Nem sokat érnek ezek a beállítások...
Ha az isp-d el akarná fogni a dns kéréseidet, simán elfogná, átirányítaná, meghamisítaná, akármit csinálnál.
Az mitm ellen a https nagyjából nullát ér, a víruskergetők rutinszerűen mitm-eznek.
nyílt wifin konkrétan mi értelme van kulcsot támadni? ki van plakátolva a falra, mit akarsz rajta támadni?

[ Szerkesztve ]

A nyílt wifi hotspotok nagy része nem fogja engedni, hogy csak úgy titkosítva internetezgessél rajta keresztül. Szépen dekódolja, és logolja a forgalmadat. Teljesen mindegy, hogy milyen DNS szervert használsz, a https oldalakhoz csak a speciális/kivétel hozzáadása nyomógombbal férsz majd hozzá.

De az nem lenne törvénytelen?
Mert szerintem csak a rajtuk átmenő forgalomba nézhetnek bele.

nem értem a kérdést.
ami átmegy rajtuk, abba bele tudnak nézni.
ami nem megy át rajtuk, abba nem tudnak belenézni.
egyébként nagyjából semmibe nem nézhet bele az isp. de ilyenkor nem arról beszélünk, hogy mi törvényes, hanem arról, hogy mi lehetséges.

Pedig én azt hittem hogy ott ülnek emberek a monitorok előtt, és azt nézik hogy Lacika melyik pornó oldalt nézte meg 😁

Egyébként ez a leírás is inkább arról szól hogy a felhasználó legyen nagyobb biztonságban, mert a komolyabb dns szolgáltatók rendelkeznek olyan dolgokkal amik őket is védhetik, viszont a leírás címe sem teljesen jó, mert az internet adott esetben nem egy biztonságos hely, szóval attól hogy valaki másik dns-t használ, még nem lesz teljesen biztonságban.

A következő két feltételezés valóban szükséges még a biztonsághoz: az (1) es és (2) es pont összetartozik, egymás nélkül mit sem érnek; illetve a másik hogy a telefon előélete során bizonságos(abb) hálózathoz is kellett csatlakoznia.

"ami átmegy rajtuk, abba bele tudnak nézni"
Ezt a hülyeséget ne terjeszd mert nem igaz.
Ha bele tudnának nézni akkor azt bal felül észre lehetne venni.

Az viszont igaz hogy van akikben meg kell bízni. Pl a telefon gyártója, az android fejlesztője, a microsoft, stb
Ha ezekben sem bízol akkor ne netezzél.

hol bal felül?

Az mitm ellen a https nagyjából nullát ér, a víruskergetők rutinszerűen mitm-eznek.

Ezt a hülyeséget még mindig terjeszted?
El tudnád mondani, hogy a viruskergetőknek mit kell megcsinálniuk ahhoz, hogy meg tudják csinálni a MITM-et, csak hogy érezzük, hogy miről van szó?

ami átmegy rajtuk, abba bele tudnak nézni.

Nem.

Tényleg meglepő, hogy mennyire fogalmatlan vagy, ráadásul úgy, hogy ISP-nél dolgozol.

Ha az isp-d el akarná fogni a dns kéréseidet, simán elfogná, átirányítaná, meghamisítaná, akármit csinálnál.

Gondolom a DNS over HTTPS / TLS híre még nem ért el hozzád (direkt megnéztem, a "privát DNS" az ezt fedi az android beállításainál).

Szerintem arra gondolt ami az ISP dns szerverén megy át, az tényleg elég érdekes lenne ha mondjuk a Clodfare dns szerver forgalmát tudná megnézni mondjuk a Telekom.

Szerintem arra gondolt ami az ISP dns szerverén megy át

Persze, de kb. minden forgalom titkosítva megy, amibe az ISP nem lát bele.

Titkosítás nem csak a DOH ( 443-as port ) és DOT ( 853-as port ) esetén van?

Sima UDP 53 esetén tudomásom szerint nincs.

ami átmegy a kijárati routeremen, azt meg tudom nézni.
többek között azért is, mert törvény kötelez rá, hogy ha az illetékes "hatóság" meg akarja nézni, akkor nekem a szükséges technológiát biztosítanom kell.
Tehát ha te beírod dns szervernek a gépeden, hogy 1.1.1.1 vagy 8.8.8.8, akkor nekem ezt a két ip címet kell kifordítanom a "törvényi megfelelés" portra (nem röhög, durva fordításban így hívja a doksi), és akkor látom, hogy mit akarsz. Ha bele akarok babrálni, le is natolom, és amit te 1.1.1.1-hez küldesz, az majd nálam landol, és csinálok vele amit akarok.

A telekom (vagy én) a cloudflare forgalmát nem tudom megnézni. Az én előfizetőm cloudflare felé menő forgalmát viszont igen.

