[dns-esp] Microsoft sorprende con anuncio de DoH (DNS Iver HTTPS)

Luciano Minuchin luciano.minuchin en gmail.com
Vie Nov 22 17:14:38 -03 2019


Hay que seguir trabajando para que mas Administradores de DNS usen RPZ,
ayuda a solucionar muchos problemas.

Saludos.
Luciano.



El jue., 21 de nov. de 2019 a la(s) 02:47, Hugo Salgado via dns-esp (
dns-esp en listas.nic.cl) escribió:

> Bloquear en sus resolvers el dominio "use-application-dns.net":
>
> https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet
>
> En bind hay que usar RPZ:
>    https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/
> para unbound es más simple, se agrega en la configuración:
>    local-zone: "use-application-dns.net." always_nxdomain
>
> Hugo
>
> On 19:03 20/11, Mauricio Vergara Ereche via dns-esp wrote:
> > Hola Alejandro,
> >
> > Te puedo contar que conozco un caso que ha intentado lidiar con esa
> > situación, yo no estoy involucrado en su operación... sólo tengo los
> > comentarios del amigo en la empresa X.
> >
> > Esta empresa tiene internamente sus propios resolvers con soluciones para
> > filtrado de contenidos y algunas otras cosas especiales que necesitan ser
> > resueltas sólo localmente con vistas. En el pasado tuvieron que bloquear
> > los resolvers DNS externos, aunque sólo se enfocaron en los más conocidos
> > (opendns, google, cloudflare y demases)
> >
> > Como su compañía tiene sistemas de control bajo los laptops, PC de
> > escritorios y dispositivos móviles... instalaron en ellos configuraciones
> > no-modificables en los browsers para que los usuarios no pudieran cambiar
> > el comportamiento (además sus "clientes" no tienen cuentas de admin).
> Pero
> > los móviles dentro de la empresa siempre terminaban siendo lo más difícil
> > de controlar. Al final parece que cortaron por no dejar tener wifi a
> > dispositivos externos, pero no he vuelto a preguntar si lo implementaron
> o
> > no... Tampoco sé cómo podrían solucionar este escenario que plantea MS.
> >
> > Saludos!
> >
> >
> > On Wed, Nov 20, 2019 at 6:41 PM Alejandro Acosta via dns-esp <
> > dns-esp en listas.nic.cl> wrote:
> >
> > > Hola,
> > >
> > >   Una consulta, disculpen mi ignorancia, parto del principio que el
> que no
> > > pregunta no aprende :-)
> > >
> > >   Supongamos una empresa privada X, que tiene DNSs Servers privados y
> > > tiene dominios completamente locales (*no* son gtld o cosas así).
> > >
> > >   Ahora bien, pensemos que el trabajor en su puesto de trabajo usa
> Windows
> > > (y/o Firefox también), estos hacen DoH, quizas los DNS de Cloudflare -o
> > > cualquier otro-, asumo lógicamente pierden acceso a los DNSs locales y
> por
> > > ende a muchos servicios que son locales.
> > >
> > >   ¿Qué esta haciendo la gente hoy en día ante esta situación?.
> > >
> > >
> > > Saludos,
> > >
> > >
> > > Alejandro,
> > >
> > > P.D. Creo saber la respuesta pero no dejo de querer escuchar a los
> > > expertos.
> > >
> > >
> > > On 11/19/19 2:38 PM, Mauricio Vergara Ereche via dns-esp wrote:
> > >
> > > FYI:
> > >
> > >
> > >
> https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229
> > >
> > > El resumen: cuando MS Windows detecte la presencia de DoH, cambiará
> > > automáticamente a ese comportamiento usando el canal cifrado en vez del
> > > resolver usual con DNS en el puerto 53
> > >
> > > MS también deja claro que no le preguntará al cliente acerca del
> cambio.
> > > --
> > > Mauricio Vergara Ereche
> > > about.me/mave
> > >
> > >
> > > _______________________________________________
> > > dns-esp mailing listdns-esp en listas.nic.clhttps://
> listas.nic.cl/mailman/listinfo/dns-esp
> > >
> > > _______________________________________________
> > > dns-esp mailing list
> > > dns-esp en listas.nic.cl
> > > https://listas.nic.cl/mailman/listinfo/dns-esp
> > >
> >
> >
> > --
> > Mauricio Vergara Ereche
> > about.me/mave
>
> > _______________________________________________
> > dns-esp mailing list
> > dns-esp en listas.nic.cl
> > https://listas.nic.cl/mailman/listinfo/dns-esp
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20191122/0b7b060d/attachment.html>


Más información sobre la lista de distribución dns-esp