Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: bmann 28. 09. 2021, 18:08:27
-
Narazil jsem na stránku https://dnsleaktest.com/ a otestoval 2 ISP kterým mám přístup.
Zjiszil jsem, že oba unášení DNS dotazy a pomocí toho filtrují hazardní stránky.
Což mě štve, protože když se jim ta transparentní DNS rozbije, tak nic nepojede.
Dle zákona o hazardu a metodického pokynu mi přijde, že to dělat nemusí. Měli by to nasadit na svoje DNS servery,
ale nemusí blokovat možnosti jak to obejít či unášet DNS dotazy.
https://www.mfcr.cz/cs/soukromy-sektor/hazardni-hry/seznam-nepovolenych-internetovych-her
Co si o tom myslíte? Řešili jste toto téma někdo se svým ISP?
-
Co byste na tom s nimi chtěl řešit? To jejich řešení odpovídá zákonu, z pohledu zákona dává dokonce větší smysl, než řešení podle metodického pokynu. Navíc ten metodický pokyn není právně závazný, tj. ISP postupující podle něj by teoreticky nemusel ve správním řízení uspět.
-
Jak se na tom testu pozná že je to OK nebo špatně? Já tam vidím u UPC/Vodafone:
162.158.82.77 None Cloudflare Frankfurt am Main, Germany
a dalších několik podobných IP adres
-
Ty ještě nepoužíváš zabezpečené DNS (na portu 853 nebo 443)?? Na routeru se k tomu hodí stubby například.
Jestli tomu popisu dobře rozumím, tak dělají transparentní redirect na úrovni IP, (alias dns hijacking).
>>atlantis
To není tak jednoduché, jak by se zdálo, když si nastavím dns 8.8.8.8, očekávat, že na dotaz na hledanou doménu přijde taky od 8.8.8.8, Může přijít od 81.24.11, což může být jiný pc v infrastruktuře googlu, prostě "backend", narozdíl od frontentu, kam posílají dotazy klienti.
Stejně tak provider DalskabatyWifinar může provozovat DNS na počítači 1.2.3.4 (dns.ispik.cz), ale jeho požadavek vyjde ven z 81.24.89.21 serverovnanakopci.ispik.cz ale i klidně z cloudflare, pokud si nastaví, že jako poskytovatele upstream dns využije třetí službu
HINT: lépe než z IP adres se to pozná podle reverzních DNS jmen. (například front: odvr.nic , ptá se něco jako odvr-2.r.nic.cz )
Takže shoda tam bude aspoň nějaká, že bude vidět že to patří k sobě.
DNS není monolit, skládá se z 3 částí minimálně - upstream resolver (pokud není použitý rekurzivní), lokální server a klientský resolver... Taky záleží kde jsi měnil nastavení, obvykle jsi na nějaká router připojen a ten ti může vnutit svůj lokální server a nebo ti může "přenechat" to co je v něm nastaveno, např 8.8.8.8 posílá pak v dhcp.
A otázka, máš standartní konfiguraci, jsi napojen přes router?
-
@Filip
1. třeba proč vytváří SPOF pro DNS?
Když si nastavím více DNS severů od různých poskytovatelů, tak je velká šance, že nějaký vždy pojede.
Unášením DNS na nějaký transparentní DNS u jednoho poskytovatele může znamenat nefunkčnost když to umře.
Navic transparentní DNS může zanášet chyby, který tam vůbec nemusí být.
Když budu chtít vlastní rekurzivní DNS server, tak opět zde mohou vznikat chyby.
2. proč dělají něco navíc než se po nich chce dle mtodiky
Chápu argument, že vyhovují i takto zákonu. Ale tento po nich navyžaduje.
Metodika říká, filtrovat na svých DNS rekurzorech či svého nadřízeného poskytovatele.
A není třeba řešit obchazení uživatelem, např. přes VPN apod. To samé chápu pro jiné DNS servery.
@mikesznovu
No, nepoužívám. Nějak jsem žil v představě, že ISP nebudou dělat něco, co po nich metodika nechce. I vzhledem
k tomu, že ten požadavek je technicky blbost a dá se lehce obejít. Chyba.
Myslím, že můj router umí DoH či DoT, tak přejdu na to a udělám zněj lokalní resolver.
@czAtlantis
Zjednodušeně. Pokud mám DNS jako 8.8.8.8 a vidím něco jiného, tak je pravděpodobné, že do DNS něco šahá.
Ale není to tak jednoduchý jak rozepsal "mikesznovu". Asi by to nebylo poznat, pokud by ISP měl něco co šáhne do DNS požadavku,
ale přepošle to na původní server.
