Beantwoord

DNS over TLS DoT bij XS4ALL ook bij KPN?

  • 12 July 2021
  • 52 reacties
  • 1685 keer bekeken

Reputatie 5
Badge +4

Ik herstart het nog maar een keer. Bij XS4ALL is er o.a. DNS over TLS. Ik maak hier zakelijk en Privé gebruik van. Aangezien XS4ALL steeds meer geïntegreerd wordt in KPN, verwacht ik persoonlijk dat ook de dienst “DNS over TLS” DoT gewoon blijft werken op de DNS servers van KPN. Ik zie helaas echter nog weinig beweging in deze richting. Is er iemand die weet wanneer KPN DoT aan heeft staan op de KPN DNS servers?  

 

*Admin: eigen topic voor vraag gemaakt en titel aangevuld

icon

Beste antwoord door Erik van KPN 10 November 2022, 15:04

Bekijk origineel

52 reacties

Bij mij is vannacht het XS4ALL abonnemenent “omgezet naar techniek van KPN”. En niks werkte meer… Na enig klikken door de interface van de fritzbox kreeg ik het idee om het eens zonder DNS over TLS te proberen -- wat ik altijd aan had staan. En nu werkt alles weer.

Ik wil deze feature van de fritzbox gewoon blijven gebruiken. Wordt dit helemaal niet ondersteund door KPN? Ik heb wat gezocht over welke resolver ik moet invullen maar vond alleen dit forum.

In een oude thread was het geaccepteerde antwoord van @wjs — mag ik vragen of u weet wat momenteel de status is van DoT bij KPN?

Specifiek, welke FQN vul ik in in plaats van “resolver.xs4all.nl” na de overzetting van mijn abonnement op techniek van KPN?

Bij voorbaat dank!

Hallo @erikkemperman het is @wjb , misschien dat hij er op terug wil en kan komen.

Succes.

 

Reputatie 7

KPN maakt geen gebruik van DNS over TLS.

De vraag is ook wat je er mee bereikt als het verkeer richting de DNS server toch het besloten netwerk van KPN niet verlaat en er dus weinig kans is op het spoofen van DNS requests.

Dat je DNS over TLS wilt gebruiken bij publieke DNS servers begrijp ik maar zolang de routering naar de DNS servers van KPN binnen het netwerk van KPN blijft zie ik de meerwaarde van DoT eigenlijk niet.

Reputatie 7
Badge +30

Hoi @Eric van Uden, @erikkemperman!

Eric, als eerste, ik zie dat we dit topic vergeten zijn op te pakken vorig jaar, excuses.  Erik, dank voor je toevoeging en aanvulling.

Ik heb de vraag uitstaan hoe dit zit, ‘k kom er zo snel mogelijk op terug.

@wjb Dank voor uw reactie. En een terechte vraag. Als ik er vanuit ga dat er niemand tussen mijn meterkast en de DNS server van KPN zit is alles in orde — maar dat heb ik niet zelf in de hand.

Er is een praktische overweging: mijn devices klagen over insecure nslookup. Elders lees ik een opmerking van “negeer dat maar”. Echter die warnings zijn er niet voor niks en als ik blind raak voor de uitroeptekens op het scherm zie ik later mogelijk serieuzere issues over het hoofd.

Er is ook een principiële overweging: in alle communicatie van XS4ALL werd beloofd dat de overgang naadloos zou zijn — maar niks werkte dus meer vanochtend, en ik moest zelf maar uitzoeken waarom (zonder internet te kunnen raadplegen).

Een wedervraag tot slot, waarom niet? Als ik het goed begrijp is het een kwestie van een SSL certificaat neerzetten op de DNS server en de FQN publiceren. Dat mag toch voor een partij als KPN geen onoverkomelijke moeilijkheid zijn, zou ik denken.

Nogmaals dank voor het meedenken!

 

(edited: typos)

 

 

Reputatie 7

Er is een praktische overweging: mijn devices klagen over insecure nslookup.

Klopt het dat je die warnings alleen op Apple devices krijgt?

 

Er is ook een principiële overweging: in alle communicatie van XS4ALL werd beloofd dat de overgang naadloos zou zijn — maar niks werkte dus meer vanochtend, en ik moest zelf maar uitzoeken waarom (zonder internet te kunnen raadplegen).

Heel terecht dat je het daarom aankaart.

 

Een wedervraag tot slot, waarom niet? Als ik het goed begrijp is het een kwestie van een SSL certificaat neerzetten op de DNS server en de FQN publiceren. Dat mag toch voor een partij als KPN geen onoverkomelijke moeilijkheid zijn, zou ik denken.

Daar kan ik helaas geen antwoord op geven immers ik ben, net als jij, een klant van KPN en medelid van dit forum.

Ik neem aan dat @Erik_ hier op terug zal komen.

@wjb Dank voor uw snelle reactie! En excuses, ik had op een of andere manier de indruk dat u hier als technicus van KPN meedenkt.

Ik zie het inderdaad alleen op Apple devices, maar ik heb even geen andere devices bij de hand dus ik kan niet zeggen of die iets soortgelijks doen.

