Vlastní AP: stačí blokovat domény nebo raději i IP?

Dobrý den, rád bych si udělal "osobní" zařízení, které bude jako přístupový bod do internetu, na který se připojím já nebo pár známých (nejde o hackery, ale běžné lidi, co se jen budou připojovat k netu) . Je to nespecifikované, o jaké fyzické rozhraní půjde, ale bude to buď:
-telefon s androidem (fuj, androidový telefon s nějakým OS)
-vlastní notebook s Softwarovým wifi AP
-domácí ADSL router (s wifi AP+ethernet)

Ale především mi jde o technologickou implementaci (viz níže, co je potřeba udělat aby to splnilo cíl) a softwarovou (konkrétní sadu programů). Základní problém je ne uplně jasný vztah DNS a IP (v různých prostředích, nastaveních a technologiích DNS-HTTP. DNS-TLS)

Cíl: Mám seznam domén, které blokuji, chci ,aby se k nim nikdo nepřipojoval (protože spousta joudů nezná /hosts nebo adblock filtry). Budou mít vlastní prohlížeč

Speciálně ještě jedna věc, chci blokovat například p8.adroll.com i e7.adroll.com --- > stačí mít v seznamu filtrů jen adroll.com a prohlížeč to pozná., Avšask hosts soubor tohle neumí (*.adroll.com nebo adroll.com) - nevím jak na linuxu

0. otázka: jak nastavit na daném AP DHCP kolonku DNS - předpokládám adresu daného AP, že to bude.
1. otázka: stačí  tam rozjet vlastní DNS (jaký pro dané 3 platformy??) a je vše vyřešeno? Jak si to poradí se blokací subdomén -- Upozornění: Nebudou se připojovat žádný hackeři nebo IT vzdělanci, kteří budou chtít prolomit systém, ale jde spíš o ochranu před všaljakými dalšími kanály, kudy může blokace domén nepozorovaně projít - viz DNS-HTTP, , auto proxy, omylem nastavené DNS browseru nebo prohlížeče, defaulntí dns prohlížečů Samozřejmě můžete odpovědět, jak udělat ochranu co nejvíc neprůstřelnou (ale to ani nejde, stačí https proxy)
2. otázka (stále use case je pro běžné uživatele, kteří nechtějí cíleně obejít systém, ale třeba používají cizí DNS nebo jiný způsob překladu a neví o tom ): má cenu blokovat dané IP adresy příslušející daným DNS?: zd e je další komplikace, že jedné IP může náležet víc domén? Existuje nějaké řešení, které umí zablokovat traffic na danou IP  podle hlavičky Host (a při https, že) pokud vím, SNI je opravené, že neleakuje nešifrovaně hlavičku a nelze poznat žádanou doménu, ale možná se pletu a nebo to není všude takhle.
 - Existuje nějaký nástroj (nebo veřejná databáze), který dokáže zjistit, zda dané IP náleží víc domén? nebo existuje nějaký daemon, utilita, která bude získávat IP adresy daných domén a bude si je dynamicky přidávat do blokační tabulky? Je to ale dilema, protože dopředu nelze rozhodnout , neví se ,jestli na dané IP neběží i služba, kterou je nežádoucí blokovat (takových asi několik bude ) a nebo na ní žádná neběží a nebo na ní běží samé nežádoucí (typicky příklad reklamních serverů jako adroll, grmtech apod)

3. Co je potřeba nastavit ve firewallu ( například blokace odchozích DNS paketů s jinými cílovým  adresami (8.8.8.8) než routeru nebo blokace příchozích DNS paketů s jiným cílem než "routeru") a zda je to potřeba.

4. A co když už uživatel "má resolvováno"? Je tohle v reálu nějaký problém nebo je TTL tak nízké, že se klient ptá na překlad často? (asi záleží na OS), ale běžný osobní notebook s windows/linux
« Poslední změna: 14. 06. 2019, 07:15:32 od Petr Krčmář »


McFly

  • *****
  • 560
    • Zobrazit profil
    • E-mail
Re:vlastní "AP" Stačí blokovat domény? raději i IP
« Odpověď #1 kdy: 14. 06. 2019, 07:10:10 »
Mám mikrotik, na něm můžu nastavit wildcard doménu, např. *.seznam.cz a nastavit jí nějakou nesmyslnou IP (nebo serveru, kde mi běží blokovací stránka), dále mohu veškerý DNS traffic přesměrovat na ten mikrotik, takže bude jediným možným DNS pro klienty a i když si vyplní 8.8.8.8 ručně, stejně ten dotaz skončí v DNS mikrotiku...

Re:Vlastní AP: stačí blokovat domény nebo raději i IP?
« Odpověď #2 kdy: 14. 06. 2019, 12:06:07 »
To mě nenapadlo s tím maskováním IP. Ale nebude tam nějaký problém s ověřením pravosti DNS serveru (pokud to není něco jako DNS STRIP) nebo nedůvěrhodností?

A jak podobnou věc udělat na androidovém telefonu nebo linuxovém notebooku? Je na to nějaký hotoví balík/distribuce/container/"appka-pro mobil"?

Re:Vlastní AP: stačí blokovat domény nebo raději i IP?
« Odpověď #3 kdy: 14. 06. 2019, 13:22:36 »
zařízení, které bude jako přístupový bod do internetu.....

.....Cíl: Mám seznam domén, které blokuji, chci ,aby se k nim nikdo nepřipojoval (protože spousta joudů nezná /hosts nebo adblock filtry). Budou mít vlastní prohlížeč

Tak bude to pro pristup k internetu, nebo jen k (podle vasi libosti) omezenemu bastlu?

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:vlastní "AP" Stačí blokovat domény? raději i IP
« Odpověď #4 kdy: 14. 06. 2019, 13:58:03 »
Je to ale dilema, protože dopředu nelze rozhodnout , neví se ,jestli na dané IP neběží i služba, kterou je nežádoucí blokovat (takových asi několik bude )

V pohodě, takových služeb je jenom pár, asi jenom Google, Amazon a Cloudflare.

dále mohu veškerý DNS traffic přesměrovat na ten mikrotik, takže bude jediným možným DNS pro klienty a i když si vyplní 8.8.8.8 ručně, stejně ten dotaz skončí v DNS mikrotiku...

Bravo, tohle jistě potěší kdejakého správce DNS serveru.

Když už takovou věc jó musíte dělat, tak ten dotaz zahoďte nebo podvrhněte odpověď, ale proboha neunášejte všechnu komunikaci!


robac

  • ***
  • 198
    • Zobrazit profil
    • E-mail
Re:vlastní "AP" Stačí blokovat domény? raději i IP
« Odpověď #5 kdy: 14. 06. 2019, 17:41:02 »
Je to ale dilema, protože dopředu nelze rozhodnout , neví se ,jestli na dané IP neběží i služba, kterou je nežádoucí blokovat (takových asi několik bude )

V pohodě, takových služeb je jenom pár, asi jenom Google, Amazon a Cloudflare.
Jj, jen Google, Amazon, Cloudfare, Microsoft a další desítky velkých cloud poskytovatelů a na nich virtuály statisíců dalších firem  ;)
Zkusil jste někdy debugovat třeba aktualizace Windows 10 nebo Office? Desítky německých (u nás) IP adres, ze kterých to stahuje. Že to poběží na těchto IP i zítra Vám nikdo nezaručí...