és hogy rezolválod a doh ip címét? rajtam keresztül?
[Re:] [Doky586:] Biztonságos internetezés beállítása nyílt wifi hotspot(ok) használatához - BLOGOUT fórum
hozzászólások
beküldöm egy walled gardenbe.
másodpercek alatt fogja megadni a rendszergazda jogot.
és hogy rezolválod a doh ip címét? rajtam keresztül?
Mondjuk DNS szerver címének domain nevet használni komoly "ezt így hogy? (és főleg: minek)" kérdéseket vet fel, de ha emberünk a te DNS szervereddel bootolja be a dolgot, akkor is kibukik az egész, mivel a TLS sikítani fog, hogy a túloldalnak nincs érvényes certificate-je.
[ Szerkesztve ]
na mégegyszer: hogy rezolválod a DOH ip címét? a dns ip címét nem rezolválod, azt normálisan belerakják vagy a dhcp válaszba, vagy a pppoe válaszba.
"Ha ezekben sem bízol akkor ne netezzél": én ezt teszem.
a mobil telefonomon gyakorlatilag semmi nincs, a tabletemen nagyjából semmi, ami fontos. ami netezés, az itthon a desktopom és a saját megbízható hálózatom.
Ott van: "emberünk a te DNS szervereddel bootolja be a dolgot"
Pikari
(addikt)
Egy nap a kezemben nyomkodtam a telefonomat, és láttam, hogy új SMS-em érkezett. A telefon kiírta a tartalmát a képre, így nézett ki: ascii karakterek, 5-10 betűnyi kriksz kraksz, majd így folytatódott: ELF.
Villant egyet a kép, mintha elindulna valami... majd mintha mi sem történt volna, működött tovább a teló. Még kb 3 másodpercig. Ugyanis olyan kurva gyorsan nem láttál még embert telefonból egy aksit kitépni, mint engem akkor Onnantól kezdve okos eszközről már én sem internetezem.
hát ja, azt az alapvető kérdést felejtette el Doky586 is, hogy a helyi kávézó ingyen wifijének az üzemeltetőjétől kell jobban félni, vagy a nagy adathörcsög cégektől, akik mindent, még a dns kéréseidet is maguknak akarják tudni.
vagyis hogy amikor például áttérsz doh-ra, az vajon cseberből vederbe? hint: igen.
Nem így működik (androidon).
A DNS itt nem egy ip cím. Be sem lehet ip címet írni dns-nek. Csak https-en kommunikál, és ha nem egyezik a régebben meglevő aláírással akkor nem fogadja el, nem változtatja meg.
A routereden csak azt tudod nyomonkövetni hogy kivel kommunikál (pl otpbank.hu), de azt nem hogy mit. A forgalomba nem látsz bele. Esetleg a forgalom mennyiségét látod hogy 1 óra alatt 3 GB forgalom ment át köztük, és ennyi...
El kell fogadni, hogy internetkapcsolatnál nincs privát, lekövethetetlen zóna. Kényes tartalmat, atombomba farigcsálást csak a szomszéd/ cég biztosította wifin, céges eszközön érdemes nézegetni.
Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat. Szerencsére nincs rá elég kapacitás hogy minden ember minden apró stiklijét lekövessék. Vannak szavak, amik egy szűrőn megakadnak, és ha gyakran, ugyanannál az ip címen ismétlődik, utánanézhetnek az illetőnek.
Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat.
Amíg az ember ki nem kapcsolja a 3rd party cookie-kat vagy még inkább installálja mondjuk a Ghosteryt vagy az uBlock Origint.
Ne csináljunk már úgy, mintha ezek valami misztikus, kikerülhetetlen dolgok lennének.
A routereden csak azt tudod nyomonkövetni hogy kivel kommunikál (pl otpbank.hu)
Még azt se, csak azt, hogy melyik IP-vel.
Gargouille
(őstag)
Privát kulcs nélkül aligha nézel bele a https forgalomba, lévén nem tudod kicsomagolni. Vagy a kliens gépet kell megmókolnod (mint ahogyan leírtad a víruskeresős példával) vagy kommunikáció másik végét kell, mondjuk egy a bank oldalát. Az oké, hogy eltérítheted a forgalmat, meg tükrözhetsz portot és rögzítheted, meg maszkolhatsz, NATolhatsz stb... ellophatod a diót, de feltörni nem tudod.
