NOX Posted June 29, 2021 Share Posted June 29, 2021 Win+Ctrl+C Link to comment Share on other sites More sharing options...
Revenge Posted June 29, 2021 Author Share Posted June 29, 2021 O Windows 11 suporta de forma nativa DNS over HTTPS Link to comment Share on other sites More sharing options...
Perks Posted June 29, 2021 Share Posted June 29, 2021 1 minute ago, Revenge said: O Windows 11 suporta de forma nativa DNS over HTTPS Isso é uma bosta que seja usado na 443 Como já referi noutro tópico tenho um servidor DNS em casa, para evitar enviar requests para fora deveria muito simples, cheguei ao router uma regra na firewall, todos os requests feitos na porta 53 ou 853 reencaminhar para o meu server e pronto mas quando começo o monitorizar o tráfego, vejo que o nosso querido Chrome continua a fazer chamadas ao 8.8.8.8, começo a ver e pimba porta 443. Ou seja a menos que querias bloquear o tráfego na 443 não podes bloquear na rua rede pedidos Isso era muito giro se fosse DNS over TLS, assim é só uma tentativa de te dificultar a vida se não quiseres que te controlem Btw resolvi de outra forma um problema que não deveria ter Link to comment Share on other sites More sharing options...
Nazgulled Posted June 30, 2021 Share Posted June 30, 2021 16 hours ago, Perks said: Btw resolvi de outra forma um problema que não deveria ter Referes-te ao problema do DoH, ou outro? Conta! Link to comment Share on other sites More sharing options...
Perks Posted June 30, 2021 Share Posted June 30, 2021 A minha ideia era injectar os DNS externos via DHCP (tipo da Adguard), depois metia um filtro na Firewall que redirecionasse todas as solicitação TCP/UDP na porta 53 ou 853 para o RPI Caso o unbound ou a rpi caíssem o filter da firewall era desactivado via script e os requests seriam feitos ao DNS injectado via DHCP ou ao DNS server de cada cliente. isto tinha a vantagem na minha rede que nem que fosse configurado manualmente um servidor DNS era sempre feito um hijack do pedido. Até que dei conta que não funcionava porque o cabrão do Chrome desde uma versão anterior tem DoH que faz requests na porta 443 aos servidores da google ou outros se existir DoH então fiz ao contrário, comece a injectar o IP da RPI no DHCP, tenho uma regra redireccionar pedidos ao 8.8.8.8 e 8.8.4.4 e um script que controla o rpi. caso este caia, a firewall redireciona pedidos na 53/853 para os servidores externos , redireciona o DNS server da VPN para servidor externos e desactiva a regra de firewall que faz hijack aos servidores da google no meu caso é uma rede interna e teimosia minha, mas imagina um gajo que tenha de gerir a rede de uma empresa e não queira que os PC's façam requests a servidores DNS de fora, bloqueia a 443 ou anda com estas tretas? ou fecha os pc's de todos os empregados para um artista não brincar com isto ou anda com soluções destas se fosse prioritizado DNS over TLS isot não acontecia e a segurança era exactamente a mesma que DNS over HTTPS 1 1 Link to comment Share on other sites More sharing options...
Nazgulled Posted June 30, 2021 Share Posted June 30, 2021 Não precisas de explicar o cenário todo que eu sei do que estás a falar , só queria perceber como "resolveste" o problema do teu lado. 1 hour ago, Perks said: se fosse prioritizado DNS over TLS isot não acontecia e a segurança era exactamente a mesma que DNS over HTTPS Certo, mas o DNS over HTTPS não foi criado para combater a segurança, é mesmo para lixar o consumidor... Pelo que tenho lido, só há uma forma de resolver isto, e até pode nem resolver: Se for acesso a DNS externo normal ou DoT, é fazer o que fizeste, redirect da porta 53/853 para o servidor DNS interno Se for acesso a DNS externo por DoH, a solução é arranjar uma lista compreensiva de TODOS os IPs de DNS externos (não só os da Google), tanto IPv4 como IPv6, e bloquear na firewall Depois é esperar que os devices que usam DoH, tenham como fallback DoT ou DNS normal, caso contrário vão simplesmente deixar de funcionar, e não há nada que alguém possa fazer, a não ser permitir esses devices a usar os servidores DNS que querem (isso ou trocar o device por outro qualquer) 1 Link to comment Share on other sites More sharing options...
Popular Post karkov Posted June 30, 2021 Popular Post Share Posted June 30, 2021 Quem está completamente aos papéis com estes últimos replies junte-se aqui lol 3 5 Link to comment Share on other sites More sharing options...
Perks Posted June 30, 2021 Share Posted June 30, 2021 13 minutes ago, Nazgulled said: Depois é esperar que os devices que usam DoH, tenham como fallback DoT ou DNS normal, caso contrário vão simplesmente deixar de funcionar, e não há nada que alguém possa fazer, a não ser permitir esses devices a usar os servidores DNS que querem (isso ou trocar o device por outro qualquer) O meu recreio de bloquear é exactamente este. Não sei. Para já está assim, durante uns dias há uns tempos tive uma regra para marcar trafego para servidores DNS conhecidos e para guardar o IP numa lista para depois tentar ver,e como no final estava a 0 presumo que está tudo ok, mas com estas tretas penso que é por enquanto Mas para dizer que não percebo o DoH quando existe DoT que deveria ser mais controlável, digo eu Link to comment Share on other sites More sharing options...
