Sua casa inteligente contorna o buraco Pi com DNA criptografado e veja como pará-lo

Quando comecei a executá-lo, configurar o Pi-hole parecia um verdadeiro projeto do tipo “configure e esqueça”. A configuração é bastante simples, apontando as configurações de DHCP do seu roteador e observando o log de consulta ser preenchido com domínios de anúncios bloqueados. Presumi que depois disso todos os dispositivos da minha rede estavam funcionando.

Eventualmente, notei algo estranho. Meu alto-falante inteligente ainda exibia anúncios e outros dispositivos IoT ligavam para servidores de telemetria que bloqueei especificamente no buraco Pi. Quando verifiquei os logs do Pi-hole, essas consultas não foram bloqueadas nem registradas. De alguma forma, alguns dispositivos na minha rede contornaram completamente o buraco Pi.

Depois de pesquisar um pouco, descobri que alguns dispositivos usam DNS criptografado. É um recurso de privacidade agora incorporado a um número crescente de dispositivos de consumo, mas tem o efeito colateral de contornar o buraco Pi e suas regras.

Criptografar consultas DNS usando Pi-hole é onde a verdadeira privacidade acontece e levou apenas 10 minutos.

Isso tornou minha segurança de rede muito melhor

Seus gadgets têm configurações de DNS próprias

E eles estão programados no firmware

Pi-hole atua como um resolvedor de DNS para toda a rede. Quando um roteador emite concessões de DHCP, ele também informa a cada dispositivo qual servidor DNS usar, o que geralmente é Pi-hole. Cada dispositivo pede ao Pi-hole para resolver um domínio, o Pi-hole o verifica em suas listas de bloqueio e retorna o IP real ou retorna um impasse. Esse método funciona muito bem, desde que cada dispositivo realmente siga as regras de DNS emitidas pelo roteador.

O problema é que muitas TVs inteligentes, caixas de streaming e dispositivos IoT têm suas próprias configurações de DNS codificadas em seu firmware, às vezes apontando para a versão 8.8.8.8 do Google ou Cloudflare 1.1.1.1. De qualquer forma, essas configurações substituem o que o servidor DHCP lhes diz para usar. Além disso, muitos deles usam DoH (DNS sobre HTTPS) ou DoT (DNS sobre TLS) para criptografar essas consultas antes de enviá-las.

Em dispositivos com DNS criptografado, o Pi-hole nunca vê suas solicitações de DNS, portanto nada pode bloqueá-los. Em vez de passar por um Pi-hole, as solicitações de DNS são enviadas diretamente ao Google ou Cloudflare por meio de uma conexão HTTPS. Visto de fora, esse tráfego se parece com qualquer outro tráfego seguro da web.

Confirmei isso executando o tcpdump no OPNsense no roteador. Em seguida, importo o dump para o Wireshark para ver quais pacotes estão saindo dos meus dispositivos domésticos inteligentes. Com certeza, o fluxo de conexões TLS atingiu 8.8.8.8, que é completamente invisível para o Pi-hole. Se tudo estivesse funcionando conforme o esperado, eu esperaria que as solicitações de DNS na porta 53 fossem diretamente para o buraco Pi, mas todas foram roteadas para outro lugar.

Forçando os gadgets a usarem o Pi-hole via firewall

DNAT redireciona o tráfego de DNA para Pi-hole

Para dispositivos com configurações de DNS codificadas e solicitações criptografadas, as configurações de DHCP não são suficientes. Em vez disso, você precisará implementar regras no nível do firewall. A maneira mais fácil de fazer isso é configurar uma regra DNAT para interceptar todo o tráfego de saída na porta 53, independentemente de qual servidor DNS o dispositivo está tentando usar, e redirecioná-lo para o Pi-hole. Para solicitações de DNS não criptografadas, esta configuração será suficiente para resolver o problema, pois qualquer tráfego que sai da rede pela porta 53 é roteado para o Pi-hole.

O DoT é quase tão fácil de desligar, pois sempre usa a porta 853. Tudo o que tive que fazer foi bloquear as solicitações de saída nessa porta e cada dispositivo usando o DoT alternou configurações simples de DNS que enviam tudo diretamente para o Pi-hole.

DoH não é tão facilmente endereçável porque seu tráfego DNS usa a porta 443 junto com o tráfego HTTPS normal. Isso significa que você não pode simplesmente bloquear uma porta e encerrar o dia como faz com o DoT. Se você conseguir identificar os endereços dos servidores DNS usados ​​pelo dispositivo, poderá bloqueá-los no firewall e permitir que o dispositivo mude para DNS normal. A filtragem baseada em SNI também é uma opção, mas é mais complicada de configurar, e dispositivos com ECH (Encrypted Client Hello) a tornam uma desvantagem. Colocar na lista de bloqueio provedores DoH conhecidos foi a solução que implementei e funcionou, mas é uma solução complicada.

O DNA criptografado deveria ser uma coisa boa

Infelizmente para Pi-hole, essa privacidade tem um custo

Shekhar Vaidya/XDA

DoH e DoT não são inimigos reais aqui. Eles existem por um bom motivo. Como essas consultas são criptografadas, os ISPs não podem pesquisá-las ou monetizá-las, e os usuários ganham mais privacidade em redes que não controlam, como o Wi-Fi público.

Numa rede doméstica, estas vantagens não são tão importantes. O Pi-hole já oferece privacidade além de bloquear anúncios, e você se tornou uma solução confiável. O DNS criptografado geralmente é uma coisa boa, mas o problema é que os fabricantes de dispositivos não dão aos consumidores uma palavra a dizer sobre como o DNS funciona em seus gadgets. A codificação dessas configurações substitui a própria infraestrutura que você construiu para lidar com o DNS na sua rede.

Recuperação de DNA na sua rede

Acontece que o Pi-hole não estava quebrado. No entanto, era necessário um firewall para ajudar a direcionar solicitações para alguns dispositivos. Depois que cada dispositivo foi forçado a voltar ao DNS de texto simples usando meu resolvedor, todos os gadgets da minha rede começaram a funcionar conforme o esperado, com anúncios e tudo. É um pouco mais configurado do que uma instalação normal do Pi-hole, mas vale a pena para ter controle total sobre sua rede.

SO

Linux

Modelo de preço

Gratuito

Pi-hole é um bloqueador de anúncios em toda a rede que atua como um sumidouro de DNS, evitando que anúncios indesejados, rastreadores e domínios maliciosos sejam carregados em qualquer dispositivo conectado à sua rede. Ele roda em hardware leve como Raspberry Pi ou em uma máquina virtual. Ao interceptar consultas DNS, o Pi-hole bloqueia anúncios antes que eles cheguem ao seu navegador ou aplicativos, melhorando a velocidade e a privacidade. Ele também fornece uma interface web fácil de usar para monitorar e gerenciar o tráfego de rede.


Link da fonte