Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin también soporta DNS sobre TLS (DoT). Sin embargo, que Unbound ya tiene soporte nativo para DoT. Debido al soporte incorporado para DoT, la configuración de DNS sobre TLS se vuelve bastante fácil de implementar.

DNS sobre TLS y DNS sobre HTTPS son dos estándares desarrollados para cifrar el tráfico de DNS en texto plano, con el fin de evitar que agentes maliciosos, anunciantes, ISP y otros puedan interpretar los datos. Siguiendo con la analogía, estos estándares pretenden meter todas las postales que pasan por el correo en sobres, para que cualquiera pueda enviar una postal sin tener que preocuparse de que algún fisgón vea su información confidencial.

¿Qué es el DNS sobre HTTPS?

El DNS sobre HTTPS, o DoH, es una alternativa a DoT. Con DoH, las consultas y respuestas de DNS están encriptadas, pero se envían a través de los protocolos HTTP o HTTP/2, en lugar de hacerlo directamente por UDP. Al igual que DoT, DoH garantiza que los atacantes no puedan falsificar o alterar el tráfico de DNS. El tráfico DoH se parece al resto del tráfico HTTPS (por ejemplo, las interacciones normales de los usuarios con sitios y aplicaciones web) desde la perspectiva de un administrador de red.

En febrero de 2020, el navegador Mozilla Firefox empezó a habilitar por defecto DoH para los usuarios de EE. UU. Las consultas de DNS desde el navegador Firefox están encriptadas por DoH y van a Cloudflare o NextDNS. Otros navegadores también son compatibles con DoH, aunque no está activado por defecto.

DNS sobre TLS es otra forma de cifrar las peticiones DNS. Algunas de las diferencias entre DoT y DoH son que DoT utiliza UDP y el puerto 853 mientras que DoH utiliza TCP y el puerto 443. Las peticiones DNS enviadas a través de DoH se mezclarán con otro tráfico HTTPS mientras que las DNS a través de DoT serán más perceptibles en el puerto 853. Ambos métodos deberían proporcionar niveles similares de seguridad. Sin embargo, la opción DoH puede proporcionar cierto aumento de la privacidad. Para aquellos que quieran monitorizar sus redes, DoT puede ser una mejor opción ya que ese tráfico está separado del resto del tráfico web HTTPS.

Añadir los servidores DoT a Unbound

Para configurar DNS sobre TLS en OPNsense, ves a la página «Servicios > DNS sin consolidar > DNS sobre TLS». Verás la página vacía la primera vez que la visite. Haz clic en el botón «+» para añadir un nuevo servidor DNS sobre TLS. Vamos a utilizar los servidores DNS de Cloudflare como ejemplo, pero debería funcionar con cualquier servidor DoT.

Puedes dejar la casilla «Dominio» vacía a menos que desee que las consultas para un dominio específico utilicen un servidor DNS diferente. Puede haber situaciones en las que esto sea útil, pero si lo deja en blanco, todas las consultas DNS utilizarán el servidor DNS especificado. Introduce 1.1.1.1 para la «IP del servidor» y 853 para el «Puerto del servidor». La opción «Verificar CN» no es necesaria pero sí muy recomendable para validar el Nombre Común en el certificado del servidor DoT. Ayuda a mejorar la seguridad asegurando que se está conectando al servidor deseado y no a un servidor «man in the middle». Para el servidor 1.1.1.1, el CN es cloudflare-dns.com. Encontré los valores adecuados para la opción «Verificar CN» en un post del foro OPNsense.

Tras hacer clic en «Guardar», verás que el servidor aparece en la lista. Debes hacer clic en el botón «Aplicar» para que los cambios surtan efecto.

Antes de aplicar los cambios, debes añadir la dirección DNS secundaria 1.0.0.1, así como añadir las direcciones del servidor DNS IPv6 (2606:4700:4700::1111 y 2606:4700:4700::1001) si utilizas IPv6 en su red. A continuación puedes ver cómo debería ser un servidor mínimamente completo, ya que debería especificar un servidor secundario tanto para los servidores DNS IPv4 como para los IPv6.

Cloudflare ofrece alternativamente servidores DNS que bloquean el contenido malicioso y el contenido malicioso más el contenido para adultos. Para utilizar estos servidores, sólo tiene que utilizar direcciones IP diferentes. También necesita utilizar un valor CN diferente. Utilice la siguiente tabla en lugar de los valores de este ejemplo si desea utilizar el DNS filtrado proporcionado por Cloudflare. El puerto es 853 para todos los servidores DoT por lo que no incluyo ese valor en la tabla:

