Como configurar los DNS de forma óptima

A raíz de algún comentario por RRSS, hay bastantes personas que, si bien conocen el concepto y la importancia del servicio DNS, presentan dudas en lo concerniente a las distintas formas y sus diferencias a la hora de configurarlos en distintos dispositivos: routers, ordenadores o móviles.

La idea de ésta entrada, es proporcionar una guía simple, práctica y enfocada desde el punto de vista de usuario sobre el tema.

Opciones DNS

Siguiendo las premisas anteriores, una primera diferenciación los segmentaría entre:

  • Configurables
  • No configurables

Los primeros, como puede deducirse fácilmente, son aquellos que además de la resolución de nombres intrínseca a todo servicio DNS, nos permiten añadir pautas a dicha resolución; como permisos (listas blancas), bloqueos (listas negras), seguridad (frente a la manipulación), estadísticas o control parental.

En ésta categoría, destacan en mi opinión NextDNS, RethinkDNS y AdguardDNS.

Respecto a los no configurables, poco que añadir: siempre están en formato Ip (v4 ó v6) resuelven con mayor o menor velocidad y proporcionan mayor o menor privacidad según que empresa ofrezca el servicio.

La segunda diferenciación, vendría en cuanto a la seguridad (cifrado) y privacidad (guardar registro de las peticiones que realizamos y datos del usuario) :

  • DoH (DNS Over Https)
  • DoT (DNS Over TLS)
  • DNSSEC (Extensiones de seguridad DNS)

Empezaremos por la última DNSSEC:

DNSSEC proporciona a los solucionadores de DNS autenticación de origen de datos de DNS, negación autenticada de existencia e integridad de datos, pero no disponibilidad ni confidencialidad.DNSSEC autentica el DNS mediante firmas digitales basadas en criptografía de clave pública. Con DNSSEC, no son las consultas o respuestas de DNS las que están firmadas, sino que los datos de DNS están firmados por el propietario de los datos.

https://ciberseguridad.com

De forma rápida, podemos resumirlo como un conjunto de especificaciones destinadas a paliar las deficiencias de seguridad que presentaba el tráfico DNS desde sus orígenes.

DoH y DoT tienen como finalidad cifrar el tráfico DNS entre cliente y servidor. Aquí pongo la diferencia entre ambos muy bien resumida por la gente de Cloudflare:

La diferencia más importante entre DoT y DoH es el puerto que usan. DoT solo usa el puerto 853, mientras que DoH utiliza el puerto 443, que es el que utiliza también el resto del tráfico HTTPS.Ya que DoT tiene un puerto dedicado, cualquier persona con visibilidad de la red puede ver el tráfico entrante y saliente de DoT, aunque las propias peticiones y respuestas estén encriptadas. En cambio, con DoH, las consultas y respuestas de DNS se camuflan dentro de otro tráfico HTTPS, ya que todo entra y sale del mismo puerto.

Cloudflare

Y respecto a la privacidad también poco que añadir. Al igual que muchos otros servicios, hay proveedores que guardan información ( TODOS los ISPs o Google) y otros que no (Quad, NextDNS, RethinkDNS, OpenDNS, Adguard, etcétera).

Configurar los DNS según nuestras necesidades

Si bien lo más habitual es orientar la configuración DNS según el dispositivo, creo que dicho enfoque le resta eficacia dadas las múltiples posibilidades con que contamos hoy en día, y por tanto, voy a centrarme en dos escenarios y sus variantes según todo lo expuesto hasta el momento:

  • DNS rápido y privado
  • DNS configurable

DNS rápido y privado

  • Escenario

    Simplemente buscamos un servicio DNS que resuelva de forma rápida y privada, mejorando el que nos ofrece nuestro ISP y otras opciones como la de Google.

      • Proveedores
      ProveedorServidores
      Verisign64.6.64.6
      64.6.65.6
      FreeDNS37.235.1.174
      37.235.1.177
      IBM Quad99.9.9.9
      Cloudflare1.1.1.1
      1.0.0.1
      Comodo Secure DNS8.26.56.26
      8.20.247.20
      CyberGhost38.132.106.139
      194.187.251.67
      UncensoredDNS91.239.100.100
      CleanBrowsing185.228.168.168
      185.228.168.169
      OpenDNS Home208.67.222.222
      208.67.220.220
      AdGuard94.140.14.14
      NextDNS45.90.28.238
      45.90.30.238
      • Dónde configurarlo

      Al tratarse de las direcciones ip de los servidores, podemos configurarlo en:

      1. Router (tanto en la parte WAN como en el DHCP)
      2. Configuración DNS ordenador
      3. Configuración DNS móvil
      4. Navegador
      • Configuración óptima

      En el router de nuestro domicilio (siempre que lo permita). Dejamos en blanco lo relativo a DNS en la parte WAN y los configuramos dentro de LAN -> DHCP.

      En el apartado DNS de nuestro terminal móvil.

      DNS configurable

      • Escenario

      Además de las funciones DNS intrínsecas, queremos control para bloquear determinados servicios, empresas, aplicaciones, ips, etcétera. Así como opciones de control parental y estadísticas.

      • Proveedores

      Los tres más recomendables: NextDNS, RethinkDNS y AdguardDNS.

      • Dónde configurarlo

      Por su propia naturaleza, no están disponibles mediante el clásico rango ip. Por tanto hay que utilizar DoH o DoT:

      1. Configuración DNS del terminal móvil
      2. DNS privados del navegador web
      3. Algunos routers lo permiten mediante scripts
      DoT en la configuración DNS del terminal móvil
      • Configuración óptima

      Dado que siempre hemos recomendado disponer de más de un navegador web para evitar problemas a la hora de acceder a según que páginas; lo ideal es configurarlos en el navegador destinado a la máxima privacidad.

      DoH en el navegador (KIWI)

      Consideraciones finales

      1. Si por algún motivo tenemos configuradas DNS diferentes en el mismo equipo: por ejemplo, en el móvil tenemos unas DNS dentro de la configuración general del terminal y otras en el navegador; cuando usemos éste último utilizará las suyas y cuando usemos otra aplicación utilizará las del terminal.
      2. Lo he dicho en varias ocasiones dada su importancia: si usamos DNS configurables, hay que tener cuidado a la hora de bloquear para tratar de mantener una experiencia de usuario lo más fluida posible. Ensayo y error aprendiendo a usar listas blancas.
      3. Siempre hay que tratar de utilizar DoT o DoH. Si no queremos complicaciones bastará con añadirlo al navegador web.
      4. En el terminal móvil, los navegadores que mejor me han funcionado para estos casos son Kiwi y Brave.
      5. Los DNS son un eslabón, quizás el más fuerte para sustentar nuestra privacidad en Internet. Pero no el único.