Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon DNS privados: el futuro de la privacidad en internet: DoH, DoT y DoQ


 Estamos cerca de la supremacía en privacidad, no solo Encrypted Client Hello (ECH), si no DoT/DoH/DoQ ayudaran a elegirse entre privacidad o no

 


 

 DNS: resolución de dominios

DNS es el conocido y antiguo protocolo, que carece de todas las formas de ciberseguridad, y sin embargo, es uno de los protocolos más importantes y fundamentales de Internet. Por ello, últimamente estamos viviendo mejoras sobre el mismo, donde por ejemplo, DoT o DoH agregan una capa de ciberseguridad al transporte al protocolo DNS, reutilizar las mismas capas de ciberseguridad que usa HTTPS: TLS. Y es que, tanto DoT ( DNS over TLS ) como DoH ( DNS over HTTPS ) usan TLS.

DoH agrega HTTP/2 entre DNS y TLS para el encuadre. DoT también tiene una capa de tramas heredada de DNS sobre TCP, pero es ridículamente simple en comparación con HTTP/2. Ambos se ejecutan sobre TCP.

QUIC se sumó a la fiesta de la privacidad recientemente . QUIC es una "Stranger Things" que toma TCP, TLS y la capacidad de transmisión de HTTP/2 y los fusiona en un protocolo encriptado nativo implementado sobre UDP. A partir de este nuevo protocolo de transporte, obtenemos dos nuevas variantes: DoQ ( DNS over QUIC ) "tan reciente que no tiene ni entrada en la wikipedia", que es similar a DoT pero utiliza la capacidad de flujo de QUIC en lugar del marco DNS sobre TCP, y DoH3, que es DNS sobre HTTPS/3, siendo HTTP/3 mucho más rápido.

 

Cómo funciona DNS over HTTPS ( DoH )

El principal problema con el DNS convencional es que las consultas se envían completamente sin cifrar a través de la red, lo que facilita a los "fisgones" ver qué sitios se están visitando.

La información del dominio visitado estaría disponible para cualquier persona con un mínimo acceso a nuestra red . Esto podría incluir nuestro ISP, el gobierno o cualquier persona en la misma red Wi-Fi que ejecute un rastreador de paquetes como WireShark.

 Sin embargo, con DoH, el tráfico de DNS se envía a través de un túnel encriptado usando HTTPS, la misma tecnología que se usa para encriptar el contenido real de nuestra sesiones de navegación. La siguiente captura muestra cómo se ven las comunicaciones DoH para los intrusos potenciales.

 