A víruskergetők ca-ját be szokták írni a böngészők trusted ca-jaba. Ezek után a víruskergető elfogja a https kérést, gyorsan hamisít egy ca-t, és nyit egy másik kapcsolatot a cél felé. A hamisított ca-t a böngésző elfogadja, mert az azt aláíró kulcsot elismeri megbízható kulcsként.

Mármint DNS-nél? De. Nagyjából emiatt van a "kb." Mert ezen kívül tényleg minden másnál alap a titkosítás, emailnél, webnél, miegyébnél (főleg, hogy a "miegyéb" java része szintén HTTPS-en keresztül megy).

[ Szerkesztve ]

A víruskergetők ca-ját be szokták írni a böngészők trusted ca-jaba.

Amihez root hozzáférés kell, ugye.
Egy random nyílt access pointnak vagy az ISP-nek mióta van root hozzáférése a gépemhez?...

Ha bele akarok babrálni, le is natolom, és amit te 1.1.1.1-hez küldesz, az majd nálam landol, és csinálok vele amit akarok.

Kivéve, hogy nem, mert ugye TLS védi az egészet.

[ Szerkesztve ]

mitől lenne hülyeség? elindítasz egy dns kérést, kapsz rá választ, amit vagy meghamisítottam, vagy nem. ezek után indítasz egy https kérést, ott is látom, hogy a korábban lekért domainedhez tartozó ip címre megy a kérés, tehát belenéztem a forgalmadba akkor is, ha esetleg a https-t nem törtem fel.

Ha valami kamu módszerrel eljuttatnék egy megbízható kulcsot a gépedre, akkor még azt se vennéd észre (oké, mondjuk azt, hogy átlagbéla userek 99%-a nem venné észre), hogy nem az a titkosítás él.

Márpedig amíg az userek gépét az isp konfigurálja, addig mocskos gyorsan oda lehet rakni nagyjából bármit.

Ezek itt lehetőségek, nem pedig a szokás.

és hogy rezolválod a doh ip címét? rajtam keresztül?

beküldöm egy walled gardenbe.
másodpercek alatt fogja megadni a rendszergazda jogot.

és hogy rezolválod a doh ip címét? rajtam keresztül?

Mondjuk DNS szerver címének domain nevet használni komoly "ezt így hogy? (és főleg: minek)" kérdéseket vet fel, de ha emberünk a te DNS szervereddel bootolja be a dolgot, akkor is kibukik az egész, mivel a TLS sikítani fog, hogy a túloldalnak nincs érvényes certificate-je.

[ Szerkesztve ]

na mégegyszer: hogy rezolválod a DOH ip címét? a dns ip címét nem rezolválod, azt normálisan belerakják vagy a dhcp válaszba, vagy a pppoe válaszba.

"Ha ezekben sem bízol akkor ne netezzél": én ezt teszem.
a mobil telefonomon gyakorlatilag semmi nincs, a tabletemen nagyjából semmi, ami fontos. ami netezés, az itthon a desktopom és a saját megbízható hálózatom.

Ott van: "emberünk a te DNS szervereddel bootolja be a dolgot"

Egy nap a kezemben nyomkodtam a telefonomat, és láttam, hogy új SMS-em érkezett. A telefon kiírta a tartalmát a képre, így nézett ki: ascii karakterek, 5-10 betűnyi kriksz kraksz, majd így folytatódott: ELF.

Villant egyet a kép, mintha elindulna valami... majd mintha mi sem történt volna, működött tovább a teló. Még kb 3 másodpercig. Ugyanis olyan kurva gyorsan nem láttál még embert telefonból egy aksit kitépni, mint engem akkor Onnantól kezdve okos eszközről már én sem internetezem.

hát ja, azt az alapvető kérdést felejtette el Doky586 is, hogy a helyi kávézó ingyen wifijének az üzemeltetőjétől kell jobban félni, vagy a nagy adathörcsög cégektől, akik mindent, még a dns kéréseidet is maguknak akarják tudni.

vagyis hogy amikor például áttérsz doh-ra, az vajon cseberből vederbe? hint: igen.

Nem így működik (androidon).
A DNS itt nem egy ip cím. Be sem lehet ip címet írni dns-nek. Csak https-en kommunikál, és ha nem egyezik a régebben meglevő aláírással akkor nem fogadja el, nem változtatja meg.

A routereden csak azt tudod nyomonkövetni hogy kivel kommunikál (pl otpbank.hu), de azt nem hogy mit. A forgalomba nem látsz bele. Esetleg a forgalom mennyiségét látod hogy 1 óra alatt 3 GB forgalom ment át köztük, és ennyi...

