Archivo de la categoría: IOS NAS Mac OSX

#258 – Privacidad – Seguridad en la red (DoH, VPNs, DNSCrypt)

  • Sorteo de 2 licencias con el #LoveSuperShift
  • Citad al autor por favor @supershiftapp (y a mi lógicamente @bateria2x100)


IA Writter: Publicar en WordPress con imágenes (eso si, sin la imagen destacada)

  • Vincular la cuenta de WordPress desde IA Writer -> Esto implica que en compartir habrá un botón nuevo llamado “Nuevo borrador en WordPress” (Icono en la fila superior)
  • En IA Writer: Las imágenes a añadir deben estar en el mismo directorio que el markdown, o en una subcarpeta, nunca a niveles superiores
  • PAra añdir imágenes: pulsamos el teclado especial, y al pulsar el icono de content block (es una hoja de papel escrita)
  • Hecho esto, debería funcionar la publicación en WordPress…eso si…no tiene la imagen destacada.

Las DNS, privacidad y seguridad…

Durante los últimos días ha vuelto a sonar el tema de las cartas de dos productoras a los usuarios por la descarga P2P. Estos se basan en la dirección IP (primer error) para achacar al titular la descarga que viola el copyright aunque no haya extraído beneficio alguno.

Con las WiFis se hace imposible asegurar que el titular de la línea sea el responsable de dicho acto. Imaginad si en vez de un caso de descarga ilegal fuera una acusaciñon por pederastia. En primer lugar se arma el gran alboroto, y después de registros en casa aceptan que no eres tú, pero el mal familiar, amigos, etc… ya está hecho.

A raíz de todo esto comentar algunas cosas que a veces no tenemos presentes:

Cómo funciona la navegación estandard ?

Petición para ir a una Web:

Cliente -> Router  -> DNS Server -> En algún lugar hay un Servidor de DNS
-> DNS Server resuelve el nombre y devuelve la dirección xxx.xxx.xxx y se lo devuelve al router
-> Vuelve a nuestro ISP (proveedor de internet)
-> Entonces pasa por diferentes hubs.
-> Llega a la dirección, donde hay un router, envía l a peticióbn al servidor web, este laprocesa, y devuelve la informaci´ñon de vuelta hacia nuestro cliente.

Lo importante es: -> Cada petición va al DNS server SIN CIFRAR, en texto plano.
Da igual qeu el tráfico vaya encriptado sobre https o TLS.
Este tráfico en principio no deberían hacer nada con él, pero está claro que contiene tus hábitos de navegación, es decir, saben que páginas visitas en cada momento.

El operador sabe lo que haces, y por ejemplo pueden provocar que ciertos fichero se descarguen de forma más lenta -> Recordad el caso Netflix antes de tener un acuerdo con Movistar.

Resumen:

  • Poner DNS 1.1.1.1 -> Query NO encriptada, pero nos fiamos de Cloudfare indicando que cada 24h borra logs

  • DoH, DNS Crypt -> Encripta las queries, ni Cloudfare sabe lo que haces.

Cómo evitamos esto ?

El protocolo HTTPS funciona cogiendo un dominio que el usuario ha pedido en su navegador y enviando una query a un DNS server para que este resuelva la IP (los numeritos) del servidor que alberga dicho site.
Sin embargo, DNS-over-HTTPS lo que hace es enviar esa query encriptada mediante una conexión HTTPS por el puerto 443 a un servidor DNS que sea compatible con DoH, y no por el puerto 53 en formato plano de texto.

De este modo, DoH esconde las queries dentro del tráfico regular HTTPS, de manera que terceras personas que estén esnifando el tráfico de nuestra red no son capaces de ver dónde navegamos. Esto, lógicamente incluye a nuestro ISP.

No confundir DoH con DNSSEC. Este último es una extensíón del protocolo DNS que se usa para validar que el dominio pedido es realmente el que se devuelve, es decir, es un validador de manera que asegura que la informaci’on devueltapor los distintos DNS servers es v’alida y no ha sido manipulada alterada. (https://www.mpauli.de/dnssec-on-a-raspberry-pi-in-5-minutes.html)

Cómo podemos implementar DoH ?

-> Synology Router ya implementa este tipo de navegación, de forma muy sencilla y con un par de clicks. Ventaja: No ncesitas software de cliente y es aplicado a todo dispositivo que se conecte al router.
-> Firefox en su navegador también lo pone fácil y la encriptación va sobre Cloudfare.
-> Chrome también tiene algún flag en la config escondido que permite esta navegación (no lo he probado, pero lo he leído al documentarme)

Implementación de DNS over HTTPS consigue que esa info vaya cifrada, y evitemos por ejemplo ataques Man in the midle puedan saber a que páginas nos movemos, o algo más habitual, que las operadoras sepan donde y como navegamos.


