7 nov 2019

Servidores DNS over TLS (DoT) y DNS over HTTPS (DoH) para navegar seguro

Cuando realizamos una consulta a un servidor DNS, normalmente esta consulta no está cifrada, por lo que cualquier usuario podría capturar toda la información y saber en detalle qué página web estamos consultando. Recientemente se ha empezado a usar de manera masiva DNS over TLS y también DNS over HTTPS, dos protocolos que nos permite que todas las consultas y respuestas DNS estén cifradas.

Aquí puede encontrar una lista de otros DNS recurrentes públicos:

En la siguiente tabla, se muestra una comparativa de los mecanismos de seguridad que tienen implementados algunos de los servidores públicos de DNS más utilizados.

DNS Públicos Política de privacidad DNSSEC DoT DoH DNSCrypt
CleanBrowsing
Cloudflare
Google
Quad9
UncesoredDNS
SafeDNS
OpenDNS

DNS over TLS (DoT): qué es y cuáles son los mejores servidores DNS

DNS over TLS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo TLS, el mismo protocolo TLS que ya protege las conexiones HTTPS o que utilizan los softwares VPN como OpenVPN. El objetivo de DoT es aumentar la privacidad y seguridad de los usuarios, y es que con este protocolo previene de ataques MitM que capturan la información, ya que al estar cifrada no podrán leerlo, además, también mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoT hace uso del puerto TCP 853 para proporcionar seguridad a la información.

¿Qué servidores DNS podemos utilizar que son compatibles con DNS over TLS?

  • Google: 8.8.8.8 y 8.8.4.4 para redes IPv4, y también 2001:4860:4860::8888 y 2001:4860:4860::8844 para redes IPv6. El hostname de autenticación TLS es "dns.google". Estos servidores incorporan DNSSEC para mayor seguridad.
  • Cloudflare: 1.1.1.1 y 1.0.0.1 para redes IPv4, y también 2606:4700:4700::1111 y 2606:4700:4700::1001 para redes IPv6. El hostname de autenticación TLS es "cloudflare-dns.com". Estos servidores incorporan DNSSEC para mayor seguridad.
  • Quad9: 9.9.9.9 para redes IPv4, y también 2620:fe::fe para redes IPv6. El hostname de autenticación TLS es "dns.quad9.net". Este servidor incorpora DNSSEC para mayor seguridad.
  • CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
    • Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. Los servidores DNS son 185.228.168.9 y 185.228.169.9 para redes IPv4, y 2a0d:2a00:1::2 y 2a0d:2a00:2::2 para redes IPv6. El hostname de autenticación TLS es "security-filter-dns.cleanbrowsing.org". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el "Safe Mode» de Google, Bing y YouTube para proteger a los más pequeños de casa. Los servidores DNS son 185.228.168.168 y 185.228.169.168 para redes IPv4, y 2a0d:2a00:1:: y 2a0d:2a00:2:: para redes IPv6. El hostname de autenticación TLS es "family-filter-dns.cleanbrowsing.org". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en "Safe Mode".  Los servidores DNS son 185.228.168.10 y 185.228.169.11 para redes IPv4, y 2a0d:2a00:1::1 y 2a0d:2a00:2::1 para redes IPv6. El hostname de autenticación TLS es "adult-filter-dns.cleanbrowsing.org". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
  • Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
    • DNS estándar: Los servidores DNS son 176.103.130.130 y 176.103.130.131 para redes IPv4. El hostname de autenticación TLS es "dns.adguard.com".
    • DNS con control parental: Los servidores DNS son 176.103.130.132 y 176.103.130.134 para redes IPv4. El hostname de autenticación TLS es "dns-family.adguard.com".
  • NextDNS.io: estos servidores DNS necesitan registro, y es que podremos bloquear diferentes dominios de manera totalmente personalizada. Os recomendamos acceder a la web oficial para registrarnos y utilizar estos servidores DNS.
  • DNS.sb: Los servidores DNS son 185.222.222.222 y 185.184.222.222 para redes IPv4, y 2a09:: y 2a09::1 para redes IPv6. El hostname de autenticación TLS es "dns.adguard.com". Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • FAELIX: Los servidores DNS son 46.227.200.54 y 46.227.200.55 para redes IPv4, y 2a01:9e00::54 y 2a01:9e00::55 para redes IPv6. Este servicio de DNS también proporciona servicio de DNS seguro con controles para filtrar webs maliciosas, los servidores DNS privados son 46.227.200.9 y 46.227.203.9 para redes IPv4. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • LibreDNS: servicio de servidores DNS público, privado y cifrado, eso quiere decir que a diferencia de usar los servidores DNS de tu proveedor de acceso a internet que no están cifrados y pueden consultar tus consultas DNS para ver tus búsquedas y donde navegas, estos servidores DNS de LibreDNS sí utilizan protocolos de cifrado para que el tráfico DNS tenga confidencialidad. El servidor es "116.203.115.192".

Tal y como podéis ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over TLS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita.

DNS over HTTPS (DoH): qué es y cuáles son los mejores servidores DNS

DNS over HTTPS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo HTTPS, el cual hace uso del protocolo TLS por debajo. El objetivo de DoH es facilitar a los usuarios el uso de un servicio de DNS privado y seguro, ya que se configura directamente en nuestro navegador, y es que actualmente las últimas versiones de Mozilla Firefox y Google Chrome soportan este protocolo sin problemas. Dependiendo de la política elegida en el propio navegador, deberemos siempre realizar las consultas a través de DoH exclusivamente, o en caso de que falle, hacer uso de una resolución DNS "normal" sin ningún tipo de cifrado.

