Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra
🗞️

Digi usa DNS Proxy bloqueando el uso de DNS externos

BocaDePez
BocaDePez

Se confirma de que Digi está utilizando un sistema DNS Proxy para tener la navegación más controlada. Les obliga la autoridad competente.

Según ellos, con este sistema son capaces de hacer muchas excepciones y evitar páginas no seguras o fraudulentas (Son libres de bloquear cualquier web o servicio).

Este es el email que me han enviado al preguntar por qué no podía cambiar las DNS:

El bloqueo de DNS en el router es simplemente un tema burocrático de la compañía, los DNS suelen venir bloqueados de forma parcial, por ley, ya que las compañías ponen sus propios DNS para que se naveguen a través de ellos y así tener una navegación más controlada. Las autoridades competentes nos lo exigen y Digi tan solo cumple con la normativa actual.

Nosotros usamos el sistema de DNS proxy para controlar más la navegación y hacerla lo más segura posible. Así somos capaces de hacer muchas más excepciones y evitar páginas web no seguras o fraudulentas.

El DNS Proxy es algo que a las compañías de teléfono nos aconsejan usar, pero no es algo que estemos obligado a poner en nuestro contrato, ya que creemos que es una tecnología que previene a nuestros clientes de posibles fraudes con páginas web que pueden dañar la privacidad de nuestros clientes, no es un servicio de Digi como tal y por tanto no estamos obligado a ponerlo.

Bramante

Mira que son malos contando milongas...

Al menos que inventen algo creíble.

🗨️ 8
BocaDePez
BocaDePez

Esto es lo que me mandaron de Digi, espero de que esto no sea cierto porque si lo es...

Pero esto no justifica el bajo precio de sus productos.

Lo del CG-NAT es un juego de niños comparado con esto.

🗨️ 7
Bramante

En ese correo electrónico te están contando una historia para no dormir, mezclan churras con merinas y se nota que el que lo ha escrito va justito de conocimientos técnicos.

🗨️ 6
BocaDePez
BocaDePez

Puede ser, pero la unica forma de comprobarlo de forma exacta es que los clientes de DIGI prueben a cambiar las DNS del router por si siguen usando las del operador.

Si aun cambiando las DNS se siguen usando las mismas, es que van por proxy.

🗨️ 5
Bramante
🗨️ 4
rbetancor
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
rbetancor
🗨️ 1
Josh

Interesante, pero me cuesta creer que un empleado de digi por su cuenta te haya enviado esa explicación, porque no tiene pinta de explicación oficial.

🗨️ 1
BocaDePez
BocaDePez

Puse un enlace de un hilo de Bandaancha.eu en el mensaje que envié por email a Digi.

En concreto fue este enlace al que envié a Digi sobre el tema Digi no deja cambiar las DNS

Es decir, que puede ser 100% verdad lo del proxy DNS.

BocaDePez
BocaDePez

¿Alguien puede explicar qué es un DNS proxy? ¿Qué diferencia hay entre un dns proxy y un dns forwarder de toda la vida? Una cosa es usar un dns proxy/forwarder, otra que no te dejen cambiar de servidor dns en el router (mediante DHCP) y otra (que creo que es a lo que os referís) es hacer captura y reescritura de peticiones DNS.

BocaDePez
BocaDePez
1

Esto del Proxy-DNS obligatorio lo lleva haciendo Vodafone desde hace muchos años, y nadie dice nada. Es más, aunque los usuarios pidan retirarlo, los agentes dicen que tramitan la petición, pero el Proxy-DNS sigue activado. El firmware de los routers de Vodafone redirecciona por defecto a los servidores DNS de Vodafone.

🗨️ 5
BocaDePez
BocaDePez

Si, pero si Vodafone te da los datos específicos podrás cambiar el Router.

Cosa que no sucede en Digi

🗨️ 1
Solospam

VF tiene el "castor", que era "violable" (descubriendo la pass admin mediante telecarga) en pc pero no en movil (navegación por datos)... que si compartias datos moviles con un pc tenías al castor si o si.

Si cambias el router, el CASTOR dejaba de tener efecto en pc y wifi.

Por lo que comentais lo de DIGI sin lentejas... al parecer más similar a un red empresarial que a otra cosa

pepejil
1

Hubo un router de Vodafone que lo hacía pero no sé si sigue pasando en los actuales.

Los cablemodem de Vodafone-ONO ya te digo que no interceptan.

🗨️ 2
BocaDePez
BocaDePez
2

El foro de Vodafone está plagado de peticiones de desactivación de proxyDNS: google.es/search?q=%22proxy+dns%22+%22fo…dafone.es%22

La última de hace unos días: (link roto)

Lo malo es que en realidad no lo desactivan bien aunque lo pidas (ellos te dicen que sí, pero no funciona), configures los servidores DNS que configures, las peticiones siempre van a los de Vodafone. Los firmwares viejos, de hace bastantes años iban bien y no hacían eso.

dakotabcn

yo lo tengo en bridge, con un MKT como router y no tengo problemas con las dns

iCrono

Hola!

