Cucumber Hack

Cucumber Hack

Blog sobre ciberseguridad y tecnología

Privacidad en DNS

Que debo saber antes de recurrir a una VPN

Juankar

Lectura De 4 Minutos

Frontal

" Aproximadamente el 85 % del malware utiliza DNS para establecer un canal de comando y control"

DNS Convencional

- Las Consultas de envían sin cifrar a través de la red
- La información del Dominio que visitas esta disponible para personas que tengan acceso a nuestra red  
 ( ISP, Gobierno, persona dentro de nuestra red ejecutando #Wireshark )  

DoT (DNS over TLS)

- Encripta consultas DNS mediante el protocolo SSL-TLS (TLS) 
- Puerto 853

Contras:
-Puerto dedicado, cualquier persona de la Red puede ver que hay tráfico (aunque las peticiones y respuestas estan encriptadas)

DoH (DNS over HTTPS)

- El tráfico DNS se envía a traves de un túnel encriptado usando el Protocolo (HTTPS)
- El tráfico DoH se camufla con el resto de tráfico HTTPS
- Puerto 443 (tráfico HTTPS)

Contras:
-Cookies HTTP
-Encabezados HTTP (Authentication, User-Agent, Accept-Language)
-Múltiples Huellas digitales

DoQ (DNS over QUIC)

- Promete mejorar Protocolos DNS cifrados al aprovechar el protocolo de transporte QUIC (RFC Mayo-2022)
- Cifra el tráfico DNS.
- Resuelve el problema del "bloqueo de cabeza de línea"
	·funcionará mejor en redes con una alta tasa de pérdida de paquetes (datos móviles en ascensores o túneles)
- QUIC admite la llamada "Migración de conexión"
	·Cuando el teléfono cambia de Wi-Fi a red móvil, la conexión QUIC NO se interrumpe
- QUIC establece la conexión de red mucho más rápido
- Puerto UDP 8853

DoH3 (DNS over HTTP/3)

- Usa el mismo marco que DoQ proporcionado por el protocolo QUIC
- Puerto UDP 443

SNI (Server Name Indication)

  • Cabecera que el cliente envía al servidor en texto plano sin cifrar al inicio de la conexión, donde se indica el nombre del dominio
  • Da la posibilidad a los ISP para saber a qué Webs accedes
  • Las cabecera SNI se usan para bloquear accesos a web

ESNI (Encrypted Server Name Indication)

  • cliente encripta la extensión de su SNI bajo la clave pública del servidor y enviaba el texto cifrado al servidor

ECH (Encrypted Client Hello)

  • Extensión del protocolo de enlace TLS
  • Cifra el protocolo de enlace completo
  • Cuando te conectas a un servidor, nadie en la red entre tú y el servidor debería ser capaz de discernir a qué origen llegaste

** DoT y DoH se ejecutan sobre una única conexión TCP, lo que significa que, en caso de pérdida de un paquete,todas las consultas o respuestas de DNS después de este paquete deben esperar a que se retransmita el paquete perdido (HoL o Head-of-line blocking)

** Una sola sesión de QUIC puede transportar varias secuencias individuales. Cada flujo es independiente y la pérdida de un paquete solo afecta al flujo al que está asociado


Apple con iCloud Private Relay

  • Crea un túnel cifrado entre el terminal y los servidores de Apple, de forma que todo el tráfico de internet que genera el usuario queda oculto para los intermediarios.
  • Todo el tráfico viaja cifrado, por lo que el proveedor de internet no tiene forma de leer el SNI.

DNSSEC

-NO encripta datos, se asegura que los datos NO hayan sido alterados.
-Evita PHISHING (que suplanten la identidad) al evitar que suplanten la direccion DNS destino 
-HASH (metodo criptografico de llave publica / llave privada)
	1-HASHea IP (El Servidor DNS HASHea la IP del Servidor al que se quiere acceder)
	2-Resultado=HASH se encripta con llave privada
	3-(Se añade al paquete de datos donde iba la IP)=Firma Digital
	4-Firma digital + IP se envian a la pc/servidor destino.
	
	5-PC Destino/Servidor: HASHea IP que le llego {HASH1}
	6-Firma Digital se desencripta con la llave pública
	7-Al desencriptar aparece el HASH que antes encriptamos {HASH2}
	8-{HASH1} = {HASH2}  (El resultado tiene que ser IGUAL)
 
 *Las llaves públicas validan su autentificación mediante las llaves KEY SIGNING KEY (KSK Pública y KSK Privada)  

Las llaves KSK se validan cada 3 meses en la Ceremonia de Firma de Raíz


*Web para verificar el estado de nuestra configuración ( https://www.cloudflare.com/es-es/ssl/encrypted-sni/ )

Categorías