Buenas Tardes y Gracias por responder tan pronto Ulises. A que DNS servers te
refieres ?. En mi dominio personal abroadtelecom.net cuyo Registrar es
cloudflare los DNS autoritativos son holly y moura de Clopudflare y acabo de
verificar y si tienen por defecto activo DNSSEC y acabo de ejecutar e
lvalidation tool que recomienda cloudflare que es de Verisign creo y todo pasa
perfecto y todo esta SECURE.
Por ende un usuario externo a mi red o lan o incluso dentro de mis servidores o
VPC de las nubes que uso , realmente cuando hace un query el query lo hace
usando los resolvers que su OS en sus dispositivos tengan configurados excepto
si tiene activo uno de mis VPN en ese caso son los interfacez wireguard de esos
VPN. si son VPN en las nubes que uso aka Oracle Cloud y AWS y GCP pues creo en
Azure ahora mismo no tengo nada , entonces los resolvers son los bind9
intgernos de esos servidores o como backup el resolver local que proveen esas
nubes.
Por ende digamos cualquier user en cualquier lugar del mundo , el servidor
autoritativo que responde son los de cloudflare holly y moura pero seguramente
no necesita eso y no autoritativamente imagino le responda otro local suyo digo
yo o quizas si es un usuario que prefiere configurar su dispositivo a usar los
servidoers DNS publicos de Google 8.8.8.8 o de cloudflare en 1.1.1.1 por ej
entonces le responderan esos imagino , pero eso no pueden ni tienen que
preguntar op query a mis DNS internso en mi casa, esos le preguntan a
Cloudflare externamente
Quizas obvaimente hay algo en el funcionamiento del sistema DNS que yo no estoy
entendiendo, pero si los de Cloudflare por defecto como parte de registrarte el
dominio .net por solo 10 usd al año te dan esa funcionalidad DNSSEC incluida y
la tienen activada por defecto.
Por ende externamente los de Cloudflare si estan devolviendo lso queries reales
, nada es falso y ademas lo hacen via DNSSEC o sea autenticado y cifrado.
Aunque me parece ni los clientes DNS ni los servidores DNS estan obligados a
usar DNSSEC incluso aunque estuviera disponible.
Sin embargo dentro de mi casa o LAN yo no tengo activo DNSSEC aun en ninguno de
mis 3 servidores internos o privados , 1 es nest master o primario y 2 son
acuario y cave que son slave o secundarios (me estoy leyendo una muy buena guis
de la nube Digital Ocean que hasta ahora nunca me falla con guias especificas y
suelen explicar todo al detalle)
Los tres el otro dia esta semana les habilité recursive = yes y por supuesto
con la ACL restringida a solo los rangos IP internos que uso (esta semana
finalmente logré implementar el maximo de 15 VLANs que permite mi router Cisco
RV-325 y funcionan perfecto incluido en el Switch de 26 puertos non PoE CISCO
SG 200-26) y por supeusto las VLANs estan aisladas y la management VLAN es la
unica que me permite acceder a los routers y switches y eso . Los 3 sevidorees
fisios esos estan en 3 diferentes VLANs pero esas si tienen inter VLAN routing
por ende si pueden comunicarse entre si .
Las VLAN del Wifi y del Guest Wifi son dindependientes y esas las trato como
non trusted por ende no tienen interVLAN con nadie n ie n tre ellas por si
acaso por ende el DHCP de esas VLAN el router principal solo asigna el rabgo
192.168.6.100 al 149 y automaticamente NO asigna esos 3 DNS internos sino que
por seguriad como WIFI o es trusted para mi yo solo le asigno el propio
192.168.6.1 o sea el propio router y ademas el 192.168.10.1 que es el VLAN IP
o rango del Wifi Guest y ademas como secundario les asigno el DNS primario de
mi ISP Rogers por backup por si pasara algo internamente.
Por ende via wifi nadie puede hacer queries recursivos a esos 3 servers
internos , por ende las respuestas no le llegan de ellos imagino (de hecho en
el ACL si les tengo esos 2 rangos wifi 6.x y 10.x) por ende lpa duda que tengo
ahora es , cuando un cliente wifi su dns resolver local via el cliente DNS
local hace el query a 192.168.6.1 quien responde o sea que pasa? ........
acaso el cliente DNS interno del router (o será que el router ese CISCO tiene
un DNS Server interno en vez de un Client? esa es otra duda) le pregunta
primero internamente a mis 3 DNS servers internos o deberia preguntarle primero
o salir afuera al internet a preguntarle al primario de mi ISP Rogers? .
supuestamente quizas el propio router si tiene realmente un DNS server
qobviamente tiene una cahe y creo incluso si solo fuera client tambien tiene
una cache dns interna no?
