[dns-esp] Microsoft sorprende con anuncio de DoH (DNS Iver HTTPS)
Alejandro Acosta
alejandroacostaalamo en gmail.com
Jue Nov 21 07:50:57 -03 2019
Hola Hugo, Maurio, gracias por sus respuestas.
Luego de leer sus respuestas y leyendo el link de mozilla provisto por
Hugo, se lee:
" Firefox will attempt to resolve this domain using the DNS server(s)
configured in the operating system of the device, and examine the
result. The result will be considered negative if:
A response code other than NOERROR is returned, such as NXDOMAIN
(non-existent domain) or SERVFAIL
A NOERROR response code is returned, but contains neither A nor AAAA records
The result will be considered positive if:
The query completes with NOERROR and contains A or AAAA records (or both)
"
Es decir, para que use los DNSs listados en el OSs no debe haber una
respuesta. Claro, me estoy recordando que los servidores públicos de
L3/CenturyLink (4.2.2.2) siempre dan una respuesta (no error + A|AAAA) !
(bueno, pero no son DoH)..., igualmente interesante.
Saludos, gracias,
Alejandro,
On 11/21/19 1:47 AM, Hugo Salgado wrote:
> Bloquear en sus resolvers el dominio "use-application-dns.net":
> https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet
>
> En bind hay que usar RPZ:
> https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/
> para unbound es más simple, se agrega en la configuración:
> local-zone: "use-application-dns.net." always_nxdomain
>
> Hugo
>
> On 19:03 20/11, Mauricio Vergara Ereche via dns-esp wrote:
>> Hola Alejandro,
>>
>> Te puedo contar que conozco un caso que ha intentado lidiar con esa
>> situación, yo no estoy involucrado en su operación... sólo tengo los
>> comentarios del amigo en la empresa X.
>>
>> Esta empresa tiene internamente sus propios resolvers con soluciones para
>> filtrado de contenidos y algunas otras cosas especiales que necesitan ser
>> resueltas sólo localmente con vistas. En el pasado tuvieron que bloquear
>> los resolvers DNS externos, aunque sólo se enfocaron en los más conocidos
>> (opendns, google, cloudflare y demases)
>>
>> Como su compañía tiene sistemas de control bajo los laptops, PC de
>> escritorios y dispositivos móviles... instalaron en ellos configuraciones
>> no-modificables en los browsers para que los usuarios no pudieran cambiar
>> el comportamiento (además sus "clientes" no tienen cuentas de admin). Pero
>> los móviles dentro de la empresa siempre terminaban siendo lo más difícil
>> de controlar. Al final parece que cortaron por no dejar tener wifi a
>> dispositivos externos, pero no he vuelto a preguntar si lo implementaron o
>> no... Tampoco sé cómo podrían solucionar este escenario que plantea MS.
>>
>> Saludos!
>>
>>
>> On Wed, Nov 20, 2019 at 6:41 PM Alejandro Acosta via dns-esp <
>> dns-esp en listas.nic.cl> wrote:
>>
>>> Hola,
>>>
>>> Una consulta, disculpen mi ignorancia, parto del principio que el que no
>>> pregunta no aprende :-)
>>>
>>> Supongamos una empresa privada X, que tiene DNSs Servers privados y
>>> tiene dominios completamente locales (*no* son gtld o cosas así).
>>>
>>> Ahora bien, pensemos que el trabajor en su puesto de trabajo usa Windows
>>> (y/o Firefox también), estos hacen DoH, quizas los DNS de Cloudflare -o
>>> cualquier otro-, asumo lógicamente pierden acceso a los DNSs locales y por
>>> ende a muchos servicios que son locales.
>>>
>>> ¿Qué esta haciendo la gente hoy en día ante esta situación?.
>>>
>>>
>>> Saludos,
>>>
>>>
>>> Alejandro,
>>>
>>> P.D. Creo saber la respuesta pero no dejo de querer escuchar a los
>>> expertos.
>>>
>>>
>>> On 11/19/19 2:38 PM, Mauricio Vergara Ereche via dns-esp wrote:
>>>
>>> FYI:
>>>
>>>
>>> https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229
>>>
>>> El resumen: cuando MS Windows detecte la presencia de DoH, cambiará
>>> automáticamente a ese comportamiento usando el canal cifrado en vez del
>>> resolver usual con DNS en el puerto 53
>>>
>>> MS también deja claro que no le preguntará al cliente acerca del cambio.
>>> --
>>> Mauricio Vergara Ereche
>>> about.me/mave
>>>
>>>
>>> _______________________________________________
>>> dns-esp mailing listdns-esp en listas.nic.clhttps://listas.nic.cl/mailman/listinfo/dns-esp
>>>
>>> _______________________________________________
>>> dns-esp mailing list
>>> dns-esp en listas.nic.cl
>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>>
>>
>> --
>> Mauricio Vergara Ereche
>> about.me/mave
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: pEpkey.asc
Type: application/pgp-keys
Size: 1782 bytes
Desc: no disponible
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20191121/2cfdbe57/attachment-0001.bin>
Más información sobre la lista de distribución dns-esp