[GTER] Bloqueando DNS sobre HTTPS

Douglas Fischer fischerdouglas at gmail.com
Mon Sep 9 11:08:21 -03 2019


Humm... Tô aqui matutando...

Do ponto de vista legal:
Dar um "não vou responder" como resposta é uma medida de segurança.
(me nego a transportar pacotes de certo tipo)
Mentir outro endereço é alterar o conteúdo da mensagem esperada. Na prática
uma fraude.
(alterar o conteúdo da mensagem)

Isso merece um exercício de análise do ponto de vista do direito, tendo
como foco Marco Civil da Internet e Lei Geral de Telecomunicações.

Só para praticar o esporte da polêmica, tentarei fazer um paralelo com o
bloqueio da porta 25:
a) O ISP faz um reject de toda comunicação originada de assinantes comuns
com destino a porta 25 de todos os IPs na Internet.
b) O ISP faz um NAT de toda comunicação originada de assinantes comuns com
destino a porta 25 de todos os IPs na Internet, apontando para a porta 25
de um servidor do próprio ISP.

Em dom, 8 de set de 2019 às 15:45, Eduardo Schoedler <listas at esds.com.br>
escreveu:

> Além do static, pode usar o always_nxdomain.
>
>
> Em sáb, 7 de set de 2019 às 11:23, Rubens Kuhl <rubensk at gmail.com>
> escreveu:
>
> > Precisa responder NXDOMAIN, então seria mais algo como:
> >
> > local-zone: "use-application-dns.net" static
> >
> > (Sem nenhum local-data para que qualquer consulta dê domínio inexistente)
> >
> >
> > Rubens
> >
> >
> > On Sat, Sep 7, 2019 at 11:18 AM Silvio Licht Ahmad <silviola at gmail.com>
> > wrote:
> >
> > > No Unbound seria adicionar estas 2 linhas ao services.conf ?
> > >
> > > local-zone: "use-application-dns.net" redirect
> > > local-data: "use-application-dns.net A 127.0.0.1"
> > >
> > > Att,
> > > Silvio
> > >
> > >
> > > Em sáb, 7 de set de 2019 às 00:14, Rubens Kuhl <rubensk at gmail.com>
> > > escreveu:
> > >
> > > > Apesar de estar prevista ativação por default de DoH (DNS over HTTPS)
> > no
> > > > Firefox apenas nos EUA, é interessante já verificar configurações
> > > > aplicáveis ao DNS recursivo do seu provedor ou empresa para bloquear
> > isso
> > > > caso problemas como bypass de controles de segurança ou resolução
> > errada
> > > de
> > > > nós de CDN comecem a acontecer.
> > > >
> > > > Este artigo explica como fazer:
> > > >
> > > >
> > >
> >
> https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-https
> > > >
> > > > Mas em resumo, é bloquear a resolução do domínio
> > use-application-dns.net
> > > .
> > > >
> > > >
> > > > Rubens
> >
> --
> Eduardo Schoedler
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação


More information about the gter mailing list