Pihole en la nube con NextDNS. Tu Internet más segura en Windows, Linux, Mac, etc


Para todos aquellos que no quieren o no pueden instalar un Pihole, hay una alternativa muy interesante que nos puede ayudar llevándonos muy pocos minutos en su configuración. El servicio se llama NextDNS y es gratuito hasta un número de peticiones y luego pasa a tener un coste, suficientemente bajo como para no desecharlo como opción.



¿Que es NextDNS?

NextDNS es un servicio DNS como puede ser 8.8.8.8 de Google o 1.1.1.1 de Cloudfare, pero que tiene la particularidad de ofrecernos listas de bloqueo (blocklist), detección de malware, phishing, filtros de contenido y parental. Digamos que nos ofrece las capacidades de OpenDNS y de Pihole con la simplicidad de que no requerimos instalar nada más que cambiar nuestras DNS por las suyas.
A diferencia de un bloqueador de publicidad tradicional, que se instala en el navegador de Internet como Ublock Origin, este tipo de soluciones afecta a TODO lo que este conectado a Internet y por tanto es una solución mucho más general.
NextDNS incluye muchas características que nos hacen que sea una solución tan rápida como usar el DNS de nuestro operador de Internet, pero con la ventaja de que nos da muchas funcionalidades importantes, siendo la privacidad una de ellas pues nuestros datos no son vendidos ni comercializados,

Para asegurar nuestra privacidad, los logs de las peticiones realizadas,  pueden ser borrados segun nuestros propio criterio y almacenarlos en Estados Unidos, Union Europea o Suiza, siendo este último el más seguro.

¿Como configuramos NextDNS?

Lo primero será crearnos una cuenta en el sistema, entrando en NextDNS y registrándonos con un email y contraseña que nos permitirán en un futuro configurar el DNS. Una vez realizado el registrados veremos el panel de control del servidor DNS.

Los servidores DNS que debemos configurar en el DHCP del router se muestran en el panel de control de NextDNS, asociados al ID, de manera que con el mismo usuario podríamos usar otra ubicación, esto lo gestionamos en la pestaña Settings.




Una característica de casi todas los operadores de Internet es que la IP pública cambia cada cierto tiempo o cada vez que apagamos o reiniciamos el router, por tanto para que NextDNS pueda realizar el seguimiento de nuestras peticiones es necesario que de alguna forma el sistema conozca cual es nuestra nueva IP.
Por ejemplo, si vamos a https://www.whatismyip.com/ conoceremos la IP pública de nuestra conexión, ahora bien debemos de asociarla a NextDNS y esto lo hacemos usando el identificador creado cuando nos damos de alta en el servicio, el proceso se llama Linked IP.
En el caso de la captura anterior si entramos en la dirección, https://link-ip.nextdns.io/df8437/f75a028bf0aa2dc2 se actualizará automáticamente la IP y la otra opción es usar un registro de DNS dinámico para que automáticamente se actualicen los valores, si nos fijamos este link contiene el ID de nuestra conexión, df8437.

Una vez dentro debemos activar las opciones mínimas que nos aseguran la privacidad, estas se encuentran en el apartado Segurity







Luego pasaremos a la pestaña de Privacy, donde podemos incluir algunos Blocklist



Finalmente podemos agregar en la pestaña de Parental Control




Pudiendo agregar por categorias, lo que puede venir bien si en una empresa no queremos el acceso a redes sociales o a sitios de P2P...



Pudiendo controlar, también, el que las busquedas  sean siempre por hhtps o que no se puedan usar VPN en nuestra red



Todas son opciones que por defecto debemos activar ya que sino el servicio DNS no sirve de mucha protección.

También disponemos de BlackList y WhiteList para proteger o desproteger algún servicio que se bloquea.

La pestaña Settings nos permite controlar donde queremos guardar nuestros logs y por cuanto tiempo, además en la pestaña Analytics tendremos gráficas e información de las consultas.



Aquí podemos estar tentados a usar Switzerland para guardar los registros DNS, pero esto conlleva el hecho de que nuestra petición DNS pueda pasar de 10ms a 40ms, si esto no nos molesta...es una muy buena opción.

¿Como compara NextDNS con Pihole?

Existen dos funcionalidades importantes que diferencian a estos dos servicios:

  • cobertura dentro y fuera de casa
  • detección de dispositivos localmente

Hay muchas características que tiene NextDNS que Pihole aún no lleva, incluso en su versión beta. Sin embargo las dos destacadas hacen una diferencia clara.

Para poder tener resolución local de los dispositivos, necesitamos instalar los clientes respectivo de cada sistema operativo, incluyendo el ID de cada uno y de esta forma podemos identificarlos en los logs.
La instalación de estos clientes, nos permite usar NextDNS cuando estamos fuera de casa, de forma que la protección que tenemos en casa nos acompaña fuera.







Una vez que hemos marcado la identificación del dispositivo podremos ver en el log como se nos muestra el registro de peticiones.





Si sólo usamos los DNS en nuestro router, no podremos identificar los dispositivos que se conectan, para ello es necesario instalarse las aplicaciones identificándolo con el ID de nuestro perfil.

¿Que DNS estos usando?

Esta simple prueba nos ayuda a conocer cual es el DNS que estamos usando en nuestra conección..
https://www.dnsleaktest.com/








Bueno, espero que estos os ayude a mejorar la seguridad en casa.

Mi experiencia me indica que PIhole es una buena opción si queremos mantener el control, sin embargo a veces puede que se haga lento en algunas peticiones y hay que estar reiniciándolo cada cierto tiempo. Por otro lado, el coste de adquirir una Raspberry Pi  compensa el pago anual del servicio NextDNS por lo que se hace aún más interesante.
 

Saludos

Pedro.