Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Servidores DNS gratuitos y seguros, compatibles con DoH y DoT




Cuando realizamos una consulta a un servidor DNS, antes esta consulta no estaba cifrada, por lo que cualquier usuario podría capturar toda la información y saber en detalle qué página web estamos consultando. A partir de 2019, Cloudflare, Quad9, Google, Quadrant Information Security y CleanBrowsing ofrecen servicios públicos de resolución de DNS para el protocolo de seguridad DNS mediante TLS. Parece que se está empezando a implemenar de forma masiva DNS sobre TLS (DoT) y también DNS sobre HTTPS (DoH), dos protocolos que nos permiten que todas las consultas y respuestas DNS estén cifradas de forma más segura. Veamos ahora como configurar soporte DNS Privado para Chrome (experimental), sobre Firefox, en Android (a paritr de Android 9.0)  y el soporte para Linux.



DNS es uno de los protocolos más antiguos de la red, y siempre ha sido un dolor de cabeza de de la seguridad. con posibilidad de UDP (más fácil aún de inyectar paquetes falsos…). Un desastre incluso sin necesidad de ataques porque los servidores pueden estar controlados por gobiernos y así redirigir o bloquear peticiones. Y todo de forma absolutamente transparente y sin privacidad ni integridad (porque DNSSEC no está tan instaurado como debería).

DNS Privado y Seguro

¿Por qué usar DNS privado?

DNS sobre TLS es una mejor alternativa que un DNS estándar, ya que garantiza una mayor privacidad y seguridad.

TLS es el protocolo que cifra su tráfico a través de un canal de comunicación no confiable, como cuando navegas su correo electrónico en la red inalámbrica de una cafeteria. Incluso con TLS, todavía no hay forma de saber si su conexión con el servidor DNS ha sido secuestrada o si está siendo rastreada por un tercero. Esto es importante porque un mal actor podría configurar un punto de acceso WiFi abierto en un lugar público que responda a consultas de DNS con registros falsificados para secuestrar conexiones a proveedores de correo electrónico comunes y bancos en línea. DNSSEC resuelve el problema de garantizar la autenticidad firmando respuestas, haciendo que la manipulación sea detectable, pero deja el cuerpo del mensaje legible por cualquier otra persona en el cable.

DNS sobre HTTPS / TLS resuelve esto. Estos nuevos protocolos aseguran que la comunicación entre su dispositivo y el sistema de resolución esté encriptada, tal como esperamos del tráfico HTTPS.

Sin embargo, hay un último paso inseguro en esta cadena de eventos: la revelación de la SNI (indicación del nombre del servidor) durante la negociación inicial de TLS entre su dispositivo y un nombre de host específico en un servidor. El nombre de host solicitado no está cifrado, por lo que los terceros aún pueden ver los sitios web que visita. Tiene sentido que el paso final para asegurar completamente su actividad de navegación implique el cifrado de SNI, que es un estándar en curso en el que va varias organizaciones se han unido para definir y promover.

No todos los servidores públicos soportan DNS-over-TLS. Dentro de los que sí lo aplican nos encontramos con Cloudflare, Quad9, Google y CleanBrowsing que implementan esta medida de seguridad desde 2019.



Incluso algunas operadoras estadounidenses se quejan de que los DNS cifrados de Google no les permitirán espiar a los usuarios

De acuerdo al Wall Street Journal, los investigadores antimonopolio del Congreso de Estados Unidos están llevando a cabo una investigación sobre los planes de Google para utilizar este protocolo de red "debido a la preocupación de que podría dar a la compañía una ventaja competitiva al dificultar que otros accedan a los datos del consumidor". Las operadoras temen "ser excluidas de gran parte de los datos de los usuarios", porque muchas no soportan este estándar.

En una publicación en su web oficial, la EFF afirma que "para evitar que esta implementación de tecnología produzca un efecto centralizador tan poderoso EFF está pidiendo una implementación generalizada de DNS sobre HTTPS por parte de los proveedores de servicios de Internet". De esa forma, se "permitirá que se obtengan los beneficios de seguridad y privacidad de la tecnología, al tiempo que ofrece a los usuarios la opción de continuar utilizando la gran variedad de DNS proporcionados por el ISP que normalmente usan ahora". En pocas palabras, que las operadoras no deben dejar que Google sea el estándar DNS sobre TLS por defecto, sino que deben implementarlo también

DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT) 

  • DNS-over-TLS RFC 7858 (DoT) 
  • DNS-over-HTTPS RFC 8484 (DoH)

DNS over TLS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo TLS, el mismo protocolo TLS que ya protege las conexiones HTTPS o que utilizan los softwares VPN como OpenVPN.

