Jump to content

Microsoft Windows 11


Revenge
 Share

Recommended Posts

1 minute ago, Revenge said:

O Windows 11 suporta de forma nativa DNS over HTTPS :y:

Isso é uma bosta que seja usado na 443

Como já referi noutro tópico tenho um servidor DNS em casa, para evitar enviar requests para fora deveria muito simples, cheguei ao router uma regra na firewall, todos os requests feitos na porta 53 ou 853 reencaminhar para o meu server e pronto

 mas quando começo o monitorizar o tráfego, vejo que o nosso querido Chrome continua a fazer chamadas ao 8.8.8.8, começo a ver e pimba porta 443. Ou seja a menos que querias bloquear o tráfego na 443 não podes bloquear na rua rede pedidos 

Isso era muito giro se fosse DNS over TLS, assim é só uma tentativa de te dificultar a vida se não quiseres que te controlem

 

 

Btw resolvi de outra forma um problema que não deveria ter ;)

 

Link to comment
Share on other sites

A minha ideia era injectar os DNS externos via DHCP (tipo da Adguard), depois metia um filtro na Firewall que redirecionasse todas as solicitação TCP/UDP na porta 53 ou 853 para o RPI

 

Caso o unbound ou a rpi caíssem o filter da firewall era desactivado via script e os requests seriam feitos ao DNS injectado via DHCP ou ao DNS server de cada cliente. isto tinha a vantagem na minha rede que nem que fosse configurado manualmente um servidor DNS era sempre feito um hijack do pedido.

Até que dei conta que não funcionava porque o cabrão do Chrome desde uma versão anterior tem DoH que faz requests na porta 443 aos servidores da google ou outros se existir DoH

 

então fiz ao contrário, comece a injectar o IP da RPI no DHCP, tenho uma regra redireccionar pedidos ao 8.8.8.8 e 8.8.4.4 e um script que controla o rpi. caso este caia, a firewall redireciona pedidos na 53/853 para os servidores externos , redireciona o DNS server da VPN para servidor externos e desactiva a regra de firewall que faz hijack aos servidores da google

 

 

 

no meu caso é uma rede interna e teimosia minha, mas imagina um gajo que tenha de gerir a rede de uma empresa e não queira que os PC's façam requests a servidores DNS de fora, bloqueia a 443 ou anda com estas tretas? ou fecha os pc's de todos os empregados para um artista não brincar com isto ou anda com soluções destas

se fosse prioritizado DNS over TLS isot não acontecia e a segurança era exactamente a mesma que DNS over HTTPS

  • Like 1
  • Shocked 1
Link to comment
Share on other sites

Não precisas de explicar o cenário todo que eu sei do que estás a falar 😅, só queria perceber como "resolveste" o problema do teu lado.

1 hour ago, Perks said:

se fosse prioritizado DNS over TLS isot não acontecia e a segurança era exactamente a mesma que DNS over HTTPS

Certo, mas o DNS over HTTPS não foi criado para combater a segurança, é mesmo para lixar o consumidor...

Pelo que tenho lido, só há uma forma de resolver isto, e até pode nem resolver:

  • Se for acesso a DNS externo normal ou DoT, é fazer o que fizeste, redirect da porta 53/853 para o servidor DNS interno
  • Se for acesso a DNS externo por DoH, a solução é arranjar uma lista compreensiva de TODOS os IPs de DNS externos (não só os da Google), tanto IPv4 como IPv6, e bloquear na firewall
    • Depois é esperar que os devices que usam DoH, tenham como fallback DoT ou DNS normal, caso contrário vão simplesmente deixar de funcionar, e não há nada que alguém possa fazer, a não ser permitir esses devices a usar os servidores DNS que querem (isso ou trocar o device por outro qualquer)
  • Like 1
Link to comment
Share on other sites

13 minutes ago, Nazgulled said:

Depois é esperar que os devices que usam DoH, tenham como fallback DoT ou DNS normal, caso contrário vão simplesmente deixar de funcionar, e não há nada que alguém possa fazer, a não ser permitir esses devices a usar os servidores DNS que querem (isso ou trocar o device por outro qualquer)

O meu recreio de bloquear é exactamente este. Não sei. Para já está assim, durante uns dias há uns tempos tive uma regra para marcar trafego para servidores DNS conhecidos e para guardar o IP numa lista para depois tentar ver,e como no final estava a 0 presumo que está tudo ok, mas com estas tretas penso que é por enquanto

Mas para dizer que não percebo o DoH quando existe DoT que deveria ser mais controlável, digo eu

Link to comment
Share on other sites

48 minutes ago, Perks said:

O meu recreio de bloquear é exactamente este.

Nada como experimentar e ver se funciona :D Eu ainda não me dei ao trabalho de me preocupar com isto, mas está na lista de tarefas, e pretendo fazer aquilo que descrevi acima.

 

50 minutes ago, Perks said:

Mas para dizer que não percebo o DoH quando existe DoT que deveria ser mais controlável, digo eu

Hum?

19 hours ago, Revenge said:

O Windows 11 suporta de forma nativa DNS over HTTPS :y:

Para quem não sabe o que isto é e qual a vantagem:

Quote

Microsoft has added a privacy feature to Windows 11 called DNS-over-HTTPS, allowing users to perform encrypted DNS lookups to bypass censorship and Internet activity.

When connecting to a website or other host on the Internet, your computer must first query a domain name system (DNS) server for the IP address that is associated with the hostname.

DNS-over-HTTPS (DoH) allows your computer to perform these DNS lookups over an encrypted HTTPS connection rather than through normal plain text DNS lookups, which ISPs and governments can snoop on.

