Bloquear en sus resolvers el dominio "use-application-dns.net":
https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet
En bind hay que usar RPZ:
https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/
para unbound es más simple, se agrega en la configuración:
local-zone: "use-application-dns.net." always_nxdomain
Hugo
On 19:03 20/11, Mauricio Vergara Ereche via dns-esp wrote:
> Hola Alejandro,
>
> Te puedo contar que conozco un caso que ha intentado lidiar con esa
> situación, yo no estoy involucrado en su operación... sólo tengo los
> comentarios del amigo en la empresa X.
>
> Esta empresa tiene internamente sus propios resolvers con soluciones para
> filtrado de contenidos y algunas otras cosas especiales que necesitan ser
> resueltas sólo localmente con vistas. En el pasado tuvieron que bloquear
> los resolvers DNS externos, aunque sólo se enfocaron en los más conocidos
> (opendns, google, cloudflare y demases)
>
> Como su compañía tiene sistemas de control bajo los laptops, PC de
> escritorios y dispositivos móviles... instalaron en ellos configuraciones
> no-modificables en los browsers para que los usuarios no pudieran cambiar
> el comportamiento (además sus "clientes" no tienen cuentas de admin). Pero
> los móviles dentro de la empresa siempre terminaban siendo lo más difícil
> de controlar. Al final parece que cortaron por no dejar tener wifi a
> dispositivos externos, pero no he vuelto a preguntar si lo implementaron o
> no... Tampoco sé cómo podrían solucionar este escenario que plantea MS.
>
> Saludos!
>
>
> On Wed, Nov 20, 2019 at 6:41 PM Alejandro Acosta via dns-esp <
> dns-esp@listas.nic.cl> wrote:
>
> > Hola,
> >
> > Una consulta, disculpen mi ignorancia, parto del principio que el que no
> > pregunta no aprende :-)
> >
> > Supongamos una empresa privada X, que tiene DNSs Servers privados y
> > tiene dominios completamente locales (*no* son gtld o cosas así).
> >
> > Ahora bien, pensemos que el trabajor en su puesto de trabajo usa Windows
> > (y/o Firefox también), estos hacen DoH, quizas los DNS de Cloudflare -o
> > cualquier otro-, asumo lógicamente pierden acceso a los DNSs locales y por
> > ende a muchos servicios que son locales.
> >
> > ¿Qué esta haciendo la gente hoy en día ante esta situación?.
> >
> >
> > Saludos,
> >
> >
> > Alejandro,
> >
> > P.D. Creo saber la respuesta pero no dejo de querer escuchar a los
> > expertos.
> >
> >
> > On 11/19/19 2:38 PM, Mauricio Vergara Ereche via dns-esp wrote:
> >
> > FYI:
> >
> >
> > https://techcommunity.microsoft.com/t5/Networking-Blog/Windows-will-improve-user-privacy-with-DNS-over-HTTPS/ba-p/1014229
> >
> > El resumen: cuando MS Windows detecte la presencia de DoH, cambiará
> > automáticamente a ese comportamiento usando el canal cifrado en vez del
> > resolver usual con DNS en el puerto 53
> >
> > MS también deja claro que no le preguntará al cliente acerca del cambio.
> > --
> > Mauricio Vergara Ereche
> > about.me/mave
> >
> >
> > _______________________________________________
> > dns-esp mailing listdns-esp@listas.nic.clhttps://listas.nic.cl/mailman/listinfo/dns-esp
> >
> > _______________________________________________
> > dns-esp mailing list
> > dns-esp@listas.nic.cl
> > https://listas.nic.cl/mailman/listinfo/dns-esp
> >
>
>
> --
> Mauricio Vergara Ereche
> about.me/mave
> _______________________________________________
> dns-esp mailing list
> dns-esp@listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp