Cybertarcza z paczki L nie filtruje ruchu

tptech

@Samotnicknapisał(-a)
@tptechnapisał(-a)
1. Wymusić przekierowanie portu 53 na DNS-y Orange, żeby zmiana adresu DNS przez użytkownika nic nie dała. ubiquiti help
To jeszcze zostaje zablokowanie DoT i DoH.

Tego nigdy nie robiłem, SSL ciężko filtrować bez routera z inspekcjonowaniem pakietów. Jakieś proste sposoby na router pokroju EdgeRouter4?

tptech

@j131napisał(-a)
Współczesne przeglądarki zaczynają domyślnie używać własnych szyfrowanych DNS, CT przestaje dla nich w pełni działać. Nie wydaje mi się żeby dało się z tym coś zrobić.
Nie mam komercyjnej CT ale ta darmowa zwraca zawsze ten sam adres, i pod nim nie ma nic niepokojącego. Jeśli tobie mimo poprawnej podmiany adresu przegladarka ładuje zablokowaną stronę, to przeglądarka obchodzi CT. Łatanie tego na FW jest delikatnie mówiąc kłopotliwe. Co na to @Rosiu?

Trochę jestem zawiedziony tym sposobem działania CT. Takie same możliwości dają "otwarte" rozwiązania, a przy stałym publicznym IP, można ustawić taki darmowy serwer DNS pod siebie. Wyobrażałem sobie, że CT jednak sprawdza IP do których łączy się moje urządzenie, paruje to z regułami i w przypadku trafienia blokuje ruch.

Samotnick

@tptechnapisał(-a)
Wyobrażałem sobie, że CT jednak sprawdza IP do których łączy się moje urządzenie, paruje to z regułami i w przypadku trafienia blokuje ruch.

DNSy CT zwracają fake’owe adresy dla zablokowanych witryn a FB dodatkowo przechwytuje ruch na porcie 53 aby zmiana u klienta nie wyłączała ochrony. Pierwsze nie chroni przed połączeniem z zablokowanych adresem, drugie łatwo obejść korzystając z DoH.

PS Na routerze najprościej będzie utrzymywać listę znanych dostawców usług DoH/DoT i blokować ruch na określony adresy/porty.

j131

@tptechnapisał(-a)
@j131napisał(-a)
Współczesne przeglądarki zaczynają domyślnie używać własnych szyfrowanych DNS, CT przestaje dla nich w pełni działać. Nie wydaje mi się żeby dało się z tym coś zrobić.
Nie mam komercyjnej CT ale ta darmowa zwraca zawsze ten sam adres, i pod nim nie ma nic niepokojącego. Jeśli tobie mimo poprawnej podmiany adresu przegladarka ładuje zablokowaną stronę, to przeglądarka obchodzi CT. Łatanie tego na FW jest delikatnie mówiąc kłopotliwe. Co na to @Rosiu?
Trochę jestem zawiedziony tym sposobem działania CT. Takie same możliwości dają "otwarte" rozwiązania, a przy stałym publicznym IP, można ustawić taki darmowy serwer DNS pod siebie. Wyobrażałem sobie, że CT jednak sprawdza IP do których łączy się moje urządzenie, paruje to z regułami i w przypadku trafienia blokuje ruch.

Żeby postawić własny serwer DNS nie jest potrzebny stały adres publiczny, ponieważ z tego serwera tylko LAN ma korzystać, po prywatnych adresach. Tenże serwer DNS, jeśli zostanie rozpropagowany przez DHCP, będzie też używany w domyślnej konfiguracji do nawiązania połączeń z serwerami szyfrowanymi. Wystarczy na nim wstawić FQDN znanych serwerów DoH/DoT do RPZ, żeby przynajmniej domyślne konfiguracje nadal stosowały CT. Jest też mechanizm "canary", ale on tylko dla FF działa, i też można go tak samo zaimplementować. Dziwię się trochę że CT tego nie implementuje sama z siebie.

Samotnick

@j131 Z zewnętrznym, filtrowanym i darmowym DNSem (na przykład OpenDNS) chodzi o to. że wymaga aktualizacji adresu IP z którego przychodzą zapytania. Przy stałym adresie jest mniej zachodu.

j131

No oczywiście że nic nie stoi na przeszkodzie, żeby zastąpić CT innym rozwiązaniem działającym na podobnej zasadzie. Nie wiem jak jest w komercyjnej wersji, ale w darmowej nie obserwowałem nawet przekierowywania portu. Tylko tu zdaje się chodziło o "ochronę" calego LAN...