TLS es el protocolo que cifra su tráfico a través de un canal de comunicación no confiable, como cuando navegas su correo electrónico en la red inalámbrica de una cafeteria. Incluso con TLS, todavía no hay forma de saber si su conexión con el servidor DNS ha sido secuestrada o si está siendo rastreada por un tercero. Esto es importante porque un mal actor podría configurar un punto de acceso WiFi abierto en un lugar público que responda a consultas de DNS con registros falsificados para secuestrar conexiones a proveedores de correo electrónico comunes y bancos en línea. DNSSEC resuelve el problema de garantizar la autenticidad firmando respuestas, haciendo que la manipulación sea detectable, pero deja el cuerpo del mensaje legible por cualquier otra persona en el cable.

DNS sobre HTTPS / TLS resuelve esto. Estos nuevos protocolos aseguran que la comunicación entre su dispositivo y el sistema de resolución esté encriptada, tal como esperamos del tráfico HTTPS.

Sin embargo, hay un último paso inseguro en esta cadena de eventos: la revelación de la SNI (indicación del nombre del servidor) durante la negociación inicial de TLS entre su dispositivo y un nombre de host específico en un servidor. El nombre de host solicitado no está cifrado, por lo que los terceros aún pueden ver los sitios web que visita. Tiene sentido que el paso final para asegurar completamente su actividad de navegación implique el cifrado de SNI, que es un estándar en curso en el que va varias organizaciones se han unido para definir y promover.

No todos los servidores públicos soportan DNS-over-TLS. Dentro de los que sí lo aplican nos encontramos con Cloudflare, Quad9, Google y CleanBrowsing que implementan esta medida de seguridad desde 2019.

 

DNS a través de HTTPS: tu historial de navegación a salvo, y dí adiós a los bloqueos de páginas web

¿Qué servidores DNS podemos utilizar que son compatibles con DNS over HTTPS?

• Google: la URL que deberemos introducir es «https://dns.google/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.

https://dns.google/dns-query

• Cloudflare: la URL que deberemos introducir es «https://cloudflare-dns.com/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.

https://cloudflare-dns.com/dns-query

• Quad9: la URL que deberemos introducir es «https://dns.quad9.net/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.

https://dns.quad9.net/dns-query

Otros:

• https://doh.powerdns.org
• https://doh.opendns.com/dns-query
• https://doh.powerdns.org/
• https://doh.securedns.eu/dns-query

• Listado: https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-available-servers

Mozilla Firefox

Cuando el soporte DoH está habilitado en Firefox, el navegador ignorará la configuración de DNS establecida en el sistema operativo y usará la resolución DoH establecida por el navegador.

Firefox > Opciones > General > Configuración de red > Configuración > Activarr DNS sobre HTTPS. NextDNS o CloudFlare como proveedor o bien uno personalizado.

Si utilizas Firefox en Windows, simplemente tendremos que entrar en la sección de «Herramientas / Opciones / General / Configuración de red,  "Activar DNS sobre HTTPS" y elegir un servidor «personalizado», y a continuación, introducir la siguiente URL:
 

Ejemplo LibreDNS:

https://doh.libredns.gr/dns-query

En el caso de que quieras configurar DNS over TLS, tendrás que utilizar los siguientes datos:

• IP: 116.203.115.192
• Puerto: 853

Marcar opción "Activar DNS sobre HTTPS"

about:config

• network.trr.bootstrapAddress:(empty)
• network.trr.mode: 3
• network.trr.uri: https://mozilla.cloudflare-dns.com/dns-query
• network.security.esni.enabled

network.trr.mode ->

• 0: Desactivado por defecto
• 1: Firefox elegirá en función de cual es más rápido
• 2: La resolución será sobre https preferentemente, pero pedirá por DNS normal si falla TRR
• 3: Sólo resolución sobre https, no hay fallback a DNS
• 5: Cualquier petición sobre https (TRR) desactivada