-
2. proč dělají něco navíc než se po nich chce dle mtodiky
Protože v ČR jsme povinni se řídit zákony a ne metodikami.
Chápu argument, že vyhovují i takto zákonu. Ale tento po nich navyžaduje.
Zákon je napsán tak, že nespecifikuje, co vyžaduje a co ne.
-
@Jenda
Jste si odpověděl sám. Ano, musíme se řídit zákony a zákon nespecifikuje jak tu blokaci dělat.
Od té specifikace jak to dělat je metodika.
Oprava:
Znovu jsem to otestoval a jeden ISP DNS unáší a druhý to nedělá.
-
1. třeba proč vytváří SPOF pro DNS?
To je jen vaše domněnka, že to tak je.
Unášením DNS na nějaký transparentní DNS u jednoho poskytovatele může znamenat nefunkčnost když to umře.
Může a také nemusí – když při umření vlastních DNS serverů přestane dotazy unášet.
Když budu chtít vlastní rekurzivní DNS server, tak opět zde mohou vznikat chyby.
Nemyslím si, že s tím vlastní rekurzivní server nějak souvisí.
2. proč dělají něco navíc než se po nich chce dle mtodiky
Chápu argument, že vyhovují i takto zákonu. Ale tento po nich navyžaduje.
Metodika říká, filtrovat na svých DNS rekurzorech či svého nadřízeného poskytovatele.
A není třeba řešit obchazení uživatelem, např. přes VPN apod. To samé chápu pro jiné DNS servery.
Jak píše _jenda, v ČR jsou závazné zákony, ne metodiky. Jestli to po nich zákon vyžaduje nebo nevyžaduje zatím s jistotou nevíme, ještě o tom nerozhodoval soud (a ani pak to nebude 100% jisté). To, že vy něco preferujete, neznamená, že to musí preferovat všichni. Třeba je to takhle pro toho ISP jednodušší. Třeba ISP dříve nastavoval svým klientům jako DNS servery nějaké otevřené resolvery, třeba ty od Googlu, a teď jim nezbývá, než to řešit takhle.
No, nepoužívám. Nějak jsem žil v představě, že ISP nebudou dělat něco, co po nich metodika nechce. I vzhledem
k tomu, že ten požadavek je technicky blbost a dá se lehce obejít. Chyba.
Metodika se dá obejít ještě snáz, spousta klientů ji může obcházet vlastně nechtěně. Proto je otázka, zda postup podle té metodiky vůbec vyhovuje zákonu.
Pokud mám DNS jako 8.8.8.8 a vidím něco jiného, tak je pravděpodobné, že do DNS něco šahá.
Zrovna muticastové adresy používat jako zdroj DNS dotazů není dobrý nápad, protože odpověď může dostat někdo úplně jiný, než kdo se ptal. Takže to, že dotaz vyřizuje jiná IP adresa, než které jste se původně ptal, nemusí znamenat nic divného.
Od té specifikace jak to dělat je metodika.
Ne, metodika je jenom nezávazné doporučení. Mělo by se jí řídit samotné Ministerstvo financí, které je v této věci správním orgánem, takže je dost pravděpodobné, že v případném správním řízení by postup podle té metodiky prošel. Ale zaručené to není. A i tak se to může dostat před sou, který tou metodikou nebude vázán vůbec. Pak už by zbýval jenom argument, že jste v dobré víře postupoval podle té metodiky, což by pravděpodobně mělo vliv na to, jak by soud jednání hodnotil. Ale závazné to není.
-
Vždy, když vidím pana Jirsáka, jak tu fabuluje, vykouzlí mi to usměv na tváři a údiv nad tím, jakým způsobem může někdo přemýšlet.
Tak to zkusíme po jeho.
Unášení provozu, je naprosto to a samé, jako regulérní podvod.
Představte si, že chcete po pošťákovi(ISP), aby donesl balíček(packety), na předem danou adresu(IP)..
On balíček zabaví, odešle někomu naprosto jinému, shrábne prachy a ještě se tváří, že všechno udělal v pořádku...
Prostě a jednoduše, na unášení provozu, je ze své podstaty špatně naprosto všechno.
-
...
A podvrhávání odpovědí na defaultním poskytovaném DNS serveru je v pohodě? Nebo jak má ISP splnit požadavky Holdingu?
-
Vždy, když vidím pana Jirsáka, jak tu fabuluje, vykouzlí mi to usměv na tváři a údiv nad tím, jakým způsobem může někdo přemýšlet.
Mně zase rozesmutní, když se přiznáte k tomu, že vás udivuje, když se někdo snaží dodržovat zákony.
