Je wordt in de gaten gehouden. We bieden middelen om uw privacy te beschermen.

Aangepaste DNS over HTTPS-resolvers toevoegen aan DNSCloak

Gepubliceerd door: nitrohorse
Vertaald door: SeemsLegit
Geplaatst op: 3 sep 2019

DNSCloak is een open-source DNSCrypt en DNS over HTTPS (DoH) client voor iOS, die gebruikers de mogelijkheid biedt om hun DNS-verzoeken te versleutelen door het gebruik van een on-device VPN-profiel.

Hoewel de gebruikersinterface in hoge mate kan worden geconfigureerd, is deze niet intuïtief voor minder technisch onderlegde gebruikers en kunnen gebruikers niet gemakkelijk aangepaste DoH-resolvers toevoegen, afgezien van de standaard “publieke-resolvers” lijst die het DNSCrypt-project biedt.

Alvorens in te duiken is het belangrijk om te begrijpen dat, hoewel er veel nuance is in DNSCrypt en DoH, deze twee DNS-protocollen in wezen dezelfde doelen bereiken: Ze bieden beide gebruikers de mogelijkheid om al het DNS-verkeer naar de gewenste upstream-provider(s) te versleutelen, terwijl ze voorkomen dat DNS-kaping, spoofing en afluisteren door derden plaatsvindt.

De ontwikkeling van deze DNS-protocollen is spannend. Echter, in tegenstelling tot Android 9 dat ingebouwde ondersteuning heeft voor DNS over TLS (een ander protocol met vergelijkbare doelen), laat iOS helaas niet toe dat gebruikers gemakkelijk enige vorm van versleutelde DNS kunnen inschakelen (maar dat kan in de toekomst wel gebeuren). DNSCloak vult dus het gat voor iOS-gebruikers om vandaag de dag van deze protocollen te kunnen profiteren.

Deze gids loopt u door het opzetten van DNSCloak om verbinding te maken met elke publieke resolver die DoH ondersteunt.

Een aangepaste oplossing toevoegen

DNSCloak biedt een “Config Editor” waarmee u een “dnscrypt-proxy optie kunt overschrijven of toevoegen”.

U kunt meer informatie over de verschillende configuratieopties vinden in het voorbeeldconfiguratiebestand in het codearchief van dnscrypt-proxy. Maar, als u helemaal naar beneden scrollt vindt u een [statisch.’myserver’] gedeelte samen met een zegel eigenschap. Dit stempel is voor het toevoegen van de DNS-stempel van uw resolver, een gecodeerde string die alle benodigde informatie bevat om verbinding te maken met een versleutelde DNS-resolver. U kunt denken aan stempels als QR-code, maar dan wel voor DNS.

Het genereren van een stempel

Sommige providers geven u een DNS-stempel voorgeprogrammeerd. Als uw provider dit doet, geweldig! U kunt naar de volgende sectie gaan. Op het moment van schrijven van dit bericht is CZ.NIC de enige provider op privacy-tools.nl die hun gebruikers niet voorziet van een DNS-stempel voor hun DoH-oplosser op hun website, wat de adoptie wat moeilijker maakt. Gelukkig kunnen we wel zelf een DNS-stempel aanmaken.

Om een DNS-stempel te genereren, host DNSCrypt een DNS-stempelcalculator (die u ook offline kunt downloaden, compileren en uitvoeren) die we kunnen invullen met de informatie van onze DNS-provider. We gebruiken de informatie van CZ.NIC als voorbeeld om onze stempel te genereren.

We zullen drie dingen moeten weten over de DoH-oplosser die u kiest:

  1. IP address
  2. Host name
  3. Path

Blader naar de webpagina van CZ.NIC – er is een Engelstalige optie bovenaan de pagina – en scroll naar beneden naar “How to turn on DNS-over-HTTPS (DoH)” en noteer de URL (in dit geval, https://odvr.nic.cz/doh).

