Unášení DNS provozu a hazard

[bmann]

Narazil jsem na stránku https://dnsleaktest.com/ a otestoval 2 ISP kterým mám přístup.
Zjiszil jsem, že oba unášení DNS dotazy a pomocí toho filtrují hazardní stránky.
Což mě štve, protože když se jim ta transparentní DNS rozbije, tak nic nepojede.

Dle zákona o hazardu a metodického pokynu mi přijde, že to dělat nemusí. Měli by to nasadit na svoje DNS servery,
ale nemusí blokovat možnosti jak to obejít či unášet DNS dotazy.
https://www.mfcr.cz/cs/soukromy-sektor/hazardni-hry/seznam-nepovolenych-internetovych-her

Co si o tom myslíte? Řešili jste toto téma někdo se svým ISP?

[Reklama]

[Filip Jirsák]

Co byste na tom s nimi chtěl řešit? To jejich řešení odpovídá zákonu, z pohledu zákona dává dokonce větší smysl, než řešení podle metodického pokynu. Navíc ten metodický pokyn není právně závazný, tj. ISP postupující podle něj by teoreticky nemusel ve správním řízení uspět.

[czAtlantis]

Jak se na tom testu pozná že je to OK nebo špatně? Já tam vidím u UPC/Vodafone:
162.158.82.77    None    Cloudflare    Frankfurt am Main, Germany
a dalších několik podobných IP adres

[mikesznovu]

Ty ještě nepoužíváš zabezpečené DNS (na portu 853 nebo 443)?? Na routeru se k tomu hodí stubby například.
Jestli tomu popisu dobře rozumím, tak dělají transparentní redirect na úrovni IP, (alias dns hijacking).

>>atlantis
To není tak jednoduché, jak by se zdálo, když si nastavím dns 8.8.8.8, očekávat, že na dotaz na hledanou doménu přijde taky od 8.8.8.8, Může přijít od 81.24.11, což může být jiný pc v infrastruktuře googlu, prostě "backend", narozdíl od frontentu, kam posílají dotazy klienti.

Stejně tak  provider DalskabatyWifinar může provozovat DNS na počítači 1.2.3.4 (dns.ispik.cz), ale jeho požadavek vyjde ven z 81.24.89.21 serverovnanakopci.ispik.cz  ale i klidně z cloudflare, pokud si nastaví, že jako poskytovatele upstream dns využije třetí službu


HINT: lépe než z IP adres se to pozná podle reverzních DNS jmen. (například front: odvr.nic , ptá se něco jako odvr-2.r.nic.cz )

Takže shoda tam bude aspoň nějaká, že bude vidět že to patří k sobě.

 DNS není monolit, skládá se z 3 částí minimálně - upstream resolver (pokud není použitý rekurzivní), lokální server a klientský resolver... Taky záleží kde jsi měnil nastavení, obvykle jsi na nějaká router připojen a ten ti může vnutit svůj lokální server a nebo ti může "přenechat" to co je v něm nastaveno, např 8.8.8.8 posílá pak v dhcp.

A otázka, máš standartní konfiguraci, jsi napojen přes router?

[bmann]

@Filip
1. třeba proč vytváří SPOF pro DNS?
Když si nastavím více DNS severů od různých poskytovatelů, tak je velká šance, že nějaký vždy pojede.
Unášením DNS na nějaký transparentní DNS u jednoho poskytovatele může znamenat nefunkčnost když to umře.
Navic transparentní DNS může zanášet chyby, který tam vůbec nemusí být.
Když budu chtít vlastní rekurzivní DNS server, tak opět zde mohou vznikat chyby.

2. proč dělají něco navíc než se po nich chce dle mtodiky
Chápu argument, že vyhovují i takto zákonu. Ale tento po nich navyžaduje.
Metodika říká, filtrovat na svých DNS rekurzorech či svého nadřízeného poskytovatele.
A není třeba řešit obchazení uživatelem, např. přes VPN apod. To samé chápu pro jiné DNS servery.

@mikesznovu
No, nepoužívám. Nějak jsem žil v představě, že ISP nebudou dělat něco, co po nich metodika nechce. I vzhledem
k tomu, že ten požadavek je technicky blbost a dá se lehce obejít. Chyba.

Myslím, že můj router umí DoH či DoT, tak přejdu na to a udělám zněj lokalní resolver.