Entiendo que esto solo pasa si usas el router de Digi, ¿no?

Yo cambié el router por uno propio, tengo puestas las DNSs de CloudFlare, y las veces que lo he comprobado, he visto que navego usando esas DNSs. ¿Hay alguna forma fiable de comprobarlo?

¡Gracias!

🗨️ 4
iCrono

Ok, gracias!

Esto es lo que devuelve el dig:

dig txt maxmind.test-ipv6.com @1.1.1.1

; <<>> DiG 9.10.6 <<>> txt maxmind.test-ipv6.com @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52937
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;maxmind.test-ipv6.com.		IN	TXT

;; ANSWER SECTION:
maxmind.test-ipv6.com.	0	IN	TXT	"ip='2400:cb00:40:1024::bc72:6a08' as='13335' isp='Cloudflare, Inc.' country='US'"

;; Query time: 145 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Mon Jul 01 12:42:12 CEST 2019
;; MSG SIZE  rcvd: 143

Indica "ISP Cloudflare", así que entiendo que ese bloqueo depende del router, ¿no?

🗨️ 2
pepejil

Esos bloqueos se dan a nivel de CPE, si. En tu caso hace la resolución a Cloudflare que es tal y como esperas que funcione, así que lo tienes correcto.

🗨️ 1
iCrono
miroctum

Hola, quiero deciros que fui la persona que inició el mensaje.

Si, la misma persona que fue criticada por un post de opinión de contenido orientativo de mi blog que puse en este foro.
Evidentemente ese post estaba erróneo (era solo una prueba) y fue borrado en menos de 48 horas.

Sobre el tema de DNSSEC que habéis mencionado, podéis hacer una prueba visitando cloudflare.com que tiene DNSSEC activado.
Podría mencionar mi blog (que también utiliza DNSSEC) pero creo que visitando la web principal de Cloudflare es suficiente por si hay problemas.

No soy experto en redes.

Los DNS de Google / Cloudflare podrían ser considerados como proxy debido a un servidor DNS cercano a tu ubicación.
Si estás en otro país, usarás los servidores Google/Cloudflare ubicados en ese país o en alguno cercano

Mi blog (por ejemplo) usa Cloudflare cuya IP es de Estados Unidos, sin embargo me estoy conectando a un servidor Cloudflare que se encuentra en Madrid.

🗨️ 7
Bramante

Los DNS de Google / Cloudflare podrían ser considerados como proxy debido a un servidor DNS cercano a tu ubicación.

No, no es el mismo concepto un servidor DNS anycast que el supuesto DNS proxy que pueda estar utilizando Digi.

🗨️ 6
miroctum

No conozco mucho sobre redes, me puedo equivocar

🗨️ 5
Bramante

Pégale un vistazo al tema de servidores DNS anycast, no tiene mucha miga, y verás la diferencia entre eso y la medio mierda que se trae entre manos Digi.

Un saludo.

🗨️ 4
miroctum
🗨️ 3
pepejil
🗨️ 1
miroctum
BocaDePez
BocaDePez
2

Cada vez que usáis la palabra dns-proxy dios mata un gatito.

pepejil

De DNS-Proxy no tiene nada. Ya de por si, visto los firmware chapuceros que se gastan en sus CPE dudo mucho que tengan recursos para montar un sistema así y mucho menos encima "Anycast" (Anycast hacia donde? Porque poner puntos en cada ciudad no es que salga muy rentable para ahorrarse unos pocos ms de RESOLUCIONES DNS).

Es un hijacking en toda regla. Pongas las DNS que pongas, todas las peticiones que hagas hacia un servidor remoto en el puerto 53 las va a redireccionar a otra IP (en este caso dentro de las tripas de Digi).

¿De verdad por el bien de "nuestra seguridad" hacen estas guarradas? Y da igual si vienen de Digi o de Vodafone. Todo lo que sea restar libertad al usuario me parece una guarrada.

🗨️ 7
BocaDePez
BocaDePez

Cierto, es un DNS hijacking.

Pero es cierto que podría actuar como un proxy.

En centros educativos no se puede usar un proxy en puerto 80 debido a que no se puede saltar el filtro

Si usas otro puerto proxy como 8080, podrás saltarte el filtro.

El puerto DNS TLS es 853, es cuestión de probar si usando esos servidores (DNS Crypt) el filtro DNS desaparece.

No sé si también afecta al DoH de Cloudflare o Google

🗨️ 6
pepejil

Puedo entender el uso del proxy para ciertos ámbitos pero no para la toma del control de las DNS a todos los clientes conectados a su red por una razón "de seguridad" (me está entrando un dejavú enorme con lo del CG-NAT de MásMóvil que usó la misma justificación).

