piHole - DNS over TLS/HTTPS e Nginx

Crysis235x

Ciao a tutti,

cerco di spiegarmi al meglio: ho effettuato il deploy di piHole su una VM Azure.

La VM ha un IP Pubblico esposto ed è possibile raggiungerla mediante IP o risoluzione DNS, ad esempio:
http://178.78.22.11/admin
http://miodns.cloud.azure.com/admin

Attualmente la VM ha la porta 53 esposta solo su richieste DNS (la porta 80 per richieste HTTP l'ho momentaneamente chiusa): di fatto configurando l'IP della VM come DNS di un dispositivo viene effettuata correttamente al risoluzione dei domini -> Quindi tutto il giro funziona.

Quello che vorrei fare adesso è rendere la VM compatibile con le richieste DoT (DNS over TLS) o DoH (DNS over HTTPS).

Qualcuno ha esperienze o suggerimenti?

stemax97

Crysis235x La VM ha un IP Pubblico esposto ed è possibile raggiungerla mediante IP o risoluzione DNS,

Crysis235x di fatto configurando l'IP della VM come DNS di un dispositivo

Un open-resolver su Internet non è una grande idea, può essere fonte di DDoS una volta che viene individuato: https://discourse.pi-hole.net/t/safe-to-expose-pi-hole-to-the-internet-for-my-personal-use/50021

simonebortolin

Se vuoi fare una cosa semplice usa adguard, altrimenti c'è una procedura complicata con un proxy che ora non mi viene in mente il nome

Crysis235x

simonebortolin Ho trovato questa guida (https://adguard.com/en/blog/adguard-home-on-public-server.html) ma immagino che nel mio caso non ci sia bisogno della parte di acquisto della VM. Vorrei gestire tutto io e usare Azure.

stemax97 le VM Azure hanno già una protezione anti-DDoS e la VM è blindata, per capirci risponde solo a richieste DNS su porta 53 (sono bloccate anche risposte a pacchetti ICMP per intenderci).
Se dovessi rilevare qualcosa di strano potrei pensare ad inserire un WAF (ma non credo sarà necessario).

Marco25 L'idea è proprio quella di rendere il tutto disponibile. Tra l'altro sia la VM che il piHole sono configurati in modo da non raccogliere logs (sul piHole ho abilitato l'impostazione di anonymization mentre sulla VM ci sono dei crontab che eliminano ogni giorno i files di logs).

Consigli?
Suggerite di passare ad AdGuard Home? È affidabile e sicuro quanto piHole o dietro le quinte invia i dati in giro?

La cosa che mi preme è avere DoH e DoT in modo da chiudere la porta 53 e accettare richieste DNS solo sulla porta 443 (immagino sia quella per il DoT e il DoH).

Marco25

Un server DoH è meno rischioso di un server DNS classico, ma sarebbe comunque utilizzabile da chiunque. Puoi usare https://github.com/DNSCrypt/encrypted-dns-server ma è caldamente preferibile nascondere sia interfaccia web che dns tramite una VPN, self-hosted o Tailscale https://tailscale.com/kb/1114/pi-hole/

simonebortolin

Crysis235x Ho trovato questa guida (https://adguard.com/en/blog/adguard-home-on-public-server.html) ma immagino che nel mio caso non ci sia bisogno della parte di acquisto della VM. Vorrei gestire tutto io e usare Azure.

No no io parlo di usare Adguard Home OSS su Azure, come se fosse in locale

https://github.com/AdguardTeam/AdGuardHome

Anche se confermo cioè che dice @stemax97 e @Marco25 sulla bassa sicurezza di ciò

Crysis235x Consigli?
Suggerite di passare ad AdGuard Home? È affidabile e sicuro quanto piHole o dietro le quinte invia i dati in giro?

la versione OSS no.

