[dns-esp] Microsoft sorprende con anuncio de DoH (DNS Iver HTTPS)

Hugo Salgado hsalgado en nic.cl
Jue Nov 21 02:47:31 -03 2019


Bloquear en sus resolvers el dominio "use-application-dns.net":
  https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet

En bind hay que usar RPZ:
   https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/
para unbound es más simple, se agrega en la configuración:
   local-zone: "use-application-dns.net." always_nxdomain

Hugo

On 19:03 20/11, Mauricio Vergara Ereche via dns-esp wrote:
> Hola Alejandro,
> 
> Te puedo contar que conozco un caso que ha intentado lidiar con esa
> situación, yo no estoy involucrado en su operación... sólo tengo los
> comentarios del amigo en la empresa X.
> 
> Esta empresa tiene internamente sus propios resolvers con soluciones para
> filtrado de contenidos y algunas otras cosas especiales que necesitan ser
> resueltas sólo localmente con vistas. En el pasado tuvieron que bloquear
> los resolvers DNS externos, aunque sólo se enfocaron en los más conocidos
> (opendns, google, cloudflare y demases)
> 
> Como su compañía tiene sistemas de control bajo los laptops, PC de
> escritorios y dispositivos móviles... instalaron en ellos configuraciones
> no-modificables en los browsers para que los usuarios no pudieran cambiar
> el comportamiento (además sus "clientes" no tienen cuentas de admin). Pero
> los móviles dentro de la empresa siempre terminaban siendo lo más difícil
> de controlar. Al final parece que cortaron por no dejar tener wifi a
> dispositivos externos, pero no he vuelto a preguntar si lo implementaron o
> no... Tampoco sé cómo podrían solucionar este escenario que plantea MS.
> 
> Saludos!
> 
> 
> On Wed, Nov 20, 2019 at 6:41 PM Alejandro Acosta via dns-esp <
> dns-esp en listas.nic.cl> wrote:
> 
> > Hola,
> >
> >   Una consulta, disculpen mi ignorancia, parto del principio que el que no
> > pregunta no aprende :-)
> >
> >   Supongamos una empresa privada X, que tiene DNSs Servers privados y
> > tiene dominios completamente locales (*no* son gtld o cosas así).
> >
> >   Ahora bien, pensemos que el trabajor en su puesto de trabajo usa Windows
> > (y/o Firefox también), estos hacen DoH, quizas los DNS de Cloudflare -o
> > cualquier otro-, asumo lógicamente pierden acceso a los DNSs locales y por
> > ende a muchos servicios que son locales.
> >
> >   ¿Qué esta haciendo la gente hoy en día ante esta situación?.
> >
> >
> > Saludos,
> >
> >
> > Alejandro,
> >
> > P.D. Creo saber la respuesta pero no dejo de querer escuchar a los
> > expertos.
> >
> >
> > On 11/19/19 2:38 PM, Mauricio Vergara Ereche via dns-esp wrote:
> >
> > FYI:
> >
> >
> > https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229
> >
> > El resumen: cuando MS Windows detecte la presencia de DoH, cambiará
> > automáticamente a ese comportamiento usando el canal cifrado en vez del
> > resolver usual con DNS en el puerto 53
> >
> > MS también deja claro que no le preguntará al cliente acerca del cambio.
> > --
> > Mauricio Vergara Ereche
> > about.me/mave
> >
> >
> > _______________________________________________
> > dns-esp mailing listdns-esp en listas.nic.clhttps://listas.nic.cl/mailman/listinfo/dns-esp
> >
> > _______________________________________________
> > dns-esp mailing list
> > dns-esp en listas.nic.cl
> > https://listas.nic.cl/mailman/listinfo/dns-esp
> >
> 
> 
> -- 
> Mauricio Vergara Ereche
> about.me/mave

> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: no disponible
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20191121/8e903161/attachment.sig>


Más información sobre la lista de distribución dns-esp