Ventajas y diferencias DoT / DoH / DoQ

  • DoT y DoQ usan puertos personalizados (tcp/853 y udp/8853 respectivamente) que los firewalls pueden bloquear fácilmente, mientras que DoH usa el mismo puerto y protocolo que se usa para todo el tráfico web HTTPS (tcp/443), lo que dificulta el bloqueo o incluso la detección. DoH3 usa udp/443, por lo que es más fácil de bloquear pero aún no se distingue de otro tráfico web que usa este protocolo ( Como es QUIC a secas ), y los clientes compatibles con HTTP/3 tienen la capacidad de recurrir a HTTP/2 cuando esto sucede.
  • El protocolo HTTP/2 utilizado por DoH es significativamente más complejo que el marco básico empleado por DoT. La ventaja de DoH es que la mayoría de las implementaciones de HTTP/2 ofrecen un buen rendimiento, mientras que la mayoría de las implementaciones de DoT conduce a un rendimiento más bajo. Cuando se implementa correctamente, DoT ofrece una menor complejidad, lo que teóricamente puede tener un pequeño impacto positivo en el uso de la batería, pero podría ser una gota en el océano en comparación con TLS. Sin embargo, la diferencia en la latencia no debería ser perceptible.
    DoQ y DoH3, por otro lado, usan el mismo marco proporcionado por el protocolo QUIC, que está muy inspirado en el protocolo HTTP/2. La diferencia en complejidad entre DoQ y DoH3 es, por lo tanto, incluso menor que entre DoT y DoH.
  • Como DoH usa HTTP, cuando se implementa en un navegador, existe la preocupación de tener las mismas capacidades de seguimiento que se usan en la web (user agent, cookies, etc.). Hasta la fecha, todos los clientes populares, incluidos los navegadores, no envían encabezados con fingerprints en la cabecera, se ejecutan sin cookies y ni siquiera envían un agente de usuario.
  • DoQ y DoH3 son más resistentes a la pérdida de paquetes. DoT y DoH se ejecutan sobre una única conexión TCP, lo que significa que, en caso de pérdida de un paquete, todas las consultas o respuestas de DNS después de este paquete deben esperar a que se retransmita el paquete perdido (esto se denomina HoL o Head-of-line blocking). Gracias al diseño de secuencias de QUIC, una sola sesión de QUIC puede transportar varias secuencias individuales. Cada flujo es independiente y la pérdida de un paquete solo afecta al flujo al que está asociado. Tanto con DoQ como con DoH3, cada consulta/respuesta de DNS se aísla en su propio flujo, lo que elimina el problema de bloqueo de encabezado de línea descrito anteriormente. Por lo tanto, dichos protocolos son particularmente adecuados para redes móviles o altamente congestionadas, pero no harán ninguna diferencia sustancial en una red no congestionada. Un inconveniente es que QUIC está todo implementado en el espacio del usuario, y, por lo tanto, requiere más CPU y batería para funcionar que TCP. Esto puede ser un problema para las aplicaciones que hacen un uso intensivo del ancho de banda, pero como el DNS es bastante ligero, la diferencia debería ser insignificante con la mayoría de las implementaciones.
 

Adopción de DNS over QUIC ( DoQ )

Uno de los más interesantes y recientes estudios sobre DNS over Quic fue publicado hace unos días y el mismo nos revela importantes e interesantes conclusiones.

Para tratar la adopción de DoQ en Internet, los técnicos de la Universidad de Munich, comenzamos escaneando el espacio de direcciones IPv4 en busca de resolutores de DoQ, utilizando todos los puertos propuestos (UDP/784, /853 y /8853), en el transcurso de 29 semanas, desde el 5 de Julio de 2021 hasta finales de Marzo que fue la publicación. Para ello, fueron usaron, y apuntar para el repositorio, este conjunto de aplicaciones:

  1. ZMap DoQ: ZMap packet for DoQ identification
  2. Verify DoQ: Verification of DoQ services
  3. Misc DNS Measurements: Registra DoQ negociado, así como la versión QUIC y el certificado X.509
  4. DNSPerf: Biblioteca de medición de rendimiento para DoQ, DoUDP, DoTCP, DoT y DoH

La cantidad de resolutores verificadas por DoQ aumenta constantemente semana tras semana, comenzando con 833 resolutores en la semana 27 de 2021, que termina en un aumento del 46,1 % a 1217 resolutores verificados en la semana 3 de 2022. Tras añadir por parte de estudio, soporte para la versión 1 de QUIC en la semana 43, se observa un uso constante de DoQ Draft 02/QUIC 1 (barras azul oscuro), lo que creo es muy esclarecedor del panorama que se nos viene.

DNS over QUIC promete mejorar los protocolos DNS cifrados establecidos al aprovechar el protocolo de transporte QUIC. En el estudio, se observa una adopción lenta pero constante de DoQ en los resolutores en todo el mundo, donde las fluctuaciones observadas semana tras semana reflejan el desarrollo continuo y el proceso de estandarización con implementaciones y servicios que cambian rápidamente.

Las organizaciones invierten mucho tiempo, dinero y esfuerzo en asegurar sus redes. Según la Unidad 42 de investigación de amenazas de Palo Alto Networks, aproximadamente el 85 % del malware utiliza DNS para establecer un canal de comando y control, lo que permite a los adversarios una ruta fácil para insertar malware en una red y extraer datos.

 

Activar DNS over HTTPS en Google Chrome o Brave

Brave esta basado en Chronium , por lo que aunque el ejemplo sea de Brave, la forma de activar DNS over HTTPS, será igual en Chrome, con alguna consideración. Para poder utilizar DNS sobre HTTPS (DoH) debemos tener al menos la versión 83 del navegador.