El objetivo de DoH es el mismo que el de DoT, es decir, aumentar la privacidad y seguridad de los usuarios, impidiendo ataques MitM que capturen la información privada del usuario. También mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoH hace uso del puerto TCP 443 para proporcionar seguridad a la información.

¿Qué servidores DNS podemos utilizar que son compatibles con DNS over HTTPS?

  • Google: la URL que deberemos introducir es "https://dns.google/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad.
  • Cloudflare: la URL que deberemos introducir es "https://cloudflare-dns.com/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad.
  • Quad9: la URL que deberemos introducir es "https://dns.quad9.net/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad.
  • CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
    • Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. La URL que deberemos introducir es "https://doh.cleanbrowsing.org/doh/security-filter/". Estos servidores incorporan DNSSEC para mayor seguridad. Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el "Safe Mode" de Google, Bing y YouTube para proteger a los más pequeños de casa. La URL que deberemos introducir es "https://doh.cleanbrowsing.org/doh/family-filter/". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en "Safe Mode". La URL que deberemos introducir es "https://doh.cleanbrowsing.org/doh/adult-filter/". Estos servidores incorporan DNSSEC para mayor seguridad.
    • Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
  • Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
    • DNS estándar: la URL que deberemos introducir es "https://dns.adguard.com/dns-query".
    • DNS con control parental: la URL que deberemos introducir es "https://dns-family.adguard.com/dns-query".
  • NextDNS.io: La URL que deberemos introducir es "https://dns.nextdns.io/», pero deberemos registrarnos para poder utilizar estos servidores DNS con filtrado personalizado. Estos servidores incorporan DNSSEC para mayor seguridad.
  • PowerDNS: la URL que deberemos introducir es "https://doh.powerdns.org".
  • SecureDNS.eu: la URL que deberemos introducir es "https://doh.securedns.eu/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
  • DnsWarden: la URL que deberemos introducir es "https://doh.dnswarden.com/uncensored" si queremos acceder sin censura, pero si queremos bloquear los anuncios deberemos introducir "https://doh.dnswarden.com/adblock". Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
  • Aaflalo.me: la URL que deberemos introducir es "https://dns.aaflalo.me/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
  • Foundation for Applied Privacy: la URL que deberemos introducir es "https://doh.appliedprivacy.net/query". Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
  • Captnemo.in: la URL que deberemos introducir es "https://doh.captnemo.in/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad.
  • DNS.sb: la URL que deberemos introducir es "https://doh.dns.sb/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • FAELIX: la URL que deberemos introducir es "https://rdns.faelix.net/". Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • doh.li: la URL que deberemos introducir es "https://doh.li/dns-query". Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • LibreDNS: servicio de servidores DNS público, privado y cifrado, eso quiere decir que a diferencia de usar los servidores DNS de tu proveedor de acceso a internet que no están cifrados y pueden consultar tus consultas DNS para ver tus búsquedas y donde navegas, estos servidores DNS de LibreDNS sí utilizan protocolos de cifrado para que el tráfico DNS tenga confidencialidad. Se debe introducir la URL "https://doh.libredns.gr/dns-query".

Probar DoH

En esta página de CloudFlare y en esta otra, se puede verificar la seguridad de tu conexión y de tu DNS.

  • DNS seguro: Nadie que observe la conexión puede ver las consultas DNS que realizas cuando navegas por Internet. Tradicionalmente, las consultas DNS se envían en texto sin cifrar. Cualquier persona que observe en Internet puede ver a qué sitios web te conectas. Para garantizar la privacidad de tus consultas DNS, debes utilizar un solucionador que admita el transporte DNS seguro, como por ejemplo DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT).
  • DNSSEC: Los actores maliciosos no te pueden engañar para que visites un sitio web falso manipulando las respuestas DNS para dominios que están fuera de su control. A través de DNSSEC, un usuario, una aplicación o un solucionador recursivo puede confiar en que la respuesta a su consulta DNS es la que el propietario del dominio desea que sea. En otras palabras, DNSSEC demuestra la autenticidad y la integridad (aunque no la confidencialidad) de una respuesta de un servidor de nombres autoritativo. Esto hace que a los actores maliciosos les resulte mucho más difícil inyectar registros DNS maliciosos en la ruta de resolución mediante filtraciones BGP y envenenamiento de caché. Este tipo de manipulación puede permitir que un actor malicioso desvíe todo el tráfico a un servidor que esté bajo su control o que evite la encriptación de la SNI, lo que expondría el nombre del servidor al que te estás conectando.
  • TLS 1.3: Nadie que espíe la conexión puede ver el certificado del sitio web con el que has establecido una conexión TLS. TLS 1.3 es la última versión del protocolo TLS y contiene muchas mejoras de rendimiento y privacidad. Si no utilizas TLS 1.3, el certificado del servidor al que te estás conectando no se cifra, lo que permite que cualquier persona que observe en Internet pueda descubrir a qué sitios te conectas.
  • Secure SNI: Nadie que observe la conexión puede ver el sitio web con el que has establecido una conexión TLS. Encrypted Client Hello (ECH) es una extensión del protocolo de enlace TLS que evita que los parámetros privados del enlace queden expuestos a cualquier persona entre tú y el servidor. Esta protección abarca también la SNI. En caso contrario, el nombre del servidor al que deseas conectarte al establecer una conexión TLS quedaría expuesto.

Tal y como se puede ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over HTTPS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita.

Fuente: RedesZone

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!