[lacnog] Un posible protocolo más se suma a la lista del DNS

Carlos M. Martinez carlosm3011 en gmail.com
Mie Dic 9 10:08:20 -03 2020


Hola,

Mi reacción inicial a esto (reconociendo que no hice aún una lectura 
profunda del tema) es “estamos agregando partes móviles que en el 
fondo son innecesarias, para resolver un potencial problema de imagen de 
ciertos actores”.

DoT y DoH son protocolos perfectamente buenos. Funcionan, cumplen con su 
fin (cifrar las consultas). El problema, sobre todo con DoH, es como 
ciertos actores, en particular Mozilla, lo manejaron. El problema no es 
con los protocolos, sino con el manejo, me atrevo a decir político, que 
se hizo de ellos.

Cosas que Mozilla nunca debió haber hecho con DoH (siempre en mi 
opinión, obviamente discutible):

- habilitarlo por defecto enviando todo el tráfico a un punto único. 
No importa que tan bien intencionado fue, no se bien en que estaban 
pensando.

- ser bastante sordos a cuando se les reclamó por este punto.

- by-pasear la configuración de resolvers del sistema operativo. Este 
punto para mí es clave, y representa francamente una traición a la 
relación de confianza usuario-proveedor. Es el usuario quien tiene que 
tener claro como controlar esta relación de confianza y no es aceptable 
que esté enterrada bajo una pantalla que tiene como título “Advanced 
Settings, you might void your warranty”

Entonces, en vez de agregar **un proxy que divide en dos el rol del 
recursivo** (oh Margot, como me alegro de no trabajar mas en 
operaciones) lo que deberíamos hacer es lavar la imagen de DoT y DoH y 
usarlos como fueron pensados. Si tienen debilidades, bueno, fantástico, 
veamos como resolverlas.

Salute,

Carlos

On 9 Dec 2020, at 9:40, Fernando Gont wrote:

> Hola, Marcelo,
>
> Tanto tiempo! (Un gusto leerte!). Entre lineas....
>
> On 9/12/20 08:05, marcelo bagnulo braun wrote:
>>
>> Pensando sobre esto, una posibilidad seria generar consultas 
>> aleatorias para esconder las que son reales. El probelma claro es que 
>> incrementas la carga del sistema artificialmente, pero la privacidad 
>> tiene un coste, por lo que puede ser razonable.
>
> Sin lugar adudas. Y también rotar el recursivo al cual envias el 
> query. Entonces no solo escondes los queries dentro de otros 
> randomizados, sino que aparte cada recursivo que utilizas recibe solo 
> un "subset" de los queries que haces.
>
> De cualquier modo, yo soy de la idea que cosas tales como los sistemas 
> con los cuales te terminas comunicando, los patrones de trafico, etc. 
> (ni hablar lo del SNI de TLS, que entiendo que estaba en vias de ser 
> solucionado), terminan revelando tanto o mas informacion que, si te 
> interesa la privacidad, termina siendo tanto necesario como mas 
> conveniente utilizar una VPN pagada con Bitcoin, y/o usarle la 
> conexion a una tercera parte (cafeteria, vecino, etc.) y/o conectar 
> no-oficialmente un Raspberry Pi a alguna red a la que tengas acceso, 
> que estás cuestiones sobre privacidad DNS.
>
> Mi ejercicio mental con estas cuestiones es: "es esta tecnología algo 
> que yo usaria y de la cual podria depender en lugares como 'X', si 
> estar haciendo 'Y' pudiera costarme la vida o la libertad?"
>
> Esa "ejercicio" creo que ayuda a separar entre meros protocolos que 
> sirven como para jugar un poco con estas cuestiones, y tecnologías 
> que abordan el tema seriamente, y de las cuales se puede depender.
>
> Abrazo,
> -- 
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en si6networks.com
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20201209/c076db39/attachment.htm>


Más información sobre la lista de distribución LACNOG