TRR es Trusted Recursive Resolver
network.trr.uri ->

• mozilla.cloudflare-dns.com/dns-query
• https://dns.google.com/experimental
• https://dns.quad9.net/dns-query

Activar soporte experimental para el SNI cifrado:

network.secure.esni.enabled -> true

Google Chrome

Escribimos en la barra del navegador a partir de Chrome 78 o superior:

chrome://flags/#dns-over-https

Secure DNS lookups

#dns-over-https

En Microsoft Edge basado en Chromium es exactamente lo mismo. Tienes que abrir Edge y escribir edge://flags/#dns-over-https en la barra de búsqueda. Entrarás en los Flags de Edge, y te aparecerá seleccionada la opción Secure DNS lookups. Lo que tienes que hacer es pulsar en la derecha donde pone Default y seleccionar la opción Enabled.

Servidores DNS normales (no seguros ni privados)

Google

Empezamos por la DNS pública de Google, un servicio gratuito y global que podemos usar como alternativa a los servidores DNS que nos facilita por defecto nuestro proveedor de internet. Aquí encontrarás toda la información disponible, aunque para usar estos servidores DNS tan solo necesitas configurar las direcciones IP correspondientes.

Entre sus principales ventajas, los servidores DNS de Google son más rápidos que la media, es decir, que tienen menos latencia. Por otro lado, ofrecen seguridad ya que están preparados para hacer frente a ataques de caché, ataques DDoS y similares. Y, cómo no, son gratuitos.

• Las direcciones IP de la DNS pública de Google son:  8.8.8.8 y 8.8.4.4
• También tiene direcciones IPv6: 2001:4860:4860::8888 y 2001:4860:4860::8844

OpenDNS

Segunda recomendación. En esta ocasión, OpenDNS es propiedad de Cisco y ofrece distintos servicios. Entre ellos, sus propios servidores DNS. En el apartado de seguridad y fiabilidad, en su página oficial dice que desde 2006 ha bloqueado más de 7 millones de dominios maliciosos y direcciones IP. También ha identificado más de 60.000 direcciones maliciosas nuevas a diario. Y satisface más de 620.000 millones de peticiones diarias.

• Las direcciones IP de OpenDNS son: 208.67.222.222 y 208.67.220.220
• También tiene direcciones IPv6: 2620:119:35::35 y 2620:119:53::53
  

 

Cloudflare

Cloudflare te sonará porque habrás visto su logotipo en alguna ocasión al intentar acceder a una página web y te da problemas. Se trata de un proveedor de servicios web como hospedaje, CDN y otros. Su labor es básicamente hacer que la Web sea más robusta, rápida y segura. Y aunque la mayoría de sus servicios son de pago, dispone de su propia DNS gratuita para que utilice cualquiera en todo el mundo.

Entre sus características, además de gratuidad y seguridad, permite configurar la DNS manualmente o a través de sus aplicaciones oficiales. Tiene app para Android, iOS, macOS, Windows y Linux.

• Las direcciones IP de Cloudflare son: 1.1.1.1 y 1.0.0.1
• También tiene direcciones IPv6: 2606:4700:4700::1111 y 2606:4700:4700::1001

Quad9

Quad9 es una fundación sin ánimo de lucro, con sede en Suiza, y que está centrada en la promoción y protección de la privacidad y la seguridad en internet. Y entre sus múltiples servicios, ofrece un DNS público y gratuito para que configures en cualquiera de tus dispositivos conectados.

En su página oficial destaca varias cifras interesantes, como que bloquea a diario más de 220 millones de ataques y cuenta con 183 clústeres de servidores activos en 90 países. Con esto garantiza la protección ante malware, phishing, spyware, redes de bots y, al mismo tiempo, acceso a internet rápido estés donde estés.

• Las direcciones IP de Quad9 son: 9.9.9.9 y 149.112.112.112
• También tiene direcciones IPv6: 2620:fe::fe y 2620:fe::9

AdGuard DNS

La empresa AdGuard ofrece tres servicios principales: DNS, VPN y bloqueo de publicidad. Y aunque son de pago, también nos facilita un servidor DNS gratuito o público para usar libremente en nuestros dispositivos. Entre sus particularidades, bloquea publicidad y trackers.

