On 2024-05-12 11:46, Juan J. Fdez wrote:
He aqui mas abajo la explicación de lo que me sucede en mi dominio
personal. Agradeceré cualquier sugerencia o solución.
Cheers
JJ
--- Forwarded message ---
From:
Juan J. Fdez ("juanjfdez") dmarc-nore...@freelists.org
Date:
May 12, 2024 11:08:34 a.m.
Subject:
[cubacel] DNS Poisoning ! y la importancia de usar DNSSEC !
To:
Lista cubacel cuba...@freelists.org
Buen dia, como dije hace un momento me tiene loco el DNS Poisoning
attack este, acabo de venir a otro wifi publico, en este caso uno de
los 2 Tim Hortons del barrio que aunque usa equipos Cisco MERAKI como
AP realmente el proveedor del Wifi pubico este no es Bell Canada como
en el caso del McDonalds del barrio anterior.
En fin aqui igualmente , acabo de conectarme a este wifi, me salio
obviamente el portal cautivo y le dije aceptar los ToS y por supuesto
en este windows 11 laptop el comando ipconfig por supuesto reporta un
IP interno y Gateway y DNS servers distintos al McDonald pero vean que
igualmente los query los responde no autoritativamente un servidor DNS
desconcido para mi y lo peor del caso es que pruebo varios subdominios
mios y todos me los devuelve con la coletilla psg.net agregada al final
como si fueran subdominios de ese psg.net !!! y por supuesto el IP que
me devuelve son falsos y son falsos los records SPF y DMARC y DKIM.
Esto es ahora aqui en el Tim Hortons y parece este Wifi publico gratis
de esta cafeteria l oprovee una empresa llamada Velocloud
Wireless LAN adapter Wi-Fi:
Connection-specific DNS Suffix . : lan
Link-local IPv6 Address . . . . . : fe80::f0d9:e0ac:94ee:eac0%3
IPv4 Address. . . . . . . . . . . : 192.168.100.177
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 192.168.100.1
PS C:\Users\PT_Tech> nslookup acuario.abroadtelecom.net [1]
Server: edge.velocloud.net [2]
Address: 192.168.100.1
Non-authoritative answer:
Name: acuario.abroadtelecom.net.psg.net [3] Address: 104.247.81.52
Vean ahora minutos antes en el Mcdonalds lo que reporta y vean que por
supuesto al ser un wifi distinto el DNS server contactado es distinto
pero vean devuelve no autoritativamente el mismo ip y fqdn falso que
dice psg.net al final. PSG . net es parece un dominio del equipo de
futbol Paris St Germain en Francia que tambien usa psg.fr como dominio
asi que no tiene nada que ver conmigo
Wireless LAN adapter Wi-Fi:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::f0d9:e0ac:94ee:eac0%3
IPv4 Address. . . . . . . . . . . : 192.168.255.99
Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway .
. . . . . . . . : 192.168.255.254
PS C:\Users\PT_Tech> nslookup acuario.abroadtelecom.net [1]
Server: ec2-35-183-166-142.ca-central-1.compute.amazonaws.com [4]
Address: 35.183.166.142
Non-authoritative answer:
Name: acuario.abroadtelecom.net.psg.net [3] Address: 104.247.81.52
Esto me tiene loco y parece solo suceder en este latptop y no importa
cuantas vecez yo haga ipconfig /flushdns eso no logra flush o limpiar
la cache local parece y uanque no he reboot el laptop me parece eso
tampoco va a solucionar nada y va avolver a hacer lo msimo
en mi casa este laptop va mi wifi amado Freedom aka on VLAN 60 ahora
tamien devuelve esos records DNS falsos ! aunque claro en mi casa el
DNS resolver via Wifi lo he puesto que sea el propio router Rv-325 no
el AP Linksys o sea 192.168.6.1
Por supuesto creo la prioridad ahora es implementar DNSSEC en mi casa
internamente al menos pues en Cloudflares creo DNSSEC creo Cloudflare
nos lo da gratis a todos sus usuarios o gente con dominio registrado
por cloudflare
No confundir DNSSEC con lo que aconsejaba Octavio el otro dia de usar
DNS over TLS o sea DNS queries via puerto UDP 853 o usar
alternativamente DNS over HTTPS o sea DNS queries via puerto TCP 443
DNSSEC es solo el mecanism ode encriptar y autentcar los queries que
realizan los servidores DNS entre ellos por ende autentifican que la
respuesta si la esta dando el servidor que dice ser y que es
autoritativo para ese dominio.
los otros 2 mecanismos via TLS y HTTPS tambien encriptan y atentifican
pero en ese caso es entre los clientes DNS y los servidores DNS.
Cada mecanismo tiene sus pro y sus contras como todo en la vida ,
realmente el protocolo o sistema DNS es de lo primero que se invento en
la epoca que solo habia pocas universidades e instituciones
interconectadas via internet y por ende los ingenieros inicialmente
nunca imaginaron estos problemas modernos ni el enorme tama~no de la
red internet global moderna. Por ende al igua lque para email se usan
varias tecnologias conjuntamente como SPF, DKIM y DMARC para DNS se
recomienda usarlas las 3 o convianciones de ellas por supuesto.
Dejame primero verificar mas tarde si Cloudflare realmente actuva
DNSSEC por edefecto en mi dominio pues me parece que no pues sino n
odeberia suceder nada de esto digo yo y lo otro es porque solo sucede
en este laptop del trabaj oque supuestamente tienen el antimalware
Sentinel y usa el VPN Pulse Secure y supuestamente en la empresa el IT
departament tienen netadmns y expertos en seguridad informatica cuyo
trabajo es percisamente evitar estos aqtaques y otros de otros tipos.
Si alguien tiene alguna idea please I am all ears !
Cheers
JJ
Sent with Proton Mail [5] secure email.
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
Hola, lo que no entiendo es porque tienes que usar esos DNS en lugar de
los tuyos propios, los de tu ISP o algun otro publico como los de
google.
Es obvio que esos DNS estan mas envenendados que una cuaracha y seguro
que lo que estan esperando es a que des un mal click para joderte la
vida
--
Salu2, Ulinx
"En un problema con n ecuaciones
siempre habrá al menos n+1 incógnitas"
Linux user 366775
Visita mi tienda de electronica
https://www.solucionesenelectronicacuba.com
Quieres saber de Cuba o visitar Cuba, revisa mi canal Youtube (en
español) http://bit.ly/Alocubano
Links:
------
[1] http://acuario.abroadtelecom.net
[2] http://edge.velocloud.net
[3] http://acuario.abroadtelecom.net.psg.net
[4] http://ec2-35-183-166-142.ca-central-1.compute.amazonaws.com
[5] https://proton.me/
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
