[grnog] The new DNS (DoT/DoH)

Wed Sep 18 17:02:09 CEST 2019

Eπίσης: https://kb.isc.org/docs/using-response-policy-zones-to-disable-mozilla-doh-by-default

Πάντως γενικά το trend που ξεκίνησε εδώ και χρόνια είναι να χάνουν έδαφος τα operations/corporate security εις "βάρος"
του privacy/end user security.

'Οσο και να εκτιμώ τους δόκιμους λόγους πίσω από αυτές τις τεχνολογίες τύπου DoH/DoT
(αν και τα όποια politics παίζουν ίσως σημαντικότερο ρόλο),
θα με ενδιέφερε πάρα πολύ να δω έναν από όλους αυτούς τους privacy evangelists να μας εξηγήσει τελικά πώς γίνεται πλέον
troubleshooting και forensics σε ένα δίκτυο που τα πάντα τείνουν στο να είναι κρυπτογραφημένα. Και το SSL/TLS decryption είναι
μεγάλος πονοκέφαλος από μόνο του.

Κάπου αισθάνομαι πως αντιμετωπίζεται το πρόβλημα με λάθος τρόπο και ο μόνος που τελικά επωφελείται είναι οι security vendors
που ευχαρίστως θα σου πουλήσουν άλλη μια τεχνολογία για να λύσουν το νέο σου πρόβλημα, και η Google και η κάθε Google που
θέλει να συγκεντρώσει όσο πιο πολλά δεδομένα μπορεί.

Κατ'ελάχιστο, ας ρωτούσε το Firefox ποιον DNS provider θες να χρησιμοποιήσεις (και αν θες άλλον εκτός αυτόν του λειτουργικού σου),
όπως το browser ballot των Windows.

Φιλικά,
Άρης Λαμπριανίδης

Antonios Chariton (daknob) wrote on 18/09/2019 10:41:
Σωστά, ναι, υπάρχει αυτή η δυνατότητα, αλλά δεν γνωρίζουμε για πόσο θα υπάρχει ακόμη, αν θα τηρηθεί και από άλλους εκτός του Firefox και της Mozilla γενικότερα, κτλπ. Αν οι operators συνεχίσουν να προσφέρουν plaintext DNS, τότε οι browsers θα έχουν το δικαίωμα μετά να το αγνοήσουν, για να προστατεύσουν τους χρήστες τους.. Και αν δεν το κάνουν “αυταρχικά” και μια μέρα σταματήσουν να το κοιτάνε αυτό το DNS record, μπορεί να εμφανίσουν ένα pop up: “Ο πάροχος Ίντερνετ σου δεν είναι ασφαλής, θέλεις να χρησιμοποιήσουμε έναν ασφαλή πάροχο;” με ένα τεράστιο πράσινο κουμπί “ΟΚ”, και ένα κρυμμένο πίσω από 4 άλλα κουμπιά, με μικρά κίτρινα γράμματα σε άσπρο φόντο κουμπί που να λέει “Όχι”.

Προσωπικά αυτήν την επιλογή θα την έβλεπα ως κάτι  προσωρινό, που δεν θα κρατήσει πολύ, και αυτό αν και άλλοι πέραν της mozilla το εφαρμόσουν.. Ως μακροχρόνια λύση θα έβλεπα πως είτε θα πρέπει να κάνω την κίνηση αυτή και να υποστηρίξω DoT, είτε να αποδεχθώ πως σε 1-2-3 χρόνια δεν θα δέχομαι πλέον τα DNS queries των χρηστών, και δεν θα μπορώ να παραπονεθώ και γι’ αυτό.

Νομίζω είναι κάτι αντίστοιχο με το HTTPS. Κάποιοι δεν το ήθελαν, έστηναν proxies για να το ξεπεράσουν, κτλπ κτλπ, self-signed root CAs, … και εν τέλη απλά αυτό δεν μπόρεσε να αντέξει στον χρόνο.. Με κλασσικό παράδειγμα εταιρείες που προσπάθησαν σκόπιμα να αδυναμώσουν το TLSv1.3, γιατί ήταν τόσο ασφαλές που δεν θα δούλευαν σε αυτό τα MitM boxes τους.. :-)

Αντώνης

On 18 Sep 2019, at 11:32, Dimitris Kalogeras <D.Kalogeras at noc.ntua.gr<mailto:D.Kalogeras at noc.ntua.gr>> wrote:
Εναλλακτικά από το blog της mozzila ... https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-https
Network administrators may configure their networks as follows to signal that their local DNS resolver implemented special features that make the network unsuitable for DoH:

DNS queries for the A and AAAA records for the domain "use-application-dns.net<http://use-application-dns.net/>" must respond with NXDOMAIN rather than the IP address retrieved from the authoritative nameserver.

Διαβάστε όλο το κείμενο στο :

Αρα μπορείς κάποιος να χρησιμοποιήσει το use-application-dns.net<http://use-application-dns.net/> να απαντάει NXDOMAIN εάν χρειάζεται κάποιος να "χειρίζεται"
το DoH.

Χαιρετισμούς
Δημήτρης

Χαιρετισμούς,

Δημήτρης Καλογεράς
Ερευνητής Β' ΕΠΙΣΕΥ

--
Dimitrios K. Kalogeras

Electrical Engineer Ph.D.
Network Engineer
NTUA/ICCS
_____________________________________
skype: aweboy
voice: +30-210-772 1863
fax: +30-210-772 1866

--
Sent from Postbox<https://www.postbox-inc.com>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/8dbf4c0d/attachment.html>