Zoek vervolgens de IPv4-adressen van de DoH-oplosser in een van de Windows-, macOS- of Linux-installatiesecties en kopieer één daarvan (in dit geval 193.17.47.1 of 185.43.135.1).

Nu kunnen we wat we hebben verzameld in de postzegelcalculator plakken:

  • IP address: 193.17.47.1
  • Host name: odvr.nic.cz
  • Path: /doh

We zullen merken dat de DNS-stempel sdns://AgMAAAAAAACzE5My4xNy40Ny4xAAtvZHZyLm5pYy5jegQvZG9o is.

Resolvers toevoegen aan DNSCloak

Nu we een DNS-stempel hebben gegenereerd, kunnen we onze nieuwe configuratie kopiëren en plakken onderin DNSCloak’s Config Editor:

[static.’CZ.NIC-193.17.47.1′]stamp = ‘sdns://AgMAAAAAAAAACzE5My4xNy40Ny4xAAtvZHZyLm5pYy5jegQvZG9o’

Selecteer het vinkje in de rechterbovenhoek om uw configuratie op te slaan, en het zou goed moeten zijn om te gaan!

Maak verbinding, en we kunnen eindelijk DNSCloak werkt zoals verwacht door een bezoek aan DNSLeakTest.com:

Cloudflare's Resolver voor Firefox toevoegen

Een andere publieke DoH-oplosser die we misschien willen gebruiken is Cloudflare’s publieke oplosser voor Firefox, die een strenger loggingbeleid heeft dan de standaardoplosser van Cloudflare.

Met deze informatie kunnen we een stempel genereren:

  • IP address: 1.1.1.1
  • Host name: mozilla.cloudflare-dns.com
  • Path: /dns-query

U kunt nu de volgende door ons gegenereerde stempel in DNSCloak’s Config Editor plakken en de resolver gebruiken.

[static.’Cloudflare Resolver for Firefox’]stamp = ‘sdns://AgUAAAAAAAAABzEuMS4xLjEAGm1vemlsbGEuY2xvdWRmbGFyZS1kbnMuY29tCi9kbnMtcXVlcnk’

Samenvatting

Houd er rekening mee dat versleutelde DNS de hostnaam (bijvoorbeeld blog.privacytools.io) van de sites die u bezoekt niet zal verbergen voor uw ISP vanwege SNI*.

Als je op zoek bent naar anonimiteit, moet je de Tor Project Onion Browser gebruiken (maar wees je bewust van de beperkingen). Aan de andere kant, als u gewoon uw browsegeschiedenis wilt verbergen voor uw ISP, moet u kijken naar self-hosting van een VPN met Outline of het gebruik van WireGuard (indien ondersteund) of Passepartout met een VPN-provider die u bereid bent te vertrouwen met uw browsegeschiedenis in plaats daarvan.

Maar voor extra veiligheid en meer privacy van derden is versleutelde DNS een goede plek om te beginnen.

* Op het moment van dit bericht is gecodeerde SNI alleen beschikbaar voor testen in Firefox Nightly, en zal hopelijk in de nabije toekomst worden geïntegreerd met andere browsers en platforms.

Reageren

Reacties op deze blog zijn voor de veiligheid uitgeschakeld.
Wil je alsnog reageren op deze blog?
Gebruik dan één van de onderstaande knoppen.

Vertel het door en help je vrienden

Mobiel

           
           

URL en beschrijving kopiëren

Voor gemakkelijk kopiëren en plakken. Deel dit tekstfragment.

Doneer

Geen advertenties, geen Google Analytics, geen filialen, geen cross-site verzoeken.
privacy-tools.nl is een sociaal gemotiveerde website die informatie biedt voor het beschermen van uw gegevensbeveiliging en privacy.
Vertrouw nooit een bedrijf met uw privacy, maak altijd gebruik van encryptie.
-------------------------------------------------------------------------------------
Aangedreven door JohnTM | Site Index | Issues / Report / Suggesties| Privacybeleid | Over ons & Contact