¿Qué es DNS sobre TLS?
Ya sabe que ha habido mucho ruido en los últimos años en torno al cifrado del tráfico web. Incluso si no ha prestado mucha atención, debe haber notado la afluencia de bloqueos verdes cerca de las URL y HTTPS que aparecen en todas partes. Eso es porque más sitios que nunca están encriptando el tráfico.
Cifrar el tráfico web protege tanto el sitio como a las personas que lo visitan. Los atacantes no pueden espiar fácilmente el tráfico encriptado cuando pasa entre su computadora y un sitio web, manteniendo su información de inicio de sesión y cualquier otra cosa que envíe segura.
Hay una pieza que no se encripta usando HTTPS, la consulta DNS. Si no está familiarizado, los sitios web realmente existen en una dirección IP. Cuando ingresa la URL de un sitio, realiza otra solicitud a un servidor DNS preguntando a qué dirección IP pertenece esa URL. La mayoría de las veces, ese servidor DNS pertenece a su ISP. Entonces, ellos, y cualquier otra persona que pueda estar escuchando, pueden ver a qué sitios vas a acceder y registrarlos. Debido a que el DNS no está encriptado de manera predeterminada, es bastante fácil para cualquier tipo de terceros monitorear consultas DNS.
DNS Over TLS trae el mismo tipo de cifrado que espera con HTTPS a las consultas DNS. Por lo tanto, la única persona que recibe su consulta y los datos sobre qué sitio está visitando es el servidor DNS que elija, y usted puede elegir. No necesita usar el DNS de su ISP, y no debe hacerlo.
¿Qué puedes hacer?
El soporte para DNS sobre TLS aún no es tan maduro como HTTPS, pero aún así es bastante fácil de configurar y usar. Hay varias opciones que puede usar para proteger su tráfico DNS. Primero, vale la pena señalar que usar una VPN configurada correctamente ya lo protegerá. Su tráfico DNS se canalizará a través de la VPN a los servidores DNS del proveedor. Si ya está utilizando una VPN, no se preocupe, aunque puede configurar protección adicional si lo desea.
Si no está utilizando una VPN, aún puede cifrar su tráfico DNS con DNS sobre TLS. Hay un excelente proyecto de código abierto, llamado Stubby, que cifra automáticamente sus consultas DNS y las enruta a un servidor DNS que puede manejar DNS a través de TLS. Debido a que el proyecto es de código abierto, está disponible gratuitamente para Windows, Mac y Linux.
Configurar rechoncho
Ventanas
Stubby tiene un conveniente instalador .msi de Windows que instalará Stubby junto con un archivo de configuración predeterminado. Dirígete a la página del instalador y descarga el instalador .msi de Windows.
Una vez que lo tenga, ejecute el instalador. No hay un asistente de configuración gráfica ni nada. Solo necesita confirmar que le está dando acceso al instalador. Se encargará del resto.
Todo para Stubby en Windows se encuentra en:
C: Archivos de programa Stubby
Eso incluye el archivo de configuración YAML.
Abre un símbolo del sistema. Puede usar Ejecutar y escribir cmd. Cambie al directorio Stubby. Luego, ejecute el archivo .exe y páselo a la configuración para iniciar Stubby.
C: UsersUserNamecd C: Archivos de programa Stubby
C: Archivos de programa Stubbystubby.exe -C stubby.yml
Stubby ahora se ejecutará en su sistema. Si desea probarlo, ejecute el siguiente comando para ver si se está ejecutando correctamente.
C: Archivos de programa Stubbygetdns_query -s @ 127.0.0.1 www.google.com
Si eso funciona, Stubby está configurado correctamente. Ahora, si desea cambiar los servidores DNS que utiliza Stubby, abra stubby.yml y modifique las entradas del servidor DNS para que coincidan con los servidores que elija. Asegúrese de que los servidores que elija admitan DNS sobre TLS.
Antes de poder usar el sistema Stubby en todo el sistema, necesitará modificar los resolvers ascendentes (servidores DNS) de Windows. Para hacer eso, necesitarás ejecutar un comando con privilegios de administrador. Cierre la ventana del símbolo del sistema existente. Luego, regrese a su menú de inicio y busque 'cmd'. Haga clic derecho sobre él y seleccione "Ejecutar como administrador". En la ventana resultante, ejecute lo siguiente:
PowerShell -ExecutionPolicy bypass -file "C: Program FilesStubbystubby_setdns_windows.ps1"
Nada de esto es muy bueno si no puede hacer que los cambios sean permanentes. Para hacer eso, necesitará crear una tarea programada que se ejecute al inicio. Afortunadamente, los desarrolladores Stubby proporcionaron una plantilla para eso. En la ventana del símbolo del sistema en ejecución que tiene, haga que sus cambios sean permanentes.
schtasks / create / tn Stubby / XML "C: Archivos de programaStubbystubby.xml" / RU ¡Eso es todo! Su PC con Windows ahora está configurada para usar Stubby para enviar su DNS a través de TLS. En Linux, este proceso es muy simple. Tanto las distribuciones basadas en Ubuntu como Debian tienen Stubby ya disponible en sus repositorios. Solo necesita instalarlo y cambiar su DNS para usar Stubby. Comience instalando Stubby $ sudo apt install stubby
A continuación, edite el archivo de configuración Stubby, si lo desea. Está disponible en /etc/stubby/stubby.yml. Ábrelo en tu editor de texto favorito con sudo. Si ha realizado algún cambio en los servidores DNS, reinicie Stubby. $ sudo systemctl reiniciar rechoncho
También necesitará cambiar las entradas del servidor de nombres en /etc/resolv.conf. Ábrelo con tu editor de texto y sudo también. Cree una sola entrada como la que se muestra a continuación. servidor de nombres 127.0.0.1
Ahora, prueba que Stubby está funcionando. Vaya a dnsleaktest.com y ejecute la prueba. Si aparecen los servidores que configuró para utilizar Stubby, su computadora está ejecutando correctamente Stubby. Configurar Stubby en OSX también es bastante simple. Si tienes Homebrew, el proceso es muy simple, pero de lo contrario también es bastante fácil. Con Hombrew, puede instalar el paquete Stubby. $ brew instalar rechoncho
Antes de iniciar Stubby como servicio, puede modificar la configuración de YAML en /usr/local/etc/stubby/stubby.yml. Una vez que esté satisfecho con las cosas, puede iniciar Stubby como un servicio. los servicios de $ sudo brew comienzan a ser rechonchos
Si no tiene Homebrew, puede instalar la GUI de Stubby. Está disponible aquí. DNS sobre TLS está comenzando a ganar tracción. Pronto, será un lugar común. Hasta entonces, la configuración y los programas como Stubby son necesarios. Claramente, sin embargo, no es demasiado difícil de configurar. En un futuro cercano, el soporte para DNS sobre TLS verá un gran avance cuando Google incluya soporte por defecto con Android. Como resultado, solo debería ser cuestión de tiempo antes de que Apple siga con el soporte de iOS. Las plataformas de escritorio probablemente no se retrasarán demasiado. Por otra parte, ya tienen soporte, y usted simplemente lo habilitó.Linux
OSX
Pensamientos finales