Nazgulled Posted June 30, 2021 Share Posted June 30, 2021 48 minutes ago, Perks said: O meu recreio de bloquear é exactamente este. Nada como experimentar e ver se funciona Eu ainda não me dei ao trabalho de me preocupar com isto, mas está na lista de tarefas, e pretendo fazer aquilo que descrevi acima. 50 minutes ago, Perks said: Mas para dizer que não percebo o DoH quando existe DoT que deveria ser mais controlável, digo eu Hum? 19 hours ago, Revenge said: O Windows 11 suporta de forma nativa DNS over HTTPS Para quem não sabe o que isto é e qual a vantagem: Quote Microsoft has added a privacy feature to Windows 11 called DNS-over-HTTPS, allowing users to perform encrypted DNS lookups to bypass censorship and Internet activity. When connecting to a website or other host on the Internet, your computer must first query a domain name system (DNS) server for the IP address that is associated with the hostname. DNS-over-HTTPS (DoH) allows your computer to perform these DNS lookups over an encrypted HTTPS connection rather than through normal plain text DNS lookups, which ISPs and governments can snoop on. As some governments and ISPs block connections to sites by monitoring a user's DNS traffic, DoH will allow users to bypass censorship, prevent spoofing attacks, and increase privacy as their DNS requests cannot be as easily monitored. Chromium-based browsers, such as Google Chrome and Microsoft Edge, and Mozilla Firefox, have already added support for DoH. Still, it is only used in the browser and not by other applications running on the computer. This is why it is helpful for an operating system to support the feature, as then all DNS lookups on the device will be encrypted. Mesmo que sejam leigos nesta matéria, eu acho que este texto explica bem, mas caso não percebam, posso tentar explicar melhor. 19 hours ago, Perks said: Isso é uma bosta que seja usado na 443 Neste caso em particular do Windows 11, pouco importa que seja DNS-over-HTTPS (DoH) em vez de DNS-over-TLS (DoT). Isto porque é uma opção do sistema que tu podes optar por usar ou não. Usar esta opção do sistema apenas faz com que "todo o Software" no sistema use DNS-over-HTTPS, em vez do típico DNS. Isto em nada afecta o teu setup caseiro @Perks. Podes muito bem ter o AdGuard/Pi-Hole a correr um servidor DNS-over-HTTPS e configurar o Windows 11 com o teu DNS, e assim tens pedidos DNS encriptados dentro de casa, mas, what's the point? O Importante é teres pedidos DNS encriptados para o exterior, o importante é configurar o AdGuard/Pi-Hole para usar servidores DoH ou DoT como upstream, ou, em alternativa, o unbound, como me parece ser o que tens. A não ser que tenha percebi mal aquilo que disseste, não me parece que esta opção no Windows afecte nada no teu setup caseiro, que é semelhante ao meu. Link to comment Share on other sites More sharing options...
Perks Posted June 30, 2021 Share Posted June 30, 2021 Como te disse no meu caso estou resolvido, mas não vejo grandes vantagens em misturar os pedidos DNS na 443 quando pode ser usada a 853 de igual forma Link to comment Share on other sites More sharing options...
karkov Posted June 30, 2021 Share Posted June 30, 2021 1 Link to comment Share on other sites More sharing options...
Nazgulled Posted July 1, 2021 Share Posted July 1, 2021 16 hours ago, Perks said: mas não vejo grandes vantagens em misturar os pedidos DNS na 443 quando pode ser usada a 853 de igual forma Mas estamos a falar de uma opção no Windows para os pedidos de DNS a um servidor externo (algo que nem se aplica a quem usa AdGuard/Pi-Hole), portanto, qual é o problema mesmo? Link to comment Share on other sites More sharing options...
Perks Posted July 1, 2021 Share Posted July 1, 2021 Nenhum, como disse já resolvi. Só acho que não faz sentido, quando poderia ser DoT. Qual a vantagem mesmo de misturar tudo na 443? Link to comment Share on other sites More sharing options...
skaazi Posted July 1, 2021 Share Posted July 1, 2021 Ate a rede mais fechada com tudo trancado tera sempre as portas 80 e 443 abertas, talvez por isso. Link to comment Share on other sites More sharing options...
Nazgulled Posted July 1, 2021 Share Posted July 1, 2021 (edited) 22 minutes ago, Perks said: Qual a vantagem mesmo de misturar tudo na 443? Qual a desvantagem? É que, neste caso do Windows, não faz diferença nenhuma par ao utilizador ser DoH ou DoT. Edited July 1, 2021 by Nazgulled Link to comment Share on other sites More sharing options...
