(https://i.imgur.com/NUlm5uP.png)
Cuando realizamos una consulta a un servidor DNS, normalmente esta consulta no está cifrada, por lo que cualquier usuario podría capturar toda la información y saber en detalle qué página web estamos consultando. Recientemente se ha empezado a usar de manera masiva DNS over TLS y también DNS over HTTPS, dos protocolos que nos permite que todas las consultas y respuestas DNS estén cifradas. Hoy en RedesZone os vamos a indicar cuáles son los mejores servidores DNS públicos que soportan DoT y DoH.
DNS over TLS (DoT): qué es y cuáles son los mejores servidores DNS
DNS over TLS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo TLS, el mismo protocolo TLS que ya protege las conexiones HTTPS o que utilizan los softwares VPN como OpenVPN. El objetivo de DoT es aumentar la privacidad y seguridad de los usuarios, y es que con este protocolo previene de ataques MitM que capturan la información, ya que al estar cifrada no podrán leerlo, además, también mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoT hace uso del puerto TCP 853 para proporcionar seguridad a la información.
¿Qué servidores DNS podemos utilizar que son compatibles con DNS over TLS?
Google: 8.8.8.8 y 8.8.4.4 para redes IPv4, y también 2001:4860:4860::8888 y 2001:4860:4860::8844 para redes IPv6. El hostname de autenticación TLS es «dns.google«. Estos servidores incorporan DNSSEC para mayor seguridad.
Cloudflare: 1.1.1.1 y 1.0.0.1 para redes IPv4, y también 2606:4700:4700::1111 y 2606:4700:4700::1001 para redes IPv6. El hostname de autenticación TLS es «cloudflare-dns.com«. Estos servidores incorporan DNSSEC para mayor seguridad.
Quad9: 9.9.9.9 para redes IPv4, y también 2620:fe::fe para redes IPv6. El hostname de autenticación TLS es «dns.quad9.net«. Este servidor incorpora DNSSEC para mayor seguridad.
CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. Los servidores DNS son 185.228.168.9 y 185.228.169.9 para redes IPv4, y 2a0d:2a00:1::2 y 2a0d:2a00:2::2 para redes IPv6. El hostname de autenticación TLS es «security-filter-dns.cleanbrowsing.org«. Estos servidores incorporan DNSSEC para mayor seguridad.
Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el «Safe Mode» de Google, Bing y YouTube para proteger a los más pequeños de casa.
Los servidores DNS son 185.228.168.168 y 185.228.169.168 para redes IPv4, y 2a0d:2a00:1:: y 2a0d:2a00:2:: para redes IPv6. El hostname de autenticación TLS es «family-filter-dns.cleanbrowsing.org«. Estos servidores incorporan DNSSEC para mayor seguridad.
Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en «Safe Mode». Los servidores DNS son 185.228.168.10 y 185.228.169.11 para redes IPv4, y 2a0d:2a00:1::1 y 2a0d:2a00:2::1 para redes IPv6. El hostname de autenticación TLS es «adult-filter-dns.cleanbrowsing.org«. Estos servidores incorporan DNSSEC para mayor seguridad.
Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
DNS estándar: Los servidores DNS son 176.103.130.130 y 176.103.130.131 para redes IPv4. El hostname de autenticación TLS es «dns.adguard.com».
DNS con control parental: Los servidores DNS son 176.103.130.132 y 176.103.130.134 para redes IPv4. El hostname de autenticación TLS es «dns-family.adguard.com».
NextDNS.io: estos servidores DNS necesitan registro, y es que podremos bloquear diferentes dominios de manera totalmente personalizada. Os recomendamos acceder a la web oficial para registrarnos y utilizar estos servidores DNS.
