Bloqueando… ou pelo menos tentando… DNS sobre HTTPS (também conhecido como DoH)

Posted on by Thiago Crepaldi

Este post é complementar a um POST anterior protegendo sua rede contra DNS maliciosos. Aqui vamos aproveitar uma adição recente ao pfBlockerNG: um novo feed DoH!

Qual é o problema em permitir DNS sobre HTTPS (também conhecido como DoH) em sua rede?! Bem, os usuários podem contornar o DNS sobre TLS do seu pfSense e usar um outro DNS (malicioso). Alguns navegadores como Chrome e Firefox implementam o DoH e não há como desligá-lo de forma fácil.

Este bloqueio usará pfBlockerNG para bloquear URLs de uma lista conhecida de provedores DoH. Até um tempo atrás, não havia uma lista padrão e frequentemente atualizada dos provedores do DoH, por isso essa abordagem poderia ser menos eficiente. Contudo, finalmente temos uma lista gratuita para usarmos!

Para começar, vá para Firewall >> pfBlockerNG >> Feeds e role para baixo até encontrar DoH Alias/categoria. Não é o item DoH_IP e nem DoH_IP6, mas sim DoH. Clique no botão azul + para adicionar todos os feeds como uma nova lista de bloqueio. Uma página com um novo grupo DNSBL será aberta e você deve modificá-la para ficar assim:

Depois de verificar se todas as URLs estão ON e as Configurações estão configuradas como acima, clique em Salvar configurações do DNSBL na parte inferior da página. Uma vez por dia, o pfSense atualizará sua lista de blocos e bloqueará os servidores DoH ofensivos.

Para verificar se sua configuração está funcionando, clique em Relatórios na página DNSBL e procure DNSBL_DoH na tabela DENY .

Deixe uma resposta