Descubrí que si intento acceder a un servicio web interno de mi red doméstica, Chrome no resolverá correctamente la URL. Un ejemplo sería si intentara navegar a mi servidor Plex usando su fqdn; plex.midominio.com. Esto es sólo si la configuración "DNS seguro" está habilitada. Parece estar dirigiendo mis solicitudes web a un servidor DNS fuera de mi red. En lugar de llevarme a la interfaz web de mi servidor Plex, en realidad seré redirigido a una página en mi enrutador pfsense con un error que me advierte sobre un posible ataque de reenlace de DNS.
Ejecuto mi propio servidor DNS interno. Es simplemente un servidor Windows 2012r2. Todo en mi red interna apunta a este servidor, que está configurado para reenviar solicitudes al servidor DNS de Google para registros que no conoce.
Me gusta la idea de utilizar DNS seguro (o DNS sobre HTTPS). Pero parece que no puedo usarlo por el motivo anterior. Sin embargo, me pregunto si configurara mi servidor DNS interno para que admita DNSSEC, eso podría solucionar el problema. Estoy pensando que también necesitaría ajustar mi configuración de Chrome para usar mi servidor DNS interno para su servicio DNS seguro. ¿Suena todo eso correcto?
¿Alguien más ha observado este problema?
Respuesta1
Debe habilitar la compatibilidad con DNS sobre HTTPS en su servidor DNS para que esto funcione. Si su servidor DNS local no es compatible con DoH, Chrome actualizará automáticamente la solicitud, omitirá su configuración de DNS local y utilizará los servidores DoH preferidos de Google. Desafortunadamente, Microsoft DNS no ofrece esto actualmente.
Suponiendo que tiene DNS público configurado para plex.midominio.com, lo que le sucede es que Chrome prueba para ver si su servidor DNS de Windows es compatible con DoH. Chrome ve que no es así y luego envía la solicitud a 8.8.8.8 usando DoH, lo que resuelve su IP pública. Luego, su cliente intenta conectarse a su IP pública, en lugar de a la interna, y pfsense bloquea lo que podría considerarse un ataque de rebinding. Si está utilizando una computadora de escritorio, en lugar de una computadora portátil que a veces necesitará conectarse externamente, es posible que pueda solucionar este problema agregando la IP local de su servidor Plex en su archivo de hosts. Generalmente, las entradas en el archivo de hosts nunca llegan al DNS a nivel del sistema operativo. Pero dado que Chrome ya está sustituyendo su propio solucionador de DNS, es posible que no tenga suerte con eso.
Más información sobre cómo funciona DoH en Chrome: https://www.chromium.org/developers/dns-over-https
Específicamente de esa página:
- Chrome tendrá una tabla para asignar servidores DNS que no sean DoH a sus servidores DNS DoH equivalentes.
- Según esta tabla, si se sabe que el solucionador recursivo del sistema es compatible con DoH, Chrome se actualizará a la versión DoH de ese solucionador. En otras palabras, esto actualizaría el protocolo utilizado para la resolución de DNS manteniendo sin cambios el proveedor de DNS del usuario. También es importante tener en cuenta que DNS sobre HTTPS no impide que su operador ofrezca funciones como el filtrado seguro para familias.
- En algunas plataformas,Esto puede significar que mientras Chrome usaba anteriormente las API de resolución de DNS del sistema operativo, ahora usa su propia implementación de DNS para implementar DoH..
- Una política de grupo estará disponible para que los administradores puedan desactivar la función según sea necesario.
- Los usuarios finales tendrán la capacidad de controlar la función desde la página de configuración (por ejemplo, deshabilitar, actualizar automáticamente, elegir o especificar un proveedor específico).