Verschlüsselt, anonymisiert, schützt alles!
Zu den Methoden, das Nutzungsverhalten von Internetnutzern zu überwachen oder deren Zugriff auf Inhalte im Internet zu zensieren, was von Befürwortern als „Internet-Sperre“ bezeichnit wird, zählen Manipulationen der Namensauflösung und des Domain Name System (DNS). Bekannt sind Manipulationen in Ländern wie China. In Deutschland und Europa wurden in der Vergangenheit ähnliche Eingriffe vorgenommen oder Versuche zur Entwicklung und Durchsetzung von Zensur-Infrastrukturen gestartet. Auch Geheimdienste haben ein reges Interesse am Blockieren, Abfangen und Auswerten von Anfragen zur Namensauflösung wie das QUANTUMTHEORY/QUANTUMDNS System der 5-Eyes Geheimdienste aufgezeigt hat.
Zu den Methoden zur Abwehr der eigenen Überwachung und der Eingriffe in die Rezipientenfreiheit über die oben genannten Manipulationen gehört die Änderung der Konfiguration der Namensauflösung und Nutzung des DNS, um Zensur-Infrastrukturen und manipulierte Nameserver zu umgehen.
Nach der Installation von Tor wird in die Tor Konfigurationsdatei /etc/tor/torrc eingefügt:
DNSPort 127.0.0.1:1053
DNSCrypt-Proxy ist ein DNS Proxy, der das DNSCrypt Protokoll in Version 1 und 2, das keine offizielle Spezifikation der IETF ist und das DNS Queries over HTTPS (DoH) Protokoll nach IETF RFC8484 implementiert. Mit beiden Protokollen werden Anfragen und Antworten zur Namensauflösung verschlüsselt zwischen dem Proxy und DNS-Resolvern ausgetauscht, die DNSCrypt und/oder DoH ebenfalls unterstützen.
Zusätzlich hat DNSCrypt-Proxy u. a. weitere Funktionen:
Alternativ kann man auch den fdns (Firejail DoH/DoT Proxy server) verwenden.
Ggf. muss golang aus einen aktuelleren Zweig (z. B. testing Repository) installiert werden.
sudo aptitude install git golang mkdir dcp cd dcp git clone https://github.com/jedisct1/dnscrypt-proxy src cd src/dnscrypt-proxy/ go clean env CGO_ENABLED=0 go build -mod vendor sudo adduser --system --disabled-password --disabled-login --home /var/cache/dnscryptproxy --shell /bin/false --group dnscrypt-proxy sudo chmod 750 /var/cache/dnscryptproxy sudo mkdir /etc/dnscryptproxy sudo chown :dnscrypt-proxy /etc/dnscryptproxy sudo chmod 750 /etc/dnscryptproxy sudo mkdir /var/log/dnscryptproxy sudo chown dnscrypt-proxy:adm /var/log/dnscryptproxy sudo chmod 750 /var/log/dnscryptproxy sudo cp ./example-dnscrypt-proxy.toml /etc/dnscryptproxy/dnscrypt-proxy.toml sudo chown :dnscrypt-proxy /etc/dnscryptproxy/dnscrypt-proxy.toml sudo cp -f ../../linux-amd64/dnscrypt-proxy /usr/local/sbin/ sudo chown root:root /usr/local/sbin/dnscrypt-proxy sudo chmod 755 /usr/local/sbin/dnscrypt-proxy rm -Rf ../../linux-amd64
Aktualisierung:
cd /pfad/dcp/src git pull origin master
Alternativ kann man ein bereits erstelltes Binary herunterladen und installieren. Das Archiv enthält auch Beispiel-Konfigurationsdateien.
Anschließend die dnscryptproxy.service Unit-Datei herunterladen und in das entsprechende Verzeichnis kopieren:
[Unit] Description=DNSCrypt-Proxy After=network.target network-online.target tor.service Requires=tor.service Wants=network-online.target Before=dnsmasq.service [Service] Type=simple User=dnscrypt-proxy Group=dnscrypt-proxy RuntimeDirectory=dnscryptproxy RuntimeDirectoryMode=750 CacheDirectory=dnscryptproxy CacheDirectoryMode=750 LogsDirectory=dnscryptproxy LogsDirectoryMode=750 ConfigurationDirectory=dnscryptproxy ConfigurationDirectoryMode=750 PIDFile=/run/dnscryptproxy/proxy.pid ExecStart=/usr/local/sbin/dnscrypt-proxy -config /etc/dnscryptproxy/dnscrypt-proxy.toml -pidfile /run/dnscryptproxy/proxy.pid ExecStop=/bin/kill -TERM $MAINPID TimeoutStartSec=180 Restart=on-failure RestartSec=10s UMask=0027 RestrictAddressFamilies=AF_INET RestrictRealtime=true RestrictNamespaces=true RestrictSUIDSGID=true PrivateDevices=true PrivateTmp=true PrivateUsers=true ProtectControlGroups=true ProtectClock=true ProtectHome=true ProtectHostname=true ProtectKernelModules=true ProtectKernelTunables=true ProtectKernelLogs=true ProtectProc=invisible ProtectSystem=strict ProcSubset=pid RemoveIPC=true InaccessiblePaths=/boot /root /home ReadWritePaths=/run/dnscryptproxy /var/cache/dnscryptproxy /var/log/dnscryptproxy MemoryDenyWriteExecute=true NoNewPrivileges=true IPAddressAllow=localhost IPAddressDeny=any LockPersonality=true CapabilityBoundingSet= SystemCallArchitectures=native SystemCallFilter=@system-service SystemCallFilter=~@privileged @resources SystemCallErrorNumber=EPERM [Install] WantedBy=multi-user.target
sudo cp dnscryptproxy.service /etc/systemd/system/ sudo systemctl daemon-reload sudo systemctl enable dnscryptproxy.service
sudo vi /etc/dnscryptproxy/dnscrypt-proxy.toml
server_names = ['name1', 'name2', 'nameN'] oder
# server_names
require_dnssec = true
require_nolog = true
require_nofilter = true
disabled_server_names = ['cisco', 'cloudflare', 'cloudflare-ipv6', 'google', 'quad9-name', 'yandex']
Es wird nur die Auswahl der benannten DNSCrypt-Resolver verwendet oder – wenn auskommentiert – alle der Liste der DNSCrypt-Resolver. Wählt man die zweite Option, sollte man die require_* Optionen aktivieren, um nur die Resolver zu nutzen, die DNSSEC Prüfungen selbst ausführen oder auswerten und erklärt haben, keine Anfragen zu protokollieren, sie nicht zu filtern oder zu blockieren (aus welchen Gründen auch immer). In der disabled_server_names Option können die Namen der Resolver eingetragen werden, die nicht angefragt werden sollen, selbst wenn sie die require_* Bedingungen erfüllen.
listen_addresses = ['127.0.0.1:port']
Der DNSCrypt-Proxy lauscht nur lokal an IP-Adresse 127.0.0.1 am angegebenen Port (z. B. 1153) auf Anfragen.
ipv4_servers = true|false
ipv6_servers = true|false
Einstellung, ob man nur DNS-Resolver ansprechen will, die über IPv4 oder IPv6 erreichbar sind.
dnscrypt_servers = true
DNS-Resolver, die das DNSCrypt Protokoll unterstützen, werden verwendet.
doh_servers = true
DNS-Resolver, die das DNS Queries over HTTPS (DoH) Protokoll unterstützen, werden verwendet.
