Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Rusia quiere prohibir el uso de protocolos seguros tales como TLS 1.3, DoH, DoT y ESNI




El gobierno ruso está trabajando para actualizar sus leyes de tecnología para poder prohibir el uso de protocolos modernos de Internet que pueden obstaculizar sus capacidades de vigilancia y censura. La enmienda a la ley de TI haría ilegal el uso de protocolos de cifrado que oculten por completo el destino del tráfico. El problema es que el tráfico HTTPS tiene pequeñas fugas DNS que han sido solucionadas con la implementación de protocolos tales como DoH, DoT y ESNI. Aquí te enseñamos como activar todas estas opciones que en su mayoría vienen desactivadas por defecto, en Windows, Linux, Android, MacOS, y en los navegadores Google Chrome y Mozilla Firefox.







  • Rusia quiere prohibir el uso de protocolos seguros como TLS 1.3, DoH, DoT, ESNI


Bloqueo de sitio web HTTPS TLS SSL

De acuerdo con una copia de las enmiendas a la ley propuestas y una nota explicativa, la prohibición está dirigida a los protocolos y tecnologías de Internet como TLS 1.3, DoH, DoT y ESNI.



Los funcionarios de Moscú no buscan prohibir HTTPS y las comunicaciones cifradas en su conjunto, ya que son esenciales para las transacciones financieras, las comunicaciones, el ejército y la infraestructura crítica de hoy en día.

En cambio, el gobierno quiere prohibir el uso de protocolos de Internet que ocultan "el nombre (identificador) de una página web" dentro del tráfico HTTPS.

El tráfico HTTPS tiene fugas


Si bien HTTPS cifra el contenido de una conexión a Internet, existen varias técnicas que terceros, como las empresas de telecomunicaciones, pueden aplicar y determinar a qué sitio se está conectando un usuario.

Es posible que los terceros no puedan romper el cifrado y olfatear el tráfico, pero pueden rastrear o bloquear a los usuarios basándose en estas filtraciones, y así es como funcionan algunas listas de bloqueo de control parental e infracción de derechos de autor a nivel de ISP.

Las dos técnicas principales utilizadas por las empresas de telecomunicaciones incluyen

  1.  (1) observar el tráfico DNS
  2.  (2) analizar el campo SNI (Identificación del nombre del servidor) en el tráfico HTTPS.

La primera técnica funciona porque los navegadores y las aplicaciones realizan consultas de DNS en texto plano, revelando el destino del sitio deseado por el usuario incluso antes de que se establezca una conexión HTTPS futura.

La segunda técnica funciona porque el campo SNI en las conexiones HTTPS se deja sin cifrar y, de manera similar, permite que terceros determinen a qué sitio va una conexión HTTPS.
Los nuevos protocolos obstaculizan la vigilancia y la censura

Pero durante la última década, se han creado y lanzado nuevos protocolos de Internet para abordar estos dos problemas.

DoH (DNS sobre HTTPS) y DoT (DNS sobre TLS) pueden cifrar consultas de DNS.


Y cuando se combinan, TLS 1.3 y ESNI (identificación del nombre del servidor) también pueden prevenir fugas de SNI.

Estos protocolos están ganando adopción lentamente, tanto en los navegadores como en los proveedores de la nube y sitios web de todo el mundo, y no hay mejor señal de que estos nuevos protocolos funcionan como se anuncia que el hecho de que China actualizó su herramienta de censura Great Firewall para bloquear el tráfico HTTPS que dependía en TLS 1.3 y ESNI.

Rusia no usa un sistema de firewall nacional, pero el régimen de Moscú se basa en un sistema llamado SORM que permite a las fuerzas del orden interceptar el tráfico de Internet con fines policiales directamente en la fuente, en los centros de datos de las empresas de telecomunicaciones.

Además, el ministerio de telecomunicaciones de Rusia, el Roskomnadzor, ha estado ejecutando un firewall nacional de facto a través de su poder regulador sobre los ISP locales. Durante la última década, Roskomnadzor ha estado prohibiendo los sitios web que considera peligrosos y pidiendo a los ISP que filtren su tráfico y bloqueen el acceso a los sitios respectivos.

Con la adopción de TLS 1.3, DoH, DoT y ESNI, todas las herramientas de vigilancia y censura actuales de Rusia se volverán inútiles, ya que dependen de tener acceso a los identificadores de sitios web que se filtran del tráfico web cifrado.