Unášení provozu, je naprosto to a samé, jako regulérní podvod.
Naprosto to samé jako co? Podvod to určitě není, podvod je definován jinak.
Představte si, že chcete po pošťákovi(ISP), aby donesl balíček(packety), na předem danou adresu(IP)..
On balíček zabaví, odešle někomu naprosto jinému, shrábne prachy a ještě se tváří, že všechno udělal v pořádku...
Dostal jste někdy zásilku ze zahraničí? Všiml jste si, že pošťák tu zásilku zabaví, odešle ji na celní úřad, shrábne prachy a pak se tváří, že udělal vše v pořádku?
Holt vaše teoretické představy neodpovídají tak docela tomu, jak to funguje v reálném státě.
Prostě a jednoduše, na unášení provozu, je ze své podstaty špatně naprosto všechno.
Tím, že před svůj názor dáte slovo „prostě“, z toho neprůstřelný argument neuděláte. Máme tu nějaké zákony, kterými se ISP musí řídit, ať se mu to líbí nebo ne. Vaše okázalé ignorování těchto zákonů v diskusi na tom nic nezmění.
-
A co ten zákon po ISP vladtně chce? Jedna věc je, pokud se poskytovatele zeptám, kde se nachází hazardní server, a on mi odpoví že neví. Druhá věc je, pokud se chci zeptat někoho třetího, ale poskytovatel zprávu s dotazem nenápadně zastaví a vrátí falešnou odpověď, že neví (ačkoli skutečný adresát by věděl). Není tohle náhodou porušení listovního tajemství (ISP není nic do toho, jaký je obsah paketů které odesílám/přijímám), které lze prolomit pouze v přesně definovaných případech a vždy se soudním povolením?
-
A co ten zákon po ISP vladtně chce? Jedna věc je, pokud se poskytovatele zeptám, kde se nachází hazardní server, a on mi odpoví že neví. Druhá věc je, pokud se chci zeptat někoho třetího, ale poskytovatel zprávu s dotazem nenápadně zastaví a vrátí falešnou odpověď, že neví (ačkoli skutečný adresát by věděl). Není tohle náhodou porušení listovního tajemství (ISP není nic do toho, jaký je obsah paketů které odesílám/přijímám), které lze prolomit pouze v přesně definovaných případech a vždy se soudním povolením?
Zákon o hazardních hrách má v tomto případě přednost před listovním tajemstvím.
Zákon po ISP chce „zamezit v přístupu k internetovým stránkám uvedeným na seznamu“ vydávaném Ministerstvem financí. V zákoně tedy není nic o tom, že stačí, když bude ISP řešit jen jím přímo poskytované informace.
Navíc jak už jsem psal dříve, někteří malí ISP neprovozovali vlastní DNS server a zákazníkům nastavovali třeba 8.8.8.8. Těm nic jiného než unášení DNS provozu nezbývá.
-
To také není v pohodě a vy se prosím netvařte, že to, že něco jiného také není v pohodě ospravedlňuje, dělat to ještě ve větším rozsahu. To je argumentace jak na základní škole.
...
A podvrhávání odpovědí na defaultním poskytovaném DNS serveru je v pohodě? Nebo jak má ISP splnit požadavky Holdingu?
-
Vaše okázalé ignorování těchto zákonů v diskusi na tom nic nezmění.
Nejde o ignorování zákonů, ale ignorování Vašeho výkladu zákona. Až o tom bude někdy rozhodnuto soudy, uvidíme. Do té doby, tu jen teoretizujeme.(a Vy jste, jako vždy přesvědčen o tom, že znáte všechno nejlépe)
Unášení provozu je prasárna, za tím si stojím, ať už předhodíte sebelepší/sebeblbější argument.
-
Nejde o ignorování zákonů, ale ignorování Vašeho výkladu zákona. Až o tom bude někdy rozhodnuto soudy, uvidíme. Do té doby, tu jen teoretizujeme.(a Vy jste, jako vždy přesvědčen o tom, že znáte všechno nejlépe)
Unášení provozu je prasárna, za tím si stojím, ať už předhodíte sebelepší/sebeblbější argument.
Jasně. Já uvádím argumenty, vaše tvrzení je akorát „je to prostě prasárna“, ale já jsem přesvědčen, že znám všechno nejlépe…
-
Unášení provozu je prasárna, za tím si stojím, ať už předhodíte sebelepší/sebeblbější argument.
Jinymi slovy: "Budu si trvate na sve emocionalite (prasarna) i kdyz byste mi to vyvracel jakkoliv racionalnimi argumenty." To je v podstate definice fanatismu...
