Versleutelde DNS-requests met Pi-hole

Alieke van Sommeren31 juli, 2018• min. leestijd

Inhoudsopgave

Inleiding

Het grootste deel van het internetverkeer is inmiddels versleuteld. DNS-requests gaan echter nog steeds gewoon als leesbare tekst via de kabels – en daardoor kunnen derden inzicht krijgen in je internetgedrag. Met een Raspberry Pi, Pi-hole en Stubby kun je ook dat privacylek dichten.

In c’t 7-8/2018 pagina 126 hebben we laten zien hoe je de Raspberry Pi als DNS-filter gebruikt om malware, reclame en trackers uit je hele netwerk te houden. Daar hebben we het totaalpakket Pi-hole bij gebruikt, dat makkelijk te installeren is en via zijn webinterface eenvoudig geconfigureerd kan worden.

De Raspberry Pi loopt met enkel die taak zeker niet tegen zijn grenzen aan, dus dat biedt mooi gelegenheid om hem ook te gebruiken voor DNS over TLS (DoT). Dat is nog een effectieve maatregel ter bescherming van je privacy. Hiermee worden je DNSrequests versleuteld verzonden in plaats van als leesbare tekst. In c’t 10/2018 gaan we wat meer in op de achtergronden daarvan, nu richten we ons op de praktijk.

Stubby op de client

Het is mogelijk om Stubby zoals hier beschreven te gebruiken op een Raspberry Pi in combinatie met het trafficfilter Pi-hole, zodat alle clients in je netwerk beveiligd zijn. Je kunt Stubby echter ook stand-alone op een computer installeren om de DNS-requests daarvan te versleutelen. De ontwikkelaars bieden kant-en-klaar gecompileerde versies voor Windows, Linux en macOS (zie de link rechtsonder). Die laatste is zelfs al met een grafische gebruikersinterface te besturen. Stubby luistert op de lokale netwerkinterface van de client, je moet bij de netwerkconfiguratie 127.0.0.1 als DNS-server opgeven.

We gaan er vanuit dat je al een Raspberry Pi met Pi-hole hebt draaien. Als dat nog niet het geval is, volg dan eerst het artikel uit de c’t 7-8/2018, waar het installeren stap voor stap wordt behandeld. Wil je niet een Raspberry Pi als DNS-filter gebruiken, dan kun je met het concept dat we hier beschrijven ook Windows-, Linux- en macOS-clients instrueren om zelf de DNS-requests te versleutelen (zie het kader ‘Stubby op de client’).

Pi-hole gebruikt daarbij de DNSserver dnsmasq om de DNS-requests uit het lokale netwerk te beantwoorden. Die stuurt het request uiteindelijk ook alleen maar door naar een andere nameserver – en dat in leesbare tekst. Om ervoor te zorgen dat de via Pi-hole afgehandelde communicatie met de nameserver op internet versleuteld wordt, heb je wat extra hulp nodig.

Handige hulp

Daar blijkt Stubby goede diensten te kunnen bewijzen. Die tool van het DNS Privacy Project beantwoordt DNSrequests lokaal via UDP-poort 53, maar communiceert naar buiten via DoT met DNS-servers op internet (via TCP-poort 853). De dnsmasq van Pi-hole stuurt zijn requests dan niet meer naar een externe nameserver, maar naar de lokale Stubby.

Daardoor filtert Pi-hole de DNS-requests van clients in het lokale netwerk in eerste instantie net als voorheen, voordat ze naar Stubby worden gestuurd. Die stuurt ze versleuteld door naar nameservers op internet. Als je niet met een nieuwe Raspbian-installatie start, moet je een image van de sd-kaart in de Pi maken voordat je begint. Bij Windows kan dat bijvoorbeeld met Win32 Disk Imager, onder Linux en macOS met het commando dd.

Dan kun je later altijd nog de oude situatie herstellen als er iets misloopt of als je niet tevreden bent met de name-resolving via DoT.

Stubby installeren

Toen we aan dit artikel begonnen, zat Stubby nog niet in de Raspbian-repository – het goede nieuws is dat je de broncode die op Github staat makkelijk op de Raspberry Pi kunt compileren. Daarmee zorg je ervoor dat je altijd de laatste versie krijgt. Voor het compileren heb je maar een paar commando’s nodig.

