DNS como elemento de seguridad de una red
Tarsis.net, 15 de marzo de 2022
Se trata de uno de los servicios más básicos de Internet, y con una más larga tradición, pero para muchos responsables de IT es simplemente un conjunto de direcciones que nos proporciona el proveedor de conectividad y se configura en un router o en cualquier dispositivo, sin dedicarle un segundo pensamiento. Craso error, porque elegir un buen servicio de DNS afecta tanto a la velocidad de navegación como a la seguridad de los usuarios, los datos y los dispositivos.
¿Qué es el DNS (Domain Name Service)?
Hay miles de sitios en Internet que explican este punto, así que no abundaremos sobre él más que dando una explicación rápida: Un servicio que se ocupa de convertir el nombre de una máquina en una dirección IP:
google.es → 172.217.17.3
¿En qué afecta el DNS a la experiencia de usuario?
Cada vez que visitamos una página web o hacemos uso de una aplicación móvil se cargan en nuestro navegador o app recursos que provienen de muy diferentes puntos de Internet, y eso requiere resolver esos nombres de recursos en direcciones IP.
Si nuestra página carga recursos de diez diferentes orígenes, se llevarán a cabo diez peticiones DNS antes de poder acceder a ellos, y si esas resoluciones tienen latencias (tiempos de espera) muy altas o muy bajas, la percepción del usuario de lo rápido que carga la página será muy muy diferente.
¿En qué afecta el DNS a la seguridad del usuario?
En principio un servidor de DNS debería ser neutro respecto a las peticiones que se le dirigen, y ser eficiente en sus resoluciones para que el usuario navegue lo más rápido posible. Entendemos por neutro el que el servidor no interviene más que recibiendo la petición, efectuando la resolución y sirviendo el resultado al cliente.
Ahora bien, si a un buen servidor de DNS unimos una base de datos de amenazas (phishing, malware) o contenidos indeseados (pornografía, contenidos degradantes o discriminatorios), cada petición de DNS se convierte en una oportunidad de evitarle al usuario caer en una web que puede perjudicar sus intereses, los de su familia o los de su empresa.
- El usuario demanda una determinada página que, aunque él no lo sabe, en realidad es de phishing.
- El navegador encarga la resolución de la dirección IP al servidor de DNS, que reconoce la amenaza en la página de destino.
- En lugar de devolverle la dirección IP real solicitada, redirige la petición a una página que muestra una alerta, en vez de enviar al usuario a la página de phishing.
En este contexto el DNS se convierte en un elemento de seguridad directamente unido a la infraestructura más básica de Internet. El usuario no tiene que hacer nada más que configurar en su router o dispositivo unos servidores de DNS conscientes de la seguridad y estará ya navegando más seguro. Sin instalar ni mantener software ni hardware adicionales.
Hay que hacer notar que se trata de un equilibrio entre la seguridad y la cesión de determinados datos y capacidades:
- Se pierde la capacidad de navegar hacia determinados sitios web.
- Los sitios web prohibidos son determinados por el proveedor de DNS, no por el usuario, aunque en las opciones de pago se suelen proporcionar filtros personalizados.
- El servidor de DNS conoce qué sitios visitan sus usuarios. Por eso es importante ponerse en manos de un proveedor con buen historial, reputación y conciencia de la privacidad
¿Garantiza esto un 100% de seguridad en la navegación?
Naturalmente que no, porque no existe el 100% de seguridad en nada, pero sí que incorpora un nivel tácito de seguridad muy útil para usuarios en entornos sensibles, como puede ser la red doméstica de una familia con niños o la red interna de una pyme, que no cuenta con recursos infinitos para dedicar a la ciberseguridad.
El panorama de la ciberseguridad cambia permanentemente, así que las bases de datos de amenazas nunca disponen de una información completa, y por ejemplo los virus pueden llegar a un dispositivo vía correo electrónico, así que no hay una garantía total, pero empleando esta técnica sencilla sí que se añade un primer nivel de seguridad que permite evitar el contacto con muchas de las amenazas más comunes.
¿Por qué debería utilizar unos servidores de DNS diferentes de los que me proporciona mi proveedor de conexión?
Los proveedores de conexión a Internet proporcionan a sus usuarios servidores de DNS para que configuren sus dispositivos, pero estos raramente son una solución óptima, porque:
- Suelen estar infradimensionados y sus tiempos de resolución son altos, perjudicando la navegación de los usuarios.
- No proporcionan una capa de seguridad como la que se describe en este artículo.
¿Cómo utilizar el DNS para proteger nuestra red?
Se trata simplemente de sustituir en la configuración de nuestro router y dispositivos los DNS proporcionados por nuestro proveedor de conexión por otro proveedor especializado en DNS, que aportará mayor rapidez y, dependiendo de nuestras necesidades, evitará el acceso a páginas conteniendo phishing, malware o contenidos no deseados.
Hay que advertir que por nuestra propia experiencia e investigación en proveedores de conexión a Internet en España esto puede estar obstaculizado por dos razones:
- Algunos de los proveedores de conexión secuestran las peticiones de DNS desde nuestros dispositivos y fuerzan la resolución por sus propios servidores de DNS, impidiendo el uso de servidores de DNS diferentes a los suyos.
