entrar registro

Cómo saltarse la SENSURA de los ISPs

1737 visitas
|
votos: 11 · 1
|
karma: 137
|

Como ya sabeis, hay días y días, y tengo días para todo. La cosa es que, desde que volví de mi último periplo, uno de mis colegas me dio una idea interesante que he testeado y puesto en ejecución.

Contexto: ¿qué saben de nosotros los ISPs y los grandes proveedores? Pues mucho, y si tienen acceso a nuestras visitas, pueden saber mucho acerca de nuestro comportamiento en la red. Por ejemplo

- Apps que usamos
- Webs que visitamos
- Frecuencia del uso

Eso ya da bastante idea de qué pasa, porque que el gran hermano nos vigila, ni cotiza. Normalmente, si uno quiere asegurarse el tiro y entrar en el internete con un mínimo de privacidad, puede usar TOR y conectarse con bastante tranquilidad si uno no lo usa para ciertas cosas (como comprar drogainas o un lanzamisiles traspapelado de los americanos en Ucrania). Y esto es porque todas las peticiones de DNS van en claro por el puerto 53, DNSSEC aún está lejos de ser estándar (y por mucho que los navegadores digan que sí, en realidad no se usa).

Por tanto, y asumiendo que los ISP y los grandes proveedores como Cloudfare, Google, y Meta viven de nuestros metadatos, hice el ejercicio de saber hasta qué punto son unos chapuceros para implementar el bloqueo a sitios web como www.rt.com y similares, que están vetados en Europa.
Por defecto, los ISP te mandan a un "black hole" o en su defecto a una página cautiva que dice que el acceso está restringido.

Y esto, amigüitos, recordad, es porque el DNS es Domain Name Service. La piedra angular de todo Internet: el resolutor de nombres que identifica un sitio con una dirección IP.

En estos tiempos, tener un DNS recursivo local es casi una rareza: entre que todos los proveedores proporcionan el servicio por defecto y que requiere un mínimo de conocimiento, es una tarea si no tediosa, poco gratificante. En resumen, se puede resumir en:

1) Descargar los root.hints www.iana.org/domains/root/files
2) Configurar al gusto el demonio (bind9, unbound)
3) Asegurar que el sistema local no está ejecutando ningún servicio en el puerto 53
4) Arrancar el servicio y testear

Con esto, he podido comprobar que mi proveedor no bloquea por CIDR el acceso a según que webs, y que puedo leer www.rt.com sin problema alguno.

Nota al pie, super importante.
Si quieres hacer algo super ilegal, o dudoso (como conectar a rojadirecta.com), necesitas al menos una VPN contra otro sitio donde empezar a hacer canalladas, el gran hermano podría hacer reverse DNS a cualquiera de las IPs que hemos resuelto.

Segunda nota al pie:
Muchos sitios bloquean o distribuyen contenido según el bloque CIDR asignado a cada país, por lo que no espereis ver cosas diferentes en el catálogo de Netflix. Como decía arriba, eso necesita una VPN.

P.D.
Hay cientos de tutoriales para ello. Yo lo he montado en un Mac Mini con Linux, un core i5 de cuarta generación, que tengo ocioso por aquí. Lo dejaré en marcha a ver cuanto me sube la luz :troll:

comentarios (29)
  1. juanda
    Muy bueno, yo si que tengo acceso a RT.com sin haber implementado nada, igual mi ISP no me lo ha bloqueado, aún, pero me lo guardo para cuando quiera hacer alguna malesetes
    3    k 69
  2. Injustice_Marvin
    #0 El artículo en si es un delito de odio, odio a la censura y te encontrarán.
    2    k 60
  3. macarty
    #2 odiar es muy cansado, simplemente lo que lw digo a la sensura es que no me interesa.
    2    k 60
  4. juanda
    #4 Recuerdo hace tiempo intentar cambiarlos en el router de la compañía, creo que están como "valores fijos" a menos que lo rutee, pero tampoco me quería complicar la vida así que los dejé como están... .eso, o sí los cambié pero al acceder al router me sigue mostrando los originales, aunque lo dudo.
    2    k 60
  5. macarty
    #5 puedes cambiarlo simplemente modificando el servicio DHCP
    2    k 60
  6. macarty
    #1 depende de los DNS que uses, básicamente.
    1    k 40
  7.  #6  » ver comentario
  8. juanda
    #7 Lo miraré!!! Gracias
    1    k 40
  9. josdete
    #15 josdete
     *
    #14 Cloudfare sus dns no me va mal, las que me fueron como el culo fue las de google .
    1    k 40
  10. jimyx17
    #25 jimyx17
     *
    #23 A mi me resulta gracioso. Al final, internet no se construyó para un entorno en el que millones y millones de personas iban a estar atacandose unos a otros. Comenzaron los ataques y no pasaba nada, si te roban a ti o a mi... pues da igual. En los 90 y primer lustro de los 2000, la seguridad daba igual.
    De repente, internet se convierte en el nucleo de negocio de las mayores compañias del mundo, y entonces es cuando todo lo relativo a la seguridad en internet importa. Pero no para protegerte a ti o a mi, sino para proteger a esas compañías, que son las que escriben de verdad en la ietf.