Maak eerst via SSH verbinding met de Raspberry Pi en installeer de benodigde pakketten met het volgende commando:

sudo apt-get install libtool autoconf m4 libssl-dev libyaml-dev

Vervolgens download je de code van Github en begin je met het compileren:

git clone https://github.com/getdnsapi/getdns.git

cd getdns

git submodule update --init

libtoolize -ci

autoreconf -fi

mkdir build

cd build

../configure --prefix=/usr/local --without-libidn --without-libidn2 --enable-stub-only --with-stubby

make

Daarna start je het installeren met sudo make install en werk je de bibliotheekcache bij met sudo /sbin/ldconfig. Dan wordt het tijd alles te gaan configureren. Open het configuratiebestand met sudo nano /usr/local/etc/stubby/stubby.yml en verander bij ‘LISTEN ADDRESS’ het poortnummer waar Stubby lokaal mee moet werken.

Standaard gebruikt de tool de DNS-poort 53 – maar die wordt al gebruikt door de DNS-server van Pi-hole. In plaats daarvan kun je bijvoorbeeld poort 5353 gebruiken:

listen_addresses:

- 127.0.0.1@5353

- 0::1@5353

Daarna geef je bij ‘UPSTREAMS’ nog aan naar welke DNS-server Stubby de DNS-requests via DoT moet sturen. Een groot aantal servers is al geactiveerd, een aantal andere is uit gecommentarieerd door een hekje (#) aan het begin van de regel en daardoor niet actief. Het aanbod is groot: op de lijst staan onder meer commerciele aanbieders als Cloudflare (1.1.1.1) en Google (8.8.8.8), waarvan je een hoge snelheid en beschikbaarheid mag verwachten.

Zij geven aan de informatie die tot personen te herleiden is, dus met name het ip-adres van een gebruiker, na hoogstens 48 uur te verwijderen. Andere data zoals het opgevraagde domein en het gebruikte verbindingsprotocol worden daarentegen langer opgeslagen en geanalyseerd.

Alternatief

Als je die bedrijven niet vertrouwt, zijn er ook talrijke niet-commerciële DNS-resolvers die al met DoT overweg kunnen. Een daarvan is getdnsapi.net, die net als Stubby bij het DNS Privacy Project hoort. Een ander data beschermingsvriendelijk alternatief is securedns.eu. De exploitant daarvan geeft aan geen data in combinatie met DNS te loggen. Verwijder in het configuratiebestand de hekjes bij de servers die je wilt gebruiken, en zet juist wel een hekje bij servers waarvan je niet wilt dat Stubby die gebruikt.

Met de parameter round_robin_ upstreams onder ‘CONNECTION SETTINGS’ kun je instellen of Stubby de requests over meerdere DNS-servers moet verspreiden. Die optie is standaard ingeschakeld. Als je die waarde op 0 zet, dan gebruikt Stubby de eerste DNS-server op de lijst. Is die niet bereikbaar, dan wordt er automatisch doorgeschakeld naar de tweede op de lijst.

Zodra je klaar bent met het configuratiebestand, sla je de veranderingen op met Ctrl+O en Enter en beëindig je de teksteditor nano met Ctrl+X. Test daarna met sudo stubby of het installeren gelukt is. Vervolgens beëindig je de tool weer met Ctrl+C.

Stubby is daarna een essentiële component in je netwerkinfrastructuur – als die tool niet draait, dan kan Pi-hole geen name-resolving meer uitvoeren en is het internet dood voor je netwerk. Omdat het programma dus altijd actief moet zijn, moet je het instellen als systemd-service. Door de Git-checkout heb je al een passend sjabloon voor de dienst, namelijk het bestand stubby.service in het pad /home/pi/getdns/stubby/ systemd/.

Open dat bestand met nano:

nano /home/pi/getdns/stubby/systemd/stubby.service

en verander daarin de waarde met de naam ‘ExecStart’ van /usr/bin/stubby naar /usr/local/bin/stubby. Sla de verandering weer op met Ctrl+O, Enter en Ctrl+X. Vervolgens kopieer je het sjabloon nog naar de juiste plek op het systeem:

sudo cp /home/pi/getdns/stubby/systemd/stubby.service /lib/systemd/system/

Voordat je de dienst start, moet je met sudo useradd stubby een nieuwe gebruiker aanmaken omdat Stubby anders als root uitgevoerd zou kunnen worden. Bovendien moet je nog de cache-directory aanmaken. Dat doe je met het commando sudo mkdir /var/cache/stubby. Dan zijn alle benodigde voorbereidingen zo’n beetje klaar.