La verdad, yo no puedo considerar "proxy" a una guarrada programada en cada CPE instalado a sus clientes que lo único que hace es alterar el destinatario de una petición DNS. Un proxy hace bastantes más cosas que ser un simple hijacking.

La cosa es que además no veo otro "beneficio" que Digi tome el control de tu navegación "por el bien de tu seguridad". Que las ISP tengan sus propios servidores DNS me parece genial, pero que te las meta con supositorio a la fuerza y encima con cierto ocultismo y sin posibilidad de deshabilitarlo ya no mola tanto.

🗨️ 5
BocaDePez
BocaDePez

Exactamente

BocaDePez
BocaDePez

Entonces, si conseguimos los datos de VoIP y si sustituimos el router de DIGI por uno nuestro (por ejemplo un Asus con asus merlin), ¿¿¿nos saltaríamos el CG-NAT y el DNS-proxy???.

🗨️ 3
miroctum
pepejil
1
BocaDePez
BocaDePez

Pues como cea cierto y sea la 2ª cagada después del CG-NAT

Veo dolor mucho dolor...

hqdefault

Por que chafarán así la imagen por cutreces como estas??

🗨️ 1
BocaDePez
BocaDePez

cea va con ese

usease:

SEA

BocaDePez
BocaDePez

Parece que quieren seguir los mismos pasos de mentalidad cutre que la filial de Vodafone en España.

¿Qué ganan con este movimiento?

🗨️ 2
BocaDePez
BocaDePez

Controlar los sitios web que visita cada cliente y luego vender los datos a otras empresas, de publicidad por ejemplo.

🗨️ 1
rbetancor

Pueden hacer 100.000 gatabatadas diferentes controlando el DNS, desde simplemente cachear las consultas, para ahorrarse pasta en ancho de banda de peering, hasta almacenar las consultas y vender los datos, pasando por toda una serie de tropelerías, como podría ser, contestarte la IP que más les interese a ellos enrutar en el caso de CDN's.

BocaDePez
BocaDePez

Yo me llevo quejando desde que me pase a digi hace mucho que hay páginas que no me deja entrar desde casa y si desde datos móviles (la mayoría de descarga o de ver cosas online la verdad XD) puede que tenga relación con esto ? Pone 404 not found pero entro con otro wifi o desde el móvil con datos y las páginas funcionan perfectamente solo es con digi

🗨️ 7
BocaDePez
BocaDePez

El bloqueo "404 Not Found" sale a los clientes de Movistar que visitan páginas web inadecuadas o "bloqueadas" por orden judicial.

Lo bloquean a través de una red avanzada del operador y no es accesible por sus clientes, por eso desde otro operador puedes acceder

Movistar usa el FILTRADO FORTIGATE

En esta web podrás comprobar si el sitio que quieras visitar se encuentra en la lista negra y si tiene un historial de clasificación

fortiguard.com/webfilter

🗨️ 6
BocaDePez
BocaDePez

Es posible que tambien suceda en Digi

🗨️ 5
rbetancor

¡Digi no tiene perras para pagar eso muchacho!

🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
BocaDePez
BocaDePez
pepejil
BocaDePez
BocaDePez
1

Esto es muy fácil de resolver: usad el sistema de DNS over HTTPS que ya lleva Firefox. Hay información sobre cómo activarlo en Google.

Por defecto resuelve los nombres de host usando los servidores de Cloudflare, pero si (como yo) no os fiáis de Cloudflare podéis usar otros servidores de DoH.

Entiendo que estos temas legales que menciona Digi son simplemente el bloquear páginas de descargas según la ley. Hay varios ISPs españoles que lo hacen usando DPI pero ahora con los SNI cifrados lo tienen más complicados. Por lo tanto tiene sentido volver al bloqueo por DNS.

Entre DoH, los SNI cifrados, y el hecho de que hoy día todo pasa por Cloudflare el bloqueo de páginas (por ley, no lo olvidemos) se va a complicar bastante. Yo no creo que a los ISPs les haga mucha gracia tener que bloquear páginas, pero es lo que hay. (Lo digo porque mucha gente se cabrea con los ISPs cuando bloquean páginas de descargas. Os estáis enfadando con quien no tiene la culpa).

¿La solución? Que se cambie la ley, pero eso no va a ocurrir. Así que de momento seguiremos jugando al gato y al ratón.

🗨️ 1
clr

Los ISP en teoría deberían velar por los intereses de sus clientes, y no poner excesivo celo en bloquear páginas.

En la práctica, algunos ISP, igual que los bancos, parece que han decidido convertirse en extensiones del gobierno, y no solamente obedecer las órdenes judiciales sin más, sino lamer la bota del gobierno con entusiasmo.

En el Reino Unido, la asociación de ISPs ha nombrado a Mozilla como villano del año por habilitar DoH, porque les complica el poder bloquear páginas. Al ver la reacción del público, están intentando justificarse y echar marcha atrás. Lamentable.