force_tcp = true
proxy = "socks5://127.0.0.1:9050"
Für die Anonymisierung des Datenverkehrs mit den DNS-Resolvern über Tor. Alternativ kann man auch Anonymized DNS mit Relays als anonymisierende Proxys konfigurieren. Anonymized DNS geht nur mit DNScrypt-Resolvern und UDP (also force_tcp = false). Mit Anonymized DNS nutzt man entweder DoH nicht anonymisiert per Tor plus DNScrypt anonymisiert oder nur DNScrypt anonymisiert. Für eine ähnliche Anonymisierung des DNS-Traffics zu DoH-Resolvern über Proxys haben Cloudflare und Apple bei der IETF Oblivious DNS (ODoH) eingereicht.
lb_strategy = 'methode'
lb_estimator = true
Mit random als Methode werden Anfragen zufällig auf alle Resolver verteilt, unabhängig von ihren Antwortzeiten. Mit p2 oder ph statt random werden Anfragen zufällig auf die zwei Resolver mit den kürzesten Antwortzeiten oder die Hälfte aller Resolver mit kürzesten Antwortzeiten verteilt, wobei die p2/ph Listen dynamisch bei Veränderungen der Antwortzeiten neu gebildet werden. Mit first wird stets der Resolver verwendet, der die kürzeste Antwortzeit von allen Resolvern aufweist.
Mit der aktivierten zweiten Einstellung wird kontinuierlich die Latenz der Resolver ermittelt und die Resultate bei der Sortierung der Listen verwendet.
use_syslog = false
Ausgaben des DNSCrypt-Proxy werden nicht in Systemlogs mitprotokolliert.
dnscrypt_ephemeral_keys = true
tls_disable_session_tickets = true
tls_cipher_suite = [nr1, nrN]
Für jede Anfrage werden neue Schlüssel erzeugt, statt nur einmalig beim Start, TLS Session-Tickets werden deaktiviert und dem Server, von dem die Liste der DNSCrypt-Resolver heruntergeladen wird wie auch den DoH-Servern werden die mit nr bezeichneten TLS Cipher-Suites vorgegeben. Achtung: Die in der Beispiel-Konfigurationsdatei angegebenen Beispiel Cipher-Suites tls_cipher_suite = [52392, 49199] unterstützt download.dnscrypt.info gerade nicht.
fallback_resolver = '127.0.0.1:1053'
ignore_system_dns = true
Angabe von Tor als DNS-Resolver, über den die Auflösung des Domainnamens erfolgen soll, von dem die Liste der DNSCrypt-Resolver heruntergeladen wird. Einen herkömmlichen DNS-Resolver kann man z. B. in den DNS-Resolver/Server Listen aussuchen.
netprobe_timeout = 10
netprobe_address = "127.0.0.1:1053"
Adresse und Port an die eine Verbindungsanfrage gesendet wird, um Internetkonnektivität festzustellen, bevor DNSCrypt-Proxy gestartet wird. Es wird n Sekunden auf einen erfolgreichen Verbindungsaufbau gewartet bzw. mit 0 die Funktion deaktiviert.
block_ipv6 = true|false
IPv6 Anfragen werden verarbeitet oder direkt blockiert.
block_unqualified = true
A/AAAA Anfragen zu Hostnamen ohne Domainnamen werden direkt blockiert.
block_undelegated = true
Anfragen zu Adressen lokaler Zonen werden direkt blockiert.
log_files_max_size = 1
log_files_max_age = 1
log_files_max_backups = 1
Die Logdateien in /var/log/dnscryptproxy/ werden von DNSCrypt-Proxy selbst rotiert. Mit den obigen Optionen erreichen sie eine maximale Größe von 1 MB und danach wird von jeder Logdatei ein Backup angelegt, das maximal einen Tag vorgehalten wird. Will man keine Logdateien anlegen, belässt man die Angaben zu Namen und Pfaden auskommentiert.
forwarding_rules = '/etc/dnscryptproxy/forwarding-rules.txt'
In der Regeldatei können ähnlich wie mit der fallback_resolver Option Anfragen zu weiteren Domainnamen unverschlüsselt an spezifische DNS-Resolver weitergeleitet werden.
