Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
noviembre
(Total:
29
)
- El CNI detecta un aumento "cuantitativo y cualitat...
- Una nueva funcionalidad de Microsoft 365 es el "ma...
- Segunda actualización de emergencia para el CMS Dr...
- Nuevas víctimas de REvil ransomware: Vialidad Arge...
- Un empleado sube un Excel a GitHub con datos perso...
- Configurar correo electrónico seguro con SPF, DMAR...
- Vulnerabilidad crítica en MobileIron RCE de junio ...
- Zero Day: vulnerabilidad 2FA bypass en cPanel y WHM
- Investigador descubre accidentalmente 0-day en Win...
- Expuestas más de 300K+ cuentas de usuarios Spotify
- La Generalitat Catalunya sufre un fallo de segurid...
- TikTok corrige errores que permitían tomar el cont...
- Periodista holandés se filtra en una reunión "secr...
- La lista de las peores contraseñas de 2020
- Ransomware Ragnar Locker hackea la empresa multina...
- Fallo en Facebook Messenger permitía escuchar audi...
- Graves vulnerabilidades en VMWare y publican lista...
- Disponibles Kali Linux 2020.4 y Tails 4.13
- Ataque de ransomware hace que las impresoras impri...
- Datos de 3.2 millones de cuentas de Pluto TV han s...
- Defendiendo a los desarrolladores: youtube-dl está...
- Usuarios de Android demandan a Google por consumir...
- El envenenamiento de la caché de DNS, el ataque de...
- Problemas privacidad con GateKeeper de macOS 11 Bi...
- Activar medidas privacidad Navegador Firefox, Chro...
- Google Fotos dice adiós al espacio ilimitado; deja...
- Activar Windows 10-11 mediante Licencia Digital (H...
- Ransomware REvil afirma en una entrevista haber ga...
- Google descubre grave 0-day en el Kernel de Window...
- ► septiembre (Total: 21 )
-
▼
noviembre
(Total:
29
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Activar medidas privacidad Navegador Firefox, Chrome, Windows 10 y Android (ESNI, TLS 1.3, DoH)
Nuestro proveedor de Internet, empresas de seguridad y gobiernos que censuran contenido tienen varias formas para conocer y registrar las páginas web a las que nos conectamos. Muchos de vosotros pensaréis que usando páginas https y DNS over HTTPS (DoH) nadie podrá saber las web que visitamos, pero esto no es así. Aunque usemos DoH nuestro proveedor de Internet, empresas de seguridad y otros actores pueden ver las URL que visitamos porque tienen la posibilidad de consultar el Server Name Indication (SNI). Frente a esta problemática en el siguiente artículo veremos como activar ESNI y DoH para dificultar que un tercero observe o trafique con nuestro historial de navegación.
- La primera parte del artículo será una introducción básica al SSL (ahora llamado TLS).
- La segunda parte Activar Esni Y DoH en Firefox (el único navegador que lo soporta, por el momento) y en Windows 10
- La tercera y última parte DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT) en Windows 10, Linux, Android, Google Chrome y Microsoft Edge
Principios Básicos
SSL
TLS (Transport Layer Security)
TLS se traduce a Transport Layer Security o en español Seguridad de la Capa de Transporte y su sucesor SSL (Secure Sockets Layer o en español Capa de Puertos Seguros)
La capa de conexión segura (TLS) garantiza las comunicaciones cifradas entre un cliente y un servidor web a través de HTTPS. Reemplaza el protocolo de capa de conectores seguros (SSL) que ya no se utiliza. Cuando se cifra el tráfico web con TLS, aparece un candado verde en la ventana del navegador de los usuarios, cerca del cuadro de la dirección URL.
TLS 1.2 utiliza:
- SHA-1
- RC4
- DES
- 3DES
- AES-CBC
- MD5
- Grupos Diffie-Hellman arbitrarios – CVE-2016-0701
- EXPORT- claves de fuerza – Responsable de FREAK y LogJam
TLS 1.3
- Velocidad (handshake, “zero round trip time”. (0-RTT).)
