Nuestro proveedor de Internet, empresas de seguridad y gobiernos que censuran contenido tienen varias formas para conocer y registrar las páginas web a las que nos conectamos. Muchos de vosotros pensaréis que usando páginas https y DNS over HTTPS (DoH) nadie podrá saber las web que visitamos, pero esto no es así. Aunque usemos DoH nuestro proveedor de Internet, empresas de seguridad y otros actores pueden ver las URL que visitamos porque tienen la posibilidad de consultar el Server Name Indication (SNI). Frente a esta problemática en el siguiente artículo veremos como activar ESNI y DoH para dificultar que un tercero observe o trafique con nuestro historial de navegación.

• La primera parte del artículo será una introducción básica al SSL (ahora llamado TLS). 
• La segunda parte Activar Esni Y DoH en Firefox (el único navegador que lo soporta, por el momento) y en Windows 10
• La tercera y última parte DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT) en Windows 10, Linux, Android, Google Chrome y Microsoft Edge

Principios Básicos

SSL

TLS 1.3, que ofrece mejoras de funcionamiento (velocidad) y seguridad adicionales, fue aprobado por Internet Engineering Task Force (IETF, por sus siglas en inglés) en 2018.

TLS 1.3

• Velocidad (handshake,  “zero round trip time”. (0-RTT).)

Activar ESNI y DoH en Firefox para proteger nuestra privacidad

¿POR QUÉ EL SNI REVELA LAS WEB QUE VISITAMOS AUNQUE ESTEMOS USANDO DoH? 

Cuando introducimos una URL en el navegador que usa el protocolo https y presionamos la tecla enter se produce un intercambio de información entre nuestro navegador y el servidor web que queremos visitar (TLS handshake). El proceso inicial de intercambio de información entre cliente y servidor está sin cifrar e incluye la totalidad de datos necesarios para que entre nuestro navegador y el servidor web se pueda establecer una comunicación cifrada. Estos datos incluyen los tipos de cifrado que soporta nuestro navegador, un número de cliente, el SNI, etc. 

El SNI que acabamos de citar no es más que la URL que queremos visitar y se envía del cliente al servidor sin cifrar. Por lo tanto nuestro proveedor de Internet, gobiernos y empresas de seguridad tendrán la posibilidad de interceptarlo y saber la web que que estamos visitando.

Por lo tanto el SNI informa sobre la URL que queremos visitar antes que se finalice el TLS handshake y como está sin cifrar es un claro problema de privacidad y seguridad.

¿QUÉ HACEN LAS EMPRESAS Y ENTES QUE INTERCEPTAN NUESTRO SNI? Normalmente los ISP, gobiernos o empresas de seguridad contratadas por terceros pueden capturar los SNI para los siguientes fines: 

• Elaborar historiales de navegación con fines publicitarios o para simplemente venderlos a terceros y ganar dinero. 
• Bloquear el acceso a determinadas páginas web. Los proveedores de Internet (ISP) pueden conocer las web que queremos visitar antes de iniciar la conexión, por lo tanto pueden implementar reglas para bloquear el acceso a todos sus clientes a una determinada página web.
• Conocer las páginas web visitadas por un usuario para posteriormente enviarlas a una autoridad competente como por ejemplo la policía, un juez, etc.

Server Name Indication - SNI vs E-SNI

ESNI (TLS 1.3)

Activar Esni Y DoH en Firefox

Activar DoH «DNS over HTTPS» en Firefox

Hay dos maneras de hacerlo:

network.trr.mode

 Cambiar de 0 a 2

Con el valor 2, la totalidad de peticiones DNS se realizarán de forma cifrada y solo en el caso que la petición DNS cifrada falle se realizará con los DNS tradicionales. En función del valor que introduzcamos en network.trr.mode obtendremos el siguiente comportamiento según el valor del TRR:

• Valor 0 --> Es el valor que aplica la configuración predeterminada de Firefox. La configuración predeterminada actual de Firefox es que DoH esté desactivado. Por lo tanto la opción 0 es equivalente a la opción 5
• Valor 1 --> DoH está activado. Firefox decidirá si las peticiones DNS se realizan cifradas o sin cifrar en función de la velocidad de resolución de las peticiones DNS.
• Valor 2 --> DoH está activado. Todas las peticiones DNS estarán cifradas excepto en una situación. En el momento que falle una resolución DNS cifrada entonces se intentará resolver la petición DNS mediante los DNS tradicionales sin cifrar. 
• Valor 3 --> Aseguramos que el 100% de peticiones DNS que se realicen estén cifradas. 
• Valor 5 --> Las peticiones se realizarán sin cifrar porque DoH está desactivado.

