<div dir="ltr">Hay que seguir trabajando para que mas Administradores de DNS usen RPZ, ayuda a solucionar muchos problemas.<div><br></div><div>Saludos.</div><div>Luciano.</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El jue., 21 de nov. de 2019 a la(s) 02:47, Hugo Salgado via dns-esp (<a href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Bloquear en sus resolvers el dominio "<a href="http://use-application-dns.net" rel="noreferrer" target="_blank">use-application-dns.net</a>":<br>
<a href="https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet" rel="noreferrer" target="_blank">https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet</a><br>
<br>
En bind hay que usar RPZ:<br>
<a href="https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/" rel="noreferrer" target="_blank">https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/</a><br>
para unbound es más simple, se agrega en la configuración:<br>
local-zone: "<a href="http://use-application-dns.net" rel="noreferrer" target="_blank">use-application-dns.net</a>." always_nxdomain<br>
<br>
Hugo<br>
<br>
On 19:03 20/11, Mauricio Vergara Ereche via dns-esp wrote:<br>
> Hola Alejandro,<br>
> <br>
> Te puedo contar que conozco un caso que ha intentado lidiar con esa<br>
> situación, yo no estoy involucrado en su operación... sólo tengo los<br>
> comentarios del amigo en la empresa X.<br>
> <br>
> Esta empresa tiene internamente sus propios resolvers con soluciones para<br>
> filtrado de contenidos y algunas otras cosas especiales que necesitan ser<br>
> resueltas sólo localmente con vistas. En el pasado tuvieron que bloquear<br>
> los resolvers DNS externos, aunque sólo se enfocaron en los más conocidos<br>
> (opendns, google, cloudflare y demases)<br>
> <br>
> Como su compañía tiene sistemas de control bajo los laptops, PC de<br>
> escritorios y dispositivos móviles... instalaron en ellos configuraciones<br>
> no-modificables en los browsers para que los usuarios no pudieran cambiar<br>
> el comportamiento (además sus "clientes" no tienen cuentas de admin). Pero<br>
> los móviles dentro de la empresa siempre terminaban siendo lo más difícil<br>
> de controlar. Al final parece que cortaron por no dejar tener wifi a<br>
> dispositivos externos, pero no he vuelto a preguntar si lo implementaron o<br>
> no... Tampoco sé cómo podrían solucionar este escenario que plantea MS.<br>
> <br>
> Saludos!<br>
> <br>
> <br>
> On Wed, Nov 20, 2019 at 6:41 PM Alejandro Acosta via dns-esp <<br>
> <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>> wrote:<br>
> <br>
> > Hola,<br>
> ><br>
> > Una consulta, disculpen mi ignorancia, parto del principio que el que no<br>
> > pregunta no aprende :-)<br>
> ><br>
> > Supongamos una empresa privada X, que tiene DNSs Servers privados y<br>
> > tiene dominios completamente locales (*no* son gtld o cosas así).<br>
> ><br>
> > Ahora bien, pensemos que el trabajor en su puesto de trabajo usa Windows<br>
> > (y/o Firefox también), estos hacen DoH, quizas los DNS de Cloudflare -o<br>
> > cualquier otro-, asumo lógicamente pierden acceso a los DNSs locales y por<br>
> > ende a muchos servicios que son locales.<br>
> ><br>
> > ¿Qué esta haciendo la gente hoy en día ante esta situación?.<br>
> ><br>
> ><br>
> > Saludos,<br>
> ><br>
> ><br>
> > Alejandro,<br>
> ><br>
> > P.D. Creo saber la respuesta pero no dejo de querer escuchar a los<br>
> > expertos.<br>
> ><br>
> ><br>
> > On 11/19/19 2:38 PM, Mauricio Vergara Ereche via dns-esp wrote:<br>
> ><br>
> > FYI:<br>
> ><br>
> ><br>
> > <a href="https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229" rel="noreferrer" target="_blank">https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229</a><br>
> ><br>
> > El resumen: cuando MS Windows detecte la presencia de DoH, cambiará<br>
> > automáticamente a ese comportamiento usando el canal cifrado en vez del<br>
> > resolver usual con DNS en el puerto 53<br>
> ><br>
> > MS también deja claro que no le preguntará al cliente acerca del cambio.<br>
> > --<br>
> > Mauricio Vergara Ereche<br>
> > <a href="http://about.me/mave" rel="noreferrer" target="_blank">about.me/mave</a><br>
> ><br>
> ><br>
> > _______________________________________________<br>
> > dns-esp mailing listdns-esp@listas.nic.clhttps://<a href="http://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">listas.nic.cl/mailman/listinfo/dns-esp</a><br>
> ><br>
> > _______________________________________________<br>
> > dns-esp mailing list<br>
> > <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
> > <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
> ><br>
> <br>
> <br>
> -- <br>
> Mauricio Vergara Ereche<br>
> <a href="http://about.me/mave" rel="noreferrer" target="_blank">about.me/mave</a><br>
<br>
> _______________________________________________<br>
> dns-esp mailing list<br>
> <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
> <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
<br>
_______________________________________________<br>
dns-esp mailing list<br>
<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
</blockquote></div>