DNS.sb: Los servidores DNS son 185.222.222.222 y 185.184.222.222 para redes IPv4, y 2a09:: y 2a09::1 para redes IPv6. El hostname de autenticación TLS es «dns.adguard.com». Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
FAELIX: Los servidores DNS son 46.227.200.54 y 46.227.200.55 para redes IPv4, y 2a01:9e00::54 y 2a01:9e00::55 para redes IPv6. Este servicio de DNS también proporciona servicio de DNS seguro con controles para filtrar webs maliciosas, los servidores DNS privados son 46.227.200.9 y 46.227.203.9 para redes IPv4. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
Tal y como podéis ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over TLS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita.
DNS over HTTPS (DoH): qué es y cuáles son los mejores servidores DNS
DNS over HTTPS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo HTTPS, el cual hace uso del protocolo TLS por debajo. El objetivo de DoH es facilitar a los usuarios el uso de un servicio de DNS privado y seguro, ya que se configura directamente en nuestro navegador, y es que actualmente las últimas versiones de Mozilla Firefox y Google Chrome soportan este protocolo sin problemas. Dependiendo de la política elegida en el propio navegador, deberemos siempre realizar las consultas a través de DoH exclusivamente, o en caso de que falle, hacer uso de una resolución DNS «normal» sin ningún tipo de cifrado.
(https://i.imgur.com/Rauv5ql.png)
El objetivo de DoH es el mismo que el de DoT, es decir, aumentar la privacidad y seguridad de los usuarios, impidiendo ataques MitM que capturen la información privada del usuario. También mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoH hace uso del puerto TCP 443 para proporcionar seguridad a la información.
¿Qué servidores DNS podemos utilizar que son compatibles con DNS over HTTPS?
Google: la URL que deberemos introducir es «https://dns.google/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
Cloudflare: la URL que deberemos introducir es «https://cloudflare-dns.com/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
Quad9: la URL que deberemos introducir es «https://dns.quad9.net/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. La URL que deberemos introducir es «https://doh.cleanbrowsing.org/doh/security-filter/«. Estos servidores incorporan DNSSEC para mayor seguridad. Estos servidores incorporan DNSSEC para mayor seguridad.
Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el «Safe Mode» de Google, Bing y YouTube para proteger a los más pequeños de casa. La URL que deberemos introducir es «https://doh.cleanbrowsing.org/doh/family-filter/«. Estos servidores incorporan DNSSEC para mayor seguridad.
Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en «Safe Mode». La URL que deberemos introducir es «https://doh.cleanbrowsing.org/doh/adult-filter/«. Estos servidores incorporan DNSSEC para mayor seguridad.
Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
DNS estándar: la URL que deberemos introducir es «https://dns.adguard.com/dns-query«.
DNS con control parental: la URL que deberemos introducir es «https://dns-family.adguard.com/dns-query«.
NextDNS.io: La URL que deberemos introducir es «https://dns.nextdns.io/<config_id>», pero deberemos registrarnos para poder utilizar estos servidores DNS con filtrado personalizado. Estos servidores incorporan DNSSEC para mayor seguridad.
PowerDNS: la URL que deberemos introducir es «https://doh.powerdns.org«.
SecureDNS.eu: la URL que deberemos introducir es «https://doh.securedns.eu/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
DnsWarden: la URL que deberemos introducir es «https://doh.dnswarden.com/uncensored» si queremos acceder sin censura, pero si queremos bloquear los anuncios deberemos introducir «https://doh.dnswarden.com/adblock«. Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
Aaflalo.me: la URL que deberemos introducir es «https://dns.aaflalo.me/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
Foundation for Applied Privacy: la URL que deberemos introducir es «https://doh.appliedprivacy.net/query«. Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
Captnemo.in: la URL que deberemos introducir es «https://doh.captnemo.in/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
DNS.sb: la URL que deberemos introducir es «https://doh.dns.sb/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
FAELIX: la URL que deberemos introducir es «https://rdns.faelix.net/«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
doh.li: la URL que deberemos introducir es «https://doh.li/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
Tal y como podéis ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over HTTPS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita.
Vía: www.redeszone.net