Configurar un DNS para el router
Quiero poner una DNS en el router para que filtre todas las páginas webs que he configurado en dicho dns. Si pongo el DNS en un dispositivo si funciona, pero lo que yo quiero es decirle al router que...
Foro
Buenas Albertomc97
Creo que el problema radica en que no entiendes bien como funciona DoT/DoH, me temo. Claro que el tráfico pasa por el Router, el problema no es ese. Te pongo un ejemplo simple de como funciona una resolución DNS "estándar" y como sería una con DoT/DoH, repito habilitado por defecto en ya muchos dispositivos:
Escenario de toda la vida:
1º. El usuario quiere acceder a chicassexys.com desde su movil, abre el navegador lo busca en google y le da el enlace.
2º. El navegador requiere realizar una resolución DNS para resolver el dominio, la pasa al OS.
3º. El OS tiene configurado el servidor OpenDNS a través de DHCP, imaginemos que la IP por facilitar es 2.2.2.2. El OS envía a través del protocolo DNS una petición de resolución a dicho servidor, al puerto 53. La petición tiene que ir a Internet, así que el OS la manda al Router.
4º. El Router PUEDE VER que el dispositivo 192.168.1.2 (por ejemplo) está enviando una resolución DNS hacia el servidor 2.2.2.2, es más, podría hasta interceptarla o registrarla.
5º. La petición pasa por toda la red del ISP y de cualquier otra red hasta llegar al servidor en cuestión, en todo ese camino cualquiera puede ver dicha petición.
6º. El servidor 2.2.2.2 responde a la petición con la IP del Host.
Ahora el mismo esquema pero con la diferencia de que el Navegador Web habilita por defecto DoH:
1º. Igual
2º. Igual, salvo que no pasa la petición DNS al OS, sino al resolver que tenga preconfigurado o configurado manualmente él mismo, pongamos que el servidor destino DoH fuese 1.1.1.1
3º. Al Usar DoH, el navegador cifra la petición DNS y la envía a 1.1.1.1. Pero a diferencia de antes, y aunque el contenido interno usa el protocolo DNS, el protocolo externo qu elo contiene no es más que una conexión HTTPS estándar.
4º. El Router NO RECIBE ninguna petición DNS, lo único que recibe de 192.168.1.2 es tráfico HTTPS exactamente igual e indistinguible de cualquier petición Web. No puede saber que va dentro de dicho tráfico, por poder no puede tampoco descartarlo porque filtraría TODO el tráfico HTTPS!! No puede tampoco manipularlo ni extraer el contenido. Simplemente reenvía el tráfico al destino. Nadie entre el origen y el destino puede interceptarlo o saber que hay dentro, solo el origen y el destino.
5º. El Destino, 1.1.1.1 en este caso recibe la conexión, extrae de dentro la petición DNS, y responde de nuevo de forma cifrada con la resolución
6º. El Router recibe de nuevo el tráfico HTTPS para el indistinguible, lo envía al dispositivo, y el dispositivo ya tiene la IP y accede a la web.
Así que como ves, da igual que el tráfico pase por el Router, al igual que pasa por la red del ISP y por donde quiera que pueda pasar, no lo pueden interceptar, ni siquiera saben que se están realizando peticiones DNS, mucho menos que resoluciones son.
La única opción para evitar esto es como he dicho configurar a mano cada dispositivo para que NO PUEDAN USAR DOT/DOH, lo que en definitivas implica configurar manualmente cada dispositivo de todos modos, y que el usuario que controla su propio dispositivo no quiera/pueda marcar la opción simple de usar DoH/DoT.
Así que da exactamente igual como configures el Router, ya sea el de Movistar o uno propio, simplemente el Router no puede ver el tráfico. Y si quieres más pruebas de ello, te pongo un ejemplo simple real de esto que hago en mi equipo para que lo veas, donde puedes ver en las capturas el tráfico DNS que circula en cada caso por el Router. En el primer caso usando un resolver sin DoT/DoH, en el segundo usando DoT/DoH:
En la imagen lo único editado es mi propia IP pública como es lógico porque estaba capturando en la interfaz de salida directamente. Las resoluciones PTR se puede omitir. Como se puede ver perfectamente la resolución usando DoT (usando un forwarder a ClodFloare) para google.es y la segunda usando el servidor DNS de Movistar. La primera no existe para el Router, a pesar de que la petición es enviada circula y es enviada por el Router hacia CloudFloare. La segunda por otro lado se puede ver perfectamente, tanto el host consultado como la respuesta.
