Esto en realidad tiene las patas muy cortas.
Un ISP puede hacer literalmente lo que quiera con los datos que envías o recibes e tu casa. Si te montas un DNS en tu casa o utilizas otro servicio DNS te puede valer si el operador no quiere controlarte. En caso contrario, el ISP tiene muy fácil redirigir todas las peticiones DNS que salen de casa de sus clientes y contestar a esas consultas como mejor les parezca.
Tecnicamente, DNS no se pensó para un contexto como el actual donde y con la seguridad en la cabeza... Se diseñó para resolver un problema y lo hizó con mucho éxito.
PD: ojito con las VPN, cuando te conectas a una, el que aloja esa VPN controla todo tu tráfico (exactamente igual que tu ISP actual). Piensa cuanto confias en ese proveedor de VPN en comparación con tu proveedor de internet.
#13 No, no puedes cifrar las peticiones DNS con HTTPS.
Con HTTPS puedes cifrar la url a la que te conectas, no las peticiones DNS. Y desde hace años cifrar el dominio se dejó de hacer. Desde que incorporaron la extensión SNI a HTTPS para permitir a los servidores tomar decisiones en función del dominio que el cliente solicita.
#20 Ya... Entiendes como funciona ¿no? Porque es exactamente lo mismo que haría un OpenSSL o cualquier túnel ssl que ya he comentado en los post de antes.
Por supuesto que ocultaría tus peticiones DNS, bueno, más bien parte de ellas, porque todo aquello que no sea navegador seguirá con DNS.
Por tanto, tiene los mismos problemas que un proxy o una VPN, que cambias al operador del servidor https del otro lado por el operador del servicio.
Por último... Incluso si de verdad el operador no pudiese ver la query y el nombre en claro, te recuerdo que el operador (por narices) es tu punto de entrada en la red y va a saber las direcciones a las que envías trafico. ¿Cuanto crees que cuesta hacer una resolución inversa o revisar los registros de ripe, una y cia?
Si quieres privacidad, lo más cercano es la red tor... Y ni por esas.
#10 con un DNS recursivo, usando DNSSEC está muy complicado que te controlen incluso si quieren. No es imposible, de todas formas, especialmente porque el DNS normal va en claro. Y siempre pueden recurrir a analizar el tráfico de origen a destino, bloquear por rango CIDR, entre muchas otras cosas. Por lo demás, con un DNS recursivo sólo se ha de evitar el DNS poisoning, que de eso no te libra nadie.
#17 Para poder usar DNSSEC lo tiene que soportar el dominio al que te conectas y el autoritativo de ese dominio, no vas a encontrar muchos dominios bien configurados. Para colmo, la implementación de windows depende en que el dns caché soporte DNSSec. Es increiblemente sencillo para cualquier operador entre otras cosas suplantar redirigir todo tu tráfico DNS saliente y hacere pasar por cualquier DNS caché como los de google o los open DNS.
Montarte tu DNS recursivo (el DNS caché vamos....) tampoco te libra, con interceptar el tráfico saliente a los root DNS el ISP volvería a tomar el cotrol.
0k 8
Hemos deshabilitado la autenticación con Facebook. Si entras a Mediatize con una cuenta de Facebook, lee esto.
Un ISP puede hacer literalmente lo que quiera con los datos que envías o recibes e tu casa. Si te montas un DNS en tu casa o utilizas otro servicio DNS te puede valer si el operador no quiere controlarte. En caso contrario, el ISP tiene muy fácil redirigir todas las peticiones DNS que salen de casa de sus clientes y contestar a esas consultas como mejor les parezca.
Tecnicamente, DNS no se pensó para un contexto como el actual donde y con la seguridad en la cabeza... Se diseñó para resolver un problema y lo hizó con mucho éxito.
PD: ojito con las VPN, cuando te conectas a una, el que aloja esa VPN controla todo tu tráfico (exactamente igual que tu ISP actual). Piensa cuanto confias en ese proveedor de VPN en comparación con tu proveedor de internet.
Con HTTPS puedes cifrar la url a la que te conectas, no las peticiones DNS. Y desde hace años cifrar el dominio se dejó de hacer. Desde que incorporaron la extensión SNI a HTTPS para permitir a los servidores tomar decisiones en función del dominio que el cliente solicita.
support.mozilla.org/en-US/kb/firefox-dns-over-https
www.cloudflare.com/es-es/learning/dns/dns-over-tls/
Por supuesto que ocultaría tus peticiones DNS, bueno, más bien parte de ellas, porque todo aquello que no sea navegador seguirá con DNS.
Por tanto, tiene los mismos problemas que un proxy o una VPN, que cambias al operador del servidor https del otro lado por el operador del servicio.
Por último... Incluso si de verdad el operador no pudiese ver la query y el nombre en claro, te recuerdo que el operador (por narices) es tu punto de entrada en la red y va a saber las direcciones a las que envías trafico. ¿Cuanto crees que cuesta hacer una resolución inversa o revisar los registros de ripe, una y cia?
Si quieres privacidad, lo más cercano es la red tor... Y ni por esas.
*
Montarte tu DNS recursivo (el DNS caché vamos....) tampoco te libra, con interceptar el tráfico saliente a los root DNS el ISP volvería a tomar el cotrol.