Ha egyszer sem tud a megkerülésem nélkül csatlakozni a doh szerverre, akkor van rá esély, hogy legyen kulcsom.
Másrészt ha simán kifilterezem a doh forgalmat, akkor előbb-utóbb visszavált dns-re.
Nem vált vissza. Ezt írja: [kép]
De különben is ez is ugyanolyan https forgalom mint bármelyik másik. Ugyanaz a célport is. Ha blokkolod nem működik a net. Elég feltűnő user szempontból..
[ Szerkesztve ]
Ha a user vált nem biztonságosra, akkor legyen annyi esze hogy nem bankol nyílt wifin..
Arra viszont nem jöttem rá hogy az android beállításaiban szereplő "privát DNS" az DoT (tls 853) vagy DoH (https 443) -at használ-e. Majd kikisérletezem ha jut rá időm. (ámbár ez valószínű android verzió és gyártófüggő is)
A böngészőbe épített biztos hogy DoH-ot használ, így nem szűrhető külön a böngészéstől. De nyilvánvalóan a böngésző beállításai csak a böngészőre vonatkoznak, minden más program az oprendszer beállításait használja.
Windows laptopot használóknak csak a böngészőbe épített biztonságos dns funkció marad, mert a windowsok még nem tartalmaznak ilyen funkciót.
[ Szerkesztve ]
Elvileg DOT, volt arról szó hogy Android 13-ba be kerül a DOH, de nem került bele, azt nem tudom hogy a 14-be be került-e már.
"Ha a user ... annyi esze": mindig ezek a fikciós regények...
Itt nyilván a rendszer "privát dns" funkciója az 'app'-okat is védi, ámbár nem tudom egy OTP app-ot át lehet e verni egy hamis dns-el. Főleg hogy ezek pl fizetéskor egyenleg-lekérdezéskor is futnak bejelentkeznek, nemcsak a hagyományos értelemben vett bankolásor.
Hagyományos webbankhoz meg ott a böngésző "Biztonságos DNS" funkciója. Amit ha ip alapján leblokkolsz akkor minden weboldal blokkolódik, azaz a józan ész szerint gyanúsnak kell lennie a dolognak és nem a biztonság kikapcsolásával kell reagálni. Nyilván az átlag boltokban (meki, tesco, auchan) nem blokkolják a https dns szolgáltatókat.
[ Szerkesztve ]
DNS beállítások Vannak a Windowsban. A titkosított adatátvitel is támogatott a DNS szerverhez.
SOHO környezetben A router beállítása a leghatékonyabb. Ha nem lehet, akkor a Raspberry Pi hole lehet a jó megoldás.
ámbár nem tudom egy OTP app-ot át lehet e verni egy hamis dns-e
Nem, a https az ellen is véd, illetve szinte biztosan certificate pinninget is használ, vagyis csak és kizárólag azt a certificate-et fogadja el, ami bele van drótozva.
Azért valószínűleg egy banki app jól van megoldva, persze egy esetleges app hamisítás ellen már nehezebb a dolog.
Tudtommal csak a Windows server 2022 ben van titkosított dns elérés.
Én még soha senkit nem láttam a mekiben a laptopja mellett Raspberryvel játszadozni a hamburger és a kávé közt..
Kösz, ezt nem tudtam. W10-et használok.
Ebben a modern DDOS-protection-os korban nem hiszem, hogy konkret certificate-pinning-et hasznal - legfeljebb a root certificate-et ellenorzi le, hogy ott van-e a listan...
Masreszt, ISP-re visszaterve. Az ISP-nel elhelyezett monitoring eszkoznek biztos van olyan wildcard cert-je, amit olyan root cert-el irtak ala, mi benne van a globalis CA listaban, pl. ez:
CN = Főtanúsítványkiadó - Kormányzati Hitelesítés Szolgáltató
O = NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.
L = Budapest
C = HU
[ Szerkesztve ]
Pikari
(addikt)
Kizárólag a TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı - Sürüm 3 gyökértanúsítványban bízom. (nem)