We wachten maar even het officiële antwoord af, mijn indruk is dat min of meer alle implementaties tegenwoordig DoT ondersteunen dus tenzij KPN (onverstandigerwijs) een custom server draait zou het een kwestie moeten zijn van certificaat toevoegen en configureren. Famous last words, ik weet het :-)

Reputatie 7

Ik zie het inderdaad alleen op Apple devices, maar ik heb even geen andere devices bij de hand dus ik kan niet zeggen of die iets soortgelijks doen.

Dat is waarom er gezegd wordt dat je dat maar moet negeren. Helaas heeft Apple er een handje van om dingen op te dringen door vervelende warnings te geven terwijl de gebruiker soms helemaal niet in staat is dit te wijzigen.

Nu zijn er natuurlijk legio andere abonnees van KPN die Apple apparatuur gebruiken en dus moet er uiteraard ook een oplossing zijn zodat je in ieder geval die warning niet telkens te zien krijgt.

Ja, dat is een bekend fenomeen inderdaad… 

Van de andere kant heeft Apple als maker van het OS wel de mogelijkheid om dit soort “problemen” te detecteren maar niet om de providers te beïnvloeden.

Ik als eindgebruiker heb dat wel, dus ik vind het terecht dat Apple mij erop attendeert. Het is ook “maar” een warning, vervolgens werkt alles gewoon naar behoren.

En, althans in de Fritzbox, was het gewoon een vinkje wat ik aan kon zetten en daarmee waren alle uitroeptekens verdwenen. Maar ja, dan moet de andere kant wel meewerken.

Reputatie 7

Waarom stel je dan niet de DNS servers van Cloudflare in op jouw FRITZ!Box, die ondersteunen wel DNS over TLS.

En als je dan de anti-malware variant kiest dan worden malafide domeinen ook niet geresolved en dat kan je een hoop ellende schelen.

Cloudflare anti-malware IPv4: 1.1.1.2 en 1.0.0.2

Cloudflare anti-malware IPv6: 2606:4700:4700::1112 en 2606:4700:4700::1002

Dat zou een fallback kunnen zijn als KPN het niet kan of wil ondersteunen — dank voor de suggestie. Maar een DNS bij mijn eigen provider heeft wel mijn sterke voorkeur. Daar betaal ik immers al voor deze dienst, bij derde partijen als cloudflare en google is er altijd de mogelijkheid dat ze de DNS requests afkomstig van mijn IP gewoon in de verkoop doen om deze “gratis” dienst in de lucht te houden.

Reputatie 7

Dat zou een fallback kunnen zijn als KPN het niet kan of wil ondersteunen — dank voor de suggestie. Maar een DNS bij mijn eigen provider heeft wel mijn sterke voorkeur. Daar betaal ik immers al voor deze dienst, bij derde partijen als cloudflare en google is er altijd de mogelijkheid dat ze de DNS requests afkomstig van mijn IP gewoon in de verkoop doen om deze “gratis” dienst in de lucht te houden.

Zelf gebruik ik al geruime tijd de DNS servers van Cloudflare vanaf mijn EdgeRouter en re-route ik requests richting Google naar mijn EdgeRouter die ze vervolgens wel doorzet naar Cloudflare. Je hoeft bij Cloudflare echt niet bang te zijn dat jouw DNS requests doorverkocht worden.

Weet je dat vele Android en iOS apps hardcoded 8.8.8.8 als DNS server gebruiken?

En op het nog erger te maken, zelfs de TV ontvangers van KPN (en XS4ALL) gebruiken 8.8.8.8 als DNS server.

We raken een beetje off-topic wellicht… Maar ik vind het wel interessant. Voor Android zou het me verbazen als ze niet 8.8.8.8 gebruiken, wat immers Google’s DNS is.

Voor iOS is het voor zover ik weet niet mogelijk om de OS netwerkstack te omzeilen, tenzij je je eigen DNS client  integreert en vervolgens de “echte” webrequests met IPs doet ipv domeinnamen. Maar kans lijkt me nihil dat je daarmee langs de appstore kampwachten komt. Mocht je toevallig links hebben waar hier meer over te vinden is hou ik me aanbevolen.

Voor wat betreft de tv-ontvanger begrijp ik niet helemaal wat je bedoelt, afgezien van webapp.stb.itvonline.nl zie ik geen resolves uitgaan (en dat lijkt me ook niet nodig, maar daar moet ik bij zeggen dat ik geen apps draai op de box).

 

 

Reputatie 7

We raken een beetje off-topic wellicht… Maar ik vind het wel interessant. Voor Android zou het me verbazen als ze niet 8.8.8.8 gebruiken, wat immers Google’s DNS is.

Het is niet Android die dat doet maar sommige Android apps en die zijn helemaal niet van Google.

 

Voor iOS is het voor zover ik weet niet mogelijk om de OS netwerkstack te omzeilen, tenzij je je eigen DNS client  integreert en vervolgens de “echte” webrequests met IPs doet ipv domeinnamen.