-
To také není v pohodě a vy se prosím netvařte, že to, že něco jiného také není v pohodě ospravedlňuje, dělat to ještě ve větším rozsahu. To je argumentace jak na základní škole.
...
A podvrhávání odpovědí na defaultním poskytovaném DNS serveru je v pohodě? Nebo jak má ISP splnit požadavky Holdingu?
Dobře, takže už víme dva způsoby, co nejsou v pohodě. Můžete ještě odpovědět na druhou otázku v tom příspěvku?
-
@Filip
Ohledně SPOF u DNS a řešení u ISP.
Jasně, že je to doměnka, co jiného by to asi mělo být? Každý ISP to může mít jinak a já ze zkušenosti předpokládám tu horší variantu.
Některá zařízení používají port 53 na přímou komunikaci na vlastní servery a není to čistý DNS. Pak to unášení provozu toto rozbije.
Zákon říká blokovat a tento zákon musí ISP dodržovat. Metodika je od toho dát na srozuměnou co se očekává a je dostačující.
Můj názor:
Unášení provozu je prasárna pokud to není požadováno. Akorát to může zbytečně rozbít věci co fungují.
Ale asi nemá smysl to dál řešit, tady se neshodneme.
-
Zákon říká blokovat a tento zákon musí ISP dodržovat. Metodika je od toho dát na srozuměnou co se očekává a je dostačující.
Jak se dojde k tomu, že zrovna tahle metodika je ta platná? Když si vydám svoji metodiku, nebude to rovnocenné?
V normálně napsaných zákonech je totiž vždycky uvedeno něco jako „konkrétní požadavky určí Ministerstvo lásky prováděcí vyhláškou“ a pak každý ví, čím se má řídit a jak zákon dodržet.
-
Jak se dojde k tomu, že zrovna tahle metodika je ta platná? Když si vydám svoji metodiku, nebude to rovnocenné?
Jde o metodiku Ministerstva financí. Které je příslušné k rozhodování ve správním řízení, pokud by nějaký ISP zákon nedodržoval. Takže ta metodika má určitou váhu – je to návod pro úředníky MF, jak mají postupovat v případném správním řízení. Ale není závazná, pokud by nějaký úředník postupoval v rozporu s tou metodikou, může být postižen pracovněprávně, ale na vydaném rozhodnutí to nic nezmění.
Unášení provozu je prasárna pokud to není požadováno. Akorát to může zbytečně rozbít věci co fungují.
To je sice hezký názor, ale tak nějak se míjí s realitou. Ono totiž unášení provozu opravdu není zákonem explicitně vyžadováno, zároveň to může být ten nejjednodušší a nejméně invazivní způsob, jak zákon splnit. Ale to už jsem psal několikrát a nezdá se, že byste tuhle informaci vzal na vědomí, takže opakovat ji příště znova nemá smysl.
-
Ono totiž unášení provozu opravdu není zákonem explicitně vyžadováno, zároveň to může být ten nejjednodušší a nejméně invazivní způsob, jak zákon splnit.
Nejjednoduší je, pokud ISP zařídí filtrování na svém DNS, který defaultně poskytuje svým klientům přes DHCP. Unášení provozu je už vyšší level - co bude příště, zákaz VPN ("beztak to běžný uživatel k ničemu nepotřebuje") nebo rovnou povinná instalace certifikátu státní certifikační autority, jako v Kazachstánu?
-
Je to velmi jednoduché. Pokud už musím, rozhodně jako to nejhorší invasivní řešení mohu zvolit, že budu unášet provoz, abych to zkurnil co nejvíc, nebo jen ovlivňovat vlastní DNS.
Jak psal někdo přede mnou, tak si to vyložte co nejinvazivněji a vlastně byste měl začít blokovat VPN.
To také není v pohodě a vy se prosím netvařte, že to, že něco jiného také není v pohodě ospravedlňuje, dělat to ještě ve větším rozsahu. To je argumentace jak na základní škole.
...
A podvrhávání odpovědí na defaultním poskytovaném DNS serveru je v pohodě? Nebo jak má ISP splnit požadavky Holdingu?
Dobře, takže už víme dva způsoby, co nejsou v pohodě. Můžete ještě odpovědět na druhou otázku v tom příspěvku?
-
Nejjednoduší je, pokud ISP zařídí filtrování na svém DNS, který defaultně poskytuje svým klientům přes DHCP.
Je to velmi jednoduché. Pokud už musím, rozhodně jako to nejhorší invasivní řešení mohu zvolit, že budu unášet provoz, abych to zkurnil co nejvíc, nebo jen ovlivňovat vlastní DNS.
