Hay varias formas de proteger sus consultas de DNS, pero cada enfoque tiene sus propias fortalezas y debilidades.
El Sistema de nombres de dominio (DNS) es ampliamente considerado como la guía telefónica de Internet, que convierte los nombres de dominio en información que las computadoras pueden leer, como las direcciones IP.
Cada vez que escribe un nombre de dominio en la barra de direcciones, el DNS lo convierte automáticamente en su dirección IP correspondiente. Su navegador utiliza esta información para recuperar los datos del servidor de origen y cargar el sitio.
Pero los ciberdelincuentes a menudo pueden espiar el tráfico de DNS, lo que hace que el cifrado sea necesario para mantener su navegación web privada y segura.
¿Qué son los protocolos de cifrado de DNS?
Los protocolos de cifrado de DNS están diseñados para aumentar la privacidad y la seguridad de su red o sitio web mediante el cifrado de consultas y respuestas de DNS. Las consultas y respuestas de DNS se envían regularmente en texto sin formato, lo que facilita que los ciberdelincuentes intercepten y alteren la comunicación.
Los protocolos de cifrado de DNS dificultan cada vez más que estos piratas informáticos vean y modifiquen sus datos confidenciales o interrumpan su red. Hay varios proveedores de DNS encriptados que pueden proteger sus consultas de miradas indiscretas.
Los protocolos de cifrado de DNS más comunes
Hay varios protocolos de encriptación de DNS en uso hoy en día. Estos protocolos de cifrado se pueden utilizar para evitar la intromisión en una red cifrando el tráfico dentro del protocolo HTTPS a través de una conexión de seguridad de la capa de transporte (TLS).
1. DNSCrypt
DNSCrypt es un protocolo de red que encripta todo el tráfico DNS entre la computadora del usuario y los servidores de nombres generales. El protocolo utiliza infraestructura de clave pública (PKI) para verificar la autenticidad del servidor DNS y sus clientes.
Utiliza dos claves, una clave pública y una clave privada para autenticar la comunicación entre el cliente y el servidor. Cuando se inicia una consulta de DNS, el cliente la cifra utilizando la clave pública del servidor.
Luego, la consulta cifrada se envía al servidor, que descifra la consulta utilizando su clave privada. De esta forma, DNSCrypt asegura que la comunicación entre el cliente y el servidor esté siempre autenticada y encriptada.
DNSCrypt es un protocolo de red relativamente antiguo. Ha sido reemplazado en gran medida por DNS-over-TLS (DoT) y DNS-over-HTTPS (DoH) debido al soporte más amplio y las garantías de seguridad más sólidas que brindan estos protocolos más nuevos.
2. DNS sobre TLS
DNS-over-TLS cifra su consulta de DNS utilizando Transport Layer Security (TLS). TLS garantiza que su consulta de DNS esté cifrada de extremo a extremo, prevención de ataques de intermediarios (MITM).
Cuando utiliza DNS-over-TLS (DoT), su consulta de DNS se envía a una resolución de DNS-over-TLS en lugar de una resolución sin cifrar. El sistema de resolución de DNS sobre TLS descifra su consulta de DNS y la envía al servidor de DNS autorizado en su nombre.
El puerto predeterminado para DoT es el puerto TCP 853. Cuando se conecta mediante DoT, tanto el cliente como el resolutor realizan un apretón de manos digital. Luego, el cliente envía su consulta de DNS a través del canal TLS encriptado al resolutor.
El sistema de resolución de DNS procesa la consulta, encuentra la dirección IP correspondiente y envía la respuesta al cliente a través del canal cifrado. El cliente recibe la respuesta cifrada, donde se descifra y el cliente utiliza la dirección IP para conectarse al sitio web o servicio deseado.
3. DNS sobre HTTPS
HTTPS es la versión segura de HTTP que ahora se usa para acceder a sitios web. Al igual que DNS-over-TLS, DNS-over-HTTPS (DoH) también cifra toda la información antes de enviarla a través de la red.
Si bien el objetivo es el mismo, existen algunas diferencias fundamentales entre DoH y DoT. Para empezar, DoH envía todas las consultas cifradas a través de HTTPS en lugar de crear directamente una conexión TLS para cifrar su tráfico.
En segundo lugar, utiliza el puerto 403 para la comunicación general, lo que dificulta su diferenciación con el tráfico web general. DoT usa el puerto 853, lo que hace que sea mucho más fácil identificar el tráfico de ese puerto y bloquearlo.
DoH ha visto una adopción más amplia en navegadores web como Mozilla Firefox y Google Chrome, ya que aprovecha la infraestructura HTTPS existente. DoT es más comúnmente utilizado por los sistemas operativos y los solucionadores de DNS dedicados, en lugar de estar integrado directamente en los navegadores web.
Dos razones principales por las que DoH ha visto una adopción más amplia es porque es mucho más fácil de integrar en la web existente. navegadores y, lo que es más importante, se combina a la perfección con el tráfico web regular, lo que hace que sea mucho más difícil bloquear.
4. DNS sobre QUIC
Comparado con los otros protocolos de encriptación de DNS en esta lista, DNS-over-QUIC (DoQ) es bastante nuevo. Es un protocolo de seguridad emergente que envía consultas y respuestas de DNS a través del protocolo de transporte QUIC (Quick UDP Internet Connections).
La mayor parte del tráfico de Internet actual se basa en el Protocolo de control de transmisión (TCP) o el Protocolo de datagramas de usuario (UDP), y las consultas de DNS generalmente se envían a través de UDP. Sin embargo, el protocolo QUIC se introdujo para superar algunos inconvenientes de TCP/UDP y ayuda a reducir la latencia y mejorar la seguridad.
QUIC es un protocolo de transporte relativamente nuevo desarrollado por Google, diseñado para brindar un mejor rendimiento, seguridad y confiabilidad en comparación con los protocolos tradicionales como TCP y TLS. RÁPIDO combina características de TCP y UDP, al mismo tiempo que integra un cifrado integrado similar a TLS.
Dado que es más nuevo, DoQ ofrece varias ventajas sobre los protocolos mencionados anteriormente. Para empezar, DoQ ofrece un rendimiento más rápido, reduciendo la latencia general y mejorando los tiempos de conectividad. Esto da como resultado una resolución de DNS más rápida (el tiempo que tarda el DNS en resolver la dirección IP). En última instancia, esto significa que los sitios web se le sirven más rápido.
Más importante aún, DoQ es más resistente a la pérdida de paquetes en comparación con TCP y UDP, ya que puede recuperarse de paquetes perdidos sin necesidad de una retransmisión completa, a diferencia de los protocolos basados en TCP.
Además, es mucho más fácil migrar conexiones usando QUIC también. QUIC encapsula múltiples flujos dentro de una sola conexión, lo que reduce la cantidad de viajes de ida y vuelta necesarios para una conexión y, por lo tanto, mejora el rendimiento. Esto también puede ser útil al cambiar entre Wi-Fi y redes celulares.
QUIC aún no se ha adoptado ampliamente en comparación con otros protocolos. Pero empresas como Apple, Google y Meta ya utilizan QUIC y, a menudo, crean su propia versión (Microsoft utiliza MsQUIC para todo su tráfico SMB), lo que es un buen augurio para el futuro.
Espere más cambios en el DNS en el futuro
Se espera que las tecnologías emergentes cambien fundamentalmente la forma en que accedemos a la web. Por ejemplo, muchas empresas ahora están aprovechando las tecnologías de cadena de bloques para crear protocolos de nombres de dominio más seguros, como HNS e Unstoppable Domains.