    PD: Tal vez gracioso no sea la palabra adecuada
    1    k 28
  11. jimyx17
    #26 Jo... que recuerdos, y luego con un simple write podias escribir lo que quisieras en el terminal del resto de usuarios. También lo recuerdo.
    1    k 28
  12. pcaro
    #10 El DNS se puede cifrar usando HTTPS por ejemplo.
    1    k 27
  13. josdete
    #1 Yo tambien la tengo sin problemas y mi ISPs es Rovafone.
    0    k 20
  14. josdete
    #4 Yo uso las de Cloudflare 1.1.1.1 y 1.0.0.1
    0    k 20
  15. macarty
    #14 macarty
     *
    #12 te puedo dar unas estadísticas de mi triste cacharro: tiene mejor tiempo de respuesta que cloudfare xD

    (nota: es cierto que hago algo de trampa y aparte de dns recursivo, hace caché)
    0    k 20
  16. macarty
    #16 macarty
     *
    #15 No, si no te lo discuto, pero el hecho de reducir el tiempo de transaccion al entorno del milisegundo, ha mejorado horrores el tiempo de respuesta de todo en casa (¡y no transfiero metadatos a nadie!)


    me@flowerpower:~$ time dig @192.168.1.2 www.google.com

    ; <<>> DiG 9.18.28-0ubuntu0.22.04.1-Ubuntu <<>> @192.168.1.2 www.google.com
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; >>HEADER<< opcode: QUERY, status: NOERROR, id: 11984
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 1232
    ;; QUESTION SECTION:
    ;www.google.com. IN A

    ;; ANSWER SECTION:
    www.google.com. 282 IN A 142.250.200.100

    ;; Query time: 0 msec
    ;; SERVER: 192.168.1.2#53(192.168.1.2) (UDP)
    ;; WHEN: Thu Sep 19 09:59:19 CEST 2024
    ;; MSG SIZE rcvd: 59


    real 0m0,028s
    user 0m0,010s
    sys 0m0,005s
    me@flowerpower:~$ time dig @1.1.1.1 www.google.com

    ; <<>> DiG 9.18.28-0ubuntu0.22.04.1-Ubuntu <<>> @1.1.1.1 www.google.com
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; >>HEADER<< opcode: QUERY, status: NOERROR, id: 24886
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 1232
    ;; QUESTION SECTION:
    ;www.google.com. IN A

    ;; ANSWER SECTION:
    www.google.com. 300 IN A 142.250.184.164

    ;; Query time: 16 msec
    ;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
    ;; WHEN: Thu Sep 19 09:59:30 CEST 2024
    ;; MSG SIZE rcvd: 59


    real 0m0,042s
    user 0m0,011s
    sys 0m0,005s
    0    k 20
  17. macarty
    #17 macarty
     *
    #10 con un DNS recursivo, usando DNSSEC está muy complicado que te controlen incluso si quieren. No es imposible, de todas formas, especialmente porque el DNS normal va en claro. Y siempre pueden recurrir a analizar el tráfico de origen a destino, bloquear por rango CIDR, entre muchas otras cosas. Por lo demás, con un DNS recursivo sólo se ha de evitar el DNS poisoning, que de eso no te libra nadie.
    0    k 20
  18. macarty
    #23 macarty
     *
    #18 muy cierto, especialmente lo último (DNS poisoning). Lo dicho, no es definitivo, para salirse de ahí, lo mejor es tener una VPN hacia algún sitio "de confianza", y entrecomillo eso. Porque desafortunadamente, los tiempos en que podías ser nodo de internet, ya pasaron.
    0    k 20
  19. macarty
    #26 macarty
     *
    #25 no, no lo es. Y te lo dice alguien que se conectaba por telnet al servidor de la universidad, de cuando podías hacer fingers a los servidores unix para saber quién estaba conectado y todo era maravilloso y sin cortafuegos ni DMZs.
    0    k 20
  20. Juan_Nervion
    #1 Ya.... nos hemos dado cuenta.
    0    k 18
  21. jimyx17
    Esto en realidad tiene las patas muy cortas.
    Un ISP puede hacer literalmente lo que quiera con los datos que envías o recibes e tu casa. Si te montas un DNS en tu casa o utilizas otro servicio DNS te puede valer si el operador no quiere controlarte. En caso contrario, el ISP tiene muy fácil redirigir todas las peticiones DNS que salen de casa de sus clientes y contestar a esas consultas como mejor les parezca.
    Tecnicamente, DNS no se pensó para un contexto como el actual donde y con la seguridad en la cabeza... Se diseñó para resolver un problema y lo hizó con mucho éxito.