Vidím, že tady mezi mnohými panuje shoda, že každý ISP má a měl vlastní DNS servery, které vždy nastavoval a nastavuje svým klientům jako výchozí DNS resolvery (ať už přes DHCP, nebo napevno).
Zajímala by mne už jenom taková drobnost: Jak jste na tohle přišli? Na základě čeho vylučujete, že by v ČR mohly existovat ISP, kteří neměly nebo nemají vlastní DNS resolvery a nemají tak kontrolu nad tím, kam posílá DNS dotazy velká část nebo dokonce všichni jejich klienti?
-
Já kupříkladu žiji v reálném světě, má praxe tedy nesestává jen z toho, co jsem vyčetl na Rootu. Po ČR mám 5 přípojek k internetu v cenách od 1k do 15k za měsíc. Stejně, jako mohu napsat, že ani na jedné není IPv6 mohu naosat, že u všech dostávám DNS ISP. Buďte tak laskav a podívejte se, jak to máte vy.
Netvrdím, že je má každý, ale většina tedy dle mé zkušenosti ano. Tak není třeba se zabývat okrajovými případy, co myslíte?
Nejjednoduší je, pokud ISP zařídí filtrování na svém DNS, který defaultně poskytuje svým klientům přes DHCP.
Je to velmi jednoduché. Pokud už musím, rozhodně jako to nejhorší invasivní řešení mohu zvolit, že budu unášet provoz, abych to zkurnil co nejvíc, nebo jen ovlivňovat vlastní DNS.
Vidím, že tady mezi mnohými panuje shoda, že každý ISP má a měl vlastní DNS servery, které vždy nastavoval a nastavuje svým klientům jako výchozí DNS resolvery (ať už přes DHCP, nebo napevno).
Zajímala by mne už jenom taková drobnost: Jak jste na tohle přišli? Na základě čeho vylučujete, že by v ČR mohly existovat ISP, kteří neměly nebo nemají vlastní DNS resolvery a nemají tak kontrolu nad tím, kam posílá DNS dotazy velká část nebo dokonce všichni jejich klienti?
-
Tak není třeba se zabývat okrajovými případy, co myslíte?
Já myslím, že když nemůžeme vyloučit, že se jedná o ten okrajový případ, tak je dobré se tím zabývat – zejména když chcete na základě toho někoho obvinit, že něco dělá špatně nebo dokonce protizákonně.
Jinak pro vaši informaci, v ČR bylo dost „wifinářů“, malých ISP, kteří poskytovali připojení k internetu pro pár klientů někde v místě, kam se velkým poskytovatelům nechtělo. Často jenom koupili konektivitu od většího ISP a rozvedli to wifinama po nějaké vesnici, jejich vlastní infrastruktura byla minimální, někteří právě neměli ani vlastní DNS resolvery. Případně ti, kteří si zakládali na tom, že jsou skutečný ISP, měli alespoň jeden DNS resolver a jako záložní nastavovali něco jiného.
Na vašem místě bych se moc nechlubil tím, že za „reálný svět“ považujete jen několika málo případů, se kterými jste se osobně setkal, a zcela ignorujete zkušenosti jiných lidí.
-
Vy si zase pojedete svou, jako v každé diskusi. Já netvrdím, že neexistují jiné případy, ale tvrdím, že velká část přípojek to má tak, že poskytují vlastní DNS. Už jste se byl podívat, jak to řeší váš poskytovatel? :)
Pokud někdo nemá jinou možnost, ať unáší trafik, co se dá dělat. Pokud má někdo možnost, řešit to jakkoli jinak, ať to tak řeší, protože unášení trafficu se nikomu normálnímu nemůže líbit.
Tak není třeba se zabývat okrajovými případy, co myslíte?
Já myslím, že když nemůžeme vyloučit, že se jedná o ten okrajový případ, tak je dobré se tím zabývat – zejména když chcete na základě toho někoho obvinit, že něco dělá špatně nebo dokonce protizákonně.
Jinak pro vaši informaci, v ČR bylo dost „wifinářů“, malých ISP, kteří poskytovali připojení k internetu pro pár klientů někde v místě, kam se velkým poskytovatelům nechtělo. Často jenom koupili konektivitu od většího ISP a rozvedli to wifinama po nějaké vesnici, jejich vlastní infrastruktura byla minimální, někteří právě neměli ani vlastní DNS resolvery. Případně ti, kteří si zakládali na tom, že jsou skutečný ISP, měli alespoň jeden DNS resolver a jako záložní nastavovali něco jiného.
Na vašem místě bych se moc nechlubil tím, že za „reálný svět“ považujete jen několika málo případů, se kterými jste se osobně setkal, a zcela ignorujete zkušenosti jiných lidí.
