[lacnog] Un posible protocolo más se suma a la lista del DNS
Fernando Gont
fgont en si6networks.com
Jue Dic 10 23:42:48 -03 2020
Hola, Mauricio,
On 9/12/20 18:10, Mauricio Vergara Ereche wrote:
> Hola!
>
> On Wed, Dec 9, 2020 at 7:33 AM Fernando Gont <fgont en si6networks.com
> <mailto:fgont en si6networks.com>> wrote:
>
> On 9/12/20 11:10, Carlos M. Martinez wrote:
> > Hola,
> >
> > Es perfectamente válido desconfiar del ISP, por lo que soy el
> primero en
> > defender el derecho de los usuarios a usar como recursivos el
> 8.8.8.8, o
> > el 1.1.1.1 o el 9.9.9.9 o los de OpenDNS, eventualmente sobre DoH
> o DoT.
>
> Es valido desconfiar del ISP.
>
> Pero no tiene mucho sentido asumir, sin demasiado argumento, que enviar
> todos los queries encriptados a un tercero, en otro pais, "mejora la
> privacidad".
>
> El argumento de "dame todos tus datos, que asi asi vas a tener mayor
> privacidad, ya que nuestra politica de privacidad te protege" me parece
> casi una subestimacion de nuestro intelecto. :-)
>
>
> Hay algo que no me queda claro del todo en este thread.
>
> La mayoría parece estar de acuerdo con el sentimiento de desconfiar de
> su propio ISP y preferiría utilizar una VPN.
FWIW, yo estoy de acuerdo de que cada uno desconfie de lo que quiera
desconfiar.
Con lo que estoy en desacuerdo es con el juicio implicito de que una
parte es mas confiable que otra, y que ese juicio es aplicable de manera
general.
Muchos de los que promocionan tecnologias de este estilo, y proponen
reemplazar el DNS recursivo del ISP por otro (por ejemplo de
Cloudflare), de algun modo argumentan que Cloudflare es mas confiable
que mi ISP. Y eso es un juicio de valor, infundado.
Mas aun, en lo personal, creo que el argumento de centralizar los
queries de un monton de usuarios en una organización a la cual no tengo
motivo alguno para confiarle mi informacion, es unna muy mala idea.
> Pero eso no estaría cambiando la confianza del ISP por la que hay con el
> proveedor de VPN?
Exacto. Algo que se pierde de vista en esta conversacion es que uno en
realidad no esta segurizando nada, sino que simplemente esta modificando
las relaciones de confianza: lease, a quien uno le da toda la informacion.
Salvo en aquellos casos en que las comunicaciones se pueden hacer
end-to-end (entre las partes interesadas en comunicarse), entonces uno
*depende* de intermediarios. Y tiene que elegir en cuales de esos
intermediarios confia.
Tal como bien decis, al usar una VPN, uno esta depositando la confianza
en el extremo del VPN. En ocasiones, uno espera que, dado que uno elige
el servicio, que el mismo va a estar menos centralizado, etc., que *tal
vez* el proveedor de VPN no lo espie.
Pero la realidad es que lo unico en lo cual uno puede confiar (*) es en
la encripcion extremo a extremo. Metadata como las direcciones IP
siempre son visibles por alguien.
(*) Lo de la encripcion tiene sus matices. Ya que por un lado, en lo que
hace a algoritmos uno solo puede decir que "se desconoce que a la fecha
alguien lo haya roto", aparte de que, si uno utiliza certificados,
termina depositando su confianza en 80+ autoridades certificantes -- lo
cual muestra que hay muchas cosas que pueden salir mal (y de hecho, hay
ejemplos concretos de esto a lo largo de los años).
> ...o estamos usando el argumento de la VPN sólo como el cifrado punto a
> punto y como algo auto-administrado?
Yo hablaba de VPN autoadministrado, simplemente para poder securizar un
tramo del flujo de datos. -- la tipica es, por ejemplo, usar un VPN
cuando uno va a una conferencia, para que al menos el trafico de uno
este "protegido" en la red de la conferencia.
Slds,
Fernando
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución LACNOG