Cloudflare DNS

Public DoT DNS Resolvers

Hosted by	Server IP	Server Port	Verify CN
Google	8.8.8.8	853	dns.google
Google	8.8.4.4	853	dns.google
Google	2001:4860:4860::8888	853	dns.google
Google	2001:4860:4860::8844	853	dns.google
Cloudflare	1.1.1.1	853	cloudflare-dns.com
Cloudflare	1.0.0.1	853	cloudflare-dns.com
Cloudflare	2606:4700:4700::1111	853	cloudflare-dns.com
Cloudflare	2606:4700:4700::1001	853	cloudflare-dns.com
Cloudflare Security	1.1.1.2	853	security.cloudflare-dns.com
Cloudflare Security	1.0.0.2	853	security.cloudflare-dns.com
Cloudflare Security	2606:4700:4700::1112	853	security.cloudflare-dns.com
Cloudflare Security	2606:4700:4700::1002	853	security.cloudflare-dns.com
Cloudflare Family	1.1.1.3	853	family.cloudflare-dns.com
Cloudflare Family	1.0.0.3	853	family.cloudflare-dns.com
Cloudflare Family	2606:4700:4700::1113	853	family.cloudflare-dns.com
Cloudflare Family	2606:4700:4700::1003	853	family.cloudflare-dns.com
Quad9	9.9.9.9	853	dns.quad9.net
Quad9	149.112.112.112	853	dns.quad9.net
Quad9	2620:fe::fe	853	dns.quad9.net
Quad9	2620:fe::9	853	dns.quad9.net
AdGuard DNS	94.140.14.14	853	dns.adguard-dns.com
AdGuard DNS	94.140.15.15	853	dns.adguard-dns.com
AdGuard Family Protection DNS	94.140.14.15	853	family.adguard-dns.com
AdGuard Family Protection DNS	94.140.15.16	853	family.adguard-dns.com
CleanBrowsing DNS	185.228.168.168	853	family-filter-dns.cleanbrowsing.org
CleanBrowsing DNS	185.228.169.168	853	family-filter-dns.cleanbrowsing.org

Configuración DNS del Sistema

Para utilizar únicamente DNS sobre TLS para todas las consultas DNS de toda la red, incluido el propio sistema OPNsense, deberás asegurarte de no tener especificado ningún servidor DNS en la página «Sistema > Configuración > General», así como de no tener marcadas las opciones «Permitir que DHCP/PPP anule la lista de servidores DNS en la WAN» y «No utilizar el servicio DNS local como servidor de nombres para este sistema».

Si tienes alguna de estas opciones activadas, en OPNsense y/o la red utilizarán DoT y los servidores DNS que estén en la lista o proporcionados a través de DHCP en la interfaz WAN, que es probablemente lo que no quiere que ocurra.

Probar la configuración de DoT

Cloudflare tiene una página web en su 1.1.1.1 sitio web en el que se puede probar si DoT o DoH está actualmente en uso si estás usando Cloudflare. Tienes que actualizar la página después de la primera comprobación para que mostrara «Sí» para el uso de «1.1.1.1» y mostrar «Sí» para «DoT». A veces te obliga a actualizar la página varias veces. No estoy seguro de por qué tuve que hacerlo, pero una vez que lo hice, las siguientes actualizaciones mostraron sistemáticamente «Sí» para «DoT». Tal vez la prueba devuelve prematuramente «No» antes de que esté completamente completa.

Además, esa página de prueba puede comprobar adicionalmente si el navegador tiene activada su propia configuración de DoT o DoH. Por ejemplo, mis resultados en los navegadores Chrome y Brave sólo muestran el uso de DoT.

Una mejor manera de comprobar si las consultas DNS se están enviando a través del puerto 853 sería ir a «DNS no enlazado > Avanzado» y cambiar el nivel de registro a 2 o superior. Asegúrate de que la casilla «Registrar consultas» también está marcada. A continuación, haga clic en «Guardar». Asegúrese de «Aplicar cambios» en la parte superior de la página para que los cambios surtan efecto.

Deberías ver algunas respuestas de los servidores DNS de Cloudflare en el puerto 853:

Si deseas ver qué servidor(es) DNS está utilizando OPNsense, puedes realizar algunas búsquedas DNS yendo a «Interfaces > Diagnósticos > Búsqueda DNS» y ver qué servidor DNS se está utilizando.

Puede que sólo veas 127.0.0.1 cuando utilices DNS sobre TLS. Esto significa que está utilizando el servidor DNS local de Unbound para las búsquedas DNS, que sólo debería estar utilizando los servidores DNS sobre TLS (asumiendo la correcta configuración DNS del sistema mencionada en la sección anterior). Para verificar que esto es cierto, puedes ver los registros de DNS sin vincular como se mencionó anteriormente después de realizar una búsqueda de DNS en la página «Búsqueda de DNS».

El soporte nativo para DoT hace que el proceso sea bastante sencillo. Si quieres ir más allá, puedes redirigir todas las peticiones DNS del puerto 53 que salgan de tu red a tu servicio DNS Unbound para que también utilice DoT. Además, si sólo quieres usar DoT, puedes usar una lista pública de bloqueo DNS para intentar reducir la cantidad de tráfico DNS sobre HTTPS tanto como sea posible (en caso de que tengas aplicaciones/dispositivos maliciosos que cifren todo el tráfico DNS sobre HTTPS para evitar tus filtros DNS o para proporcionar sus propias características de seguridad integradas).

Fuentes:

https://homenetworkguy.com/how-to/configure-dns-over-tls-unbound-opnsense/