- DNS over HTTPS (DoH)
- DNS over TLS (DoT)
- DNS over HTTPS over Tor (DoHoT)
- CloudFlare con Oblivious DNS over HTTPS (ODoH)
Activar ESNI y DoH en Firefox para proteger nuestra privacidad
¿POR QUÉ EL SNI REVELA LAS WEB QUE VISITAMOS AUNQUE ESTEMOS USANDO DoH?
Cuando introducimos una URL en el navegador que usa el protocolo https y presionamos la tecla enter se produce un intercambio de información entre nuestro navegador y el servidor web que queremos visitar (TLS handshake). El proceso inicial de intercambio de información entre cliente y servidor está sin cifrar e incluye la totalidad de datos necesarios para que entre nuestro navegador y el servidor web se pueda establecer una comunicación cifrada. Estos datos incluyen los tipos de cifrado que soporta nuestro navegador, un número de cliente, el SNI, etc.
El SNI que acabamos de citar no es más que la URL que queremos visitar y se envía del cliente al servidor sin cifrar. Por lo tanto nuestro proveedor de Internet, gobiernos y empresas de seguridad tendrán la posibilidad de interceptarlo y saber la web que que estamos visitando.
Por lo tanto el SNI informa sobre la URL que queremos visitar antes que se finalice el TLS handshake y como está sin cifrar es un claro problema de privacidad y seguridad.
¿QUÉ HACEN LAS EMPRESAS Y ENTES QUE INTERCEPTAN NUESTRO SNI? Normalmente los ISP, gobiernos o empresas de seguridad contratadas por terceros pueden capturar los SNI para los siguientes fines:
- Elaborar historiales de navegación con fines publicitarios o para simplemente venderlos a terceros y ganar dinero.
- Bloquear el acceso a determinadas páginas web. Los proveedores de Internet (ISP) pueden conocer las web que queremos visitar antes de iniciar la conexión, por lo tanto pueden implementar reglas para bloquear el acceso a todos sus clientes a una determinada página web.
- Conocer las páginas web visitadas por un usuario para posteriormente enviarlas a una autoridad competente como por ejemplo la policía, un juez, etc.
ESNI aún está en fase experimental y el único navegador que de momento lo soporta es Firefox. Por lo tanto a continuación veremos como configurar DoH y ESNI en Firefox. Google Chrome todavía no soporta ESNI
Server Name Indication - SNI vs E-SNI
La analogía que más gusta es la de un sobre de correo postal. El contenido del sobre está protegido y no puede ser visto por el servicio de correos. Sin embargo, fuera del sobre está la dirección que el cartero usará para llevar el sobre al edificio correcto. En Internet, la dirección IP de un servidor web es el equivalente al nombre de la calle. Sin embargo, si vives en un edificio con muchos pisos, el nombre de la calle no basta para llevar el sobre al destinatario correcto. Para complementar la dirección incluyes un número o el nombre del destinatario
ESNI (TLS 1.3)
Activar Esni Y DoH en Firefox
Activar DoH «DNS over HTTPS» en Firefox
Hay dos maneras de hacerlo:
- Barra de direcciones Mozilla Firefox:
- about:config
network.trr.mode
Cambiar de 0 a 2
Con el valor 2, la totalidad de peticiones DNS se realizarán de forma cifrada y solo en el caso que la petición DNS cifrada falle se realizará con los DNS tradicionales. En función del valor que introduzcamos en network.trr.mode obtendremos el siguiente comportamiento según el valor del TRR:
- Valor 0 --> Es el valor que aplica la configuración predeterminada de Firefox. La configuración predeterminada actual de Firefox es que DoH esté desactivado. Por lo tanto la opción 0 es equivalente a la opción 5
- Valor 1 --> DoH está activado. Firefox decidirá si las peticiones DNS se realizan cifradas o sin cifrar en función de la velocidad de resolución de las peticiones DNS.
- Valor 2 --> DoH está activado. Todas las peticiones DNS estarán cifradas excepto en una situación. En el momento que falle una resolución DNS cifrada entonces se intentará resolver la petición DNS mediante los DNS tradicionales sin cifrar.
- Valor 3 --> Aseguramos que el 100% de peticiones DNS que se realicen estén cifradas.