• Las direcciones IP de AdGuard DNS son: 94.140.14.14 y 94.140.15.15
• También tiene direcciones IPv6: 2a10:50c0::ad1:ff y 2a10:50c0::ad2:ff

 

Control D

Si necesitas servidores DNS para usos específicos, Control D ofrece una buena selección de servidores DNS, propios y de terceros. Los hay enfocados a distintos ámbitos: protección para malware, bloqueo de publicidad y tracking, redes sociales, bloqueo de contenido para adultos y desbloqueo de dominios censurados. 

Aquí tienes la lista completa de servidores DNS de Control D. Y estos son los servidores DNS por defecto para uso general: 76.76.2.0 y 76.76.10.0

También tiene direcciones IPv6: 2606:1a40:: y 2606:1a40:1::

Comodo Secure DNS

Comodo es una firma de seguridad que cuenta con un surtido de software y aplicaciones como cortafuegos, antivirus, etc. En su paquete de servicios también encontramos servidores DNS, de pago y gratuitos. La versión gratuita filtra contenido web de más de 80 categorías y satisface más de 300.000 peticiones al mes.

Las direcciones IP de Comodo Secure DNS son: 8.26.56.26 y 8.20.247.20

Verisign

Verisign es un nombre conocido en todo el mundo por sus servicios de certificados online. Pero en su cartera de productos también hay registro de dominios y, en el caso que nos ocupa, servidores DNS. Cuenta con 13 servidores gratuitos que ofrecen conexiones rápidas y seguras desde cualquier parte del mundo.

Las direcciones IP de las DNS de Verisign son: 64.6.64.6 y 64.6.65.6

 DNS privados: el futuro de la privacidad en internet: DoH, DoT y DoQ

Cómo funciona DNS over HTTPS ( DoH )

El principal problema con el DNS convencional es que las consultas se envían completamente sin cifrar a través de la red, lo que facilita a los "fisgones" ver qué sitios se están visitando.

La información del dominio visitado estaría disponible para cualquier persona con un mínimo acceso a nuestra red . Esto podría incluir nuestro ISP, el gobierno o cualquier persona en la misma red Wi-Fi que ejecute un rastreador de paquetes como WireShark.

 Sin embargo, con DoH, el tráfico de DNS se envía a través de un túnel encriptado usando HTTPS, la misma tecnología que se usa para encriptar el contenido real de nuestra sesiones de navegación. La siguiente captura muestra cómo se ven las comunicaciones DoH para los intrusos potenciales.

 

Ventajas y diferencias DoT / DoH / DoQ

Adopción de DNS over QUIC ( DoQ )

Uno de los más interesantes y recientes estudios sobre DNS over Quic fue publicado hace unos días y el mismo nos revela importantes e interesantes conclusiones.

Para tratar la adopción de DoQ en Internet, los técnicos de la Universidad de Munich, comenzamos escaneando el espacio de direcciones IPv4 en busca de resolutores de DoQ, utilizando todos los puertos propuestos (UDP/784, /853 y /8853), en el transcurso de 29 semanas, desde el 5 de Julio de 2021 hasta finales de Marzo que fue la publicación. Para ello, fueron usaron, y apuntar para el repositorio, este conjunto de aplicaciones:

1. ZMap DoQ: ZMap packet for DoQ identification
2. Verify DoQ: Verification of DoQ services
3. Misc DNS Measurements: Registra DoQ negociado, así como la versión QUIC y el certificado X.509
4. DNSPerf: Biblioteca de medición de rendimiento para DoQ, DoUDP, DoTCP, DoT y DoH

La cantidad de resolutores verificadas por DoQ aumenta constantemente semana tras semana, comenzando con 833 resolutores en la semana 27 de 2021, que termina en un aumento del 46,1 % a 1217 resolutores verificados en la semana 3 de 2022. Tras añadir por parte de estudio, soporte para la versión 1 de QUIC en la semana 43, se observa un uso constante de DoQ Draft 02/QUIC 1 (barras azul oscuro), lo que creo es muy esclarecedor del panorama que se nos viene.