    PD: ojito con las VPN, cuando te conectas a una, el que aloja esa VPN controla todo tu tráfico (exactamente igual que tu ISP actual). Piensa cuanto confias en ese proveedor de VPN en comparación con tu proveedor de internet.
    0    k 8
  22. jimyx17
    #17 Para poder usar DNSSEC lo tiene que soportar el dominio al que te conectas y el autoritativo de ese dominio, no vas a encontrar muchos dominios bien configurados. Para colmo, la implementación de windows depende en que el dns caché soporte DNSSec. Es increiblemente sencillo para cualquier operador entre otras cosas suplantar redirigir todo tu tráfico DNS saliente y hacere pasar por cualquier DNS caché como los de google o los open DNS.
    Montarte tu DNS recursivo (el DNS caché vamos....) tampoco te libra, con interceptar el tráfico saliente a los root DNS el ISP volvería a tomar el cotrol.
    0    k 8
  23. jimyx17
    #13 No, no puedes cifrar las peticiones DNS con HTTPS.
    Con HTTPS puedes cifrar la url a la que te conectas, no las peticiones DNS. Y desde hace años cifrar el dominio se dejó de hacer. Desde que incorporaron la extensión SNI a HTTPS para permitir a los servidores tomar decisiones en función del dominio que el cliente solicita.
    0    k 8
  24. jimyx17
    #20 Ya... Entiendes como funciona ¿no? Porque es exactamente lo mismo que haría un OpenSSL o cualquier túnel ssl que ya he comentado en los post de antes.
    Por supuesto que ocultaría tus peticiones DNS, bueno, más bien parte de ellas, porque todo aquello que no sea navegador seguirá con DNS.
    Por tanto, tiene los mismos problemas que un proxy o una VPN, que cambias al operador del servidor https del otro lado por el operador del servicio.
    Por último... Incluso si de verdad el operador no pudiese ver la query y el nombre en claro, te recuerdo que el operador (por narices) es tu punto de entrada en la red y va a saber las direcciones a las que envías trafico. ¿Cuanto crees que cuesta hacer una resolución inversa o revisar los registros de ripe, una y cia?
    Si quieres privacidad, lo más cercano es la red tor... Y ni por esas.
    0    k 8
  25. jimyx17
    #22 Aquí estamos hablando de saltarse la censura de los ISPs y VPN+DNS cifrado lo hace. Punto.
    Claro, como ya había dicho en mi primera respuesta.
    Pero lo del DNS cifrado sobra. Con la VPN sería suficiente.
    Sobre la VPN solo advertía que estas cambiando quien controla tu tráfico, de tu operador habitual al operador de la VPN, o si te la montas tu, al operador del sitio por el que salga tu tráfico. Es decir, cambias Telefonica, Orange o Vodafone o cualquier otro que esta sujeto a la legislación española y europea por otro del que tal vez no sepas nada y puede que sepas aún menos de la legislación de ese país.

    Te vuelvo a transmitir el mensaje inicial para que lo entiendas. Cambiar tu DNS solo te sirve si al operador al que te conectas asi lo desea, y en cualquier momento puede hacer lo que quiera con tu tráfico.
    0    k 8
  26. jimyx17
    #27 No tu ISP no puede hacer lo que quiera con tu tráfico. Si lo cifras lo máximo que puede hacer es cortarlo.
    No es así. Perto tampoco te quiero quitar una ilusión que parece que te hace feliz.

    Si te creas un servidor vpn externo igualmente tendrá que atender al contrato firmado.
    O no. Hará lo que este escrito en la legislación del país en el que opere.

    Repito aquí no hablamos de Tor o anonimato general. Estamos hablando de saltarse la censura que obligan a implantar a los ISPs.
    Tor es una especie de "VPN aleatoria" en el sentido que nunca sabes donde va a salir tu tráfico y por tanto hara que parezca que sale de otra red diferente a la de tu ISP. Es posible, pero poco probable que salgas de otro nodo dentro de un ISP en España. Si te permiten entrar, tu operador podrá hacer poco.
    No pareces ser consciente de hasta que punto controlan a lo que puedes o no puedes acceder desde tu operador. Repito, te dejo en tu ilusión.
    0    k 8
  27. pcaro
    #21 Claro que entiendo como funciona. El que parece que no lo entiendes eres tu.

    Eso de que las peticiones dns cifradas serían sólo las del navegador....
    Mi router mikrotik es el que hace la petición DNS sea el que sea el servicio que lo use.
    Y el operador sólo puede por resolución inversa ver el servidor vpn por el que pasa el tráfico.

    Aquí estamos hablando de saltarse la censura de los ISPs y VPN+DNS cifrado lo hace. Punto.

    Y claro que dependes del servidor dns (al que por, cierto, también se le puede hacer llegar la petición desde un servidor externo) y de un VPN seguro (que también te puedes montar tu mismo por dos perras) para navegar de forma anónima. Pero de eso, no va la conversación.
    0    k 7
  28. pcaro
    #27 pcaro
     *
    #24 No.
    No tu ISP no puede hacer lo que quiera con tu tráfico. Si lo cifras lo máximo que puede hacer es cortarlo.

    Si te creas un servidor vpn externo igualmente tendrá que atender al contrato firmado.

    Repito aquí no hablamos de Tor o anonimato general. Estamos hablando de saltarse la censura que obligan a implantar a los ISPs.
    0    k 7
comentarios cerrados
suscripciones por RSS
ayuda
+mediatize
estadísticas
mediatize
mediatize