Y al igual que China, Rusia está tomando medidas enérgicas contra estas nuevas tecnologías. De acuerdo con la enmienda de la ley propuesta, cualquier empresa o sitio web que utilice tecnología para ocultar su identificador de sitio web en el tráfico cifrado será prohibido dentro de Rusia después de una advertencia de un día.

La ley propuesta se encuentra actualmente en debate abierto y esperando comentarios públicos hasta el próximo mes, el 5 de octubre.

Teniendo en cuenta los beneficios estratégicos, políticos y de inteligencia que conlleva esta enmienda a la ley, es casi seguro que la enmienda se aprobará.




TLS (Transport Layer Security)

¿Qué es TLS?

TLS se traduce a Transport Layer Security o en español Seguridad de la Capa de Transporte y su sucesor SSL (Secure Sockets Layer o en español Capa de Puertos Seguros)

La capa de conexión segura (TLS) garantiza las comunicaciones cifradas entre un cliente y un servidor web a través de HTTPS. Reemplaza el protocolo de capa de conectores seguros (SSL) que ya no se utiliza. Cuando se cifra el tráfico web con TLS, aparece un candado verde en la ventana del navegador de los usuarios, cerca del cuadro de la dirección URL.
Explicación de las versiones de TLS Una versión más nueva de TLS implica un estándar de cifrado.  
TLS 1.2 incluye correcciones de vulnerabilidades encontradas en versiones anteriores. A partir de junio de 2018, TLS 1.2 es la versión obligatoria del Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI, por sus siglas en inglés).

TLS 1.3, que ofrece mejoras de funcionamiento (velocidad) y seguridad adicionales, fue aprobado por Internet Engineering Task Force (IETF, por sus siglas en inglés) en 2018.

TLS 1.3

  • Velocidad (handshake,  “zero round trip time”. (0-RTT).)
TLS 1.3 es compatible tanto en Chrome (a partir de la versión 66), Chrome 70 de forma oficial, como en Firefox (a partir de la versión 60). Microsoft Edge comenzó a soportar TLS 1.3 con la versión 76, y está habilitado por defecto en Safari 12.1 en macOS 10.14.4.

Server Name Indication - SNI vs E-SNI

Indicador de nombre de servidor cifrado (SNI) SNI cifrado reemplaza la extensión de “server_name” de texto sin formato utilizada en el mensaje de ClientHello durante la negociación de TLS con un “encrypted_server_name.” Esta capacidad se expande en TLS 1.3, lo que aumenta la privacidad de los usuarios al ocultar el nombre de host de destino de los intermediarios entre el visitante y el sitio web.
¿Para qué sirve el SNI?
 Fundamentalmente, el SNI existe para permitir alojar muchos sitios web cifrados en una única dirección IP. Los primeros navegadores no incluían la extensión del SNI. Por ello, cuando se realizaba una solicitud para establecer una conexión HTTPS, el servidor web no tenía mucha información para continuar y solo podía devolver un certificado SSL por cada dirección IP con la que el servidor web se comunicara.

La analogía que más gusta es la de un sobre de correo postal. El contenido del sobre está protegido y no puede ser visto por el servicio de correos. Sin embargo, fuera del sobre está la dirección que el cartero usará para llevar el sobre al edificio correcto. En Internet, la dirección IP de un servidor web es el equivalente al nombre de la calle. Sin embargo, si vives en un edificio con muchos pisos, el nombre de la calle no basta para llevar el sobre al destinatario correcto. Para complementar la dirección incluyes un número o el nombre del destinatario

Activar ESNI en Firefox

Activar y habilitar Encrypted SNI.
Barra de direcciones Mozilla Firefox:
  • about:config
Buscar:
network.security.esni.enabled

Pasar de false (falso) a true (cierto)

Comprobar el funcionamiento:

Es importante activar también soporte "DNS over HTTPS "(also known as “Trusted Recursive Resolver” in Firefox) "Activar DNS sobre HTTPS" en Herramientas -> Opciones --> General --> Configuración de red.

Las tecnologías analizadas son:
  • Secure DNS: una tecnología que cifra las consultas DNS e incluye DNS-over-TLS y DNS-over-HTTPS.
  • DNSSEC: tecnología diseñada para verificar la autenticidad de las consultas DNS.
  • TLS 1.3: la última versión del protocolo TLS que incluye muchas mejoras y cierra brechas de seguridad de las anteriores.
  • Encrypted SNI: siglas de Server Name Indication cifrado que desvela el nombre del hostname durante una conexión TLS. Esta tecnología busca asegurar que sólo pueda filtrarse la dirección IP.