-
Koncových přípojek mám v ČR stovky, ale z toho místa pohledu si netroufnu moc hodnotit, protože vím i jak to vypadá na druhé straně, ale uznávám, že mám admin vhled jen do pár desítek sítí napříč ČR.
Takže stav, že mi ISP dá vlastní své IP jako DNS servery, neříká vůbec nic o tom, zda má i vlasntí resolvery. Upřimně, provozovat něco takového je pro řadu z nich vyšší dívčí, práce navíc, co nense náklady a nic (běžná slova ISP okresného formátu, několil tisíc živých přípojek). Takže i když mám jejich IP, tak často míří na nějaký mikrotik (a často i jen jeden) a na tom mikrotiku je nastaven forward na 8.8.8.8. Krutá realita. Ti, kteří to dělali tak, že to 8.8.8.8+1.1.1.1 dávali přímo koncákům, tak ti jsou v té pozici, že dneska někam unáší.
Další věc je, kam se to vlastně unáší. Dneska se nám tu začíná šířit nešvar dobroserů, kteří za pár drobných výpalného nabízí služby profesionálních DNS resolverů jako službu pro ISP. Pokud jdou Vaše dotazy k těmto (ať už únosem nebo forwardem ISP IP na ně), tak tam se často filtruje mnohem více, než jen dle seznamu od finančníků. V rámci boje za lepší svět filtrují i řadu dalších adres, co vyhodnotí jako nebezpečné (ano, jde často o nějaké provalené adresy botnetů, virovisk atd, ale co vše dalšího, to vědí jen oni a jejich chytré algoritmy).
Takže těch, co mají poctivě svoje jeden+dva plnohodnotné rekurzivní resolvery, ten dávají zákošům a na něm filtrují jen minimum a do ničeho dalšího nehrabou, tak to není majorita ISP. :-(
A divil bch se, kdyby EU nám nepřevzala třeba koncept z UK. Zde tyto služby filtrujícícho resolveru v rámci lepšího světa dokonce certifikují a ISPíkům je v této chvíli doporučeno dávat tyto certifikované resolveristy koncákům (termín, kdy se z doporučeno staně povinně vynucovat už asi mají i stanoven, ve fázi povinně jsou nyní klienti financovaní z erárního).
-
A divil bch se, kdyby EU nám nepřevzala třeba koncept z UK. Zde tyto služby filtrujícícho resolveru v rámci lepšího světa dokonce certifikují a ISPíkům je v této chvíli doporučeno dávat tyto certifikované resolveristy koncákům (termín, kdy se z doporučeno staně povinně vynucovat už asi mají i stanoven, ve fázi povinně jsou nyní klienti financovaní z erárního).
Naštěstí existují věci jako DNS-over-HTTPS. Firefox si za něj dokonce vysloužil v UK titul padouch roku:
https://www.abclinuxu.cz/zpravicky/mozilla-byla-nominovana-na-cenu-internetovy-padouch
-
Jako nechci Vám do vstupovat do hlubokých filozofických debat, jaké chování ještě je a jaké už není správné, ale to je takový problém si přečíst ten idiotský, pardon metodický pokyn ministerstva všehomíra https://www.mfcr.cz/assets/cs/media/Metodika_2017_Metodicky-pokyn-k-plneni-povinnosti-82-84-ZHH.pdf (https://www.mfcr.cz/assets/cs/media/Metodika_2017_Metodicky-pokyn-k-plneni-povinnosti-82-84-ZHH.pdf).
Protože když to uděláte, tak můžete začít další plodnou diskusi nad pojmem "Poskytovatel připojení k internetu na území České republiky". Za docela vtipný považuju odstavec 2.1, zvláště by mě zajímalo, co úředník myslel větou: "... Rovněž se za poskytovatele připojení k internetu považují ty subjekty, které služby přístupu k internetu fakticky poskytují, ale bez příslušného oprávnění"..... ? škola, hospoda, zaměstnavatel, soused co Vám sharuje připojení.... atd. ?
Abych místo blbých keců přispěl i něčím konstruktivním, tak budu citovat z metodického pokynu:
Blokování na úrovni DNS (Domain Name Service) lze považovat za jedno z vhodných opatření, jehož použitím ve vztahu k internetovým stránkám uvedeným na Seznamu bude splněna povinnost dle ustanovení § 82 ZHH. V případě, že poskytovatel připojení k internetu nedisponuje lokálními DNS servery (např. využívá DNS servery dodavatele internetové konektivity nebo v rámci holdingu) a není tedy oprávněn k blokaci na úrovni DNS, lze povinnost ustanovení § 82 ZHH považovat za splněnou v případě, pokud ji poskytovatel připojení k internetu zajistí smluvně se subjektem, jehož lokální DNS servery využívá.
Zároveň však poskytovatel internetového připojení může zvolit jakýkoliv další způsob, který zamezí v přístupu k internetovým stránkám uvedeným na Seznamu, ale nezablokuje obsah domén i jiných držitelů nebo jinak nezpůsobí porušení právních předpisů.
Pak tedy ano - pokud "poskytovatel" unáší DNS provoz, blokuje vybrané adresy, nebo činí nějaká jiná, z pohledu ajťáka hnusná a nesmyslná opatření, tak vždycky může tvrdit, že jedná v soluladu s tím, co požaduje zákon.
A nebo si každý "poskytovatel" ve svém vlastním zájmu zaplatí vlastního právníka, aby si nechal vyložit, jestli zasahování do DNS provozu (přesměrování, unášení, podvrhování jiných adres....atd.) náhodou nezpůsobí porušení právních předpisů.
Prostě to beru tak, že předpis psal úředník s intelektuální schopnosti pohybující se zhruba na úrovni desetiletého dítěte, bez faktického porozumění, co svým neurčitým výkladem uloženách povinností způsobí.
-
Stara dobra matematika jasne rika: vyjdete-li z nesmyslnych predpokladu, muzete naprosto spravnymi a logicky bezchybnymi postupy dojit k libovolnemu zaveru. Narizovat poskytovatelum pripojeni takove peachoviny je proste jeste vetsi peachovina.
-
Podla daneho zakona / nariadenia ma kazdy ISP, ci iny poskytovatel internetu (napr. verejne hotspoty) zabezpecit, aby jeho kleinti, ked zadaju adresu blokovanej stranky, obsah tejto stranky nenacital. Ziadny uradnik nebude kontrolovat, ako ma koncovy klient nastavene DNS servery. Avsak overovat to budu jednoducho tak, ze sa pripoja do siete daneho providera a skusia danu stranku nacitat pri defautlnej konfiguracii poskytnutej od providera. Ak to nepojde, tak je to v poriadku. Ak to pojde, tak ma provider po chlebe.
Cize ak provider poskytuje 8.8.8.8 ci iny DNS pre klientov, tak musi dotazy filtrovat. Je uz na nom, akym sposobom. Na to aby zakon dodrzal. Ak mas ako klient s tymto problem, nastav si dns, aky ches a ktoremu doverujes.
-
Jasně. Já uvádím argumenty, vaše tvrzení je akorát „je to prostě prasárna“, ale já jsem přesvědčen, že znám všechno nejlépe…
Ano, přesně tak to je, je to prasárna(a nejen dle mě, co tak čtu tuto diskuzi), protože dochází k unášení provozu, který má jít na úplně cizí stroj. Kdyby byl ISP co k čemu, tak přenastaví DNS klientských zařízení a dělá to tak, jak se to dělat má dle metodického pokynu. Takhle jen sprostě unáší provoz, do kterého mu vůbec nic není.. Dalo by se to přirovnat k tomu, že dělá pošťáka, ale všechny dopisy si sprostě tahá domů.
Naprosto to samé jako co? Podvod to určitě není, podvod je definován jinak.
No dobrá, odkážu se na text co jsem napsal výše.. ISP dělá pošťáka, tahá si dopisy domů... A teď, ten podvod... On si je nejen že přečte, ale ještě odpovídá za někoho jiného.. Dle mých měřítek, jde o regulérní podvod, vydává se za někoho jiného a ještě za něj odpovídá, fuj, chce se mi zvracet..
Jinymi slovy: "Budu si trvate na sve emocionalite (prasarna) i kdyz byste mi to vyvracel jakkoliv racionalnimi argumenty." To je v podstate definice fanatismu...
Pokud se za fanatismus bere to, že chci dělat věci pořádně, dle psaných pravidel a aniž bych nějak invazivně zasahoval do provozu, do kterého mi absolutně nic není, tak ano, může být, jsem tedy fanatik. :-)
Vidím, že tady mezi mnohými panuje shoda, že každý ISP má a měl vlastní DNS servery, které vždy nastavoval a nastavuje svým klientům jako výchozí DNS resolvery (ať už přes DHCP, nebo napevno).
Zajímala by mne už jenom taková drobnost: Jak jste na tohle přišli? Na základě čeho vylučujete, že by v ČR mohly existovat ISP, kteří neměly nebo nemají vlastní DNS resolvery a nemají tak kontrolu nad tím, kam posílá DNS dotazy velká část nebo dokonce všichni jejich klienti?