Espero que gráficamente quede más claro como funciona todo esto. Dado que muchos navegadores y OS de dispositivos ya lo usan por defecto, a menos que se manipule directamente cada dispositivo para no usar DoH/DoT, da igual lo que quieras hacer en el Router.
Saludos.
Vale ahora entiendo un poco mejor cómo funciona DoH, pero… lo que no entiendo es cómo resuelve el dominio? Es decir, el host tiene que mandar una petición al servidor de google (por ejemplo, si busco algo en google), pero yo he escrito google.com. Entonces, supuestamente se necesita pasar google.com a una IP numérica para poder conectarte al servidor. Esa traducción quien la hace en el caso del protocolo DoH/DoT?
Buenas Albertomc97
Ammm.... pues exactamente igual. Da igual que pongas en la dirección del Navegador Google.com o que hagas una búsqueda en Google y le des a un enlace, cada vez que el navegador o el sistema tiene que acceder a cualquier dominio, se lanza una petición DNS. La petición DNS no se envía a la web que estás visitando, se envía al servidor DoT/DoH que se tenga configurado/preconfigurado, y que te aseguro que no será el que tu quieres que sea, a menos repito que vayas equipo a equipo, de navegador en navegador deshabilitando esto, o configurando el que te interese a ti, porque no harán caso de lo que tengas puesto por DHCP, y por ende los filtrados actuales DNS no valen para nada.
Vale vale, ahora entiendo. Pero si por ejemplo cisco crea un servicio DoH/DoT como el que tiene para DNS, entonces si que se podría restringir, porque puedes poner ese servidor en el router (cuando saquen routers que soporten esto). Lo digo porque en ese caso seguramente creen servidores con este protocolo que filtren dichas páginas
Buenas Albertomc97
Da igual, eso tampoco sirve. Creo que no terminas de entender el "problema" o la cuestión. Es el propio dispositivo, con total independencia de lo que configures en el Router, el que tiene configurado un servidor DoT/DoH al que conectarse. De echo esto fue una de las controversias con DoH, donde algunas voces críticas decían que abría la puerta a que empresas, ISP o incluso organismos internacionales/gubernamentales pudiesen acceder a los dominios visitados, ya fuese por cuestiones puramente prácticas como filtros parentales, o por cuestiones de censuras, privacidad y otros.
No obstante y de forma más o menos unánime digamos que se puso todo en una balanza. Si el sistema permitiese saltarse así como así, entonces estaríamos de nuevo como antes. Es decir, si tú que controlas el Router puedes obligar a usar tu propio servidor para interceptar el tráfico, entonces puede hacer lo mismo el ISP, o el gobierno, o....
La única posibilidad que existe en DoH sería bloquear totalmente el tráfico HTTPS, lo cual es absurdo porque bloquearías el acceso a Internet. DoT por otro lado no es exactamente igual porque usa un puerto propio, el 5353. En este caso podrías bloquear el tráfico a ese puerto, pero bloquearías todo el acceso a Internet igualmente. Con lo que no hay caso.
La polémica es entendible por diferentes partes, ya que al final cualquier tecnología puede usarse para bien o para mal. Y ahora mismo mismo vivimos en un mundo demasiado monitorizado todo. Piensa que por defecto Movistar, aunque tu uses OpenDNS, puede si quiere saber absolutamente todos los dominios que has visitado. Peor aun, un polizón en tu red también podría verlo. DNS ha sido un punto muy débil desde hace mucho mucho, y por suerte AHORA se está empezando a poner solución.
DoH/DoT ya es una realidad, y es solo la mitad de una ecuación mucho más grande. Cuando se termine la estandarización de ECH también se terminará con la "vigilancia" de estados/ISP y otros interesados, en cuanto a bloqueos, censuras y otros. La idea al final es la misma, que Internet sea realmente libre.
Y para padres preocupados?? Es que hay cosas que no quitan otras. El mejor control parental que se puede y debería de realizar es por dispositivo. De echo la causa única por la que DoH/DoT no está habilitado por defecto en el 100% de navegadores y dispositivos es cuestiones púramente económicas y presiones importantes por parte de desarrolladores de software, operadores, gobiernos...