Increíblemente en Google Chrome no se puede activar ESNI todavía.

Activar TLS 1.3  (ESNI) en Windows 10


A partir Windows 10 versión 1903 o superiores

  • Usar TLS 1.3 (experimental)



Registro de Windows
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001

DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT) 

  • DNS-over-TLS RFC 7858 (DoT) 
  • DNS-over-HTTPS RFC 8484 (DoH)

DNS over TLS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo TLS, el mismo protocolo TLS que ya protege las conexiones HTTPS o que utilizan los softwares VPN como OpenVPN.

DNS over HTTPS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo HTTPS, el cual hace uso del protocolo TLS por debajo. El objetivo de DoH es facilitar a los usuarios el uso de un servicio de DNS privado y seguro, ya que se configura directamente en nuestro navegador, y es que actualmente las últimas versiones de Mozilla Firefox y Google Chrome soportan este protocolo sin problemas

El objetivo de DoH es el mismo que el de DoT, es decir, aumentar la privacidad y seguridad de los usuarios. Mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoH hace uso del puerto TCP 443 para proporcionar seguridad a la información.

DoH (DNS over HTTPS) es muy simple. En vez de acudir al puerto 53 de un servidor (digamos, el conocido 8.8.8.8) y preguntarle por un dominio a través de un paquete UDP o TCP, DoH estandariza la construcción de un GET o POST a un dominio HTTPS y la respuesta será el registro A y AAAA (el RFC no especifica otros registros) con la IP. Por supuesto tiene más detalles como la solución ingeniosa de que la cabecera cache-control va a convertirse en el TTL. Todo cifrado punto a punto, obviamente.  

Mozilla Firefox


Cuando el soporte DoH está habilitado en Firefox, el navegador ignorará la configuración de DNS establecida en el sistema operativo y usará la resolución DoH establecida por el navegador.

Firefox > Opciones > General > Configuración de red > Configuración > Activarr DNS sobre HTTPS. NextDNS o CloudFlare como proveedor o bien uno personalizado.

Si utilizas Firefox en Windows, simplemente tendremos que entrar en la sección de «Herramientas / Opciones / General / Configuración de red,  "Activar DNS sobre HTTPS" y elegir un servidor «personalizado», y a continuación, introducir la siguiente URL:
 

Ejemplo LibreDNS:

https://doh.libredns.gr/dns-query





En el caso de que quieras configurar DNS over TLS, tendrás que utilizar los siguientes datos:
  • IP: 116.203.115.192
  • Puerto: 853
Marcar opción "Activar DNS sobre HTTPS"

 
about:config
 Configuración necesaria:
network.trr.mode ->
  • 0: Desactivado por defecto
  • 1: Firefox elegirá en función de cual es más rápido
  • 2: La resolución será sobre https preferentemente, pero pedirá por DNS normal si falla TRR
  • 3: Sólo resolución sobre https, no hay fallback a DNS
  • 5: Cualquier petición sobre https (TRR) desactivada
TRR es Trusted Recursive Resolver
network.trr.uri ->
Activar soporte experimental para el SNI cifrado:


network.secure.esni.enabled -> true

Google Chrome

Escribimos en la barra del navegador a partir de Chrome 78 o superior:

chrome://flags/#dns-over-https

Secure DNS lookups


Enables DNS over HTTPS. When this feature is enabled, your browser may try to use a secure HTTPS connection to look up the addresses of websites and other web resources. – Mac, Windows, Chrome OS, Android
#dns-over-https

En Microsoft Edge basado en Chromium es exactamente lo mismo. Tienes que abrir Edge y escribir edge://flags/#dns-over-https en la barra de búsqueda. Entrarás en los Flags de Edge, y te aparecerá seleccionada la opción Secure DNS lookups. Lo que tienes que hacer es pulsar en la derecha donde pone Default y seleccionar la opción Enabled.


Android


A partir de Android 9 (Pie) podemos hacer uso de esta nueva característica llamada "DNS Privado"



Ajustes > Redes e Internet“. Dentro de las opciones de red que nos aparecen aquí, en el apartado “Avanzado”, podremos ver una opción llamada “DNS Privado“. Esta es la opción que nos interesa.





Para usar los DNS privados de Google, debemos introducir en este apartado:
dns.google


Fuente:
https://www.zdnet.com/article/russia-wants-to-ban-the-use-of-secure-protocols-such-as-tls-1-3-doh-dot-esni/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.