[lacnog] Un posible protocolo más se suma a la lista del DNS

[Fernando Gont]

Hola, Mauricio,

On 9/12/20 18:10, Mauricio Vergara Ereche wrote:
> Hola!
> 
> On Wed, Dec 9, 2020 at 7:33 AM Fernando Gont <fgont en si6networks.com 
> <mailto:fgont en si6networks.com>> wrote:
> 
>     On 9/12/20 11:10, Carlos M. Martinez wrote:
>      > Hola,
>      >
>      > Es perfectamente válido desconfiar del ISP, por lo que soy el
>     primero en
>      > defender el derecho de los usuarios a usar como recursivos el
>     8.8.8.8, o
>      > el 1.1.1.1 o el 9.9.9.9 o los de OpenDNS, eventualmente sobre DoH
>     o DoT.
> 
>     Es valido desconfiar del ISP.
> 
>     Pero no tiene mucho sentido asumir, sin demasiado argumento, que enviar
>     todos los queries encriptados a un tercero, en otro pais, "mejora la
>     privacidad".
> 
>     El argumento de "dame todos tus datos, que asi asi vas a tener mayor
>     privacidad, ya que nuestra politica de privacidad te protege" me parece
>     casi una subestimacion de nuestro intelecto. :-)
> 
> 
> Hay algo que no me queda claro del todo en este thread.
> 
> La mayoría parece estar de acuerdo con el sentimiento de desconfiar de 
> su propio ISP y preferiría utilizar una VPN.

FWIW, yo estoy de acuerdo de que cada uno desconfie de lo que quiera 
desconfiar.

Con lo que estoy en desacuerdo es con el juicio implicito de que una 
parte es mas confiable que otra, y que ese juicio es aplicable de manera 
general.

Muchos de los que promocionan tecnologias de este estilo, y proponen 
reemplazar el DNS recursivo del ISP por otro (por ejemplo de 
Cloudflare), de algun modo argumentan que Cloudflare es mas confiable 
que mi ISP.  Y eso es un juicio de valor, infundado.

Mas aun, en lo personal, creo que el argumento de centralizar los 
queries de un monton de usuarios en una organización a la cual no tengo 
motivo alguno para confiarle mi informacion, es unna muy mala idea.



> Pero eso no estaría cambiando la confianza del ISP por la que hay con el 
> proveedor de VPN?

Exacto. Algo que se pierde de vista en esta conversacion es que uno en 
realidad no esta segurizando nada, sino que simplemente esta modificando 
las relaciones de confianza: lease, a quien uno le da toda la informacion.

Salvo en aquellos casos en que las comunicaciones se pueden hacer 
end-to-end (entre las partes interesadas en comunicarse), entonces uno 
*depende* de intermediarios. Y tiene que elegir en cuales de esos 
intermediarios confia.

Tal como bien decis, al usar una VPN, uno esta depositando la confianza 
en el extremo del VPN.  En ocasiones, uno espera que, dado que uno elige 
el servicio, que el mismo va a estar menos centralizado, etc., que *tal 
vez* el proveedor de VPN no lo espie.

Pero la realidad es que lo unico en lo cual uno puede confiar (*) es en 
la encripcion extremo a extremo. Metadata como las direcciones IP 
siempre son visibles por alguien.


(*) Lo de la encripcion tiene sus matices. Ya que por un lado, en lo que 
hace a algoritmos uno solo puede decir que "se desconoce que a la fecha 
alguien lo haya roto", aparte de que, si uno utiliza certificados, 
termina depositando su confianza en 80+ autoridades certificantes -- lo 
cual muestra que hay muchas cosas que pueden salir mal (y de hecho, hay 
ejemplos concretos de esto a lo largo de los años).




> ...o estamos usando el argumento de la VPN sólo como el cifrado punto a 
> punto y como algo auto-administrado?

Yo hablaba de VPN autoadministrado, simplemente para poder securizar un 
tramo del flujo de datos. -- la tipica es, por ejemplo, usar un VPN 
cuando uno va a una conferencia, para que al menos el trafico de uno 
este "protegido" en la red de la conferencia.


Slds,
Fernando



-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492