domain.tld Resolver-IP-Adresse1[,Resolver-Ip-AdresseN]
cloaking_rules = '/etc/dnscryptproxy/cloaking-rules.txt'
In der Regeldatei können ähnlich wie in der /etc/hosts Datei Domainnamen (oder ihren Mustern) statische IP-Adressen zugeordnet werden. Statt IP-Adressen können auch andere Domainnamen eingesetzt werden, deren IP-Adressen nach Auflösung den ursprünglichen Domainnamen zugeordnet werden (siehe auch Cache Poisoning).
localhost 127.0.0.1 domain.tld IP-Adresse domain1.tld domain2.tld
cache_size = n
Bestimmt die maximale Anzahl von n aufgelösten Domainnamen, die im RAM-Zwischenspeicher für erneute Abfragen vorgehalten werden. Standard sind 512 Einträge, aber n sollte <= n bei Dnsmasq sein.
[local_doh]
# listen_addresses = ['127.0.0.1:port']
# path = "/dns-query"
# cert_file = '/etc/dnscryptproxy/name.pem'
# cert_key_file = '/etc/dnscryptproxy/name-key.pem'
DNSCrypt-Proxy kann neben seiner Funktion als DNS-Proxy zusätzlich als lokaler DoH Server arbeiten, wenn man die Einstellungen aktiviert, die benötigten Zertifikate erstellt und das Zertifikat der lokalen Root-CA in Anwendungen importiert, die direkte Verbindungen zu DoH Servern verlangen, um per DoH Namen aufzulösen.
[query_log]
file = '/var/log/dnscryptproxy/query.log'
format = 'tsv'
ignored_qtypes = ['DNSKEY', 'NS']
Logdatei, in der die Anfragen im Tab-separated values Format mitprotokolliert werden können.
[nx_log]
file = '/var/log/dnscryptproxy/nx.log'
format = 'tsv'
Logdatei, in der Anfragen zu nicht extistierenden Zonen mitprotokolliert werden können.
[blacklist]
blacklist_file = '/etc/dnscryptproxy/blacklist.txt'
log_file = '/var/log/dnscryptproxy/blacklist.log'
log_format = 'tsv'
[ip_blacklist]
blacklist_file = '/etc/dnscryptproxy/ip-blacklist.txt'
log_file = '/var/log/dnscryptproxy/blacklist.log'
log_format = 'tsv'
[whitelist]
whitelist_file = '/etc/dnscryptproxy/whitelist.txt'
log_file = '/var/log/dnscryptproxy/whitelist.log'
log_format = 'tsv'
Mit der Muster-Blacklist für Domainnamen, der IP-Blacklist für IP-Adressen oder ihren Anteilen und der Muster-Whitelist für Domainnamen können ausgehende Anfragen gefiltert bzw. blockiert oder generell zugelassen werden.
[sources]
cache_file = '/var/cache/dnscryptproxy/public-resolvers.md'
Absolute Pfadangabe zur Datei, in der die Liste der DNSCrypt-Resolver heruntergeladen wird.
Dnsmasq ist ein DNS-Resolver/Server, DNS-Cache und DHCP-Server. In der Anleitung wird Dnsmasq nur als DNS-Resolver eingesetzt, der lokale Adressen direkt auflöst und alle weiteren Anfragen an DNSCrypt-Proxy2 und/oder Tor weiterleitet.