Activeer en start de Stubbyservice met de volgende commando’s:

sudo systemctl enable stubby

sudo systemctl start stubby

Met het volgende commando kun je verifiëren of Stubby daadwerkelijk op poort 553 op DNS-requests staat te wachten:

dig @127.0.0.1 -p 5353 ct.nl

Als alles goed is gegaan, dan antwoordt de tool met het ip-adres van de c’t-server. Stubby is dan gestart – en jij bent bijna bij je doel. Je moet er namelijk nog wel even voor zorgen dat Pi-hole de binnenkomende DNS-requests van het lokale netwerk naar Stubby doorstuurt.

Andere tak

De op dit moment actuele versie 3.3.1 van Pi-hole staat bij het invoeren van een DNS-server echter niet toe dat je een poortnummer meegeeft, zodat je alleen de standaardpoort voor DNS (53) kunt gebruiken. Dat probleem is het eenvoudigst op te lossen door over te stappen van de stabiele master-versie naar de nog in ontwikkeling zijnde FTLDNS-branch.

Die werkte bij ons op meerdere apparaten zonder problemen bij het dagelijks gebruik. Met de volgende commando’s schakel je over naar die branch:

echo "FTLDNS" | sudo tee /etc/pihole/ftlbranch

pihole checkout core FTLDNS

pihole checkout web FTLDNS

Na de twee checkout-commando’s bevestig je telkens met y van yes dat je die overstap daadwerkelijk wilt maken. De installer bekommert zich om de rest van het verhaal. De huidige configuratie wordt daarbij overgenomen. Als je terug wilt naar de master-branch, staan de bijbehorende commando’s in een blogpost van de Pi-hole-ontwikkelaar.

Na het installeren van Stubby stel je die DNS-tool in als DNS-server in de webinterface van Pi-hole.

Na het wisselen van versie open je de Pi-hole-webinterface (http://pi.hole/ admin) en log je in met je wachtwoord. Daarna ga je links in het menu naar ‘Settings / DNS’ en deactiveer je de tot dan toe gebruikte DNS-server door het vinkje ernaast simpelweg te verwijderen. Activeer in plaats daarvan ‘Custom 1 (IPv4)’ en geef als ip-adres 127.0.0.1#5353 op.

Bij die gelegenheid kun je ook meteen ‘Use DNSSEC’ inschakelen om het valideren van cryptografische signatures door Pi-hole in te schakelen. Met een klik op ‘Save’ wordt de nieuwe configuratie dan overgenomen.

Vertrouwen is goed …

Je Pi-hole wikkelt de DNS-requests dan dankzij Stubby af via DNS over TLS. Om jezelf daarvan te verzekeren, kun je een blik werpen op het dataverkeer van de Raspberry Pi. Daar heb je de packet-sniffer tcpdump voor nodig, die je heel makkelijk installeert met sudo apt-get install tcpdump. Kijk eerst eens naar het DNS-verkeer op UDPpoort 53:

sudo tcpdump -A -i eth0 udp and port 53

Als de Raspberry Pi via wifi met het netwerk verbonden is, moet je de interface eth0 vervangen door wlan0. Als je dan internet opgaat met een client waarbij Pihole als DNS-server is ingesteld, kun je de DNS-requests meelezen als gewone tekst – en dat voor zowel de aangevraagde domeinen als de antwoordpakketten met de ip-adressen.

Dat is echter geen reden tot ongerustheid, want als alles goed geconfigureerd is dan duiken daar alleen pakketten op die de Raspberry Pi en de clients binnen het lokale netwerk uitwisselen (met bijvoorbeeld ip-adressen in de vorm van 192.168.x.y). Die leesbare pakketten halen het internet niet meer.

Dat zie je als je het DNS-over-TLS-verkeer van de Raspberry Pi laat weergeven:

sudo tcpdump -A -i eth0 tcp and port 853

In plaats van leesbare tekst zie je nu alleen nog maar cryptische datapakketten die aan de ingestelde DoT-server gericht zijn. De versleutelde pakketten geven geen uitsluitsel over de opgevraagde domeinen –het DNS-datalek is daarmee succesvol gedicht.

Performance

Stubby is nu wel het tweede tussen station waar de DNS-requests langs moeten op hun weg naar het doel. Dat betekent automatisch dus wel dat de pakketten wat langer onderweg zijn. Bovendien wordt in plaats van het onbeveiligde UDP nu het door TLS beveiligde TCP gebruikt. Dat betekent natuurlijk ook nog extra overhead.