Si queremos habilitar DoH en Brave / Google Chrome tenemos que ir a configuración. A continuación y abrir el apartado de Privacidad y seguridad.

Tras hacer clic en Seguridad. En configuración avanzada buscamos "Usar un DNS seguro". En nuestro caso y tras el ultimo ejemplo usado, podéis ver la configuración de CloudFlare.

 


Si no te aparece el menú anterior para configurar DoH, como se trata de una función experimental y depende de la versión, podríamos habilitarla así:

  1. Escribimos chrome://flags/#dns-over-https en la barra de direcciones y pulsamos en enter.
  2. Buscamos Secure DNS lookups y pulsamos en Enabled.
  3. Reiniciamos Chrome y seguimos los pasos anteriores.

De las opciones que tenemos disponibles, encontramos entre las predeterminadas ::

  •  Cloudflare, Google y Quad9 

Activar DNS over HTTPS en Firefox

Otro de los navegador más famosos y que ya admite DNS sobre HTTPS (DoH) es Firefox ( Aunque le costó algo ). Para activarlo:

  1. Vamos a la configuración.
  2. En «buscar» ponemos DoH o DNS sobre HTTPS ( si lo teneis en ingles, con el over ) y os saldrá el apartado configuración de red. Allí pulsaremos el botón que está a la derecha y que pone configuración.

 Posteriormente buscaremos "Activar DNS sobre HTTPS ". La variedad de la que disponemos en Firefox, es bastante menor en comparación con Brave / Chrome. Si embargo, también podemos poner un servidor DoH seleccionando la opción "Personalizada".

 


Activar DNS over HTTP (DoH) en Windows 11

Con la creciente adopción de Windows 11 , y viendo lo que paso con la adopción de Windows 10, creo que es necesario tratarlo tambien en dicho sistema operativo, de donde tomara los ajustes Edge.

Si clickamos en el Botón de inicio , debemos seleccionar o buscar "Ajustes" desde el menú Inicio. También podemos usar las teclas WIN + I, que nos llevara directamente al mismo punto.


 

 Una vez en Ajustes, debemos ir al menú lateral izquierdo, en la parte de “red e internet" , seleccionando en el menú lateral del lado derecho la red que estemos usando, ethernet o Conexión inalámbrica, en Propiedades .

 




DNS IP V4


1. DNS primaria de Google: 8.8.8.8
1. DNS secundaria de Google: 8.8.4.4

2. DNS primaria de Cloudflare: 1.1.1.1
2. DNS secundaria de Cloudflare: 1.0.0.1

3. DNS primaria de Quad9: 9.9.9.9
3. DNS secundaria de Qua9: 149.112.112.112



DNS Para IP V6


1. DNS primaria de Google: 2001: 4860: 4860 :: 8888
1. DNS secundaria de Google: 2001: 4860: 4860 :: 8844

2. DNS primaria de Cloudflare: 2606: 4700: 4700 :: 1111
2. DNS secundaria de Cloudflare: 2606: 4700: 4700 :: 1001



3. DNS primaria de Quad9: 2620: fe :: fe
3. DNS Secundaria de Quad9: 2620: fe :: fe: 9

Comprobando nuestra privacidad DoH / DoT

Cloudflare ofrece una página web que puede verificar el estado de nuestra configuración. Cuando visitemos la página, si hacemos clic en "Verificar mi navegador", se mostrarán las medidas de seguridad aplicadas y las que faltarían. 

 

Fuentes:

https://ciberseguridad.blog/dns-over-tls-https-quic-y-el-futuro-de-la-privacidad/

https://blog.elhacker.net/2020/11/activar-medidas-privacidad-navegador-firefox-chrome-windows10-android-linux-esni-tls-dns-over-tls.html



2 comentarios :

Anónimo dijo...

Como "copiaste" el Articulo de #Ciberseguridad.blog eh.....

el-brujo dijo...

"Citar" no es copiar, siempre que se cite el origen y está puesta la fuente, como siempre, al final del artículo con el enlace correspondiente a CiberSeguridad.blog

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.