7 nov. 2019

Servidores DNS over TLS (DoT) y DNS over HTTPS (DoH) para navegar seguro

Cuando realizamos una consulta a un servidor DNS, normalmente esta consulta no está cifrada, por lo que cualquier usuario podría capturar toda la información y saber en detalle qué página web estamos consultando. Recientemente se ha empezado a usar de manera masiva DNS over TLS y también DNS over HTTPS, dos protocolos que nos permite que todas las consultas y respuestas DNS estén cifradas.

Aquí puede encontrar una lista de otros DNS recurrentes públicos:
En la siguiente tabla, se muestra una comparativa de los mecanismos de seguridad que tienen implementados algunos de los servidores públicos de DNS más utilizados.
DNS Públicos Política de privacidad DNSSEC DoT DoH DNSCrypt
CleanBrowsing
Cloudflare
Google
Quad9
UncesoredDNS
SafeDNS
OpenDNS

DNS over TLS (DoT): qué es y cuáles son los mejores servidores DNS

DNS over TLS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo TLS, el mismo protocolo TLS que ya protege las conexiones HTTPS o que utilizan los softwares VPN como OpenVPN. El objetivo de DoT es aumentar la privacidad y seguridad de los usuarios, y es que con este protocolo previene de ataques MitM que capturan la información, ya que al estar cifrada no podrán leerlo, además, también mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoT hace uso del puerto TCP 853 para proporcionar seguridad a la información.

¿Qué servidores DNS podemos utilizar que son compatibles con DNS over TLS?

  • Google: 8.8.8.8 y 8.8.4.4 para redes IPv4, y también 2001:4860:4860::8888 y 2001:4860:4860::8844 para redes IPv6. El hostname de autenticación TLS es "dns.google". Estos servidores incorporan DNSSEC para mayor seguridad.
  • Cloudflare: 1.1.1.1 y 1.0.0.1 para redes IPv4, y también 2606:4700:4700::1111 y 2606:4700:4700::1001 para redes IPv6. El hostname de autenticación TLS es "cloudflare-dns.com". Estos servidores incorporan DNSSEC para mayor seguridad.
  • Quad9: 9.9.9.9 para redes IPv4, y también 2620:fe::fe para redes IPv6. El hostname de autenticación TLS es "dns.quad9.net". Este servidor incorpora DNSSEC para mayor seguridad.
  • CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
    • Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. Los servidores DNS son 185.228.168.9 y 185.228.169.9 para redes IPv4, y 2a0d:2a00:1::2 y 2a0d:2a00:2::2 para redes IPv6. El hostname de autenticación TLS es "security-filter-dns.cleanbrowsing.org". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el "Safe Mode» de Google, Bing y YouTube para proteger a los más pequeños de casa. Los servidores DNS son 185.228.168.168 y 185.228.169.168 para redes IPv4, y 2a0d:2a00:1:: y 2a0d:2a00:2:: para redes IPv6. El hostname de autenticación TLS es "family-filter-dns.cleanbrowsing.org". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en "Safe Mode".  Los servidores DNS son 185.228.168.10 y 185.228.169.11 para redes IPv4, y 2a0d:2a00:1::1 y 2a0d:2a00:2::1 para redes IPv6. El hostname de autenticación TLS es "adult-filter-dns.cleanbrowsing.org". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
  • Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
    • DNS estándar: Los servidores DNS son 176.103.130.130 y 176.103.130.131 para redes IPv4. El hostname de autenticación TLS es "dns.adguard.com".
    • DNS con control parental: Los servidores DNS son 176.103.130.132 y 176.103.130.134 para redes IPv4. El hostname de autenticación TLS es "dns-family.adguard.com".
  • NextDNS.io: estos servidores DNS necesitan registro, y es que podremos bloquear diferentes dominios de manera totalmente personalizada. Os recomendamos acceder a la web oficial para registrarnos y utilizar estos servidores DNS.
  • DNS.sb: Los servidores DNS son 185.222.222.222 y 185.184.222.222 para redes IPv4, y 2a09:: y 2a09::1 para redes IPv6. El hostname de autenticación TLS es "dns.adguard.com". Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • FAELIX: Los servidores DNS son 46.227.200.54 y 46.227.200.55 para redes IPv4, y 2a01:9e00::54 y 2a01:9e00::55 para redes IPv6. Este servicio de DNS también proporciona servicio de DNS seguro con controles para filtrar webs maliciosas, los servidores DNS privados son 46.227.200.9 y 46.227.203.9 para redes IPv4. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • LibreDNS: servicio de servidores DNS público, privado y cifrado, eso quiere decir que a diferencia de usar los servidores DNS de tu proveedor de acceso a internet que no están cifrados y pueden consultar tus consultas DNS para ver tus búsquedas y donde navegas, estos servidores DNS de LibreDNS sí utilizan protocolos de cifrado para que el tráfico DNS tenga confidencialidad. El servidor es "116.203.115.192".
Tal y como podéis ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over TLS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita.

