Servidores gratuitos DNS over TLS y DNS over HTTPS para navegar seguro

Servidores gratuitos DNS over TLS y DNS over HTTPS para navegar seguro

Sergio De Luz

Cuando realizamos una consulta a un servidor DNS, normalmente esta consulta no está cifrada, por lo que cualquier usuario podría capturar toda la información y saber en detalle qué página web estamos consultando. Recientemente se ha empezado a usar de manera masiva DNS over TLS y también DNS over HTTPS, dos protocolos que nos permite que todas las consultas y respuestas DNS estén cifradas. Hoy en RedesZone os vamos a indicar cuáles son los mejores servidores DNS públicos que soportan DoT y DoH.

DNS over TLS (DoT): qué es y cuáles son los mejores servidores DNS

DNS over TLS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo TLS, el mismo protocolo TLS que ya protege las conexiones HTTPS o que utilizan los softwares VPN como OpenVPN. El objetivo de DoT es aumentar la privacidad y seguridad de los usuarios, y es que con este protocolo previene de ataques MitM que capturan la información, ya que al estar cifrada no podrán leerlo, además, también mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoT hace uso del puerto TCP 853 para proporcionar seguridad a la información.

¿Qué servidores DNS podemos utilizar que son compatibles con DNS over TLS?

  • Google: 8.8.8.8 y 8.8.4.4 para redes IPv4, y también 2001:4860:4860::8888 y 2001:4860:4860::8844 para redes IPv6. El hostname de autenticación TLS es «dns.google«. Estos servidores incorporan DNSSEC para mayor seguridad.
  • Cloudflare: 1.1.1.1 y 1.0.0.1 para redes IPv4, y también 2606:4700:4700::1111 y 2606:4700:4700::1001 para redes IPv6. El hostname de autenticación TLS es «cloudflare-dns.com«. Estos servidores incorporan DNSSEC para mayor seguridad.
  • Quad9: 9.9.9.9 para redes IPv4, y también 2620:fe::fe para redes IPv6. El hostname de autenticación TLS es «dns.quad9.net«. Este servidor incorpora DNSSEC para mayor seguridad.
  • CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
    • Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. Los servidores DNS son 185.228.168.9 y 185.228.169.9 para redes IPv4, y 2a0d:2a00:1::2 y 2a0d:2a00:2::2 para redes IPv6. El hostname de autenticación TLS es «security-filter-dns.cleanbrowsing.org«. Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el «Safe Mode» de Google, Bing y YouTube para proteger a los más pequeños de casa. Los servidores DNS son 185.228.168.168 y 185.228.169.168 para redes IPv4, y 2a0d:2a00:1:: y 2a0d:2a00:2:: para redes IPv6. El hostname de autenticación TLS es «family-filter-dns.cleanbrowsing.org«. Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en «Safe Mode».  Los servidores DNS son 185.228.168.10 y 185.228.169.11 para redes IPv4, y 2a0d:2a00:1::1 y 2a0d:2a00:2::1 para redes IPv6. El hostname de autenticación TLS es «adult-filter-dns.cleanbrowsing.org«. Estos servidores incorporan DNSSEC para mayor seguridad.
    • Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
  • Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
    • DNS estándar: Los servidores DNS son 176.103.130.130 y 176.103.130.131 para redes IPv4. El hostname de autenticación TLS es «dns.adguard.com».
    • DNS con control parental: Los servidores DNS son 176.103.130.132 y 176.103.130.134 para redes IPv4. El hostname de autenticación TLS es «dns-family.adguard.com».
  • NextDNS.io: estos servidores DNS necesitan registro, y es que podremos bloquear diferentes dominios de manera totalmente personalizada. Os recomendamos acceder a la web oficial para registrarnos y utilizar estos servidores DNS.
  • DNS.sb: Los servidores DNS son 185.222.222.222 y 185.184.222.222 para redes IPv4, y 2a09:: y 2a09::1 para redes IPv6. El hostname de autenticación TLS es «dns.adguard.com». Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • FAELIX: Los servidores DNS son 46.227.200.54 y 46.227.200.55 para redes IPv4, y 2a01:9e00::54 y 2a01:9e00::55 para redes IPv6. Este servicio de DNS también proporciona servicio de DNS seguro con controles para filtrar webs maliciosas, los servidores DNS privados son 46.227.200.9 y 46.227.203.9 para redes IPv4. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.

Tal y como podéis ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over TLS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita.

