--== TABLA DE CONTENIDO ==--
Pero que tan privado es el dns?
Cómo funciona el universo del dns?
Que pasa si resuelve otra cosa?
Ok , todo muy lindo pero la privacidad?
Comparación para la Confidencialidad
Que server al final, que usas para bloquear la asquerosa publicidad?
Pero que tan privado es el dns?
Cómo funciona el universo del dns?
De forma muy simple, cada vez que acceso a un nombre de dominio (ej wikipedia.com) existe el servicio de dns que se encarga de resolver ese nombre en una dirección IP que es lo que trabaja los ruteos.
Por qué existe? Porque es más fácil recordar un nombre que recordar una combinación de 12 números (ipv4)
Que pasa si resuelve otra cosa?
Un ataque se aprovecha de esto es el envenenamiento de dns
Ok , todo muy lindo pero la privacidad?
Protocolos Seguros de DNS
Los servidores DNS tradicionales resuelven nombres de dominio en direcciones IP a través de un protocolo inseguro (DNS sobre UDP o TCP), lo que significa que las consultas DNS pueden ser observadas, manipuladas o interceptadas. Para mejorar la seguridad y confidencialidad de las consultas DNS, se han desarrollado varios protocolos como DoT, DoH, DNSCrypt y DoQ. Vamos a desglosar las diferencias entre ellos y cuál es mejor para la confidencialidad:
1. DNS-over-TLS (DoT):
- Descripción: DoT cifra las consultas DNS usando el protocolo TLS (Transport Layer Security), el mismo que se usa para HTTPS. Funciona sobre el puerto 853.
- Ventajas:
- Mejora la confidencialidad al cifrar las consultas DNS.
- Facilita el filtrado o bloqueo por parte de administradores de red si es necesario (por ejemplo, para evitar DNS no deseados).
- Desventajas:
- Los ISP pueden detectar que se está usando DNS a través de TLS, aunque no puedan ver el contenido.
- Uso: Generalmente es preferido por usuarios de sistemas operativos o redes que necesitan cifrado sin mucha flexibilidad o integraciones con aplicaciones específicas.
2. DNS-over-HTTPS (DoH):
- Descripción: DoH también cifra las consultas DNS, pero lo hace usando HTTPS (TLS sobre el puerto 443), lo que lo hace indistinguible del tráfico web normal.
- Ventajas:
- Confidencialidad alta: las consultas DNS están cifradas dentro de un flujo HTTPS, lo que las hace difíciles de diferenciar del tráfico web normal.
- Protege contra la censura o bloqueo de DNS, ya que el tráfico se mezcla con el tráfico HTTPS estándar.
- Desventajas:
- Puede ser más difícil para los administradores de red supervisar o bloquear las consultas DNS no deseadas.
- Algunas implementaciones podrían generar latencias más altas debido al uso de HTTPS.
- Uso: Se usa ampliamente en navegadores y aplicaciones móviles. Servicios como Mozilla Firefox y Google Chrome lo soportan de forma nativa.
3. DNSCrypt:
- Descripción: Es un protocolo de cifrado para resolver consultas DNS, que autentica y cifra las consultas entre el cliente DNS y el servidor DNS.
- Ventajas:
- Ofrece cifrado y autenticación en las consultas DNS, lo que evita ataques de intermediarios (man-in-the-middle).
- Se puede usar con servidores que soporten el protocolo, y tiene implementaciones en diversos sistemas operativos.
- Desventajas:
- No está estandarizado como DoH o DoT y tiene menos soporte general.
- No utiliza TLS, lo que lo hace menos compatible con las infraestructuras de seguridad más modernas.
- Uso: Es útil en situaciones donde se quiere evitar manipulación o redirección de consultas DNS, pero su adopción no es tan extendida como DoH o DoT.
4. DNS-over-QUIC (DoQ):
- Descripción: DoQ es una implementación más reciente que utiliza QUIC, un protocolo optimizado para ser más rápido que TCP. QUIC funciona sobre UDP y se usa principalmente para reducir la latencia en conexiones cifradas.
- Ventajas:
- Rendimiento mejorado: QUIC es más rápido que TLS/TCP, por lo que puede reducir la latencia en la resolución DNS.
- Ofrece confidencialidad mediante el cifrado de las consultas DNS.
- Utiliza un protocolo de transporte más rápido (QUIC sobre UDP), que mejora el rendimiento en conexiones de red inestables.
- Desventajas:
- Es una tecnología relativamente nueva, con soporte limitado en algunos sistemas y redes.
- Uso: Principalmente en entornos que buscan optimizar el rendimiento de las conexiones DNS seguras, especialmente cuando se utilizan en redes con alta latencia o pérdida de paquetes.
Comparación para la Confidencialidad
DoH (DNS-over-HTTPS) es, en general, la mejor opción si la prioridad es la confidencialidad frente a observadores externos, ya que el tráfico de consultas DNS se mezcla con el tráfico HTTPS normal, lo que lo hace muy difícil de distinguir.
DoT (DNS-over-TLS) también proporciona un alto nivel de confidencialidad al cifrar las consultas DNS, pero el uso de un puerto dedicado (853) puede hacer que sea detectado o bloqueado más fácilmente en algunas redes.
DNSCrypt ofrece un buen nivel de cifrado y autenticación, pero no es tan ampliamente soportado como DoH o DoT y, en términos de estándares y compatibilidad, se ha quedado un poco atrás.
DoQ (DNS-over-QUIC) tiene la promesa de una mayor velocidad y rendimiento, pero es una tecnología más nueva y aún no está tan ampliamente implementada. Sin embargo, también ofrece una fuerte confidencialidad debido a su cifrado.
Que server al final, que usas para bloquear la asquerosa publicidad?
Me olvida, tengo mi propio server de DNS automatizada con listado de direcciones que apunto al loopback (en otro post lo abordaré), al que también le sumo como DNS externo el de NextDNS
Por que ese? porque es el que me acepta el ISP, tiene rendimiento (ms) aceptable permitiendo trafico cifrado.
Referencias
- https://trustedsec.com/blog/tracing-dns-queries-on-your-windows-dns-server
0 comments:
Publicar un comentario