4 votos

jnevelson avatar

¿Está filtrando iCloud Private Relay mis consultas de DNS a mi ISP?

Preguntado el 12 de Agosto, 2022
Cuando se hizo la pregunta
1941 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Recientemente noté que a pesar de que la configuración de iOS dice que todas las consultas DNS pasan por los servidores DNS de iCloud Private Relay, a pesar de que Private Relay utiliza DNS sobre HTTPS Olvidadizo, e incluso a pesar de que dnsleaktest.com (y otros) muestra nada más que servidores de Cloudflare, sigo siendo redirigido a la página de búsqueda de errores de DNS de AT&T si ingreso una URL no válida (por ejemplo, google.cmo).

Sé cómo desactivar esto, pero me interesa más conocer las implicaciones técnicas, si es que las hay, y quería saber si alguien tiene alguna idea sobre lo siguiente:

  1. ¿Significa esto que todas las consultas DNS se filtran a mi ISP? ¿O solo las inválidas?
  2. ¿Puede AT&T asociar mi dirección IP real con la consulta DNS no válida, o solo ven que una dirección de Private Relay intentó una consulta DNS no válida?
  3. Si la respuesta a la pregunta 1 es "sí" para la primera opción, ¿AT&T puede ver todas las conexiones no HTTPS incluso con Private Relay habilitado?
  4. ¿Hay algo más que podría probar para determinar si mis consultas DNS están siendo secuestradas además de los sitios de prueba de fuga de DNS en línea estándar?

Básicamente, quiero saber el alcance de la fuga dado que las pruebas de fuga devuelven resultados aparentemente a prueba de agua. Me resulta muy extraño que, a pesar de que todos los servicios que he probado hasta ahora dicen que mi DNS no está goteando, las búsquedas de DNS no válidas aún puedan ser secuestradas de alguna manera por el enrutador provisto por mi ISP (sé que es una mala idea tenerlo por ahí, en fin).

Con mi limitada experiencia en el tema, supondría que mis consultas DNS no se están filtrando, pero los errores devueltos simplemente están activando una redirección en mi navegador al servicio de asistencia de errores de DNS de AT&T, y solo entonces la búsqueda original se filtra hacia ellos. ¿Es esto plausible o comprobable? Y si es así, remitirse a la pregunta 2.

También cabe destacar que solo mi wifi doméstico tiene este problema. Al cambiar la conexión de internet de mi iPhone a mi servicio de datos móviles, Safari me muestra la página de error de DNS en blanco cuando ingreso una URL no válida.

Preguntado el 12 de Agosto, 2022 por jnevelson

Respuesta

¿Demasiados anuncios?

3voto

StackQsUp avatar
StackQsUp Puntos 66

Esta es una respuesta muy tardía, pero encontré esta pregunta relacionada con otra pregunta que publiqué.

La respuesta es: Sí, Private Relay FILTRA las consultas DNS.

Private Relay no es tan "privado" como Apple afirma que es.

Según el Documento de Visión General de iCloud Private Relay de Apple (Página 10), "Un servidor DNS sin cifrar proporcionado por una red local o editado manualmente en Configuración (iOS) o Preferencias del Sistema (macOS) no se utilizará para el tráfico de iCloud Private Relay".

Puedes encontrar el Servidor DNS de la red, o editarlo, en Configuración>Wi-Fi>Información de la Red>Configurar DNS en iPhone, o Configuración del Sistema>Wi-Fi>Detalles de la Red>DNS en Mac. Por lo general, Apple/Operadores Inalámbricos no muestran ni permiten a los usuarios editar los Servidores DNS de Redes Celulares porque los operadores necesitan que el dispositivo use sus DNS para enrutamiento especial y propósitos técnicos.

Puedes verificar la afirmación de Apple de que estos Servidores DNS no se "utilizan" de varias maneras:

  1. Realizando un análisis con Wireshark
  2. Configurando tu propio Servidor DNS (como PiHole) y observando las consultas, o
  3. Más fácil, reemplazando los Servidores DNS existentes con un servicio que te brinde detalles sobre tus Consultas DNS, como OpenDNS o AdGuard DNS.

Si realizas cualquiera de estas acciones, encontrarás Consultas DNS en texto plano (sin cifrar) de tu Actividad de Navegación en Safari a los servidores que Apple afirma que no se utilizan, desde la Dirección IP de origen del usuario (es decir, no la de iCloud Private Relay). Esto es una Fuga de DNS. Algunos sitios de Pruebas de Fuga de DNS han mostrado el ISP o DNS de red de los usuarios de Private Relay en los resultados, demostrando que hay una fuga, pero no todos los sitios prueban de la misma manera.