Adguard Home

AdGuard Home | Overview | AdGuard

  • Producto gratuito ruso
  • Adguard Home es un software para bloquear Ads & Tracking.
  • Una vez configurado, puede llegar a cubrir todos tus dispositivos, y no es necesaria la instalación de ningún software en el lado cliente.
  • Opera como un DNS Server, reenviando los dominios de tracking hacia un “punto muerto” (black hole)
  • No sólo es un simple Servidor de DNS
    • Puedes escoger lo que bloquea y lo que no
    • Monitorización total del tráfico por ip/mac address
    • Posibilidad de añadir tus propios filtros (o los que encuentres realizados por terceros)

PI-HOLE

Con Pi Hole tu tienes tu propio DNS Server, y su target es el filtrado de anuncios y trackers de internet. Contiene unas listas que la comunidad va actualizando y que al final no son más que dominios que son fuente de anuncios.

-> Usuario hace una petición a Pi-HOLE
-> Mira la caché y contesta si lo sabe
-> Mira las listas de bloqueo y si es así también lo controla, no aceptando la petición.
-> Sino puede resolver la dirección DNS, la pasa a un DNS externo.
-> Una vez resuelto se le contesta al cliente, y se guarda en la cache para una futura petición de ese dominio.

-> No requiere de instalación de software en cliente.
-> Puedes ver todo el tráfico y peticiones que se hacen.
-> Puedes bloquear ciertas páginas.
-> Web muy visual con información del tráfico de nuestra red.
-> Puede hacer funciones de DHCP

Logar en tu router y establecer DNS1 con la IP de PiHole, y la secundaria con una más típica como 1.1.1.1, para que en caso de que caiga nuestro PI-HOLE, no te quedes sin internet.

-> DNS Crypt -> Con este pack ya puedes tener las queries DNS encriptadas.
Junto con DNSCrypt-Proxy es una buena manera de mantener tu navegación por la red algo más limpia y controlada. Además, anónima en cuanto a que nuestro ISP no sabe las páginas que visitamos.

Se puede también conseguir que cuando navegamos a través de VPN, Pi-HOle actúe también como filtro.(Yo personalmente no lo uso ya que en mi iPad y mi iPhone tengo esta app: 1Blocker X

Links DNS

Install and Enable DNSCrypt Proxy 2 in Ubuntu 18.04 Or 19.04 / Debian Unstable Or Testing How To – Linux Uprising Blog

Comprobar que DNSCrypt funciona correctamente y cifra el tráfico


DNS leak test
Test your browsers ad blocker (in a few simple steps) – Ads-blocker.com

VPN para “salvar” los torrent ?

P2P está basado en TCP-IP o UDP. Al final hay unos paquetes que tienen un origen y un destino.
Si ciframos el P2P es la solución ? Si el que comparte el fichero es quien quiere “perseguirte”, poco hay que hacer ya que él sigue viendo las IPs que están sedeando ese fichero. Quizás hay alguna manera que los usuarios NO sepan los unos de los otros, pero a día de hoy no es así.

La gran ventaja del CGNAT -> Que varios usuarios salen con la misma IP, por lo que es imposible saber quien ha descargado qué, a no ser que se tire de MAC adrress, etc…

  • subcontratar un VPN -> Mi router -> Servidor ISP -> Servidor VPN -> Este hará la petición a la página, y volverá hacia ti de forma encriptada, de manera que tu ISP no sabe donde has estado.
    • Ventajas:
      • Privacidad: el ISP no sabe tus hábitos de navegación
      • Seguridad: Si alguien lee el tráfico, no podrá ver nada, está encriptado.
      • Puedes saltar posibles bloqueos geográficos ya que a menudo estas VPN tienen distintos servidores por todo el mundo y te dejan escoger, de manera que pueda parecer que estás navegando desde EEUU y al conectarte a Netflix este te presentará el contenido de allí .
  • VPN en casa:
    * Privacidad: NO, el ISP sabe por donde navegas. Las peticiones DNS van en texto plano por defecto.
    * El tráfico está cifrado.
    * Nosotros nos conectamos al NAS, este hace la petición a través de nuestro router, y nos la devuelve encriptada.
    * NO evitarás bloqueos geográficos ya que a todos los efectos estás navegando desde “casa”

VPN Gratuitos: No es un buen consejo…a menudo utilzan nuestros datos para venderlos a terceros.

VPSs

VPS Cloud: Tu Servidor Virtual en España – ¡Pruébanos!
https://www.scaleway.com
Hosting, Dominios, Cloud, E-Security, PEC, Firma, Server | Aruba.it
https://www.kimsufi.com/es/
https://www.ovh.es
https://www.hetzner.com/?country=es

  • Es decir: Si salgo por VPN la operadora no va a saber que tipo de datos estoy moviendo, pero si a qué páginas estoy haciendo peticiones.
  • Si implmenento DoH: La operadora NO sabe a qué páginas me estoy moviendo.
  • Otra solución es contratar un seedbox o VPS y descargar desde allí.
  • Docker con OpenVPN y Transmission para los Torrent., peor debe ser una VPN de terceros para seguir salvando el problema de las peticiones NO encriptadas. (https://hub.docker.com/r/haugene/transmission-openvpn/)

Al final, parece que lo que se prentende es asustar al personal y poder recaudar algo de dinero con estas empresas que en nombre de estas productoras están persiguiendo este tema.