O bien mediante menú de navegación, en menú Herramientas - Opciones

2. Activar DNS sobre HTTPS 

Es importante activar  soporte "DNS over HTTPS "(also known as “Trusted Recursive Resolver” in Firefox) "Activar DNS sobre HTTPS" en Herramientas -> Opciones --> General --> Configuración de red.

Usar proveedor --> 

• CloudFlare (Predeterminado) https://mozilla.cloudflare-dns.com/dns-query
• NextDNS
• Personalizada (Ver la tabla de arriba Proveedor DoH)

Activar y habilitar Encrypted SNI en Firefox

network.security.esni.enabled

Pasar de false (falso) a true (cierto)

En las nuevas versiones de Firefox hay que utilizar ECH:

network.dns.echconfig.enabled

y

network.dns.use_https_rr_as_altsvc

Con valores "true" 

Comprobar que DoH y ESNI están activados

Para comprobar que las configuraciones realizadas se han aplicado con éxito sugiero que cliquen en el siguiente enlace. Una vez dentro de la web cliquen sobre el botón Check My Browser.

Comprobar:

• https://www.cloudflare.com/ssl/encrypted-sni/
• https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

Las tecnologías analizadas son:

• Secure DNS: una tecnología que cifra las consultas DNS e incluye DNS-over-TLS y DNS-over-HTTPS.
• DNSSEC: tecnología diseñada para verificar la autenticidad de las consultas DNS.
• TLS 1.3: la última versión del protocolo TLS que incluye muchas mejoras y cierra brechas de seguridad de las anteriores.
• Encrypted SNI: siglas de Server Name Indication cifrado que desvela el nombre del hostname durante una conexión TLS. Esta tecnología busca asegurar que sólo pueda filtrarse la dirección IP.

Deberíamos ver algo así:

Increíblemente a día de hoy en Google Chrome no se puede activar ESNI todavía.

Acto seguido se realizarán las siguientes comprobaciones: 

1. Que las peticiones DNS se estén realizando de forma cifrada. 
2. Que nuestro navegador esté correctamente configurado para cifrar SNI (ESNI). 
3. El navegador que estamos usando soporte TLS 1.3. 
4. Que el proveedor que resuelve las peticiones DNS soporte DNSSEC.

A partir Windows 10 versión 1903 o superiores

• Usar TLS 1.3 (experimental)

Registro de Windows

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001

DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT) 

• Windows 10
• Linux
• Android
• Google Chrome - Microsoft Edge

Windows 10 ya tiene DNS over HTTPS en su configuración

Esta posibilidad está disponible a partir de  Windows 10 Insider Preview Build 20185

• Opening the Registry Editor
• Navigate to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters registry key
• Create a new DWORD value named “EnableAutoDoh”
• Set its value to 2

Comprobar funcionamiento DNS DoH en Windows 10

pktmon filter remove
pktmon filter add -p 53
pktmon start --etw -l real-time

Con DNS DoH no debe haber ninguna petición en el puerto 53

Hay que señalar que, si bien tenemos compatibilidad con DNS sobre HTTPS (DoH) desde las versiones preliminares de Windows 10, esta función no está habilitada de forma predeterminada. Si queremos utilizar DoH al realizar consultas de DNS en sus aplicaciones o navegadores, podemos habilitarlo manualmente desde Configuración o ajustando el registro de Windows. 

Si queremos usarlo, debemos de estar en el canal de desarrollo del programa Windows Insider y además tener actualizado el sistema operativo a la compilación 19628 o superior. Para habilitar DNS over HTTPS en versiones en Windows 10, tenemos que seguir estos pasos: 

• En conexiones Ethernet (conexiones por cable de red), abre «Configuración, Red e Internet», y seleccionamos «Estado». Luego hacemos clic en «Propiedades» y seleccionamos «Editar opciones DNS». 
• En las conexiones Wi-Fi (inalámbricas), abre la página de red y hacemos clic en el enlace de propiedades del adaptador, y, a continuación, seleccionamos «Editar opciones DNS». Una vez realizadas estas operaciones aparecerá una pantalla como esta:

El Protocolo DNS-over-TLS en Linux (systemd)

Las versiones más recientes de Ubuntu emplean un servicio especial para la resolución de nombres llamado «system-solve.service(8)». El archivo de configuración «resolved.conf(5)» especifica la mayoría de los detalles para la resolución de nombres, incluyendo qué protocolos y resolvedores se deben emplear

La configuración predeterminada de «systemd-solve» se selecciona en el tiempo de compilación, y «/etc/systemd/resolved.conf» contiene normalmente líneas comentadas que describen estos valores predeterminados

Como puede deducirse del archivo, el protocolo DNS-over-TLS (DoT) es compatible, pero está deshabilitado por defecto. En el momento de escribir este artículo, solo se admite el DoT oportunista según el manual, lo que significa que el resolvedor primero intentará resolver el problema utilizando el DoT antes de volver a la DNS tradicional en caso de fallo, permitiendo así ataques de descenso de categoría cuando un atacante provoque intencionadamente un fallo del DoT con el fin de hacer que la resolución de nombres se reduzca a la DNS tradicional.

