Bloccare la risoluzione dei domini IDN

Premessa - cosa sono i domini IDN

I domini IDN sono domini che usano caratteri non ASCII (tipicamente tutti i caratteri UNICODE possono essere codificati). Sarebbero utili per chi ha alfabeti diversi da quello ASCII standard, ma puntualmente vengono usati per il phishing, usando quello che si chiama un "IDN homograph attack", in termini più semplici usando UNICODE si possono creare nomi di dominio che a occhio sembrano quelli validi ma non lo sono.

Se non ci aspettiamo di voler visitare domini che usano caratteri non ASCII standard, cosa che per noi italiani è spesso vera, possiamo bloccare totalmente la risoluzione di questi domini, che si caratterizzano tutti per avere un formato che inizia per "xn--". (vedasi per riferimento come funziona la codifica punycode, qui: https://en.wikipedia.org/wiki/Internationalized_domain_name

Bloccare i domini IDN usando una entry statica nel DNS di RouterOS

Se i nostri client usano il resolver DNS sul Mikrotik possiamo bloccare tutti i domini IDN semplicemente usando questa entry statica:

• /ip/dns/static/
  add comment="Blocca la risoluzione di domini IDN, sia nel nome che nel TLD" regexp="(^|\\.)xn--.*\$" ttl=10s type=NXDOMAIN

Questo sistema funziona però solo se i client usano il nostro router come DNS, e non hanno modo di usare DNS esterni, quindi dovremo bloccare la porta 53 verso l'esterno ed eventualmente ridirigerla verso il nostro apparato Mikrotik in modo da evitare che i client della LAN usino un DNS esterno.

Purtroppo oggi abbiamo anche a che fare con i browser che usano DoH (DNS over HTTPS), e questo consente loro di scavalcare totalmente la risoluzione DNS gestita sul nostro router. Questo è un problema non solo perché rende inefficace il nostro blocco, ma anche perché rende inefficace qualsiasi altro tentativo che possiamo fare di creare e gestire entry statiche locali nel nostro DNS. Il browser infatti userà sempre, di fatto, il dns di Google (nel caso di Chrome, per esempio).