<div dir="ltr">Hay que seguir trabajando para que mas Administradores de DNS usen RPZ, ayuda a solucionar muchos problemas.<div><br></div><div>Saludos.</div><div>Luciano.</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El jue., 21 de nov. de 2019 a la(s) 02:47, Hugo Salgado via dns-esp (<a href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Bloquear en sus resolvers el dominio &quot;<a href="http://use-application-dns.net" rel="noreferrer" target="_blank">use-application-dns.net</a>&quot;:<br>
  <a href="https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet" rel="noreferrer" target="_blank">https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet</a><br>
<br>
En bind hay que usar RPZ:<br>
   <a href="https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/" rel="noreferrer" target="_blank">https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/</a><br>
para unbound es más simple, se agrega en la configuración:<br>
   local-zone: &quot;<a href="http://use-application-dns.net" rel="noreferrer" target="_blank">use-application-dns.net</a>.&quot; always_nxdomain<br>
<br>
Hugo<br>
<br>
On 19:03 20/11, Mauricio Vergara Ereche via dns-esp wrote:<br>
&gt; Hola Alejandro,<br>
&gt; <br>
&gt; Te puedo contar que conozco un caso que ha intentado lidiar con esa<br>
&gt; situación, yo no estoy involucrado en su operación... sólo tengo los<br>
&gt; comentarios del amigo en la empresa X.<br>
&gt; <br>
&gt; Esta empresa tiene internamente sus propios resolvers con soluciones para<br>
&gt; filtrado de contenidos y algunas otras cosas especiales que necesitan ser<br>
&gt; resueltas sólo localmente con vistas. En el pasado tuvieron que bloquear<br>
&gt; los resolvers DNS externos, aunque sólo se enfocaron en los más conocidos<br>
&gt; (opendns, google, cloudflare y demases)<br>
&gt; <br>
&gt; Como su compañía tiene sistemas de control bajo los laptops, PC de<br>
&gt; escritorios y dispositivos móviles... instalaron en ellos configuraciones<br>
&gt; no-modificables en los browsers para que los usuarios no pudieran cambiar<br>
&gt; el comportamiento (además sus &quot;clientes&quot; no tienen cuentas de admin). Pero<br>
&gt; los móviles dentro de la empresa siempre terminaban siendo lo más difícil<br>
&gt; de controlar. Al final parece que cortaron por no dejar tener wifi a<br>
&gt; dispositivos externos, pero no he vuelto a preguntar si lo implementaron o<br>
&gt; no... Tampoco sé cómo podrían solucionar este escenario que plantea MS.<br>
&gt; <br>
&gt; Saludos!<br>
&gt; <br>
&gt; <br>
&gt; On Wed, Nov 20, 2019 at 6:41 PM Alejandro Acosta via dns-esp &lt;<br>
&gt; <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>&gt; wrote:<br>
&gt; <br>
&gt; &gt; Hola,<br>
&gt; &gt;<br>
&gt; &gt;   Una consulta, disculpen mi ignorancia, parto del principio que el que no<br>
&gt; &gt; pregunta no aprende :-)<br>
&gt; &gt;<br>
&gt; &gt;   Supongamos una empresa privada X, que tiene DNSs Servers privados y<br>
&gt; &gt; tiene dominios completamente locales (*no* son gtld o cosas así).<br>
&gt; &gt;<br>
&gt; &gt;   Ahora bien, pensemos que el trabajor en su puesto de trabajo usa Windows<br>
&gt; &gt; (y/o Firefox también), estos hacen DoH, quizas los DNS de Cloudflare -o<br>
&gt; &gt; cualquier otro-, asumo lógicamente pierden acceso a los DNSs locales y por<br>
&gt; &gt; ende a muchos servicios que son locales.<br>
&gt; &gt;<br>
&gt; &gt;   ¿Qué esta haciendo la gente hoy en día ante esta situación?.<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; Saludos,<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; Alejandro,<br>
&gt; &gt;<br>
&gt; &gt; P.D. Creo saber la respuesta pero no dejo de querer escuchar a los<br>
&gt; &gt; expertos.<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; On 11/19/19 2:38 PM, Mauricio Vergara Ereche via dns-esp wrote:<br>
&gt; &gt;<br>
&gt; &gt; FYI:<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; <a href="https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229" rel="noreferrer" target="_blank">https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229</a><br>
&gt; &gt;<br>
&gt; &gt; El resumen: cuando MS Windows detecte la presencia de DoH, cambiará<br>
&gt; &gt; automáticamente a ese comportamiento usando el canal cifrado en vez del<br>
&gt; &gt; resolver usual con DNS en el puerto 53<br>
&gt; &gt;<br>
&gt; &gt; MS también deja claro que no le preguntará al cliente acerca del cambio.<br>
&gt; &gt; --<br>
&gt; &gt; Mauricio Vergara Ereche<br>
&gt; &gt; <a href="http://about.me/mave" rel="noreferrer" target="_blank">about.me/mave</a><br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; _______________________________________________<br>
&gt; &gt; dns-esp mailing listdns-esp@listas.nic.clhttps://<a href="http://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">listas.nic.cl/mailman/listinfo/dns-esp</a><br>
&gt; &gt;<br>
&gt; &gt; _______________________________________________<br>
&gt; &gt; dns-esp mailing list<br>
&gt; &gt; <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
&gt; &gt; <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
&gt; &gt;<br>
&gt; <br>
&gt; <br>
&gt; -- <br>
&gt; Mauricio Vergara Ereche<br>
&gt; <a href="http://about.me/mave" rel="noreferrer" target="_blank">about.me/mave</a><br>
<br>
&gt; _______________________________________________<br>
&gt; dns-esp mailing list<br>
&gt; <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
&gt; <a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
<br>
_______________________________________________<br>
dns-esp mailing list<br>
<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
</blockquote></div>