- Valor 5 --> Las peticiones se realizarán sin cifrar porque DoH está desactivado.
Cambiar el proveedor de DoH en Firefox Si han seguido las instrucciones del artículo las peticiones DNS cifradas serán resueltas por CloudFlare. Para mi este no supone ningún inconveniente, pero si para vosotros lo es podéis cambiar el proveedor. Para ello en la configuración avanzada de Firefox tienen que buscar el parámetro
network.trr.uri
Una vez lo encuentren verán lo siguiente: https://mozilla.cloudflare-dns.com/dns-query
Si quieren reemplazar Cloudflare, por otros proveedor deberán reemplazar https://mozilla.cloudflare-dns.com/dns-query por lo siguientes valores:
Proveedor DoH | Dirección URL para seleccionar el proveedor |
---|---|
https://dns.google/dns-query | |
OpenDNS | https://doh.opendns.com/dns-query |
Quad9 DNS IBM | https://dns.quad9.net/dns-query |
Switch DNS | https://dns.switch.ch/dns-query |
CIRA Canadian Shield DNS | https://private.canadianshield.cira.ca/dns-query |
BlahDNS (IPv4) | https://doh-fi.blahdns.com/dns-query |
LibreDNS | https://doh.libredns.gr/dns-query |
O bien mediante menú de navegación, en menú Herramientas - Opciones
2. Activar DNS sobre HTTPS
Es importante activar soporte "DNS over HTTPS "(also known as “Trusted Recursive Resolver” in Firefox) "Activar DNS sobre HTTPS" en Herramientas -> Opciones --> General --> Configuración de red.
Usar proveedor -->
- CloudFlare (Predeterminado) https://mozilla.cloudflare-dns.com/dns-query
- NextDNS
- Personalizada (Ver la tabla de arriba Proveedor DoH)
Activar y habilitar Encrypted SNI en Firefox
- about:config
network.security.esni.enabled
Pasar de false (falso) a true (cierto)
En las nuevas versiones de Firefox hay que utilizar ECH:
network.dns.echconfig.enabled
y
network.dns.use_https_rr_as_altsvc
Con valores "true"
Comprobar que DoH y ESNI están activados
Para comprobar que las configuraciones realizadas se han aplicado con éxito sugiero que cliquen en el siguiente enlace. Una vez dentro de la web cliquen sobre el botón Check My Browser.
Comprobar:
- https://www.cloudflare.com/ssl/encrypted-sni/
- https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html
Las tecnologías analizadas son:
- Secure DNS: una tecnología que cifra las consultas DNS e incluye DNS-over-TLS y DNS-over-HTTPS.
- DNSSEC: tecnología diseñada para verificar la autenticidad de las consultas DNS.
- TLS 1.3: la última versión del protocolo TLS que incluye muchas mejoras y cierra brechas de seguridad de las anteriores.
- Encrypted SNI: siglas de Server Name Indication cifrado que desvela el nombre del hostname durante una conexión TLS. Esta tecnología busca asegurar que sólo pueda filtrarse la dirección IP.
Increíblemente a día de hoy en Google Chrome no se puede activar ESNI todavía.
Acto seguido se realizarán las siguientes comprobaciones:
- Que las peticiones DNS se estén realizando de forma cifrada.
- Que nuestro navegador esté correctamente configurado para cifrar SNI (ESNI).
- El navegador que estamos usando soporte TLS 1.3.
- Que el proveedor que resuelve las peticiones DNS soporte DNSSEC.
Activar TLS 1.3 (ESNI) en Windows 10
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT)
- Windows 10
- Linux
- Android
- Google Chrome - Microsoft Edge
Windows 10 ya tiene DNS over HTTPS en su configuración
- Opening the Registry Editor
- Navigate to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters registry key
- Create a new DWORD value named “EnableAutoDoh”
- Set its value to 2
pktmon filter remove
pktmon filter add -p 53
pktmon start --etw -l real-time
- En conexiones Ethernet (conexiones por cable de red), abre «Configuración, Red e Internet», y seleccionamos «Estado». Luego hacemos clic en «Propiedades» y seleccionamos «Editar opciones DNS».
