[SOLUCIONADO] ¿Hasta donde llega el poder de las DNS?

Hola ¿Qué tal? Empecé a estudiar un poco más a fondo las redes informáticas y me topé con un protocolo muy popular llamado DNS.

Entiendo que este protocolo es el encargado de traducir las IPs a dominios, creando un directorio descentralizado de estas asignaciones a las que cualquiera puede acceder.
Eso es lo básico, pero me he dado cuenta que las DNS van más allá de eso.
Por ejemplo, llevo tiempo estudiando NodeJS y he creado varías aplicaciones web from scratch. Comúnmente uso el framework minimalista Express y el modulo HTTPS de Node. Pasa que NodeJS ya tiene soporte para HTTP/2 pero Express no, por lo que para solucionar esto uso Apache como proxy y hago forzar HTTP/2. No obstante me recomendaron una vez usar las DNS de CloudFlare, y vi que usándolas podría tener acceso tanto a HTTP/2, como a certificados SSL en varias versiones del protocolo TLS. Todo esto simplemente colocando las DNS de CloudFlares ¿Cómo es posible esto? Me gustaría poder toparme con un libro -aunque esté en inglés- el cual pueda leer para entender las a fondo el tema de las DNS.

Por otro lado he investigado un poco el tema de name servers privados, la verdad no he entendido mucho, pero he visto que muchos de estos se alojan en los propios servidores de quien tiene la red, algo así como No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, mientras que otros usan los Name Servers otorgadla por su proveedor de hosting ¿O sea, prácticamente controlan la redr, todo el tráfico milímetricamenre? ¿Cómo puedo lograr tener un name server privado?

Hola Diesan

Le brindaré mi opinión personal de lo que he visto sobre el tema.

Antes que nada, por concepción, todo pasa por los DNS. De hecho hoy por hoy, los sistemas de seguridad y de control más efectivos son los firewalls por los DNS.

Controlan todo, use lo que use.

Es el futuro, y hacia ese sector están corriendo las principales compañías para su control y monopolio (Google, Cloudflare, etc.).
Quien abarque este sector, que es en extremo costoso en su inversión global, y mantenimiento, sin mencionar al personal calificado, tiene el poder de controlar la sección del internet donde se encuentre.

Por ejemplo, los rusos ya han logrado segmentar su internet y controlarlo al 100%, y ha sido a través de servidores DNS propios (a través de los Root Server principalmente), que son los intermediarios, en su enlace con el resto del mundo. Si sufrieran un ciberataque, automáticamente se cierran, pero mantienen la conectividad interna. Lo controlan todo, y  las VPN´s son nulas, si no llegan a sombríos acuerdos con ellos sobre accesos.

Los chinos, controlan todo su internet, y de igual forma lo tienen segmentado, a través de la misma metodología. "El Gran Firewall" (así lo llaman), que opera fundamentalmente por los DNS. Usan la técnica llamada "Envenenamiento de los DNS", que interceptan, manipulan, y corrompen las búsquedas o resoluciones de dominios, según blacklist´s. De igual forma, pueden cerrar el internet de manera arbitraria, o proyectar ataques, que se detectan una vez que ya ocurrieron.

Son famosos los sistemas de estos servidores DNS propios (proxyficados) en Cuba y en Venezuela, que restringen y controlan las comunicaciones (es una copia del modelo chino). En el caso de Cuba, el servicio controla un Portal Cautivo que es el que brinda el servicio de acceso del internet, con el cual el invento y la picardía tienen el brinco corto.

En el caso de los norteamericanos (y aliados), lo controlan a través de contrataciones de compañías por parte del gobierno (o los gobiernos), y se aseguran de que lideréen. Ya le mencioné algunas de las más connotadas, aunque no son las únicas.

También con el control de los DNS a nivel mundial (asociaciones de servidores root) ha sido posible las soluciones para mitigar grandes males y constantes amenazas del pasado, como ataques DDoS, cadenas de bots, esparción de malwares, servidores dedicados a actividades ilícitas, etc.

Fíjese en los servicios en expansión que ofrecen las VPN´s, los navegadores, y demás, cómo se centran en brindar protección por los servicios DNS, y blindar al usuario en seguridad y privacidad.

Sin lugar a dudas, es el futuro, y cada vez serán noticias los avances en este sector, para su dominio. Ya los seguimientos e intentos de control de los usuarios por el navegador, u otras vías, van en obsolescencia.

Para el hacking, es muy complejo establecer un método viable que establezca un ataque por esta vía, aunque como le sugirieron en el link a leer, no es imposible, y se ve con la nueva técnica descubierta para el envenenamiento de las cache DNS (SAD DNS - Side channel AttackeD DNS ). En síntesis, este permite provocar el envenenamiento de la caché DNS y lograr que, tras una consulta para un nombre de dominio en particular, el servidor devuelva una IP potencialmente maliciosa que, redireccione a la víctima a un sitio controlado por el atacante, y no al sitio que corresponde al nombre de dominio legítimo.

Siempre hay un mago que inventa un nuevo abracadabra y es la belleza de este mundo, que más pudiera decirse.

Para montar un servidor DNS propio, busque: "cómo configurar un servidor DNS" (hay una guía de un colombiano, muy buena y acertada).

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta gracias por su respuesta. Precisamente el tema de Cuba fue el que me llamó la atención. Estoy muy familiarizado con sus redes porque trabajé mucho tiempo ahí. Últimamente hacia penetration testing y me topé con la situación de los DNS privados, los dichosos root servers esos.
Controlan totalmente la red y la distribuyen a través de proxy.

Estoy estudiando una tesis de Nicolás Del Río, egresado de la Universidad de la Plata en Argentina, que me ha ayudado a entender muchas cosas que me estás mencionando.

Acá dejo el enlace a la tesis de la web oficial de la universidad No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Algo más que me gustaría comentarle:

Es importante destacar que, si se desea implementar un servidor DNS, se debe tener cierta experiencia, ya sea en conocimientos de administración de redes (específicamente con el montaje de servidores) así como de Linux. Si se comienza, se debe contar con el asesoramiento de un experto que guíe.

La mayoría de los administradores de red familiarizados con GNU/Linux (es raro presenciar un server DNS implementado en otra plataforma) usan BIND. No obstante, ya la tendencia es a usar NSD.
Tiene ventajas este último. Actualmente algunos rootservers están utilizando NSD en lugar de BIND, lo cual ya dice bastante sobre la eficiencia, seguridad y robustez de esta aplicación.

Este servicio es muy bien pagado (montar servidores DNS), y puede llegar a pagarse desde los 10 000 USD, si es un contrato con una compañía grande (entienda importante). Esto incluye mantenimiento y supervisión hacia el personal que los atiende (admin).

Los contratos que he presenciado abarcan configurar:

La red interna de la compañía
El Servidor DNS maestro
El Servidor DNS esclavo
El Servidor de Correo
El Servidor Web
Y todo el entorno y ecosistema de seguridad que abarca las cámaras de vigilancia.

20 000 USD con mantenimiento durante 6 meses y entrenamiento de operatividad al personal especializado.

Si se gusta del mundo de los admin de red, esta es una técnica (configurar servidores DNS) que le garantizaría siempre una fuente de ingresos.
Por supuesto que varía según las naciones, pero le reitero, es muy bien pagado por lo general.