@czAtlantis
Zjednodušeně. Pokud mám DNS jako 8.8.8.8 a vidím něco jiného, tak je pravděpodobné, že do DNS něco šahá.
Ale není to tak jednoduchý jak rozepsal "mikesznovu". Asi by to nebylo poznat, pokud by ISP měl něco co šáhne do DNS požadavku,
ale přepošle to na původní server.

[Reklama]

[_Jenda]

2. proč dělají něco navíc než se po nich chce dle mtodiky

Protože v ČR jsme povinni se řídit zákony a ne metodikami.

Chápu argument, že vyhovují i takto zákonu. Ale tento po nich navyžaduje.

Zákon je napsán tak, že nespecifikuje, co vyžaduje a co ne.

[bmann]

@Jenda
Jste si odpověděl sám. Ano, musíme se řídit zákony a zákon nespecifikuje jak tu blokaci dělat.
Od té specifikace jak to dělat je metodika.

Oprava:
Znovu jsem to otestoval a jeden ISP DNS unáší a druhý to nedělá.

[Filip Jirsák]

1. třeba proč vytváří SPOF pro DNS?

To je jen vaše domněnka, že to tak je.

Unášením DNS na nějaký transparentní DNS u jednoho poskytovatele může znamenat nefunkčnost když to umře.

Může a také nemusí – když při umření vlastních DNS serverů přestane dotazy unášet.

Když budu chtít vlastní rekurzivní DNS server, tak opět zde mohou vznikat chyby.

Nemyslím si, že s tím vlastní rekurzivní server nějak souvisí.

2. proč dělají něco navíc než se po nich chce dle mtodiky
Chápu argument, že vyhovují i takto zákonu. Ale tento po nich navyžaduje.
Metodika říká, filtrovat na svých DNS rekurzorech či svého nadřízeného poskytovatele.
A není třeba řešit obchazení uživatelem, např. přes VPN apod. To samé chápu pro jiné DNS servery.

Jak píše _jenda, v ČR jsou závazné zákony, ne metodiky. Jestli to po nich zákon vyžaduje nebo nevyžaduje zatím s jistotou nevíme, ještě o tom nerozhodoval soud (a ani pak to nebude 100% jisté). To, že vy něco preferujete, neznamená, že to musí preferovat všichni. Třeba je to takhle pro toho ISP jednodušší. Třeba ISP dříve nastavoval svým klientům jako DNS servery nějaké otevřené resolvery, třeba ty od Googlu, a teď jim nezbývá, než to řešit takhle.

No, nepoužívám. Nějak jsem žil v představě, že ISP nebudou dělat něco, co po nich metodika nechce. I vzhledem
k tomu, že ten požadavek je technicky blbost a dá se lehce obejít. Chyba.

Metodika se dá obejít ještě snáz, spousta klientů ji může obcházet vlastně nechtěně. Proto je otázka, zda postup podle té metodiky vůbec vyhovuje zákonu.

Pokud mám DNS jako 8.8.8.8 a vidím něco jiného, tak je pravděpodobné, že do DNS něco šahá.

Zrovna muticastové adresy používat jako zdroj DNS dotazů není dobrý nápad, protože odpověď může dostat někdo úplně jiný, než kdo se ptal. Takže to, že dotaz vyřizuje jiná IP adresa, než které jste se původně ptal, nemusí znamenat nic divného.

Od té specifikace jak to dělat je metodika.

Ne, metodika je jenom nezávazné doporučení. Mělo by se jí řídit samotné Ministerstvo financí, které je v této věci správním orgánem, takže je dost pravděpodobné, že v případném správním řízení by postup podle té metodiky prošel. Ale zaručené to není. A i tak se to může dostat před sou, který tou metodikou nebude vázán vůbec. Pak už by zbýval jenom argument, že jste v dobré víře postupoval podle té metodiky, což by pravděpodobně mělo vliv na to, jak by soud jednání hodnotil. Ale závazné to není.

[LA_user]

Vždy, když vidím pana Jirsáka, jak tu fabuluje, vykouzlí mi to usměv na tváři a údiv nad tím, jakým způsobem může někdo přemýšlet.

Tak to zkusíme po jeho.

Unášení provozu, je naprosto to a samé, jako regulérní podvod.

Představte si, že chcete po pošťákovi(ISP), aby donesl balíček(packety), na předem danou adresu(IP)..
On balíček zabaví, odešle někomu naprosto jinému, shrábne prachy a ještě se tváří, že všechno udělal v pořádku...