sudo aptitude install dnsmasq
Anschließend die dnsmasq.service Unit-Datei herunterladen und in das entsprechende Verzeichnis kopieren:
[Unit] Description=dnsmasq - A lightweight DHCP and caching DNS server Requires=network.target Wants=nss-lookup.target Before=nss-lookup.target After=network.target dnscryptproxy.service [Service] Type=forking User=dnsmasq Group=nogroup RuntimeDirectory=dnsmasq RuntimeDirectoryMode=0750 PIDFile=/run/dnsmasq/dnsmasq.pid PermissionsStartOnly=true ExecStartPre=/usr/sbin/dnsmasq --test ExecStartPre=/usr/local/bin/dnsmasq_blocklist ExecStart=/usr/sbin/dnsmasq -x /run/dnsmasq/dnsmasq.pid -C /etc/dnsmasq.conf ExecStartPost=/bin/sh -c 'echo "nameserver 127.0.0.1" | /sbin/resolvconf -a lo.dnsmasq && /usr/bin/chmod 644 /run/resolvconf/interface/lo.dnsmasq' ExecStop=/bin/sh -c '/sbin/resolvconf -d lo.dnsmasq && /bin/kill -TERM $MAINPID' ExecReload=/bin/kill -HUP $MAINPID CapabilityBoundingSet=CAP_NET_BIND_SERVICE AmbientCapabilities=CAP_NET_BIND_SERVICE PrivateTmp=yes PrivateDevices=yes NoNewPrivileges=yes IPAddressAllow=localhost IPAddressDeny=any LockPersonality=true MemoryDenyWriteExecute=true ProtectClock=true ProtectControlGroups=true ProtectHome=yes ProtectHostname=true ProtectKernelLogs=true ProtectKernelModules=true ProtectKernelTunables=true ProtectProc=invisible ProtectSystem=full ProcSubset=pid InaccessiblePaths=/boot /root /home ReadOnlyPaths=/etc /usr ReadWritePaths=/var/log/dnsmasq /etc/dnsmasq.d RemoveIPC=true RestrictAddressFamilies=AF_INET AF_UNIX AF_NETLINK RestrictNamespaces=~cgroup ipc net mnt pid user uts RestrictRealtime=true RestrictSUIDSGID=true SystemCallArchitectures=native SystemCallFilter=@system-service SystemCallFilter=~@obsolete @mount @resources @privileged SystemCallErrorNumber=EPERM UMask=0027 [Install] WantedBy=multi-user.target
sudo systemctl stop dnsmasq.service sudo systemctl disable dnsmasq.service sudo cp dnsmasq.service /etc/systemd/system/ sudo systemctl daemon-reload sudo systemctl enable dnscryptproxy.service
sudo chown dnsmasq:root /etc/dnsmasq.conf sudo chmod 440 /etc/dnsmasq.conf sudo vi /etc/dnsmasq.conf
port=53
interface=lo
listen-address=127.0.0.1
except-interface=nic-name
no-dhcp-interface=lo
bind-interfaces
Dnsmasq lauscht nur lokal am Loopback-Interface (127.0.0.1) und Port 53 auf DNS-Anfragen zur Namenauflösung, DHCP wird nicht bedient.
no-resolv
no-poll
Die Adressen der Nameserver, an die Dnsmasq die Anfragen weiterleitet (DNSCrypt-Proxy2 und Tor), werden direkt in der Dnsmasq Konfiguration definiert und deshalb die Auswertung und Überwachung auf Änderungen der /etc/resolv.conf Datei deaktiviert.
domain-needed
bogus-priv
dns-loop-detect
stop-dns-rebind
rebind-localhost-ok
proxy-dnssec
cache-size=n
Bestimmt die maximale Anzahl von n aufgelösten Domainnamen, die im RAM-Zwischenspeicher für erneute Abfragen vorgehalten werden. Standard sind 150 Einträge, aber n sollte >= n bei DNSCrypt-Proxy2 sein.
local=/domainname1/
local=/domainnameN/
Angabe rein lokal existierender Domainnamen und FQDNs, die nur direkt über die Einträge in der /etc/hosts Datei aufgelöst werden bzw. hier die in der /etc/hosts vorhandenen Domainnamen einsetzen.