To je pouze problém toho ISP, že šetřil, či není schopen své šetření napravit a rekonfigurovat klienská zařízení. Rozhodně by takový amatérismus neměl sloužit jako obhajoba toho, že díky vlastní neschopnosti, budu dělat tu největší prasárnu jako MITM attack. Obhajovat MITM attack tím, že jsem v minulosti šetřil a se teď kvůli vlastní blbosti budu drbat pravou nohou a levým uchem, je z mého pohledu až smutné.
Ak mas ako klient s tymto problem, nastav si dns, aky ches a ktoremu doverujes.
A to je ten problém, když narazíš na dobytka, co unáší provoz, můžeš si nastavit jakýkoli DNS server chceš, ale nikdy to na něj nedorazí, protože bude ten provoz unesen na zcela jiný server, než sis sám nastavil a se kterým si chceš povídat.
____
Jen počkejte, až nějaký až přespříliš aktivní ISPík, bude chodit k lidem instalovat certifikáty do jejich strojů, aby zamezil obcházení jeho blokace pomocí DoH či DoT. Jak tak koukám na dedukce některých diskutujících, i takové zhůvěřilosti, by jim přisly "oukej", protože "pouze chtějí dodržovat zákon".
-
Některá zařízení používají port 53 na přímou komunikaci na vlastní servery a není to čistý DNS. Pak to unášení provozu toto rozbije.
Technická: A tohle jako prasárna není?
-
Nic nie je dokonale v tomto svete. Clovek si nemoze byt nicim isty. Ani tym, ze niekto bude dodrzovat daky standard.
Jediny realny sposob ako sa ochranit pred unasanim sietoveho provozu providerom, je cez VPN.
Avsak k tomu potrebujes doverihodnu VPS, alebo hostingovu spolocnost, kam si supnes vlastne zelezo.
Na ktorom si spravis VPN, DNS server a u seba cez router budes vsetok trafik smerovat do tejto VPN.
-
Někteří tu tvrdili, že fabuluju. No, tak po měsíci se nám tu urodil dotaz (https://forum.root.cz/index.php?topic=25329.0), kde se ukázalo, že ISP přesně tohle dělá – unáší DNS provoz na svůj resolver. Aby to bylo ještě lepší, neunáší veškerý DNS provoz, ale jenom provoz směrovaný na vybrané otevřené DNS resolvery. Z výpisů je tam i vidět, o kterého ISP se jedná, tak se zdejší hrdinové mohou ISP zeptat, proč to dělá.
-
Někteří tu tvrdili, že fabuluju. No, tak po měsíci se nám tu urodil dotaz (https://forum.root.cz/index.php?topic=25329.0), kde se ukázalo, že ISP přesně tohle dělá – unáší DNS provoz na svůj resolver. Aby to bylo ještě lepší, neunáší veškerý DNS provoz, ale jenom provoz směrovaný na vybrané otevřené DNS resolvery. Z výpisů je tam i vidět, o kterého ISP se jedná, tak se zdejší hrdinové mohou ISP zeptat, proč to dělá.
Tenhle ten tvůj příspěvek lze chápat různě:
- Buď chceš dokázat, že když jsi našel jednoho dalšího dobytka, tak je to normální.
- Nebo chceš přiznat, že je to prasárna, protože to zase rozbilo jinak zcela funkční věc.
Informace že fabuluješ, vzešla z toho, že jsi tvrdil, že tohle po tobě chce zákon, což je samozřejmě nesmysl.
Metodický pokyn instituce tohle zaštiťující, žádné podobné prasárny nevyžaduje, ba naopak přesně popisuje, že stačí méně invazivní způsob blokace na úrovni DNS poskytovatele.
To že to dělají jen ISPíci, co jsou líní rekonfigurovat klientská zařízení a z mého pohledu, dělají tedy svou práci špatně, jsi stále nevyvrátil žádným relevantním argumentem.
Ba naopak jsi tu všem ukázal, že kdyby ISPíci, dodržovali přesně to, co je v metodickém pokynu, tazateli z vedlejší diskuze by všechno fungovalo v pořádku a nemusel by řešit, že je jeho ISP lenoch, co si jen ulehčuje práci na úkor jeho klientů.
-
Ba naopak jsi tu všem ukázal, že kdyby ISPíci, dodržovali přesně to, co je v metodickém pokynu, tazateli z vedlejší diskuze by všechno fungovalo v pořádku a nemusel by řešit, že je jeho ISP lenoch, co si jen ulehčuje práci na úkor jeho klientů
......tazateli z vedlejší diskuze by všechno fungovalo v pořádku hned po první změně DNS......