Prostě a jednoduše, na unášení provozu, je ze své podstaty špatně naprosto všechno.

[_Jenda]

...

A podvrhávání odpovědí na defaultním poskytovaném DNS serveru je v pohodě? Nebo jak má ISP splnit požadavky Holdingu?

[Filip Jirsák]

Vždy, když vidím pana Jirsáka, jak tu fabuluje, vykouzlí mi to usměv na tváři a údiv nad tím, jakým způsobem může někdo přemýšlet.

Mně zase rozesmutní, když se přiznáte k tomu, že vás udivuje, když se někdo snaží dodržovat zákony.

Unášení provozu, je naprosto to a samé, jako regulérní podvod.

Naprosto to samé jako co? Podvod to určitě není, podvod je definován jinak.

Představte si, že chcete po pošťákovi(ISP), aby donesl balíček(packety), na předem danou adresu(IP)..
On balíček zabaví, odešle někomu naprosto jinému, shrábne prachy a ještě se tváří, že všechno udělal v pořádku...

Dostal jste někdy zásilku ze zahraničí? Všiml jste si, že pošťák tu zásilku zabaví, odešle ji na celní úřad, shrábne prachy a pak se tváří, že udělal vše v pořádku?

Holt vaše teoretické představy neodpovídají tak docela tomu, jak to funguje v reálném státě.

Prostě a jednoduše, na unášení provozu, je ze své podstaty špatně naprosto všechno.

Tím, že před svůj názor dáte slovo „prostě“, z toho neprůstřelný argument neuděláte. Máme tu nějaké zákony, kterými se ISP musí řídit, ať se mu to líbí nebo ne. Vaše okázalé ignorování těchto zákonů v diskusi na tom nic nezmění.

[Kamui]

A co ten zákon po ISP vladtně chce? Jedna věc je, pokud se poskytovatele zeptám, kde se nachází hazardní server, a on mi odpoví že neví. Druhá věc je, pokud se chci zeptat někoho třetího, ale poskytovatel zprávu s dotazem nenápadně zastaví a vrátí falešnou odpověď, že neví (ačkoli skutečný adresát by věděl). Není tohle náhodou porušení listovního tajemství (ISP není nic do toho, jaký je obsah paketů které odesílám/přijímám), které lze prolomit pouze v přesně definovaných případech a vždy se soudním povolením?

[Filip Jirsák]

A co ten zákon po ISP vladtně chce? Jedna věc je, pokud se poskytovatele zeptám, kde se nachází hazardní server, a on mi odpoví že neví. Druhá věc je, pokud se chci zeptat někoho třetího, ale poskytovatel zprávu s dotazem nenápadně zastaví a vrátí falešnou odpověď, že neví (ačkoli skutečný adresát by věděl). Není tohle náhodou porušení listovního tajemství (ISP není nic do toho, jaký je obsah paketů které odesílám/přijímám), které lze prolomit pouze v přesně definovaných případech a vždy se soudním povolením?

Zákon o hazardních hrách má v tomto případě přednost před listovním tajemstvím.

Zákon po ISP chce „zamezit v přístupu k internetovým stránkám uvedeným na seznamu“ vydávaném Ministerstvem financí. V zákoně tedy není nic o tom, že stačí, když bude ISP řešit jen jím přímo poskytované informace.

Navíc jak už jsem psal dříve, někteří malí ISP neprovozovali vlastní DNS server a zákazníkům nastavovali třeba 8.8.8.8. Těm nic jiného než unášení DNS provozu nezbývá.

[veskotskujehnusne]

To také není v pohodě a vy se prosím netvařte, že to, že něco jiného také není v pohodě ospravedlňuje, dělat to ještě ve větším rozsahu. To je argumentace jak na základní škole.

...

A podvrhávání odpovědí na defaultním poskytovaném DNS serveru je v pohodě? Nebo jak má ISP splnit požadavky Holdingu?

[LA_user]

Vaše okázalé ignorování těchto zákonů v diskusi na tom nic nezmění.

Nejde o ignorování zákonů, ale ignorování Vašeho výkladu zákona. Až o tom bude někdy rozhodnuto soudy, uvidíme. Do té doby, tu jen teoretizujeme.(a Vy jste, jako vždy přesvědčen o tom, že znáte všechno nejlépe)

Unášení provozu je prasárna, za tím si stojím, ať už předhodíte sebelepší/sebeblbější argument.