El router ese RV-325 entre los procesos tiene un proceso llamado dnsmasq que es
precisamente un DNS Forwarder cuya función es forward los queries como decia
hacia los DNS server de mi ISP ademas de ser un DHCP server pequeño y
obviamente ya veo tiene su propia cache y supuestamente debe aprender la config
interna DNS y meterlo en cache serguramente. Pero si ese estuviera posison
entonces a fectara a todos mis equipos, no solo al Laptop de ltrabajo.
Esa es mi duda ..... yo como entiendo todo esto de DNS pienso que me parece
deberia el router siempre preguntar primero afuera o sea al DNS de mi ISP no?
El resto de las VLANs si las tengo configurada que el respectivo DHCP interno
del router les diga que el DNS server es esos nest y acuario y cave internos ,
por ende en esos VLANS no tengo problema alguno . es solo via Wifi que la cosa
se jode y realmente ni eso !, peus es solamente en ese laptop del trabajo que
la cosa se jode jejejeje puesto que en el macbook ya sea via wifi o cableado
via el router Linksys acting as an AP realmente ahi los nslookup y lso DNS
declarados si estan bien y funcionan bien.
Tampoco he reboot el laptop , solo he hecho los ipconfig /flushdns clasicos
pero creo al menos hoy domingo no voy a cojer mucha lucha pues solo sucede en
ese laptop que como es del trabajo realmente yo no lo uso en mi casa usualmente.
Cheers y Gracias por la ayuda. Sorry me extiendo demasiado pues para colmo hoy
domingo es Dia de las Madres jejeje y por cierto Felicidades a las Madres que
sean miembros en esta lista GUTL
JJ
________________________________________
From: Ulises Gonzalez Horta <ul...@ulinxonline.net>
Sent: Sunday, May 12, 2024 12:24 PM
To: Lista cubana de soporte técnico en Tecnologias Libres
Cc: Juan J. Fdez
Subject: [Gutl-l] Re: Fwd: [cubacel] DNS Poisoning ! y la importancia de usar
DNSSEC !
On 2024-05-12 11:46, Juan J. Fdez wrote:
He aqui mas abajo la explicación de lo que me sucede en mi dominio personal.
Agradeceré cualquier sugerencia o solución.
Cheers
JJ
--- Forwarded message ---
From: Juan J. Fdez ("juanjfdez") dmarc-nore...@freelists.org
Date: May 12, 2024 11:08:34 a.m.
Subject: [cubacel] DNS Poisoning ! y la importancia de usar DNSSEC !
To: Lista cubacel cuba...@freelists.org
Buen dia, como dije hace un momento me tiene loco el DNS Poisoning attack este,
acabo de venir a otro wifi publico, en este caso uno de los 2 Tim Hortons del
barrio que aunque usa equipos Cisco MERAKI como AP realmente el proveedor del
Wifi pubico este no es Bell Canada como en el caso del McDonalds del barrio
anterior.
En fin aqui igualmente , acabo de conectarme a este wifi, me salio obviamente
el portal cautivo y le dije aceptar los ToS y por supuesto en este windows 11
laptop el comando ipconfig por supuesto reporta un IP interno y Gateway y DNS
servers distintos al McDonald pero vean que igualmente los query los responde
no autoritativamente un servidor DNS desconcido para mi y lo peor del caso es
que pruebo varios subdominios mios y todos me los devuelve con la coletilla
psg.net agregada al final como si fueran subdominios de ese psg.net !!! y por
supuesto el IP que me devuelve son falsos y son falsos los records SPF y DMARC
y DKIM.