DNS over HTTPS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo HTTPS, el cual hace uso del protocolo TLS por debajo. El objetivo de DoH es facilitar a los usuarios el uso de un servicio de DNS privado y seguro, ya que se configura directamente en nuestro navegador, y es que actualmente las últimas versiones de Mozilla Firefox y Google Chrome soportan este protocolo sin problemas

El objetivo de DoH es el mismo que el de DoT, es decir, aumentar la privacidad y seguridad de los usuarios. Mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoH hace uso del puerto TCP 443 para proporcionar seguridad a la información.

DoH (DNS over HTTPS) es muy simple. En vez de acudir al puerto 53 de un servidor (digamos, el conocido 8.8.8.8) y preguntarle por un dominio a través de un paquete UDP o TCP, DoH estandariza la construcción de un GET o POST a un dominio HTTPS y la respuesta será el registro A y AAAA (el RFC no especifica otros registros) con la IP. Por supuesto tiene más detalles como la solución ingeniosa de que la cabecera cache-control va a convertirse en el TTL. Todo cifrado punto a punto, obviamente. 

El protocolo DNS over TLS sigue en fase de perfeccionamiento, y que, gradualmente, el número de plataformas con las que es compatible va aumentando.

Las ventajas de utilizar DoT son:
  • Al tratarse de comunicaciones TCP cifradas con TLS, mejora la seguridad y la privacidad.
  • En el modo de funcionamiento estricto, previene la manipulación mediante la interceptación y modificación de consultas o respuestas DNS.
  • Cualquier intrusión entre el usuario y el servidor DNS que resuelve las consultas, no podrá obtener información.
  • La implementación es sencilla, cualquier persona con unos conocimientos medios podría instalarlo en su red para las plataformas que no lo incorporan de forma nativa.
  • En las plataformas que lo incorporan de forma nativa, cualquier usuario puede utilizarlo.
En cuanto a las desventajas, parece que no hay muchas, pero las debemos tener en cuenta.
  • En el modo estricto, si consultamos una página y no nos devuelve resultado, tendremos un mensaje de error.
  • La latencia puede ser algo mayor utilizando DoT.
  • No se definen los requisitos de implementación, validación ni revocación de los certificados de los servidores DNS.

DNS a través de HTTPS: tu historial de navegación a salvo, y dí adiós a los bloqueos de páginas web


¿Qué servidores DNS podemos utilizar que son compatibles con DNS over HTTPS?
  • Google: la URL que deberemos introducir es «https://dns.google/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
  • Cloudflare: la URL que deberemos introducir es «https://cloudflare-dns.com/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
  • Quad9: la URL que deberemos introducir es «https://dns.quad9.net/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.

https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-available-servers

Firefox


Cuando el soporte DoH está habilitado en Firefox, el navegador ignorará la configuración de DNS establecida en el sistema operativo y usará la resolución DoH establecida por el navegador.

Si utilizas Firefox en Windows, simplemente tendremos que entrar en la sección de «Herramientas / Opciones / General / Configuración de red«, y elegir un servidor «personalizado», y a continuación, introducir la siguiente URL:

Ejemplo LibreDNS:

https://doh.libredns.gr/dns-query






En el caso de que quieras configurar DNS over TLS, tendrás que utilizar los siguientes datos:
  • IP: 116.203.115.192
  • Puerto: 853


Google Chrome

Escribimos en la barra del navegador a partir de Chrome 78 o superior:

chrome://flags/#dns-over-https

Secure DNS lookups


Enables DNS over HTTPS. When this feature is enabled, your browser may try to use a secure HTTPS connection to look up the addresses of websites and other web resources. – Mac, Windows, Chrome OS, Android


Android


A partir de Android 9 (Pie) podemos hacer uso de esta nueva característica llamada "DNS Privado"




DNS Over TLS en Android 9.0


Android 9, la nueva versión del sistema operativo móvil de Google, ya sí que cuenta con soporte para este nuevo protocolo de seguridad gracias a la nueva función “Private DNS Mode” incluida en esta actualización. Private DNS Mode nos permite hacer uso en nuestro smartphone de la seguridad de DNS-over-TLS de forma nativa, sin depender de una VPN ni ninguna otra configuración más que especificar el servidor como tal.