Al parecer, estas consultas filtradas ocurren cuando el Servicio DNS de Private Relay no puede encontrar un registro en la zona del dominio solicitado. Esto incluye Respuestas NXDOMAIN. Por ejemplo, cuando un dominio solo tiene un registro A (IPv4), Private Relay consultará al Servidor DNS del dispositivo (los que están en la configuración) por un registro AAAA (IPv6), y viceversa, junto con otros registros. Estos registros generalmente no son esenciales. En la mayoría de los casos, los registros solicitados no existen.

Es por eso que te redirigen a la "Página de Asistencia de DNS" de tu ISP, iCloud Private Relay intentó consultar su servicio ODoH para google.cmo, y este devolvió NXDOMAIN/Dominio no encontrado, luego el dispositivo/Private Relay intentó consultar el Servidor DNS de tu red para google.cmo, que, como era el Servidor DNS de tu ISP y ofrecían esta función, devolvía una Dirección IP que te redirigía a su Página de Asistencia de Error, en lugar de un NXDOMAIN. La segunda consulta se realizó sin cifrar, desde tu "verdadera" Dirección IP. Por eso este problema solo ocurre en Wi-Fi y no en la red celular, porque tu Operador Inalámbrico probablemente no ofrece esta misma función de "Asistencia de Error".

¿Significa esto que todas las consultas DNS se filtran a mi ISP? ¿O solo las inválidas?

No todas las Consultas DNS, pero algunas sí. Incluso si cambias manualmente los Servidores DNS en la configuración, eso sigue siendo DNS sin cifrar, y el ISP puede "verlo", incluso si no es su servidor el que responde a ello.

Como se mencionó anteriormente, parece que no son solo consultas inválidas, sino también consultas válidas donde no se recibe una respuesta de registro, ya sea que dicho registro exista o no.

¿Puede AT&T asociar mi verdadera dirección IP con la consulta DNS inválida, o solo ven que una dirección de Private Relay intentó una consulta DNS inválida?

Sí pueden. Estas Consultas DNS "filtradas" se envían sin cifrar y fuera del servicio de Private Relay al Servidor DNS que figura en la configuración de DNS de tu dispositivo. Ese Proveedor DNS (y todos en la red entre él) pueden ver tanto tu Dirección IP "real" COMO el dominio consultado.

Si el Servidor DNS devuelve una dirección de acceso pública como respuesta (es decir, no una dirección de red local o NXDOMAIN), Safari intentará realizar una conexión, y esa conexión se supone que se carga a través de Private Relay, independientemente de si esa Dirección IP es realmente correcta para el dominio.

Sin embargo, consulta mi otra pregunta aquí, ya que Private Relay no siempre dirige todos los sitios navegados en Safari a través de Private Relay como afirma Apple.

Si la respuesta a la pregunta 1 es "sí" para la primera opción, ¿AT&T puede ver todas las conexiones no HTTPS incluso con Private Relay activado?

Si iCloud Private Relay utiliza con éxito la arquitectura de dos proxies de la manera en que Apple dice que lo hace, y emplea tecnologías como QUIC, TLS, etc., las Sesiones no HTTPS en Safari están protegidas por Private Relay (si la conexión realmente pasa por Private Relay, como en mi otra pregunta anterior, y después de DNS, pero Apple afirmó que las Consultas DNS también eran seguras). El Egress Relay (es decir, Cloudflare, Akamai o Fastly) pueden "ver" los datos sin cifrar, pero no el ISP. Además, según las Publicaciones para Desarrolladores de Apple, iCloud Private Relay no reemplaza el cifrado HTTPS, actúa además de cualquier conexión TLS existente entre el cliente y el servidor del sitio web.

¿Hay algo más que pueda probar para determinar si mis consultas DNS están siendo interceptadas que no sean los sitios de prueba de fuga de DNS en línea estándar?

Sí, para prevenirlo, puedes usar una Configuración de DNS Cifrada (a través de un perfil de configuración) en tu dispositivo hacia el Proveedor DNS de tu elección. Esto validará criptográficamente tus consultas DNS y las cifrará durante su tránsito. También parece solucionar la fuga de iCloud Private Relay. La desventaja es que todas las Consultas DNS (excepto algunas a nivel del sistema, que seguirán siendo enviadas a la red/DNS editado) se enviarán a través de este método. Las consultas en sí estarán cifradas, pero no tendrás soporte de ODoH (en el momento de la redacción, muy pocos, si es que hay alguno, Proveedores de DNS fácilmente accesibles admiten ODoH u ODoT), por lo que el Proveedor DNS que elijas tendrá acceso tanto a tu Dirección IP como a tus Consultas, pero nadie en el medio podrá ver las consultas.

Respondido el 7 de Octubre, 2023 por StackQsUp (66 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X