Decidimos probar con el DoT cambiando tres variables de configuración en «/etc/systemd/solve.conf’:»

• Pusimos «DNS» en la dirección IP del servidor DoT
• Establecimos «DNSOverTLS» como «oportunista»
• Configuramos «Domains» como «~».

La variable «DNS» contiene la lista de direcciones IP que corresponden al resolvedor recurrente del DoT (aquí puede encontrar una lista de resolvedores recurrentes públicos).

El ajuste de “DNSOverTLS” como “oportunista” activa el DoT en modo oportunista – esto significa que el DoT se empleará si es posible, pero el resolvedor simple volverá a la DNS tradicional si falla.
Por último, establecer «Domains» como «~.» programa a «systemd-resolved» para que prefiera el servidor de nombres especificado antes que cualquier servidor DNS por vínculo que esté disponible. Esta es una configuración importante, ya que de lo contrario un resolvedor DNS no DoT por vínculo podría tener prioridad sobre el resolvedor DoT.

Android

A partir de Android 9 (Pie) podemos hacer uso de esta nueva característica llamada "DNS Privado" 

Android 9, la versión del sistema operativo móvil de Google, ya sí que cuenta con soporte para este nuevo protocolo de seguridad gracias a la nueva función “Private DNS Mode” incluida en esta actualización. Private DNS Mode nos permite hacer uso en nuestro smartphone de la seguridad de DNS-over-TLS de forma nativa, sin depender de una VPN ni ninguna otra configuración más que especificar el servidor como tal.

“Ajustes > Redes e Internet“. Dentro de las opciones de red que nos aparecen aquí, en el apartado “Avanzado”, podremos ver una opción llamada “DNS Privado“. Esta es la opción que nos interesa.

Para usar los DNS privados de Google, debemos introducir en este apartado: 

dns.google

Para usar los DNS privados de Cloudflare, la dirección que debemos introducir en este apartado es:

 

1dot1dot1dot1.cloudflare-dns.com

“Settings” and then “Network & Internet”. At the bottom, you should see an “Advanced” option. Open up the “Advanced” options and you should see a “Private DNS” option. S

dns-tls.qis.io

1. Go to Settings –> Network & Internet –> Advanced –> Private DNS.
2. Select the Private DNS provider hostname option.
3. Enter dns.quad9.net and select Save.

 dns.quad9.net

Versiones anteriores Android 9 

Versiones anteriores de Android. Los dispositivos que ejecutan versiones anteriores a Android 9 no admiten DNS sobre TLS y no pueden configurar DNS privados para todas las redes. Puede configurar DNS para cada red WiFi individual que use. Esto requiere configurar toda la información de la red manualmente y solo se recomienda para usuarios avanzados. Sin embargo existe una app, Warp de CloudFlare para facilitar la tarea.

• https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone

 

Google Chrome

Antes era necesario activar un "flag", escribiendo en la barra del navegador a partir de Chrome 78 o superior:

chrome://flags/#dns-over-https

Secure DNS lookups

 

Enables DNS over HTTPS. When this feature is enabled, your browser may try to use a secure HTTPS connection to look up the addresses of websites and other web resources. – Mac, Windows, Chrome OS, Android

#dns-over-https

En Microsoft Edge basado en Chromium es exactamente lo mismo. Tienes que abrir Edge y escribir edge://flags/#dns-over-https en la barra de búsqueda. Entrarás en los Flags de Edge, y te aparecerá seleccionada la opción Secure DNS lookups. Lo que tienes que hacer es pulsar en la derecha donde pone Default y seleccionar la opción Enabled.

Pero ahora está opción ya no existe, a partir de Chrome 83

Debemos ir a Configuración, Seguridad (Configuración Avanzada) y ya aparece el menú por defecto de "Usar DNS seguro"

• https://blog.chromium.org/2020/05/a-safer-and-more-private-browsing-DoH.html

Fuentes:

https://geekland.eu/activar-esni-y-doh-en-firefox/