Saltar al contenido

Proteja su navegación con DNS sobre TLS

¿Qué es DNS sobre TLS?

Usted ya sabe que ha habido muchos rumores en los últimos años sobre la encriptación del tráfico web. Incluso si no has prestado mucha atención, tienes que haber notado la afluencia de bloqueos verdes cerca de las URLs y HTTPS apareciendo por todas partes. Esto se debe a que hay más sitios que nunca que están encriptando el tráfico.

El cifrado del tráfico web protege tanto el sitio como a las personas que lo visitan. Los atacantes no pueden espiar fácilmente el tráfico cifrado a medida que pasa entre su computadora y un sitio web, manteniendo a salvo su información de inicio de sesión y cualquier otra cosa que usted envíe.

Hay una pieza que no se encripta usando HTTPS, la consulta DNS. Si no está familiarizado, los sitios web existen en realidad en una dirección IP. Al introducir la URL de un sitio, se realiza otra solicitud a un servidor DNS preguntando a qué dirección IP pertenece esa URL. La mayoría de las veces, ese servidor DNS pertenece a su ISP. Así, ellos, y cualquier otra persona que pueda estar escuchando, pueden ver a qué sitios vas y registrarlos. Dado que el DNS no está cifrado de forma predeterminada, es bastante fácil para cualquier tipo de tercero supervisar las consultas DNS.

DNS Over TLS ofrece el mismo tipo de cifrado que se espera de las consultas HTTPS a DNS. Por lo tanto, la única persona que recibe su consulta y los datos sobre el sitio que está visitando es el servidor DNS que usted elija, y usted puede elegir. No necesita usar los DNS de su ISP, y no debería hacerlo.

¿Qué puede hacer usted?

El soporte para DNS sobre TLS no es tan maduro como HTTPS todavía, pero aún así es lo suficientemente fácil de configurar y usar. Hay varias opciones que puede utilizar para proteger su tráfico de DNS. Primero, vale la pena notar que usar un VPN ya te protegerá. Su tráfico DNS será tunelizado sobre los servidores DNS del proveedor VPN . Si ya estás usando un VPN , no te preocupes, aunque puedes configurar protección adicional si quieres.

Si no está utilizando una VPN, puede seguir cifrando el tráfico de DNS con DNS sobre TLS. Hay un excelente proyecto de código abierto, llamado Stubby, que encripta automáticamente sus consultas DNS y las enruta a un servidor DNS que puede manejar DNS sobre TLS. Debido a que el proyecto es de código abierto, está disponible gratuitamente para Windows, Mac y Linux.

Configurar Stubby

Ventanas

Stubby tiene un práctico instalador de Windows.msi que instalará Stubby junto con un archivo de configuración predeterminado. Vaya a la página del instalador de installer y descargue el instalador de Windows.msi.

Una vez que lo tenga, ejecute el instalador. No hay un asistente gráfico de configuración ni nada. Sólo tiene que confirmar que está dando acceso al instalador. Se encargará del resto.

Todo para Stubby en Windows se encuentra en:

C:Archivos de programaStubby

Esto incluye el archivo de configuración de YAML.

Abra una línea de comandos. Puede utilizar Ejecutar y escribir cmd. Cambiar al directorio Stubby. Luego, ejecute el archivo.exe y pásele la configuración para que se inicie Stubby.

C:UsuariosNombreDeUsuario C:Archivos de programaStubby

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>.

C:Archivos de programaStubbystubby.exe -C stubby.yml

Stubby se ejecutará en su sistema. Si desea probarlo, ejecute el siguiente comando para ver si funciona correctamente.

C:Archivos de programaStubbygetdns_query -s @127.0.0.1 www.google.com 

Si eso funciona, Stubby está configurado correctamente. Ahora, si desea cambiar los servidores DNS que utiliza Stubby, abra stubby.yml y modifique las entradas del servidor DNS para que coincidan con los servidores de su elección. Asegúrese de que los servidores que elija soporten DNS sobre TLS.

Antes de que pueda usar Stubby en todo el sistema, va a tener que modificar los resolvedores de flujo ascendente de Windows (servidores DNS). Para ello, necesitará ejecutar un comando con privilegios de administrador. Cierre la ventana de la línea de comandos existente. A continuación, vuelva a su menú de inicio y busquecmd. Haga clic con el botón derecho y seleccione «Ejecutar como administrador». En la ventana resultante, ejecute lo siguiente:

PowerShell -ExecutionPolicy bypass – archivo «C:Archivos de programaStubbystubby_setdns_windows.ps1»

Nada de esto es muy bueno si no puedes hacer los cambios permanentes. Para ello, deberá crear una tarea programada que se ejecute al iniciarse. Afortunadamente, los desarrolladores de Stubby proporcionaron una plantilla para ello. En la ventana de la línea de comandos que tiene, haga los cambios permanentes.

schtasks /create /tn Stubby /XML «C:Archivos de programaStubbystubby.xml» /RU

Eso es todo! Su PC con Windows está ahora configurado para usar Stubby para enviar su DNS sobre TLS.

Linux

En Linux, este proceso es muy sencillo. Tanto las distribuciones basadas en Ubuntu como en Debian ya tienen Stubby disponible en sus repositorios. Sólo tiene que instalarlo y cambiar su DNS para usar Stubby. Comience por instalar Stubby

$ sudo apt install stubby

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>.

A continuación, edite el archivo de configuración de Stubby, si lo desea. Está disponible en /etc/stubby/stubby.yml. Ábrelo en tu editor de texto favorito con sudo.

Si ha realizado algún cambio en los servidores DNS, reinicie Stubby.

$ sudo systemctl reiniciar stubby>Reiniciar

También necesitará cambiar las entradas del servidor de nombres en /etc/resolv.conf. Ábrelo con tu editor de texto y sudo también. Cree una sola entrada como la que se muestra a continuación.

servidor de nombres 127.0.0.1

Ahora, prueba que Stubby está funcionando. Vaya a dnsleaktest.com y ejecute la prueba. Si aparecen los servidores que configuró para utilizar Stubby, su equipo está ejecutando correctamente Stubby.

OSX

La configuración de Stubby en OSX también es bastante simple. Si tienes Homebrew, el proceso es muy simple, pero también es bastante fácil.

Con Hombrew puedes instalar el paquete Stubby.

$ brew install stubby

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>.

Antes de iniciar Stubby como servicio, puede modificar la configuración de YAML en /usr/local/etc/stubby/stubby.yml.

Una vez que esté satisfecho con las cosas, puede poner en marcha Stubby como un servicio.

$ sudo brew services start stubby

Si no tiene Homebrew, puede instalar la GUI de Stubby. Está disponible aquí .

Pensamientos de cierre

DNS sobre TLS está empezando a ganar tracción. Pronto, será un lugar común. Hasta entonces, la configuración y los programas como Stubby son necesarios. Claramente, sin embargo, no es muy difícil de preparar.

En un futuro próximo, el soporte para DNS sobre TLS verá un gran impulso cuando Google incluya soporte por defecto con Android. Como resultado, debería ser sólo cuestión de tiempo antes de que Apple siga adelante con el soporte para iOS. Las plataformas de escritorio probablemente no se quedarán muy atrás. Por otra parte, ellos ya tienen soporte, y usted acaba de habilitarlo.