DNS over HTTPS (DoH): qué es y cuáles son los mejores servidores DNS

DNS over HTTPS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo HTTPS, el cual hace uso del protocolo TLS por debajo. El objetivo de DoH es facilitar a los usuarios el uso de un servicio de DNS privado y seguro, ya que se configura directamente en nuestro navegador, y es que actualmente las últimas versiones de Mozilla Firefox y Google Chrome soportan este protocolo sin problemas. Dependiendo de la política elegida en el propio navegador, deberemos siempre realizar las consultas a través de DoH exclusivamente, o en caso de que falle, hacer uso de una resolución DNS "normal" sin ningún tipo de cifrado.

El objetivo de DoH es el mismo que el de DoT, es decir, aumentar la privacidad y seguridad de los usuarios, impidiendo ataques MitM que capturen la información privada del usuario. También mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoH hace uso del puerto TCP 443 para proporcionar seguridad a la información.

¿Qué servidores DNS podemos utilizar que son compatibles con DNS over HTTPS?

  • Google: la URL que deberemos introducir es "https://dns.google/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad.
  • Cloudflare: la URL que deberemos introducir es "https://cloudflare-dns.com/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad.
  • Quad9: la URL que deberemos introducir es "https://dns.quad9.net/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad.
  • CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
    • Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. La URL que deberemos introducir es "https://doh.cleanbrowsing.org/doh/security-filter/". Estos servidores incorporan DNSSEC para mayor seguridad. Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el "Safe Mode" de Google, Bing y YouTube para proteger a los más pequeños de casa. La URL que deberemos introducir es "https://doh.cleanbrowsing.org/doh/family-filter/". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en "Safe Mode". La URL que deberemos introducir es "https://doh.cleanbrowsing.org/doh/adult-filter/". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
  • Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
    • DNS estándar: la URL que deberemos introducir es "https://dns.adguard.com/dns-query".
    • DNS con control parental: la URL que deberemos introducir es "https://dns-family.adguard.com/dns-query".
  • NextDNS.io: La URL que deberemos introducir es "https://dns.nextdns.io/», pero deberemos registrarnos para poder utilizar estos servidores DNS con filtrado personalizado. Estos servidores incorporan DNSSEC para mayor seguridad.
  • PowerDNS: la URL que deberemos introducir es "https://doh.powerdns.org".
  • SecureDNS.eu: la URL que deberemos introducir es "https://doh.securedns.eu/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
  • DnsWarden: la URL que deberemos introducir es "https://doh.dnswarden.com/uncensored" si queremos acceder sin censura, pero si queremos bloquear los anuncios deberemos introducir "https://doh.dnswarden.com/adblock". Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
  • Aaflalo.me: la URL que deberemos introducir es "https://dns.aaflalo.me/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
  • Foundation for Applied Privacy: la URL que deberemos introducir es "https://doh.appliedprivacy.net/query". Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
  • Captnemo.in: la URL que deberemos introducir es "https://doh.captnemo.in/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad.
  • DNS.sb: la URL que deberemos introducir es "https://doh.dns.sb/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • FAELIX: la URL que deberemos introducir es "https://rdns.faelix.net/". Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • doh.li: la URL que deberemos introducir es "https://doh.li/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • LibreDNS: servicio de servidores DNS público, privado y cifrado, eso quiere decir que a diferencia de usar los servidores DNS de tu proveedor de acceso a internet que no están cifrados y pueden consultar tus consultas DNS para ver tus búsquedas y donde navegas, estos servidores DNS de LibreDNS sí utilizan protocolos de cifrado para que el tráfico DNS tenga confidencialidad. Se debe introducir la URL "https://doh.libredns.gr/dns-query".
Tal y como podéis ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over HTTPS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita.

Fuente: RedesZone

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!