We hebben de snelheid gemeten met de benchmarktool DNSBench om te achterhalen hoe groot de extra latentie is die je krijgt door DNS over TLS. We hebben eerst gemeten hoe lang Pi-hole nodig heeft voor requests naar de snelle DNS-service van Cloudflare (1.1.1.1).

DNS-requests voor domeinen die zich niet in de cache bevinden, duurden gemiddeld 97 milliseconden. Met DNS over TLS steeg de latentie naar 160 milliseconden – een toename van 60 procent. Dat lijkt heel veel, maar bij het testen was er van dat verschil weinig te merken.

Pi-hole haalt veel requests bovendien uit zijn cache, wat aanzienlijk sneller gaat. Een herhaald request naar het ip-adres van ct.nl leidt dan ook alleen de eerste keer naar de DNS-server op internet.

(Ronald Eikenberg, Noud van Kruysbergen)

Meer workshops voor de Raspberry Pi in: Het Ultieme Raspberry Pi Handboek 2019

Bestel nu

Alieke van SommerenTypen geleerd op een 8086 met DOS 5.0 en al vroeg zelf aan het pc-(ver)bouwen geslagen. Speelt graag pc-games, houdt van gadgets en klikt ook wat rond op een MacBook.

Let’s Encrypt gratis SSL-certificaat voor IIS instellen

Microsoft biedt met Internet Information Services de enige grote niet-opensource webserver. Het heeft even geduurd voordat de certificaten van Let's E...

workshops•SSL

26/05/2018

Digitale vrije meningsuiting per Raspberry Pi

Er kleven risico's aan vrije meningsuiting. Het kan zelfs gevaarlijk zijn. Moderne dissidenten verspreiden hun pamfletten digitaal via internet, maar ...

achtergrond

24/03/2018

Softlink

9 Praat mee

Abonneer

nieuwsteoudste

Lezer

Andreotti

Bij mij is het niet gelukt. De opdracht “/bin/ldconfig” bestaat niet. Daarvoor ging het allemaal goed.

sudo nano /usr/local/etc/stubby/ stubby.yml moet dat niet zijn:
sudo nano /usr/local/etc/stubby/stubby.yml

Auteur

Alieke van Sommeren

@andreotti: de spatie is uit de regel gehaald, goed gezien! Als je sudo /bin/ldconfig invoert, welke melding krijg je dan precies voorgeschoteld?

Lezer

Andreotti

Het commando word niet herkend.
Kan zijn omdat ik raspbian stretch lite gebruik?

Lezer

Ben

sudo /bin/ldconfig werkt inderdaad niet. Maar als je ‘which ldconfig’ doet, zie je dat het in de sbin directory staat. Het commando moet dus zijn: ‘sudo /sbin/ldconfig’. Althans op de meest recente versie van Raspbian.

Auteur

Alieke van Sommeren

Scherp, de s is inmiddels aan het commando geplakt!

Lezer

Andreotti

Slordig hoor!

Lezer

Gunkelaar

Dedankt voor dit leuke artikel. Kan dit ook werken met IPv6?

Admin

Noud van Kruysbergen

Jazeker, dat kan. Zie bijvoorbeeld https://unix.stackexchange.com/questions/449412/how-to-get-pi-hole-to-work-with-ipv6

Lezer

Gunkelaar

Bedankt voor de reactie, het is gelukt. Nu probeer ik de Pihole als DHCP server in te stellen ipv mijn Fritzbox 7581. Vorige keer ging dat niet goed met mijn IPTV kastjes.

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Versleutelde DNS-requests met Pi-hole

Inhoudsopgave

Stubby op de client

Handige hulp

Stubby installeren

Alternatief

Andere tak

Vertrouwen is goed …

Performance

Meer workshops voor de Raspberry Pi in: Het Ultieme Raspberry Pi Handboek 2019

Lees ook

Let’s Encrypt gratis SSL-certificaat voor IIS instellen

Digitale vrije meningsuiting per Raspberry Pi

Lees ook

Softlink

Blijf op de hoogte!

Versleutelde DNS-requests met Pi-hole

Inhoudsopgave

Stubby op de client

Handige hulp

Stubby installeren

Alternatief

Andere tak

Vertrouwen is goed …

Performance

Meer workshops voor de Raspberry Pi in: Het Ultieme Raspberry Pi Handboek 2019

Deel dit artikel

Lees ook

Let’s Encrypt gratis SSL-certificaat voor IIS instellen

Digitale vrije meningsuiting per Raspberry Pi

Lees ook

Softlink

Blijf op de hoogte!