- En algunos casos hemos observado que los direccionamientos IP de las redes internas de los proveedores de acceso a Internet están mal diseñados, utilizando en su red privada direcciones IP que corresponden al ámbito público, y de ese modo impiden el enrutamiento correcto de las peticiones hacia servidores públicos, entre los que casualmente se encuentran algunos de los servidores públicos de DNS mencionados a continuación.
Proveedores públicos de DNS con capacidades de seguridad
A continuación incluimos una lista de estos servicios públicos (gratuitos, aunque algunos de ellos disponen de servicios especializados de pago para empresas) que deberían ser accesibles desde su red.
Existen muchos más, pero hemos seleccionado precisamente aquellos que ofrecen garantías por su historial y por tener en cuenta la privacidad del usuario, limitando o descartando complemente la información recogida en las peticiones atendidas.
Proveedor | Dirección IP | Registro | Seguridad |
---|---|---|---|
Quad9 | 9.9.9.9 | No | Bloqueo de malware |
Quad9 | 149.112.112.112 | No | Bloqueo de malware |
Quad9 | 2620:fe::fe | No | Bloqueo de malware |
Quad9 | 2620:fe::9 | No | Bloqueo de malware |
Cloudflare | 1.1.1.1 | No | No |
Cloudflare | 1.0.0.1 | No | No |
Cloudflare | 2606:4700:4700::1111 | No | No |
Cloudflare | 2606:4700:4700::1001 | No | No |
Cloudflare | 1.1.1.2 | No | Bloqueo de malware |
Cloudflare | 1.0.0.2 | No | Bloqueo de malware |
Cloudflare | 1.1.1.3 | No | Bloqueo de malware y contenido para adultos |
Cloudflare | 1.0.0.3 | No | Bloqueo de malware y contenido para adultos |
OpenDNS | 208.67.222.222 | No | No |
OpenDNS | 208.67.220.220 | No | No |
OpenDNS | 2620:0:ccc::2 | No | No |
OpenDNS | 2620:0:ccd::2 | No | No |
OpenDNS | 208.67.222.123 | No | Contenido para adultos |
OpenDNS | 208.67.220.123 | No | Contenido para adultos |
Comodo | 8.26.56.26 | No | Bloqueo de malware |
Comodo | 8.20.247.20 | No | Bloqueo de malware |
Neustar | 64.6.64.6 | No | No |
Neustar | 64.6.65.6 | No | No |
Neustar | 156.154.70.2 | No | Malware y phishing |
Neustar | 156.154.71.2 | No | Malware y phishing |
Neustar | 156.154.70.3 | No | Malware, phishing y contenido para adultos |
Neustar | 156.154.71.3 | No | Malware, phishing y contenido para adultos |
8.8.8.8 | No | No | |
8.8.4.4 | No | No | |
2001:4860:4860::8888 | No | No | |
2001:4860:4860::8844 | No | No |
Apéndice: Cómo comprobar si un servidor de DNS está accesible desde mi red
Vamos a utilizar como ejemplo la resolución del nombre de máquina google.es
hecha al servidor de DNS 9.9.9.9
de Quad9. Si la petición tiene éxito usted podrá ver como resultado la aparición de una o más direcciones IP y si no lo tiene algún tipo de error, dependiendo de la herramienta que utilice. Si está interesado en utilizar alguno de los otros servidores de DNS indicados, simplemente cambie en el ejemplo 9.9.9.9
por la dirección IP concreta del que desea utilizar.
Realizar una petición (query) a un servidor externo de DNS requiere, en los ordenadores de sobremesa, acceso a la linea de comandos de su sistema operativo.
Si sus dispositivos utilizan un sistema operativo Linux, Unix u OS/X, abra un terminal y ejecute
$ host google.es 9.9.9.9
Si su petición tiene éxito y el servidor de Quad9 está accesible desde su red debe recibir un resultado parecido a éste:
Using domain server:
Name: 9.9.9.9
Address: 9.9.9.9#53
Aliases:
google.es has address 142.250.184.163
google.es has IPv6 address 2a00:1450:4003:801::2003
google.es mail is handled by 0 smtp.google.com.
Si utiliza usted Windows, abra un Símbolo del Sistema y ejecute el siguiente comando:
C:\> nslookup google.es 9.9.9.9
y el resultado debe parecerse a esto:
Server: dns9.quad9.net
Address: 9.9.9.9
Name: google.es
Addresses: 142.250.184.163
2a00:1450:4003:801::2003
O, en Powershell:
C:\> Resolve-DnsName -Name google.es -Server 9.9.9.9
con el siguiente resultado:
Name Type TTL Section IPAddress
---- ---- ---- ------- ---------
google.es A 1200 Answer 142.250.184.163
google.es AAAA 1200 Answer 2a00:1450:4003:801::2003
PODEMOS AYUDARLE
Somos una agencia Internet especializada en PYMEs. Tenemos décadas de experiencia en la provisión, administración, optimización y securización de infraestructura Internet para pymes. Contacte con nosotros y estudiaremos su caso, sin compromiso.