Ajustes > Redes e Internet“. Dentro de las opciones de red que nos aparecen aquí, en el apartado “Avanzado”, podremos ver una opción llamada “DNS Privado“. Esta es la opción que nos interesa.





Para usar los DNS privados de Google, debemos introducir en este apartado:
dns.google
Para usar los DNS privados de Cloudflare, la dirección que debemos introducir en este apartado es:



1dot1dot1dot1.cloudflare-dns.com
“Settings” and then “Network & Internet”. At the bottom, you should see an “Advanced” option. Open up the “Advanced” options and you should see a “Private DNS” option. S

dns-tls.qis.io
  1. Go to Settings –> Network & Internet –> Advanced –> Private DNS.
  2. Select the Private DNS provider hostname option.
  3. Enter dns.quad9.net and select Save.
 dns.quad9.net

Versiones anteriores Android 9 

Versiones anteriores de Android. Los dispositivos que ejecutan versiones anteriores a Android 9 no admiten DNS sobre TLS y no pueden configurar DNS privados para todas las redes. Puede configurar DNS para cada red WiFi individual que use. Esto requiere configurar toda la información de la red manualmente y solo se recomienda para usuarios avanzados. Sin embargo existe una app, Warp de CloudFlare para facilitar la tarea.





El Protocolo DNS-over-TLS en Linux (systemd)


Las versiones más recientes de Ubuntu emplean un servicio especial para la resolución de nombres llamado «system-solve.service(8)». El archivo de configuración «resolved.conf(5)» especifica la mayoría de los detalles para la resolución de nombres, incluyendo qué protocolos y resolvedores se deben emplear

La configuración predeterminada de «systemd-solve» se selecciona en el tiempo de compilación, y «/etc/systemd/resolved.conf» contiene normalmente líneas comentadas que describen estos valores predeterminados

Como puede deducirse del archivo, el protocolo DNS-over-TLS (DoT) es compatible, pero está deshabilitado por defecto. En el momento de escribir este artículo, solo se admite el DoT oportunista según el manual, lo que significa que el resolvedor primero intentará resolver el problema utilizando el DoT antes de volver a la DNS tradicional en caso de fallo, permitiendo así ataques de descenso de categoría cuando un atacante provoque intencionadamente un fallo del DoT con el fin de hacer que la resolución de nombres se reduzca a la DNS tradicional.

Decidimos probar con el DoT cambiando tres variables de configuración en «/etc/systemd/solve.conf’:»
  • Pusimos «DNS» en la dirección IP del servidor DoT
  • Establecimos «DNSOverTLS» como «oportunista»
  • Configuramos «Domains» como «~».
La variable «DNS» contiene la lista de direcciones IP que corresponden al resolvedor recurrente del DoT (aquí puede encontrar una lista de resolvedores recurrentes públicos).

El ajuste de “DNSOverTLS” como “oportunista” activa el DoT en modo oportunista – esto significa que el DoT se empleará si es posible, pero el resolvedor simple volverá a la DNS tradicional si falla.
Por último, establecer «Domains» como «~.» programa a «systemd-resolved» para que prefiera el servidor de nombres especificado antes que cualquier servidor DNS por vínculo que esté disponible. Esta es una configuración importante, ya que de lo contrario un resolvedor DNS no DoT por vínculo podría tener prioridad sobre el resolvedor DoT.


Comprobar Configuracón Correcta:


Las tecnologías analizadas son:
  • Secure DNS: una tecnología que cifra las consultas DNS e incluye DNS-over-TLS y DNS-over-HTTPS.
  • DNSSEC: tecnología diseñada para verificar la autenticidad de las consultas DNS.
  • TLS 1.3: la última versión del protocolo TLS que incluye muchas mejoras y cierra brechas de seguridad de las anteriores.
  • Encrypted SNI: siglas de Server Name Indication cifrado que desvela el nombre del hostname durante una conexión TLS. Esta tecnología busca asegurar que sólo pueda filtrarse la dirección IP.
Fuentes:
https://www.redeszone.net/tutoriales/internet/mejores-servidores-dns-over-tls-dns-over-https/
https://empresas.blogthinkbig.com/dns-sobre-https-doh-ciberseguridad/
https://www.incibe-cert.es/blog/protege-tus-peticiones-dns-dns-over-tls
https://www.internetsociety.org/es/blog/2019/01/el-protocolo-dns-over-tls-en-linux-systemd/
https://www.xatakamovil.com/conectividad/operadoras-estadounidenses-se-quejan-que-dns-cifrados-google-no-les-permitiran-espiar-a-usuarios

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.