address=/host.domain.tld1/a.b.c.d
address=/host.domain.tldN/a.b.c.d
Die aufgeführten Domainnamen werden nicht durch Anfragen an Nameserver aufgelöst, sondern ihnen wird direkt eine statische IP-Adressen zugeordnet. Kann ergänzend zur /etc/hosts Datei oder alternativ zur Cloaking Regeldatei von DNCrypt-Proxy2 eingesetzt werden.
server=/.onion/127.0.0.1#1053
server=/.exit/127.0.0.1#1053
server=/.i2p/127.0.0.1#4444
server=/download.dnscrypt.info/127.0.0.1#1053
server=/raw.githubusercontent.com/127.0.0.1#1053
server=127.0.0.1#1153
Man kann das Modell auch umkehren, wenn man nur spezifische Domainnamen über DNSCrypt-Proxy2 auflösen lassen will und für alle anderen Domainnamen die anonymisierte Namensauflösung über Tor bevorzugt:
server=/domain1/127.0.0.1#1153 server=/domainN/127.0.0.1#1153 server=/.i2p/127.0.0.1#4444 server=127.0.0.1#1053
log-facility=/var/log/dnsmasq/logfile
log-queries
Anfragen und Statusmeldungen von Dnsmasq werden in der angegebenen Logdatei mitprotokolliert.
Die blacklist.txt Blacklist von DNSCrypt-Proxy kann man auch für die Blockierung der Namensauflösung der Domains von Tracker- und Werbe-Dienstleistern direkt in Dnsmasq als DNS Sinkhole verwenden, sofern in der DNSCrypt-Proxy Blacklist nur Domainnamen, aber keine Muster verwendet werden.
Man speichert das folgende „dnsmasq_blocklist“ Skript in /usr/local/bin. Das Skript liest die DNSCrypt-Proxy Blacklist aus (die man mit einem Editor um neue, zu blockierende Tracker-Domains ergänzt) und erstellt die Dnsmasq Blacklist mit address=„/tracker.domain/“ Einträgen für jede Domain, so dass eine Anfrage zu tracker.domain von Dnsmasq mit NXDOMAIN beantwortet wird:
#!/bin/sh dcpblockfile="/etc/dnscryptproxy/blacklist.txt" dmblockfile="/etc/dnsmasq.d/blacklist.txt" if [ ! -f "$dmblockfile" ]; then touch "$dmblockfile" else echo -n "" > "$dmblockfile" fi while read line; do domain="/${line}/" echo "address=\"${domain}\"" >> "$dmblockfile" done < $dcpblockfile exit 0
$ dig @127.0.0.1 -p 53 -t A -4 kissmetrics.com ; <<>> DiG 9.11.3-1~bpo9+1-Debian <<>> @127.0.0.1 -p 53 -t A -4 kissmetrics.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 18196 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;kissmetrics.com. IN A
Die dnsmasq.conf Dnsmasq-Konfigurationsdatei wird abgeändert, um die Dnsmasq Blacklist einzulesen:
conf-dir=/etc/dnsmasq.d/,*.txt
Sofern noch nicht installiert, das resolvconf Paket nachinstallieren:
sudo aptitude install resolvconf
Danach ist dafür Sorge zu tragen, dass in der letztendlich genutzten resolv.conf Konfigurationsdatei nur auf localhost und damit Dnsmasq als DNS-Resolver zur Namensauflösung verwiesen wird:
nameserver 127.0.0.1
Bei dynamischer Konfiguration der Netzwerkkarte per DHCP wird die resolv.conf Datei überschreiben und die Adressen der Nameserver eingesetzt, die der DHCP Client vom DHCP Server erhält, so dass man dafür Sorge tragen muss, dass ein Überschreiben der resolv.conf Datei unterbleibt.
Unter Debian erreicht man das durch Entfernung von domain-name-servers in der request Zeile und Auskommentieren von prepend domain-name-servers 127.0.0.1; in /etc/dhcp/dhclient.conf:
request subnet-mask, (…)
domain-name-servers
prepend domain-name-servers 127.0.0.1;