- En las conexiones Wi-Fi (inalámbricas), abre la página de red y hacemos clic en el enlace de propiedades del adaptador, y, a continuación, seleccionamos «Editar opciones DNS». Una vez realizadas estas operaciones aparecerá una pantalla como esta:
El Protocolo DNS-over-TLS en Linux (systemd)
Las versiones más recientes de Ubuntu emplean un servicio especial para la resolución de nombres llamado «system-solve.service(8)». El archivo de configuración «resolved.conf(5)» especifica la mayoría de los detalles para la resolución de nombres, incluyendo qué protocolos y resolvedores se deben emplear
La configuración predeterminada de «systemd-solve» se selecciona en el tiempo de compilación, y «/etc/systemd/resolved.conf» contiene normalmente líneas comentadas que describen estos valores predeterminados
Como puede deducirse del archivo, el protocolo DNS-over-TLS (DoT) es compatible, pero está deshabilitado por defecto. En el momento de escribir este artículo, solo se admite el DoT oportunista según el manual, lo que significa que el resolvedor primero intentará resolver el problema utilizando el DoT antes de volver a la DNS tradicional en caso de fallo, permitiendo así ataques de descenso de categoría cuando un atacante provoque intencionadamente un fallo del DoT con el fin de hacer que la resolución de nombres se reduzca a la DNS tradicional.
Decidimos probar con el DoT cambiando tres variables de configuración en «/etc/systemd/solve.conf’:»
- Pusimos «DNS» en la dirección IP del servidor DoT
- Establecimos «DNSOverTLS» como «oportunista»
- Configuramos «Domains» como «~».
El ajuste de “DNSOverTLS” como “oportunista” activa el DoT en modo oportunista – esto significa que el DoT se empleará si es posible, pero el resolvedor simple volverá a la DNS tradicional si falla.
Por último, establecer «Domains» como «~.» programa a «systemd-resolved» para que prefiera el servidor de nombres especificado antes que cualquier servidor DNS por vínculo que esté disponible. Esta es una configuración importante, ya que de lo contrario un resolvedor DNS no DoT por vínculo podría tener prioridad sobre el resolvedor DoT.
Android
A partir de Android 9 (Pie) podemos hacer uso de esta nueva característica llamada "DNS Privado"
“Ajustes > Redes e Internet“. Dentro de las opciones de red que nos aparecen aquí, en el apartado “Avanzado”, podremos ver una opción llamada “DNS Privado“. Esta es la opción que nos interesa.
Para usar los DNS privados de Google, debemos introducir en este apartado:
dns.googlePara usar los DNS privados de Cloudflare, la dirección que debemos introducir en este apartado es:
1dot1dot1dot1.cloudflare-dns.com“Settings” and then “Network & Internet”. At the bottom, you should see an “Advanced” option. Open up the “Advanced” options and you should see a “Private DNS” option. S
dns-tls.qis.io
- Go to Settings –> Network & Internet –> Advanced –> Private DNS.
- Select the Private DNS provider hostname option.
- Enter dns.quad9.net and select Save.
dns.quad9.net
Versiones anteriores Android 9
Versiones anteriores de Android. Los dispositivos que ejecutan versiones anteriores a Android 9 no admiten DNS sobre TLS y no pueden configurar DNS privados para todas las redes. Puede configurar DNS para cada red WiFi individual que use. Esto requiere configurar toda la información de la red manualmente y solo se recomienda para usuarios avanzados. Sin embargo existe una app, Warp de CloudFlare para facilitar la tarea.
Google Chrome
Antes era necesario activar un "flag", escribiendo en la barra del navegador a partir de Chrome 78 o superior:chrome://flags/#dns-over-https
Secure DNS lookups
En Microsoft Edge basado en Chromium es exactamente lo mismo. Tienes que abrir Edge y escribir edge://flags/#dns-over-https en la barra de búsqueda. Entrarás en los Flags de Edge, y te aparecerá seleccionada la opción Secure DNS lookups. Lo que tienes que hacer es pulsar en la derecha donde pone Default y seleccionar la opción Enabled.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.