Esto es ahora aqui en el Tim Hortons y parece este Wifi publico gratis de esta
cafeteria l oprovee una empresa llamada Velocloud
Wireless LAN adapter Wi-Fi:
Connection-specific DNS Suffix . : lan
Link-local IPv6 Address . . . . . : fe80::f0d9:e0ac:94ee:eac0%3
IPv4 Address. . . . . . . . . . . : 192.168.100.177
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 192.168.100.1
PS C:\Users\PT_Tech> nslookup
acuario.abroadtelecom.net<http://acuario.abroadtelecom.net>
Server: edge.velocloud.net<http://edge.velocloud.net>
Address: 192.168.100.1
Non-authoritative answer:
Name:
acuario.abroadtelecom.net.psg.net<http://acuario.abroadtelecom.net.psg.net>
Address: 104.247.81.52
Vean ahora minutos antes en el Mcdonalds lo que reporta y vean que por
supuesto al ser un wifi distinto el DNS server contactado es distinto pero vean
devuelve no autoritativamente el mismo ip y fqdn falso que dice psg.net al
final. PSG . net es parece un dominio del equipo de futbol Paris St Germain en
Francia que tambien usa psg.fr como dominio asi que no tiene nada que ver
conmigo
Wireless LAN adapter Wi-Fi:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::f0d9:e0ac:94ee:eac0%3
IPv4 Address. . . . . . . . . . . : 192.168.255.99
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.255.254
PS C:\Users\PT_Tech> nslookup
acuario.abroadtelecom.net<http://acuario.abroadtelecom.net>
Server:
ec2-35-183-166-142.ca-central-1.compute.amazonaws.com<http://ec2-35-183-166-142.ca-central-1.compute.amazonaws.com>
Address: 35.183.166.142
Non-authoritative answer:
Name:
acuario.abroadtelecom.net.psg.net<http://acuario.abroadtelecom.net.psg.net>
Address: 104.247.81.52
Esto me tiene loco y parece solo suceder en este latptop y no importa cuantas
vecez yo haga ipconfig /flushdns eso no logra flush o limpiar la cache local
parece y uanque no he reboot el laptop me parece eso tampoco va a solucionar
nada y va avolver a hacer lo msimo
en mi casa este laptop va mi wifi amado Freedom aka on VLAN 60 ahora tamien
devuelve esos records DNS falsos ! aunque claro en mi casa el DNS resolver via
Wifi lo he puesto que sea el propio router Rv-325 no el AP Linksys o sea
192.168.6.1
Por supuesto creo la prioridad ahora es implementar DNSSEC en mi casa
internamente al menos pues en Cloudflares creo DNSSEC creo Cloudflare nos lo da
gratis a todos sus usuarios o gente con dominio registrado por cloudflare
No confundir DNSSEC con lo que aconsejaba Octavio el otro dia de usar DNS over
TLS o sea DNS queries via puerto UDP 853 o usar alternativamente DNS over HTTPS
o sea DNS queries via puerto TCP 443
DNSSEC es solo el mecanism ode encriptar y autentcar los queries que realizan
los servidores DNS entre ellos por ende autentifican que la respuesta si la
esta dando el servidor que dice ser y que es autoritativo para ese dominio.
los otros 2 mecanismos via TLS y HTTPS tambien encriptan y atentifican pero en
ese caso es entre los clientes DNS y los servidores DNS.
Cada mecanismo tiene sus pro y sus contras como todo en la vida , realmente el
protocolo o sistema DNS es de lo primero que se invento en la epoca que solo
habia pocas universidades e instituciones interconectadas via internet y por
ende los ingenieros inicialmente nunca imaginaron estos problemas modernos ni
el enorme tama~no de la red internet global moderna. Por ende al igua lque para
email se usan varias tecnologias conjuntamente como SPF, DKIM y DMARC para DNS
se recomienda usarlas las 3 o convianciones de ellas por supuesto.
Dejame primero verificar mas tarde si Cloudflare realmente actuva DNSSEC por
edefecto en mi dominio pues me parece que no pues sino n odeberia suceder nada
de esto digo yo y lo otro es porque solo sucede en este laptop del trabaj oque
supuestamente tienen el antimalware Sentinel y usa el VPN Pulse Secure y
supuestamente en la empresa el IT departament tienen netadmns y expertos en
seguridad informatica cuyo trabajo es percisamente evitar estos aqtaques y
otros de otros tipos.
Si alguien tiene alguna idea please I am all ears !
Cheers
JJ
Sent with Proton Mail<https://proton.me/> secure email.
_______________________________________________
Gutl-l mailing list --
gutl-l@listas.jovenclub.cu<mailto:gutl-l@listas.jovenclub.cu>
To unsubscribe send an email to
gutl-l-le...@listas.jovenclub.cu<mailto:gutl-l-le...@listas.jovenclub.cu>
Hola, lo que no entiendo es porque tienes que usar esos DNS en lugar de los
tuyos propios, los de tu ISP o algun otro publico como los de google.
Es obvio que esos DNS estan mas envenendados que una cuaracha y seguro que lo
que estan esperando es a que des un mal click para joderte la vida
--
Salu2, Ulinx
"En un problema con n ecuaciones
siempre habrá al menos n+1 incógnitas"
Linux user 366775
Visita mi tienda de electronica https://www.solucionesenelectronicacuba.com
Quieres saber de Cuba o visitar Cuba, revisa mi canal Youtube (en español)
http://bit.ly/Alocubano
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