Cómo elegir un servidor DNS

Estos sistemas, que se encargan de realizar la traducción de los nombres de dominio en las direcciones IP, es tremendamente útil. Pero lo cierto es que la elección de cual vamos a utilizar puede llegar a ser compleja. Estos deben ser los más adecuados en cuanto a velocidad y seguridad, de forma que todo funciona de la forma más óptima posible. Algunas de las cosas en las que nos podemos fijar son:

  • Velocidad: Esto es algo vital en un servidor DNS. Este debe ser capaz de resolver la petición de una forma rápida y eficaz. Esto nos ayudará a mejorar de forma significativa, la velocidad con la cual la página web se va a cargar. Lo cual repercute directamente en la experiencia del usuario.
  • Seguridad: Otro de los puntos críticos dentro de cualquier tipo de servidor. En estos casos, hay muchos servicios que nos proporcionan características de seguridad adicionales. Las cuales tendremos que estudiar, buscando cuales vamos a necesitar. Pero cuanta más seguridad, mejor.
  • Privacidad: De nuevo estamos ante un punto clave en la elección del DNS. La privacidad es algo que importan mucho a los usuarios, por lo cual utilizar un servicio con altos estándares de velocidad, es importante. Siempre debemos buscar que no recopile información de la navegación, y que pueda ser vendida a terceras partes.
  • Disponibilidad: Si el servicio DNS no se encuentra disponible, puede ser in gran problema para cualquier compañía. Por lo cual debemos asegurarnos que este no tenga grandes periodos de inactividad, lo cual afecta a la propia empresa, y a la experiencia de los usuarios.
  • Facilidad de uso: Que el servidor sea sencillo de configurar es algo que nos va a ahorrar costes y, sobre todo, tiempo. Al ser sencillo de utilizar, no tendremos que gastar mucho tiempo arreglando problemas, por ejemplo. Algunos de ellos, incluso se pueden configurar directamente en los routers.

DNS over HTTPS (DoH): qué es y cuáles son los mejores servidores DNS

DNS over HTTPS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo HTTPS, el cual hace uso del protocolo TLS por debajo. El objetivo de DoH es facilitar a los usuarios el uso de un servicio de DNS privado y seguro, ya que se configura directamente en nuestro navegador, y es que actualmente las últimas versiones de Mozilla Firefox y Google Chrome soportan este protocolo sin problemas. Dependiendo de la política elegida en el propio navegador, deberemos siempre realizar las consultas a través de DoH exclusivamente, o en caso de que falle, hacer uso de una resolución DNS «normal» sin ningún tipo de cifrado.

El objetivo de DoH es el mismo que el de DoT, es decir, aumentar la privacidad y seguridad de los usuarios, impidiendo ataques MitM que capturen la información privada del usuario. También mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoH hace uso del puerto TCP 443 para proporcionar seguridad a la información.

¿Qué servidores DNS podemos utilizar que son compatibles con DNS over HTTPS?

  • Google: la URL que deberemos introducir es «https://dns.google/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
  • Cloudflare: la URL que deberemos introducir es «https://cloudflare-dns.com/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
  • Quad9: la URL que deberemos introducir es «https://dns.quad9.net/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
  • CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
    • Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. La URL que deberemos introducir es «https://doh.cleanbrowsing.org/doh/security-filter/«. Estos servidores incorporan DNSSEC para mayor seguridad. Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el «Safe Mode» de Google, Bing y YouTube para proteger a los más pequeños de casa. La URL que deberemos introducir es «https://doh.cleanbrowsing.org/doh/family-filter/«. Estos servidores incorporan DNSSEC para mayor seguridad.
    • Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en «Safe Mode». La URL que deberemos introducir es «https://doh.cleanbrowsing.org/doh/adult-filter/«. Estos servidores incorporan DNSSEC para mayor seguridad.
    • Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
  • Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
    • DNS estándar: la URL que deberemos introducir es «https://dns.adguard.com/dns-query«.
    • DNS con control parental: la URL que deberemos introducir es «https://dns-family.adguard.com/dns-query«.
  • NextDNS.io: La URL que deberemos introducir es «https://dns.nextdns.io/<config_id>», pero deberemos registrarnos para poder utilizar estos servidores DNS con filtrado personalizado. Estos servidores incorporan DNSSEC para mayor seguridad.
  • PowerDNS: la URL que deberemos introducir es «https://doh.powerdns.org«.
  • SecureDNS.eu: la URL que deberemos introducir es «https://doh.securedns.eu/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
  • DnsWarden: la URL que deberemos introducir es «https://doh.dnswarden.com/uncensored» si queremos acceder sin censura, pero si queremos bloquear los anuncios deberemos introducir «https://doh.dnswarden.com/adblock«. Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
  • Aaflalo.me: la URL que deberemos introducir es «https://dns.aaflalo.me/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
  • Foundation for Applied Privacy: la URL que deberemos introducir es «https://doh.appliedprivacy.net/query«. Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
  • Captnemo.in: la URL que deberemos introducir es «https://doh.captnemo.in/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
  • DNS.sb: la URL que deberemos introducir es «https://doh.dns.sb/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • FAELIX: la URL que deberemos introducir es «https://rdns.faelix.net/«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
  • doh.li: la URL que deberemos introducir es «https://doh.li/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.

Tal y como podéis ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over HTTPS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita.

2 Comentarios