El kell fogadni, hogy internetkapcsolatnál nincs privát, lekövethetetlen zóna. Kényes tartalmat, atombomba farigcsálást csak a szomszéd/ cég biztosította wifin, céges eszközön érdemes nézegetni.
Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat. Szerencsére nincs rá elég kapacitás hogy minden ember minden apró stiklijét lekövessék. Vannak szavak, amik egy szűrőn megakadnak, és ha gyakran, ugyanannál az ip címen ismétlődik, utánanézhetnek az illetőnek.

Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat.

Amíg az ember ki nem kapcsolja a 3rd party cookie-kat vagy még inkább installálja mondjuk a Ghosteryt vagy az uBlock Origint.

Ne csináljunk már úgy, mintha ezek valami misztikus, kikerülhetetlen dolgok lennének.

A routereden csak azt tudod nyomonkövetni hogy kivel kommunikál (pl otpbank.hu)

Még azt se, csak azt, hogy melyik IP-vel.

Privát kulcs nélkül aligha nézel bele a https forgalomba, lévén nem tudod kicsomagolni. Vagy a kliens gépet kell megmókolnod (mint ahogyan leírtad a víruskeresős példával) vagy kommunikáció másik végét kell, mondjuk egy a bank oldalát. Az oké, hogy eltérítheted a forgalmat, meg tükrözhetsz portot és rögzítheted, meg maszkolhatsz, NATolhatsz stb... ellophatod a diót, de feltörni nem tudod.

Ha egyszer sem tud a megkerülésem nélkül csatlakozni a doh szerverre, akkor van rá esély, hogy legyen kulcsom.
Másrészt ha simán kifilterezem a doh forgalmat, akkor előbb-utóbb visszavált dns-re.

Nem vált vissza. Ezt írja: [kép]
De különben is ez is ugyanolyan https forgalom mint bármelyik másik. Ugyanaz a célport is. Ha blokkolod nem működik a net. Elég feltűnő user szempontból..

[ Szerkesztve ]

a júzer vált vissza, nem a telefon.

Ha a user vált nem biztonságosra, akkor legyen annyi esze hogy nem bankol nyílt wifin..

Arra viszont nem jöttem rá hogy az android beállításaiban szereplő "privát DNS" az DoT (tls 853) vagy DoH (https 443) -at használ-e. Majd kikisérletezem ha jut rá időm. (ámbár ez valószínű android verzió és gyártófüggő is)
A böngészőbe épített biztos hogy DoH-ot használ, így nem szűrhető külön a böngészéstől. De nyilvánvalóan a böngésző beállításai csak a böngészőre vonatkoznak, minden más program az oprendszer beállításait használja.

Windows laptopot használóknak csak a böngészőbe épített biztonságos dns funkció marad, mert a windowsok még nem tartalmaznak ilyen funkciót.

[ Szerkesztve ]

Elvileg DOT, volt arról szó hogy Android 13-ba be kerül a DOH, de nem került bele, azt nem tudom hogy a 14-be be került-e már.

"Ha a user ... annyi esze": mindig ezek a fikciós regények...

Itt nyilván a rendszer "privát dns" funkciója az 'app'-okat is védi, ámbár nem tudom egy OTP app-ot át lehet e verni egy hamis dns-el. Főleg hogy ezek pl fizetéskor egyenleg-lekérdezéskor is futnak bejelentkeznek, nemcsak a hagyományos értelemben vett bankolásor.

Hagyományos webbankhoz meg ott a böngésző "Biztonságos DNS" funkciója. Amit ha ip alapján leblokkolsz akkor minden weboldal blokkolódik, azaz a józan ész szerint gyanúsnak kell lennie a dolognak és nem a biztonság kikapcsolásával kell reagálni. Nyilván az átlag boltokban (meki, tesco, auchan) nem blokkolják a https dns szolgáltatókat.

[ Szerkesztve ]

DNS beállítások Vannak a Windowsban. A titkosított adatátvitel is támogatott a DNS szerverhez.
SOHO környezetben A router beállítása a leghatékonyabb. Ha nem lehet, akkor a Raspberry Pi hole lehet a jó megoldás.

ámbár nem tudom egy OTP app-ot át lehet e verni egy hamis dns-e

Nem, a https az ellen is véd, illetve szinte biztosan certificate pinninget is használ, vagyis csak és kizárólag azt a certificate-et fogadja el, ami bele van drótozva.

Azért valószínűleg egy banki app jól van megoldva, persze egy esetleges app hamisítás ellen már nehezebb a dolog.

Tudtommal csak a Windows server 2022 ben van titkosított dns elérés.

Én még soha senkit nem láttam a mekiben a laptopja mellett Raspberryvel játszadozni a hamburger és a kávé közt..

link

win 11-ben már van alapból

Kösz, ezt nem tudtam. W10-et használok.

"Én még soha senkit nem láttam a mekiben a laptopja mellett Raspberryvel játszadozni a hamburger és a kávé közt.. "

Én sem, bár nekem nem jut eszemben ennyire groteszkben gondolkodni. Szükség nincs rá bár megvalósítható.