As some governments and ISPs block connections to sites by monitoring a user's DNS traffic, DoH will allow users to bypass censorship, prevent spoofing attacks, and increase privacy as their DNS requests cannot be as easily monitored.

Chromium-based browsers, such as Google Chrome and Microsoft Edge, and Mozilla Firefox, have already added support for DoH. Still, it is only used in the browser and not by other applications running on the computer.

This is why it is helpful for an operating system to support the feature, as then all DNS lookups on the device will be encrypted.

Mesmo que sejam leigos nesta matéria, eu acho que este texto explica bem, mas caso não percebam, posso tentar explicar melhor.

19 hours ago, Perks said:

Isso é uma bosta que seja usado na 443

Neste caso em particular do Windows 11, pouco importa que seja DNS-over-HTTPS (DoH) em vez de DNS-over-TLS (DoT). Isto porque é uma opção do sistema que tu podes optar por usar ou não. Usar esta opção do sistema apenas faz com que "todo o Software" no sistema use DNS-over-HTTPS, em vez do típico DNS. Isto em nada afecta o teu setup caseiro @Perks. Podes muito bem ter o AdGuard/Pi-Hole a correr um servidor DNS-over-HTTPS e configurar o Windows 11 com o teu DNS, e assim tens pedidos DNS encriptados dentro de casa, mas, what's the point? O Importante é teres pedidos DNS encriptados para o exterior, o importante é configurar o AdGuard/Pi-Hole para usar servidores DoH ou DoT como upstream, ou, em alternativa, o unbound, como me parece ser o que tens.

A não ser que tenha percebi mal aquilo que disseste, não me parece que esta opção no Windows afecte nada no teu setup caseiro, que é semelhante ao meu.

Link to comment
Share on other sites

16 hours ago, Perks said:

mas não vejo grandes vantagens em misturar os pedidos DNS na 443 quando pode ser usada a 853 de igual forma

Mas estamos a falar de uma opção no Windows para os pedidos de DNS a um servidor externo (algo que nem se aplica a quem usa AdGuard/Pi-Hole), portanto, qual é o problema mesmo?

Link to comment
Share on other sites

22 minutes ago, Perks said:

Qual a vantagem mesmo de misturar tudo na 443?

Qual a desvantagem? É que, neste caso do Windows, não faz diferença nenhuma par ao utilizador ser DoH ou DoT.

Edited by Nazgulled
Link to comment
Share on other sites

59 minutes ago, Nazgulled said:

Qual a desvantagem? É que, neste caso do Windows, não faz diferença nenhuma par ao utilizador ser DoH ou DoT.

a desvantagem é obvia (e não estou a falar do Windows) simplesmente o administrador de rede não vai por exemplo conseguir separar trafego e fazer bloqueios de dns se quem usa tiver configurado DoH 

no meu caso quero bloquear ao que acedem os meus filhos, a solução obvia é DNS que com DoH não funciona. 

Link to comment
Share on other sites

Se estás nessa fase de querer controlar/bloquear aquilo que os teus filhos podem aceder, então estás na fase em que és tu a configurar os computadores deles, certo? Tenho a certeza que vai haver formas para um administrador configurar essa opção de forma que os utilizadores não a possam alterar, tal como já é possível para tantas outras opções. Faz isso nas máquinas dos teus filhos, e pões lá o servidor DoH que tu queres e que tu controlas (pode ser o do AdGuard, por exemplo), e que eles não podem alterar. Nem precisas de preocupar-te em ter regras ou scripts manhosos na firewall.

Atenção que eu percebo o que tu dizes, e concordo contigo. Mas esta decisão de usar DoH e não DoT, não foi por acaso, deve ter sido mesmo propositada. Podiam ter usado DoT? Podiam, mas não quiseram, precisamente porque isso é fácil de bloquear, sendo DoH, o utilizador tem mais controlo do seu lado, que foi certamente o objectivo deles.

Repara, se fosse DoT, o ISP podia muito bem bloquear a porta 835 e não deixar ninguém usar servidores DoT, obrigando a usar o seu servidor, logo, censura. Com DoH isso não é possível, tens controlo de usar o DNS que tu queres, e não aquilo que o ISP quer. Existem sempre os dois lados da moeda.

Link to comment
Share on other sites

1 hour ago, Revenge said:

Por isso é que isso uso o DNS deles, assim só faz chamadas para um sitio, que é o 8.8.8.8 :-..

Sim, que a Google não é como as outras... 

Basicamente, somos monitorizados por tudo e todos os serviços. E não é tudo com muito boas intenções, apenas para prestar um melhor serviço às pessoas, e blá blá blá. 

Na melhor das hipóteses, conseguimos reduzir essa monitorização em alguns aspectos. 

Link to comment
Share on other sites

3 hours ago, Revenge said:

Por isso é que isso uso o DNS deles, assim só faz chamadas para um sitio, que é o 8.8.8.8 :-..

Experimenta os da Adguard, pelo menos no telefone. Assim tens mais um adblocker 

Link to comment
Share on other sites

1 hour ago, Revenge said:

Isso só se tivermos root, penso eu.

Apenas adicionei o dns.

Não, tens é de sacar da página deles por o que está na Play Store apenas dá para o Yandex e Samsung browser.

Vou testar, mas há 1 joguito que por vezes tenho de ver ads de 15 ou 30seg para ganhar extras, e com esse dns talvez bloqueie isso. 

 

Update:

Como já era previsível, bloqueia. Assim sendo, teria de se usar 1 método (talvez dê através da app deles) em que dê para criar uma whitelist. 

Edited by CMC_PUBLIKUM
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.