A raíz de algún comentario por RRSS, hay bastantes personas que, si bien conocen el concepto y la importancia del servicio DNS, presentan dudas en lo concerniente a las distintas formas y sus diferencias a la hora de configurarlos en distintos dispositivos: routers, ordenadores o móviles.
La idea de ésta entrada, es proporcionar una guía simple, práctica y enfocada desde el punto de vista de usuario sobre el tema.
Opciones DNS
Siguiendo las premisas anteriores, una primera diferenciación los segmentaría entre:
- Configurables
- No configurables
Los primeros, como puede deducirse fácilmente, son aquellos que además de la resolución de nombres intrínseca a todo servicio DNS, nos permiten añadir pautas a dicha resolución; como permisos (listas blancas), bloqueos (listas negras), seguridad (frente a la manipulación), estadísticas o control parental.
En ésta categoría, destacan en mi opinión NextDNS, RethinkDNS y AdguardDNS.
Respecto a los no configurables, poco que añadir: siempre están en formato Ip (v4 ó v6) resuelven con mayor o menor velocidad y proporcionan mayor o menor privacidad según que empresa ofrezca el servicio.
La segunda diferenciación, vendría en cuanto a la seguridad (cifrado) y privacidad (guardar registro de las peticiones que realizamos y datos del usuario) :
- DoH (DNS Over Https)
- DoT (DNS Over TLS)
- DNSSEC (Extensiones de seguridad DNS)
Empezaremos por la última DNSSEC:
DNSSEC proporciona a los solucionadores de DNS autenticación de origen de datos de DNS, negación autenticada de existencia e integridad de datos, pero no disponibilidad ni confidencialidad.DNSSEC autentica el DNS mediante firmas digitales basadas en criptografía de clave pública. Con DNSSEC, no son las consultas o respuestas de DNS las que están firmadas, sino que los datos de DNS están firmados por el propietario de los datos.
https://ciberseguridad.com
De forma rápida, podemos resumirlo como un conjunto de especificaciones destinadas a paliar las deficiencias de seguridad que presentaba el tráfico DNS desde sus orígenes.
DoH y DoT tienen como finalidad cifrar el tráfico DNS entre cliente y servidor. Aquí pongo la diferencia entre ambos muy bien resumida por la gente de Cloudflare:
La diferencia más importante entre DoT y DoH es el puerto que usan. DoT solo usa el puerto 853, mientras que DoH utiliza el puerto 443, que es el que utiliza también el resto del tráfico HTTPS.Ya que DoT tiene un puerto dedicado, cualquier persona con visibilidad de la red puede ver el tráfico entrante y saliente de DoT, aunque las propias peticiones y respuestas estén encriptadas. En cambio, con DoH, las consultas y respuestas de DNS se camuflan dentro de otro tráfico HTTPS, ya que todo entra y sale del mismo puerto.
Cloudflare
Y respecto a la privacidad también poco que añadir. Al igual que muchos otros servicios, hay proveedores que guardan información ( TODOS los ISPs o Google) y otros que no (Quad, NextDNS, RethinkDNS, OpenDNS, Adguard, etcétera).
Configurar los DNS según nuestras necesidades
Si bien lo más habitual es orientar la configuración DNS según el dispositivo, creo que dicho enfoque le resta eficacia dadas las múltiples posibilidades con que contamos hoy en día, y por tanto, voy a centrarme en dos escenarios y sus variantes según todo lo expuesto hasta el momento:
- DNS rápido y privado
- DNS configurable
DNS rápido y privado
- Escenario
Simplemente buscamos un servicio DNS que resuelva de forma rápida y privada, mejorando el que nos ofrece nuestro ISP y otras opciones como la de Google.
- Proveedores
Proveedor | Servidores |
Verisign | 64.6.64.6 64.6.65.6 |
FreeDNS | 37.235.1.174 37.235.1.177 |
IBM Quad9 | 9.9.9.9 |
Cloudflare | 1.1.1.1 1.0.0.1 |
Comodo Secure DNS | 8.26.56.26 8.20.247.20 |
CyberGhost | 38.132.106.139 194.187.251.67 |
UncensoredDNS | 91.239.100.100 |
CleanBrowsing | 185.228.168.168 185.228.168.169 |
OpenDNS Home | 208.67.222.222 208.67.220.220 |
AdGuard | 94.140.14.14 |
NextDNS | 45.90.28.238 45.90.30.238 |
- Dónde configurarlo
Al tratarse de las direcciones ip de los servidores, podemos configurarlo en:
- Router (tanto en la parte WAN como en el DHCP)
- Configuración DNS ordenador
- Configuración DNS móvil
- Navegador
- Configuración óptima
En el router de nuestro domicilio (siempre que lo permita). Dejamos en blanco lo relativo a DNS en la parte WAN y los configuramos dentro de LAN -> DHCP.
En el apartado DNS de nuestro terminal móvil.
DNS configurable
- Escenario
Además de las funciones DNS intrínsecas, queremos control para bloquear determinados servicios, empresas, aplicaciones, ips, etcétera. Así como opciones de control parental y estadísticas.
- Proveedores
Los tres más recomendables: NextDNS, RethinkDNS y AdguardDNS.
- Dónde configurarlo
Por su propia naturaleza, no están disponibles mediante el clásico rango ip. Por tanto hay que utilizar DoH o DoT:
- Configuración DNS del terminal móvil
- DNS privados del navegador web
- Algunos routers lo permiten mediante scripts
- Configuración óptima
Dado que siempre hemos recomendado disponer de más de un navegador web para evitar problemas a la hora de acceder a según que páginas; lo ideal es configurarlos en el navegador destinado a la máxima privacidad.
Consideraciones finales
- Si por algún motivo tenemos configuradas DNS diferentes en el mismo equipo: por ejemplo, en el móvil tenemos unas DNS dentro de la configuración general del terminal y otras en el navegador; cuando usemos éste último utilizará las suyas y cuando usemos otra aplicación utilizará las del terminal.
- Lo he dicho en varias ocasiones dada su importancia: si usamos DNS configurables, hay que tener cuidado a la hora de bloquear para tratar de mantener una experiencia de usuario lo más fluida posible. Ensayo y error aprendiendo a usar listas blancas.
- Siempre hay que tratar de utilizar DoT o DoH. Si no queremos complicaciones bastará con añadirlo al navegador web.
- En el terminal móvil, los navegadores que mejor me han funcionado para estos casos son Kiwi y Brave.
- Los DNS son un eslabón, quizás el más fuerte para sustentar nuestra privacidad en Internet. Pero no el único.