Perks Posted July 1, 2021 Share Posted July 1, 2021 59 minutes ago, Nazgulled said: Qual a desvantagem? É que, neste caso do Windows, não faz diferença nenhuma par ao utilizador ser DoH ou DoT. a desvantagem é obvia (e não estou a falar do Windows) simplesmente o administrador de rede não vai por exemplo conseguir separar trafego e fazer bloqueios de dns se quem usa tiver configurado DoH no meu caso quero bloquear ao que acedem os meus filhos, a solução obvia é DNS que com DoH não funciona. Link to comment Share on other sites More sharing options...
Nazgulled Posted July 1, 2021 Share Posted July 1, 2021 Se estás nessa fase de querer controlar/bloquear aquilo que os teus filhos podem aceder, então estás na fase em que és tu a configurar os computadores deles, certo? Tenho a certeza que vai haver formas para um administrador configurar essa opção de forma que os utilizadores não a possam alterar, tal como já é possível para tantas outras opções. Faz isso nas máquinas dos teus filhos, e pões lá o servidor DoH que tu queres e que tu controlas (pode ser o do AdGuard, por exemplo), e que eles não podem alterar. Nem precisas de preocupar-te em ter regras ou scripts manhosos na firewall. Atenção que eu percebo o que tu dizes, e concordo contigo. Mas esta decisão de usar DoH e não DoT, não foi por acaso, deve ter sido mesmo propositada. Podiam ter usado DoT? Podiam, mas não quiseram, precisamente porque isso é fácil de bloquear, sendo DoH, o utilizador tem mais controlo do seu lado, que foi certamente o objectivo deles. Repara, se fosse DoT, o ISP podia muito bem bloquear a porta 835 e não deixar ninguém usar servidores DoT, obrigando a usar o seu servidor, logo, censura. Com DoH isso não é possível, tens controlo de usar o DNS que tu queres, e não aquilo que o ISP quer. Existem sempre os dois lados da moeda. Link to comment Share on other sites More sharing options...
CMC_PUBLIKUM Posted July 1, 2021 Share Posted July 1, 2021 On 6/30/2021 at 12:05 AM, Perks said: o nosso querido Chrome continua a fazer chamadas ao 8.8.8.8 Ora agora é que disseste tudo. E se fosse só o Chrome (falando da Google)... Link to comment Share on other sites More sharing options...
Revenge Posted July 1, 2021 Author Share Posted July 1, 2021 Por isso é que isso uso o DNS deles, assim só faz chamadas para um sitio, que é o 8.8.8.8 Link to comment Share on other sites More sharing options...
CMC_PUBLIKUM Posted July 1, 2021 Share Posted July 1, 2021 1 hour ago, Revenge said: Por isso é que isso uso o DNS deles, assim só faz chamadas para um sitio, que é o 8.8.8.8 Sim, que a Google não é como as outras... Basicamente, somos monitorizados por tudo e todos os serviços. E não é tudo com muito boas intenções, apenas para prestar um melhor serviço às pessoas, e blá blá blá. Na melhor das hipóteses, conseguimos reduzir essa monitorização em alguns aspectos. Link to comment Share on other sites More sharing options...
Perks Posted July 1, 2021 Share Posted July 1, 2021 3 hours ago, Revenge said: Por isso é que isso uso o DNS deles, assim só faz chamadas para um sitio, que é o 8.8.8.8 Experimenta os da Adguard, pelo menos no telefone. Assim tens mais um adblocker Link to comment Share on other sites More sharing options...
Revenge Posted July 1, 2021 Author Share Posted July 1, 2021 1 minute ago, Perks said: Experimenta os da Adguard, pelo menos no telefone. Assim tens mais um adblocker No telemóvel já tenho o da Adguard para bloquear as ads. Link to comment Share on other sites More sharing options...
CMC_PUBLIKUM Posted July 1, 2021 Share Posted July 1, 2021 1 hour ago, Revenge said: No telemóvel já tenho o da Adguard para bloquear as ads. Só tens o DNS da AdGuard, ou instalaste a app deles, incluindo o certificado? Link to comment Share on other sites More sharing options...
Revenge Posted July 1, 2021 Author Share Posted July 1, 2021 20 minutes ago, CMC_PUBLIKUM said: Só tens o DNS da AdGuard, ou instalaste a app deles, incluindo o certificado? Isso só se tivermos root, penso eu. Apenas adicionei o dns. 1 Link to comment Share on other sites More sharing options...
CMC_PUBLIKUM Posted July 1, 2021 Share Posted July 1, 2021 (edited) 1 hour ago, Revenge said: Isso só se tivermos root, penso eu. Apenas adicionei o dns. Não, tens é de sacar da página deles por o que está na Play Store apenas dá para o Yandex e Samsung browser. Vou testar, mas há 1 joguito que por vezes tenho de ver ads de 15 ou 30seg para ganhar extras, e com esse dns talvez bloqueie isso. Update: Como já era previsível, bloqueia. Assim sendo, teria de se usar 1 método (talvez dê através da app deles) em que dê para criar uma whitelist. Edited July 2, 2021 by CMC_PUBLIKUM Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now