DNS requests gaan altijd naar IP adressen en nooit naar domeinnamen immers dan zou er eerst weer een DNS request gedaan moeten worden naar een DNS server om het IP adres van de DNS server te achterhalen. 😎

 

Voor wat betreft de tv-ontvanger begrijp ik niet helemaal wat je bedoelt, afgezien van webapp.stb.itvonline.nl zie ik geen resolves uitgaan (en dat lijkt me ook niet nodig, maar daar moet ik bij zeggen dat ik geen apps draai op de box).

Onderstaand een openstaande verbinding met de DNS server vanaf een Arris VIP5202.

En deze is vanaf een ZTE ZXV8001.

 

Ehm, ok ik begrijp deze laatste respons niet helemaal, of tenminste het is correct voor zover ik begrijp maar sluit niet echt aan op wat ik schreef (of wat ik bedoelde, mss drukte ik mij ongelukkig uit)?

Van android development weet ik niet zo veel, maar op iOS is het volgens mij niet mogelijk (binnen de regels van appstore QA) voor een app om zelf DNS requests te doen, anders dan bij het door het OS verstrekte adres.

Hoe dan ook, dit voert allemaal wat te ver van het onderwerp…

 

Reputatie 7
Badge +24

... maar op iOS is het volgens mij niet mogelijk (binnen de regels van appstore QA) voor een app om zelf DNS requests te doen, anders dan bij het door het OS verstrekte adres.

Waarom niet? Als een app maker zelf DNS requests doet naar een alternatieve DNS server, dan houd het OS dat niet tegen. Dat kan ik me niet voorstellen. 

Naast DNS over TLS is er ook nog DNS over https. Dat is helemaal niet tegen te houden, want dat is gewoon normaal https verkeer. Onmogelijk om te detecteren dat het een DNS request is.

Nee precies, dat bedoelde ik met “je eigen DNS client integreren” eerder. Uiteraard kun je, als je eenmaal een IP adres hebt, met de systeem stack gewoon requests doen.

 

Maar voordat je app beschikbaar wordt in de appstore wordt het doorgelicht, onder andere op dit soort praktijken. Het is dus een policy, niet een OS restrictie.

 

Gelukkig ben ik geen mobiele developer, dus wellicht zie ik iets over het hoofd.

Reputatie 7

Maar voordat je app beschikbaar wordt in de appstore wordt het doorgelicht, onder andere op dit soort praktijken. Het is dus een policy, niet een OS restrictie.

Volgens mij is het ook geen policy, er zijn meerdere apps in de app store te vinden waarmee je de DNS server kunt instellen.

Ik gebruik dns over tls via nextdns 

Op een fritzbox

Werkt mooi ik heb er een abonnement op 

Filter veel reclame ook in apps op smartphones

En computers in het thuis netwerk 

 

> Volgens mij is het ook geen policy, er zijn meerdere apps in de app store te vinden waarmee je de DNS server kunt instellen.

 

dat klopt, net zoals je als gebruiker er ook gewoon bewust voor kan kiezen om handmatig een DNS server instellen in de OS instellingen — dat vind ik persoonlijk toch heel wezenlijk anders dan dat een app onder water hardcoded 8.8.8.8 (of wat dan ook) gebruikt.

 

ik begrijp dat de meeste apps gewoon een eigen backend hosten en mss zelfs IPs hardcoden zonder überhaupt een lookup te doen. Maar zeker apps in het “browser genre”, dus precies waar DNS lookups het grootste potentiële privacy / security risico vormen, verwacht ik dat dat niet mag.

Zeker weten doe ik het niet, en ik laat het hier maar even bij :-)

 

 

@Erik_ Was er inmiddels een “officieel” antwoord? Bij voorbaat dank!

Reputatie 7

Als ik er vanuit ga dat er niemand tussen mijn meterkast en de DNS server van KPN zit is alles in orde — maar dat heb ik niet zelf in de hand.

Dat heb je inderdaad niet zelf in de hand maar dat de route naar de DNS servers van KPN erg kort is en het besloten gedeelte van het netwerk niet verlaat is een feit en daarmee is de kans op "DNS spoofing" mijns inziens marginaal.

Persoonlijk zie ik dan ook geen meerwaarde in DoT of DoH bij het gebruik van de DNS servers van KPN. Anders is het bij het gebruik van "publieke" DNS servers zoals die van Cloudflare.

Maar goed, dit is een persoonlijke mening.

Reputatie 7
Badge +30

Goed nieuws! 

We zijn op dit moment druk bezig om zowel DNS over HTTPS als DNS over TLS te implementeren. Precieze oplevering daarvan is nog niet bekend. De verwachting is echter mei-juni 2022.

 

Reputatie 5
Badge +4

Goed nieuws! 

We zijn op dit moment druk bezig om zowel DNS over HTTPS als DNS over TLS te implementeren. Precieze oplevering daarvan is nog niet bekend. De verwachting is echter mei-juni 2022.

 

Dat is idd goed nieuws. Als ik kan testen, je weet me te vinden. ;-)

 

Reageer