogni server coinvolto mantiene di solito un log di queste attività, o i logs vengono centralizzati?

handymenny

adkilo Sicuro non c'è una risposta generica - magari qualcuno di quei servizi nemmeno ha un log delle richieste DNS - dovresti chiedere a chi fornisce il servizio o controllare se viene menzionata la cosa nella privacy policy, io non ne ho idea

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile