Servidores gratuitos DNS over TLS y DNS over HTTPS para navegar seguro
Cuando realizamos una consulta a un servidor DNS, normalmente esta consulta no está cifrada, por lo que cualquier usuario podría capturar toda la información y saber en detalle qué página web estamos consultando. Recientemente se ha empezado a usar de manera masiva DNS over TLS y también DNS over HTTPS, dos protocolos que nos permite que todas las consultas y respuestas DNS estén cifradas. Hoy en RedesZone os vamos a indicar cuáles son los mejores servidores DNS públicos que soportan DoT y DoH.
Si eres un usuario particular, puede que no tengas miedo. Sin embargo, para empresas, esto debería ser algo obligatorio, ya que, incluso propios compañeros de la misma podrían capturar los datos del resto de equipos, y, además de no ser muy seguro, no nos ofrece ninguna privacidad. Por esto mismo, no está de más conocer cuáles son las diferentes alternativas de servers DNS over TLS y DNS over HTTPS que hay en el mercado de forma gratuita. Y, por supuesto, para entender un poco mejor qué son, explicaremos sus diferentes características.
DNS over TLS (DoT): qué es y cuáles son los mejores servidores DNS
De primeras, ten en cuenta que DNS over TLS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo TLS, el mismo protocolo TLS que ya protege las conexiones HTTPS o que utilizan los softwares VPN como OpenVPN. Es decir, el mismo protocolo que usan las páginas web HTTPS para llegar a encriptar y autenticar las comunicaciones en sí.
El objetivo de DoT es aumentar la privacidad y seguridad de los usuarios, y es que con este protocolo previene de ataques MitM que capturan la información, ya que al estar cifrada no podrán leerlo, además, también mitiga de otros ataques como DNS spoofing y DNS hijacking. Mientras que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoT hace uso del puerto TCP 853 para proporcionar seguridad a la información. Gracias a esto, se consigue garantizar cada una de las solicitudes y respuestas de DNS, ya que no serán manipuladas o hasta falsificadas mediante los ciberataques que hemos mencionado.
¿Qué servidores DNS podemos utilizar que son compatibles con DNS over TLS? Entre las mejores opciones para el uso de este tipo de servidores se encuentran las siguientes alternativas:
- Google: 8.8.8.8 y 8.8.4.4 para redes IPv4, y también 2001:4860:4860::8888 y 2001:4860:4860::8844 para redes IPv6. El hostname de autenticación TLS es «dns.google«. Estos servidores incorporan DNSSEC para mayor seguridad.
- Cloudflare: 1.1.1.1 y 1.0.0.1 para redes IPv4, y también 2606:4700:4700::1111 y 2606:4700:4700::1001 para redes IPv6. El hostname de autenticación TLS es «cloudflare-dns.com«. Estos servidores incorporan DNSSEC para mayor seguridad.
- Quad9: 9.9.9.9 para redes IPv4, y también 2620:fe::fe para redes IPv6. El hostname de autenticación TLS es «dns.quad9.net«. Este servidor incorpora DNSSEC para mayor seguridad.
- CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
- Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. Los servidores DNS son 185.228.168.9 y 185.228.169.9 para redes IPv4, y 2a0d:2a00:1::2 y 2a0d:2a00:2::2 para redes IPv6. El hostname de autenticación TLS es «security-filter-dns.cleanbrowsing.org«. Estos servidores incorporan DNSSEC para mayor seguridad.
- Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el «Safe Mode» de Google, Bing y YouTube para proteger a los más pequeños de casa. Los servidores DNS son 185.228.168.168 y 185.228.169.168 para redes IPv4, y 2a0d:2a00:1:: y 2a0d:2a00:2:: para redes IPv6. El hostname de autenticación TLS es «family-filter-dns.cleanbrowsing.org«. Estos servidores incorporan DNSSEC para mayor seguridad.
- Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en «Safe Mode». Los servidores DNS son 185.228.168.10 y 185.228.169.11 para redes IPv4, y 2a0d:2a00:1::1 y 2a0d:2a00:2::1 para redes IPv6. El hostname de autenticación TLS es «adult-filter-dns.cleanbrowsing.org«. Estos servidores incorporan DNSSEC para mayor seguridad.
- Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
- Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
- DNS estándar: Los servidores DNS son 176.103.130.130 y 176.103.130.131 para redes IPv4. El hostname de autenticación TLS es «dns.adguard.com».
- DNS con control parental: Los servidores DNS son 176.103.130.132 y 176.103.130.134 para redes IPv4. El hostname de autenticación TLS es «dns-family.adguard.com».
- NextDNS.io: estos servidores DNS necesitan registro, y es que podremos bloquear diferentes dominios de manera totalmente personalizada. Os recomendamos acceder a la web oficial para registrarnos y utilizar estos servidores DNS.
- DNS.sb: Los servidores DNS son 185.222.222.222 y 185.184.222.222 para redes IPv4, y 2a09:: y 2a09::1 para redes IPv6. El hostname de autenticación TLS es «dns.adguard.com». Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
- FAELIX: Los servidores DNS son 46.227.200.54 y 46.227.200.55 para redes IPv4, y 2a01:9e00::54 y 2a01:9e00::55 para redes IPv6. Este servicio de DNS también proporciona servicio de DNS seguro con controles para filtrar webs maliciosas, los servidores DNS privados son 46.227.200.9 y 46.227.203.9 para redes IPv4. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
- Cisco OpenDNS: Dentro de las redes IPv4 tendríamos el 208.67.222.222, mientras que en IPv6 nos iríamos a 2620:119:35::35. Es otra de las alternativas que nos permiten filtrar contenido, protección contra amenazas cibernéticas, etc.
Tal y como podéis ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over TLS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita, por lo que si alguna de ellas no te funciona bien, podrás probar otra, ya que son muy similares.
DNS over HTTPS (DoH): qué es y cuáles son los mejores servidores DNS
DNS over HTTPS es un protocolo de seguridad que nos permitirá cifrar todas las consultas y respuestas DNS a través del protocolo HTTPS, el cual hace uso del protocolo TLS por debajo. Sin embargo, hay que tener en cuenta cuál es el verdadero propósito que persigue este protocolo de seguridad. Por tanto, ¿cuál es su finalidad? El objetivo de DoH es facilitar a los usuarios el uso de un servicio de DNS privado y seguro, ya que se configura directamente en nuestro navegador, y es que actualmente las últimas versiones de Mozilla Firefox y Google Chrome soportan este protocolo sin problemas.
Ahora bien, hay que tener claro que en función de la política elegida en el propio navegador, deberemos siempre realizar las consultas a través de DoH exclusivamente, o en caso de que falle, hacer uso de una resolución DNS «normal» sin ningún tipo de cifrado.
Por esto mismo, hay que tener claro que DoH es el mismo que el de DoT, es decir, aumentar la privacidad y seguridad de los usuarios, impidiendo ataques MitM que capturen la información privada del usuario. Es decir, se consigue que los ciberatacantes no puedan falsificar o hasta alterar el tráfico de DNIS. Por esto mismo también consigue mitigar los ataques como DNS spoofing y DNS hijacking. En cambio, hay que tener en cuenta que el protocolo DNS hace uso del puerto UDP 53 habitualmente, DoH hace uso del puerto TCP 443 para proporcionar seguridad a la información.
¿Qué servidores DNS podemos utilizar que son compatibles con DNS over HTTPS? Entre las mejores alternativas que hay en el mercado actual de manera gratuita se encuentran los siguientes server DNS over HTTPS:
- Google: la URL que deberemos introducir es «https://dns.google/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
- Cloudflare: la URL que deberemos introducir es «https://cloudflare-dns.com/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
- Quad9: la URL que deberemos introducir es «https://dns.quad9.net/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
- CleanBrowsing: estos servidores DNS nos permiten tener filtrado de webs, tenemos un total de tres filtros predefinidos, y dependiendo de cada filtro podremos acceder o no a diferentes webs.
- Filtrado de seguridad: estos servidores DNS filtra phishing, malware y dominios maliciosos, no bloquea contenido para adultos. La URL que deberemos introducir es «https://doh.cleanbrowsing.org/doh/security-filter/«. Estos servidores incorporan DNSSEC para mayor seguridad. Estos servidores incorporan DNSSEC para mayor seguridad.
- Filtrado parental: estos servidores DNS bloquean sitios webs de adultos, y también bloquean proxys y VPN que sirven para evadir este filtrado DNS. Webs como Reddit también está bloqueada, y por defecto activa el «Safe Mode» de Google, Bing y YouTube para proteger a los más pequeños de casa. La URL que deberemos introducir es «https://doh.cleanbrowsing.org/doh/family-filter/«. Estos servidores incorporan DNSSEC para mayor seguridad.
- Filtrado de adultos: estos servidores DNS bloquean sitios webs de adultos, pero no bloquean proxys y VPN como en el caso anterior, las webs como Reddit se permiten, pero Google y Bing siguen estando preconfigurados en «Safe Mode». La URL que deberemos introducir es «https://doh.cleanbrowsing.org/doh/adult-filter/«. Estos servidores incorporan DNSSEC para mayor seguridad.
- Podéis acceder a la web oficial de CleanBrowsing donde encontraréis todos los detalles de estos servidores DNS con filtrado web.
- Adguard: este servicio de DNS tiene unos DNS estándar, y otros servidores DNS con protección parental.
- DNS estándar: la URL que deberemos introducir es «https://dns.adguard.com/dns-query«.
- DNS con control parental: la URL que deberemos introducir es «https://dns-family.adguard.com/dns-query«.
- NextDNS.io: La URL que deberemos introducir es «https://dns.nextdns.io/
», pero deberemos registrarnos para poder utilizar estos servidores DNS con filtrado personalizado. Estos servidores incorporan DNSSEC para mayor seguridad. - PowerDNS: la URL que deberemos introducir es «https://doh.powerdns.org«.
- SecureDNS.eu: la URL que deberemos introducir es «https://doh.securedns.eu/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
- DnsWarden: la URL que deberemos introducir es «https://doh.dnswarden.com/uncensored» si queremos acceder sin censura, pero si queremos bloquear los anuncios deberemos introducir «https://doh.dnswarden.com/adblock«. Estos servidores incorporan DNSSEC para mayor seguridad y no registran las peticiones para tener la máxima privacidad.
- Aaflalo.me: la URL que deberemos introducir es «https://dns.aaflalo.me/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
- Foundation for Applied Privacy: la URL que deberemos introducir es «https://doh.appliedprivacy.net/query«. Estos servidores incorporan DNSSEC para mayor seguridad y bloquean la publicidad.
- Captnemo.in: la URL que deberemos introducir es «https://doh.captnemo.in/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad.
- DNS.sb: la URL que deberemos introducir es «https://doh.dns.sb/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
- FAELIX: la URL que deberemos introducir es «https://rdns.faelix.net/«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
- doh.li: la URL que deberemos introducir es «https://doh.li/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
- BlahDNS: la URL que deberemos introducir es «https://doh.blahdns.com/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
- UncensoredDNS: la URL que deberemos introducir es «https://doh.uncensoreddns.org/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
- Surfshark DNS: la URL que deberemos introducir es «https://doh.surfshark.com/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
- FreeDNS: la URL que deberemos introducir es «https://doh.securedns.eu/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
- Yandex DNS: la URL que deberemos introducir es «https://dns.yandex.com/dns-query«. Estos servidores incorporan DNSSEC para mayor seguridad y no guardan ningún tipo de registro.
Cómo elegir un servidor DNS
Estos sistemas, que se encargan de realizar la traducción de los nombres de dominio en las direcciones IP, es tremendamente útil. Pero lo cierto es que la elección de cual vamos a utilizar puede llegar a ser compleja. No cabe duda de que resulta clave conocer exactamente los puntos en los que cualquier usuario se debe fijar para acertar en su elección.
Estos servers DNS deben ser los más adecuados en cuanto a velocidad y seguridad, de forma que todo funciona de la forma más óptima posible. Algunas de las cosas en las que nos podemos fijar a la hora de elegir servidor son:
- Velocidad: Esto es algo vital en un servidor DNS. Este debe ser capaz de resolver la petición de una forma rápida y eficaz. Esto nos ayudará a mejorar de forma significativa, la velocidad con la cual la página web se va a cargar. Lo cual repercute directamente en la experiencia del usuario. Una baja velocidad podría dar como resultado una página mal cargada, o incluso que, por desesperación, la volvamos a intentar cargar antes de tiempo, ya que no estamos acostumbrados a que tarde tanto.
- Seguridad: Otro de los puntos críticos dentro de cualquier tipo de servidor. En estos casos, hay muchos servicios que nos proporcionan características de seguridad adicionales. Las cuales tendremos que estudiar, buscando cuales vamos a necesitar. Pero cuanta más seguridad, mejor. Al final, es el objetivo de hoy, por tanto, debe ser tu punto principal a tener en cuenta.
- Privacidad: De nuevo estamos ante el otro punto clave en la elección del DNS. La privacidad es algo que importan mucho a los usuarios, por lo cual utilizar un servicio con altos estándares de velocidad, es importante. Siempre debemos buscar que no recopile información de la navegación, y que pueda ser vendida a terceras partes, ya que estarían jugando con nuestros datos, pese a que no nos afecte directamente.
- Disponibilidad: Si el servicio DNS no se encuentra disponible, puede ser in gran problema para cualquier compañía. Por lo cual debemos asegurarnos que este no tenga grandes periodos de inactividad, lo cual afecta a la propia empresa, y a la experiencia de los usuarios.
- Facilidad de uso: Que el servidor sea sencillo de configurar es algo que nos va a ahorrar costes y, sobre todo, tiempo. Al ser sencillo de utilizar, no tendremos que gastar mucho tiempo arreglando problemas, por ejemplo. Algunos de ellos, incluso se pueden configurar directamente en los routers.
Tal y como podéis ver, tenemos una gran cantidad de alternativas para hacer uso de DNS over HTTPS, y, además, tener filtros de control parental a través de DNS, y todo ello de manera totalmente gratuita. Así que a la hora de seleccionar una opción u otra, hay que tener en mente en todo momento toda esta serie de aspectos. Más que nada, porque podremos usar el que más nos guste, siempre y cuando cumpla con una serie de puntos. Aunque, en caso de que te haya algún tipo de problemas, lo cierto es que podrás cambiar de server, ya que son muchas las opciones entre las que puedes elegir.