[lacnog] Un posible protocolo más se suma a la lista del DNS

Nicolas Antoniello nantoniello en gmail.com
Mie Dic 9 12:01:49 -03 2020


Ahora que hemos despertado al Kraken les cuento parte de mi opinión a
título estrictamente personal:

Yo creo que todo esto podría ir en el sentido de resolver un problema
que no existe como algo generalizado... es decir, si bien es cierto
que en algunos -muy pocos por suerte, creo yo- sitios los usuarios
pueden querer saltarse filtros de los ISPs (motivados por diversas
cuestiones y en todo su derecho), para ello, como bien mencionaron ya
existen alternativas, entre ellas DoT o DoH con un resolver fuera del
ISP, o vamos, nuestro propio resolver.

También creo que poner a los ISPs potencialmente del lado oscuro de la
fuerza no es ni justo ni sano digamos... y acá creo yo, surge el
segundo gran tema que parecería que siempre se omite o deja de lado:
Si suponemos por un momento que tenemos un sistema de
consultas/respuestas DNS perfecto desde el punto de vista de
privacidad (que nadie puede "ver" que es lo que yo consulto ni la
respuesta), cosa que concuerdo con Fernando es totalmente utópica),
aún así, mi proveedor siempre puede analizar mi tráfico y saber hacia
dónde van mis paquetes (no los de DNS, sino TODO el resto).
Entonces, para evitar eso alguien podría decir: bueno, pero podes
levantar una VPN y que todo tu tráfico bypasee al proveedor de
acceso... y claro que podes, pero entonces tampoco tiene sentido usar
DoX ni zDoX porque si todo tu tráfico va por una VPN, también tu
resolver va a estar al otro lado de la VPN y por definición ya
estarías "ocultando" la resolución de DNS de tu proveedor.

En resumen mi cuestionamiento es: cuál sería el escenario y la
motivación real para privar a tu proveedor de potencialmente ver tus
consultas DNS? Si es que no confias en el, eso lo resolves solamente
tunelizando TODO tu tráfico (creo yo)... y para eso hace muchos muchos
años que existen las VPNs (y si querés complicar un poco más la vida a
los filtros, hacés VPN sobre HTTPS y listo).

Por otro lado, para esos casos (bastante puntuales) en los que se
quiera solamente ocultar las consultas (por razones de filtrados que
utilizan en DNS, etc, bueno, para eso si existe DoX... y en esos casos
incluso si podría pensarse en utilizar ODoH. Pero entonces no debería
ser este el comportamiento por defecto del sistema.

Y por último, creo que siempre debemos en cuenta la separación entre
los estándares y las implementaciones de los mismos... pero también el
famoso (o no tan famoso) dicho del Dr. Malcolm de Jurassic Park:
"estábamos tan preocupados por saber si podíamos o no, que no nos
detuvimos a pensar si deberíamos".

Creo que Internet fue, es y estará construida sobre varios pilares,
siendo uno de ellos la búsqueda de lo contrario a la centralización...
en lo personal no me parecen muy positivas las implementaciones que
tienden a centralizar en unos pocos jugadores ni las que
potencialmente aumentan violentamente la entropía del sistema.

Fraterno saludo,
Nico

El mié, 9 de dic. de 2020 a la(s) 11:10, Carlos M. Martinez
(carlosm3011 en gmail.com) escribió:
>
> Hola,
>
> Es perfectamente válido desconfiar del ISP, por lo que soy el primero en defender el derecho de los usuarios a usar como recursivos el 8.8.8.8, o el 1.1.1.1 o el 9.9.9.9 o los de OpenDNS, eventualmente sobre DoH o DoT.
>
> Me encantaría también ver a los ISPs instalar recursivos que soporten DoT / DoH.
>
> Pero tiene ser una opcion del usuario, y tiene que ser una configuración única en el sistema. Flaco beneficio le hacemos a la privacidad y a la libertad a elegir de los usuarios si cada aplicación del sistema usa un resolver diferente.
>
> /Carlos
>
> On 9 Dec 2020, at 11:01, Fernando Gont wrote:
>
> On 9/12/20 10:18, marcelo bagnulo braun wrote:
>
> Hola,
> Si, casi de acuerdo con todo lo que dices.
>
> Sin embargo, creo que hay margen de mejora. Si los usarios pueden no mostrar la informacion de sus queries de DNS a nadie (ni a un resolver publico, ni al resovler de ISP) estarian mejor (no se si este es el problema de privacidad que es mas apremiante, pero...)
>
> Obviamente, lo que podrian hacer lo usuarios, seria resovler directamente toda la query ellos mismos de forma iterativa, sin usar un resolver que les haga las busquedas.[1]
>
> El punto acá es que si asumis que el adversario es el ISP, entonces va a poder ver todos los queries en texto pleno (no tan facil como si usaras su resolutor, pero podría verlas capturando trafico).
>
> (*) Si a uno realmente le preocupa la privacidad, y esta haciendo algo lo suficientemente molesto apra gente lo suficientemente poderosa, usar su propia direccion para mover trafico (no hablo de queries DNS, sino del trafico de aplicacion en si), deberia ser, per se, una preocupacion.
>
>
> Y en muchos de esos lugares, el uso explicito de tecnologias de este estilo ya te pone una posicion de, minimamente, "sospechoso".
>
>
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog


Más información sobre la lista de distribución LACNOG