DNS over QUIC promete mejorar los protocolos DNS cifrados establecidos al aprovechar el protocolo de transporte QUIC. En el estudio, se observa una adopción lenta pero constante de DoQ en los resolutores en todo el mundo, donde las fluctuaciones observadas semana tras semana reflejan el desarrollo continuo y el proceso de estandarización con implementaciones y servicios que cambian rápidamente.

Las organizaciones invierten mucho tiempo, dinero y esfuerzo en asegurar sus redes. Según la Unidad 42 de investigación de amenazas de Palo Alto Networks, aproximadamente el 85 % del malware utiliza DNS para establecer un canal de comando y control, lo que permite a los adversarios una ruta fácil para insertar malware en una red y extraer datos.

 

Activar DNS over HTTPS en Google Chrome o Brave

Brave esta basado en Chronium , por lo que aunque el ejemplo sea de Brave, la forma de activar DNS over HTTPS, será igual en Chrome, con alguna consideración. Para poder utilizar DNS sobre HTTPS (DoH) debemos tener al menos la versión 83 del navegador.

Si queremos habilitar DoH en Brave / Google Chrome tenemos que ir a configuración. A continuación y abrir el apartado de Privacidad y seguridad.

Tras hacer clic en Seguridad. En configuración avanzada buscamos "Usar un DNS seguro". En nuestro caso y tras el ultimo ejemplo usado, podéis ver la configuración de CloudFlare.

 

Si no te aparece el menú anterior para configurar DoH, como se trata de una función experimental y depende de la versión, podríamos habilitarla así:

1. Escribimos chrome://flags/#dns-over-https en la barra de direcciones y pulsamos en enter.
2. Buscamos Secure DNS lookups y pulsamos en Enabled.
3. Reiniciamos Chrome y seguimos los pasos anteriores.

De las opciones que tenemos disponibles, encontramos entre las predeterminadas ::

•  Cloudflare, Google y Quad9 

Activar DNS over HTTPS en Firefox

Otro de los navegador más famosos y que ya admite DNS sobre HTTPS (DoH) es Firefox ( Aunque le costó algo ). Para activarlo:

1. Vamos a la configuración.
2. En «buscar» ponemos DoH o DNS sobre HTTPS ( si lo teneis en ingles, con el over ) y os saldrá el apartado configuración de red. Allí pulsaremos el botón que está a la derecha y que pone configuración.

 Posteriormente buscaremos "Activar DNS sobre HTTPS ". La variedad de la que disponemos en Firefox, es bastante menor en comparación con Brave / Chrome. Si embargo, también podemos poner un servidor DoH seleccionando la opción "Personalizada".

 

Activar DNS over HTTP (DoH) en Windows 11

Con la creciente adopción de Windows 11 , y viendo lo que paso con la adopción de Windows 10, creo que es necesario tratarlo tambien en dicho sistema operativo, de donde tomara los ajustes Edge.

Si clickamos en el Botón de inicio , debemos seleccionar o buscar "Ajustes" desde el menú Inicio. También podemos usar las teclas WIN + I, que nos llevara directamente al mismo punto.

 

 Una vez en Ajustes, debemos ir al menú lateral izquierdo, en la parte de “red e internet" , seleccionando en el menú lateral del lado derecho la red que estemos usando, ethernet o Conexión inalámbrica, en Propiedades .

 

Comprobando nuestra privacidad DoH / DoT

Cloudflare ofrece una página web que puede verificar el estado de nuestra configuración. Cuando visitemos la página, si hacemos clic en "Verificar mi navegador", se mostrarán las medidas de seguridad aplicadas y las que faltarían.

 

Fuentes: 

https://hipertextual.com/2023/04/mejores-dns-gratis