DNS over TLS

DNS Abfragen nutzen standardmässig  UDP/TCP Verbindungen via Port 53 und laufen unverschlüsselt ab.

 

Bedeutet: DNS Abfragen werden als lesbarer Text übertragen und können problemlos mitgelesen werden.

 

Eine Sicherheit davor bietet hierbei die verschlüsselte DNS Abfrage "DNS over TLS". Die DNS Abfrage wird damit End-to-End zwischen eurer Firewall und dem DNS Anbieter verschlüsselt.

 

Die DNS Anbieter Cloudflare oder Quad9 bieten dies via Port 853 an und speichern nach eigenen Aussagen die Protokolldaten nicht bzw. löschen diese nach x Stunden, anders als die Provider oder Google DNS Server.

 

Wichtig Anzumerken, mit DNS over TLS seid Ihr nicht vor der Überwachung vom Provider/Staat geschützt!

 

Mit dieser Anleitung zeige ich euch die entsprechende Einrichtung. 

System -> General Setup

 

Hier die beiden Cloudflare DNS Server 1.1.1.1 und 1.0.0.1 hinzufügen.

Wichtig: Das Häcklein "Allow DNS Server list..." deaktivieren!

Services -> DNS Resolver -> Gerneral Settings

 

Öffnen der "Display Custom Options" und folgenden Inhalt einfügen:

server:
forward-zone:
name: "."
forward-ssl-upstream: yes
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853

Falls Quad9 als DNS Server genutzt werden soll, einfach folgendes einfügen: "forward-addr: 9.9.9.9@853"

Nun sollten alle DNS Abfrage von pfSense nach Aussen via TLS verschlüsselt werden.

 

Wireshark Aufzeichnung für DNS Server Verbindung:

DNS Paket mit verschlüsseltem Payload:

Kommentare: 0