DNS más seguros

Hace unos dias me encontré con un articulo que mencionaba un fallo de seguridad en una aplicación VPN que consistía en que permitía que nuestro proveedor de Internet, ISP, pudiera tener acceso a las peticiones de nuestra navegación.

 Vamos por parte y que nos c cuente Copilot que son los DNS:

El Sistema de Nombres de Dominio (DNS) es como el directorio telefónico de Internet. Permite traducir nombres de dominio (como nytimes.com o espn.com) a direcciones IP para que los navegadores puedan cargar los recursos de Internet. Aquí tienes una explicación más detallada:

  • ¿Cómo funciona el DNS?
    • Cuando un usuario quiere cargar una página web, su navegador web debe traducir lo que el usuario escribe (por ejemplo, example.com) a una dirección IP que el ordenador pueda entender para localizar la página web correspondiente.
    • El proceso de resolución de DNS implica convertir un nombre de servidor (como www.example.com) en una dirección IP compatible con el ordenador (como 192.168.1.1).
    • Hay varios componentes involucrados en la carga de un sitio web:
      1. Recursor de DNS: Similar a un bibliotecario que busca un libro específico en la biblioteca. El recursor DNS recibe consultas de equipos cliente (como navegadores web) y realiza solicitudes adicionales para satisfacer la consulta de DNS del cliente.
      2. Servidor de nombres raíz: Es el primer paso para traducir los nombres de servidor legibles en direcciones IP. Se asemeja a un índice en una biblioteca que apunta a diferentes estanterías de libros.
      3. Servidor de nombres TLD (Dominio de Nivel Superior): Se compara con una estantería de libros en una biblioteca. Es el siguiente paso en la búsqueda de una dirección IP específica y aloja la última parte de un nombre de servidor (por ejemplo, en example.com, el servidor TLD es “com”).
      4. Servidor de nombres autoritativo: Similar a un diccionario en una estantería de libros, donde se puede consultar la definición de un nombre específico.

Generado con IA, con tecnología de DALL-E 3


¿Donde esta el problema?

En la privacidad, como siempre son nuestros datos y el uso que se hacen de ellos sin nuestro consentimiento
Tu ISP, o proveedor de servicios de internet, por defecto tiene acceso a todas tus peticiones DNS. Esto se debe a que el servidor DNS que tu dispositivo utiliza normalmente es el proporcionado por tu ISP. Hace tiempo revise este tema.
De aquí que  importante es tener en cuenta que, incluso si tu ISP no tiene acceso a tus peticiones DNS, todavía puede ver qué sitios web estás visitando si no estás utilizando HTTPS.


¿Como lo solucionamos?

Pues lo solucionamos siguiendo las pautas necesarias para activar la encriptación de las peticiones DNS y aquí por suerte tenemos opciones muy simples para ponerlo en práctica.

Para mejorar la privacidad y seguridad en el uso de DNS, considera las siguientes recomendaciones:
  • Cambiar a DNS públicas y seguras:Utiliza servidores DNS públicos en lugar de los predeterminados de tu proveedor de servicios de Internet (ISP).
  • Algunas opciones populares son Cloudflare, Quad9, OpenDNS.

Usar algunos de los métodos de cifrado de tráfico DNS:
  • DNS sobre TLS (DoT): Configura tu dispositivo para usar DoT, que cifra las consultas DNS entre tu dispositivo y el servidor DNS.
  • DNS sobre HTTPS (DoH): Similar al DoT, pero utiliza HTTPS para cifrar las consultas DNS. 
Y por último Verificar que lo hemos hecho bien, que en esencia es consultar esta web y los resultados que nos de sobre nuestra conexión: https://www.dnsleaktest.com/


¿Como configuramos los DNS en los navegadores?

Y ahora la parte fácil.

Cómo configurar los DNS sobre HTTPS en algunos navegadores populares

En Google Chrome:

Haz clic en el botón de menú (representado por tres líneas horizontales) en la esquina superior derecha del navegador.
Selecciona “Configuración” en el menú desplegable.
En la sección “Privacidad y seguridad”, haz clic en “Configuración de sitio web”.
Desplázate hacia abajo y busca “Configuración de DNS”.
Activa la opción “Usar DNS sobre HTTPS”.

En Mozilla Firefox:

Haz clic en el botón de menú (también conocido como el ícono de hamburguesa) en la esquina superior derecha del navegador.
Selecciona “Opciones”.
En la pestaña “General”, baja hasta el apartado “Configuración de red” y selecciona “Configurar”.
En la ventana de “Configuración de conexión”, habilita la casilla “Activar DNS sobre HTTPS”.


En Microsoft Edge:

Abre Microsoft Edge y escribe edge://flags/#dns-over-https en la barra de búsqueda.
Esto te llevará a la sección de “Flags” de Edge, donde verás la opción “Secure DNS lookups” ya seleccionada.


En Safari:

Abre Safari en tu Mac.
Haz clic en Safari en la barra de menú en la parte superior de la pantalla.
Selecciona Preferencias.
Ve a la pestaña Avanzado.
Marca la casilla que dice “Usar DNS sobre HTTPS”.

Recuerda que DNS sobre HTTPS (DoH) es una tecnología que cifra las consultas DNS para mejorar la privacidad y la seguridad al navegar por la web. Al activarlo, tu navegador utilizará conexiones seguras para resolver nombres de dominio.


¿Vale, pero que servidores DNS uso?


Aquí algunas opciones, mis preferidas Cloudflare y NextDNS.

Google:

Direcciones: 8.8.8.8 y 8.8.4.4.
Ventajas: Estabilidad y amplia disponibilidad.

Cloudflare:
Direcciones: 1.1.1.1 y 1.0.0.1.
Ventajas: Velocidades súper rápidas y alto nivel de privacidad.

Quad9 (IBM):
Dirección: 9.9.9.9.
Ventajas: Amplia red de servidores y protección contra el malware.

Comodo Secure DNS:
Direcciones: 8.26.56.26 y 8.20.247.20.
Ventajas: Enfoque en seguridad.

Verisign:
Direcciones: 64.6.64.6 y 64.6.65.6.
Ventajas: Estabilidad y confiabilidad.


Podemos comprobar los cambios que hemos hecho.


Para verificar si estás utilizando DNS sobre HTTPS (DoH) en tu navegador, sigue estos pasos:

Google Chrome:Escribe chrome://net-internals/#dns en la barra de direcciones y presiona Enter.
Busca la sección “DNS over HTTPS” y verifica si está habilitada.


Mozilla Firefox:Escribe about:networking#dns en la barra de direcciones y presiona Enter.
Busca la línea que dice “DNS Over HTTPS” y verifica si está activada.


Microsoft Edge:Escribe edge://net-internals/#dns en la barra de direcciones y presiona Enter.
Busca la sección “Secure DNS lookups” y verifica si está habilitada.


Safari (en Mac):Abre Safari.
Ve a las Preferencias desde el menú Safari.
En la pestaña Avanzado, verifica si la opción “Usar DNS sobre HTTPS” está marcada.


 por último tener en cuenta que estos cambios modifican la navegación, el resto de aplicaciones del ordenador seguirán usando el entorno sin cifrado a menos que emplémos soluciones com como NextDns o Warp de Cloudflare, revisar este post DNS en Windows

Saludos

Pedro