[lacnog] Un posible protocolo más se suma a la lista del DNS

Fernando Gont fgont en si6networks.com
Mie Dic 9 12:18:50 -03 2020


On 9/12/20 12:01, Nicolas Antoniello wrote:

> También creo que poner a los ISPs potencialmente del lado oscuro de la
> fuerza no es ni justo ni sano digamos...

Por algun motivo, esto tiene cierto sabor a "nosotros somos los 
'buenos', por ende lo que hacemos es lo correcto", que suele aplicarse a 
algunas cuestiones bastante mas importantes, y siempre tiene una cuota 
bastante grande de hipocresia. :-)

Como sucede con muchas de estas cosas, para analizar que tan buena (o 
no) es la tecnologia, uno tiene que hacer explicito quien cree que es el 
adversario, y porqué.

A mi, personalmente, me resulta bastante gracioso el argumento de que 
voy a tener mas privacidad enviando informacion priada a una empresa 
extranjera con jurisdiccion legal en otro pais.



> y acá creo yo, surge el
> segundo gran tema que parecería que siempre se omite o deja de lado:
> Si suponemos por un momento que tenemos un sistema de
> consultas/respuestas DNS perfecto desde el punto de vista de
> privacidad (que nadie puede "ver" que es lo que yo consulto ni la
> respuesta), cosa que concuerdo con Fernando es totalmente utópica),
> aún así, mi proveedor siempre puede analizar mi tráfico y saber hacia
> dónde van mis paquetes (no los de DNS, sino TODO el resto).
> Entonces, para evitar eso alguien podría decir: bueno, pero podes
> levantar una VPN y que todo tu tráfico bypasee al proveedor de
> acceso... y claro que podes, pero entonces tampoco tiene sentido usar
> DoX ni zDoX porque si todo tu tráfico va por una VPN, también tu
> resolver va a estar al otro lado de la VPN y por definición ya
> estarías "ocultando" la resolución de DNS de tu proveedor.

Exactamente ese es mi argumento: Si realmente necesitas algo de esto, 
tenes cosas mucho mas importantes que atender en materia de privacidad. 
Y si estuvieras atendiendo esas cuestiones, no necesitarias esto. :-)



> En resumen mi cuestionamiento es: cuál sería el escenario y la
> motivación real para privar a tu proveedor de potencialmente ver tus
> consultas DNS? Si es que no confias en el, eso lo resolves solamente
> tunelizando TODO tu tráfico (creo yo)... y para eso hace muchos muchos
> años que existen las VPNs (y si querés complicar un poco más la vida a
> los filtros, hacés VPN sobre HTTPS y listo).

Completamente de acuerdo.



> Por otro lado, para esos casos (bastante puntuales) en los que se
> quiera solamente ocultar las consultas (por razones de filtrados que
> utilizan en DNS, etc, bueno, para eso si existe DoX... y en esos casos
> incluso si podría pensarse en utilizar ODoH. Pero entonces no debería
> ser este el comportamiento por defecto del sistema.

Probablemente en dicho caso el proveedor no solo filtre la resolucion de 
unn nombre, sino que también filtre las direcciones correspondientes. -- 
en cuyo caso, usar un VPN vuelve a ser la solucion al problema. :-)



> Creo que Internet fue, es y estará construida sobre varios pilares,
> siendo uno de ellos la búsqueda de lo contrario a la centralización...
> en lo personal no me parecen muy positivas las implementaciones que
> tienden a centralizar en unos pocos jugadores ni las que
> potencialmente aumentan violentamente la entropía del sistema.

Coincido tambien.

Abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución LACNOG