Crysis235x La cosa che mi preme è avere DoH e DoT in modo da chiudere la porta 53 e accettare richieste DNS solo sulla porta 443 (immagino sia quella con il DoT e il DoH).

altrimenti su pihole quì c'è un suggerimento di come fare: https://forum.fibra.click/d/16515-consigli-pi-hole-e-scelta-blocklist-attendibili/34 (io personalmente non lo ho testato)

Marco25

Crysis235x le VM Azure hanno già una protezione anti-DDoS e la VM è blindata, per capirci risponde solo a richieste DNS su porta 53 (sono bloccate anche risposte a pacchetti ICMP per intenderci).

Non dossano te, ma il DNS può essere usato per DoS verso altri https://it.wikipedia.org/wiki/DNS_Amplification_Attack. Inoltre dimenticavo questo problema https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-server-cache-snooping-attacks

Crysis235x L'idea è proprio quella di rendere il tutto disponibile.

A meno che tu non voglia condividerlo con una vasta platea di utenti, non ne vedo il motivo.

Crysis235x

simonebortolin grazie 🙂 L'installazione di AdGuard Home mi sembra banale come per piHole.
Immagino che per la parte DoH e DoT debba seguire questa parte (https://github.com/AdguardTeam/AdGuardHome/wiki/Encryption).

Sbaglio o mi ritroverei le porte 443 e 853 aperte?
Immagino dovrò blindarle al solo protocollo DNS che resterà cifrato.

La parte che mi è poco chiara riguarda il certificato e la private key: posso gestirle eventualmente anche con openssl?

simonebortolin

Crysis235x Immagino che per la parte DoH e DoT debba seguire questa parte (https://github.com/AdguardTeam/AdGuardHome/wiki/Encryption).

esatto

Crysis235x Sbaglio o mi ritroverei le porte 443 e 853 aperte?

beh è corretto

Crysis235x Immagino dovrò blindarle al solo protocollo DNS che resterà cifrato.

Ma vuoi solo DoH?

Crysis235x La parte che mi è poco chiara riguarda il certificato e la private key: posso gestirle eventualmente anche con openssl?

c'è scritto tutto nella guida, mi sembra che faccia riferimento ad un certificato come let's encrypt o zerossl

Crysis235x

simonebortolin Ma vuoi solo DoH?

Entrambi e vorrei chiudere le richieste fatte su IP (quindi DNS su porta 53).

Marco25 Non dossano te, ma il DNS può essere usato per DoS verso altri https://it.wikipedia.org/wiki/DNS_Amplification_Attack.

Ne sono consapevole ma teoricamente le BotNet dovrebbero essere tracciate da Microsoft ed essere limitate (nel caso ci sia un tentativo). In ogni caso, su piHole, c'è un limite di default che blocca troppe richieste DNS da determinati IP.
È comunque un buon esperimento capire tra quanto cercheranno di sfruttare questa VM e sperimentare una mitigazione.

Marco25 Inoltre dimenticavo questo problema https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-server-cache-snooping-attacks

In generale non raccolgo logs: su piHole ho impostato anonymization (https://docs.pi-hole.net/ftldns/privacylevels/) e sulla VM ci sono Crontab che cancellano ogni sera i files. -> DOMANDA: esiste un'opzione simile su AdGuard Home?

In ogni caso questo tipo di attacco è da "mettere in conto" ma non così tanto se il DNS viene utilizzato da più persone. In ogni caso le liste filtrano oltre 1.000.000 di domini quindi i risultati dell'attacco potrebbero essere falsati.

Marco25

Crysis235x DOMANDA: esiste un'opzione simile su AdGuard Home?

Non ho una risposta secca ma se salva log su file puoi cancellarli con cron o un timer di systemd, oppure sostituisci il file dove salverebbe con un link simbolico a /dev/null. Se invia sul journal, puoi filtrarli.

Crysis235x

Effettuata la configurazione di AdGuard Home su una VM: devo dire che ha requisiti minimi minori di PiHole e ha delle feature di sicurezza niente male già disponibili.

Ho effettuato anche la configurazione DoH e DoT con successo e tutto sembra funzionare.

Adesso cercherò di capire come creare uno Scale Set in modo che tutto sia scalabile.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile