Privacidad en DNS
Que debo saber antes de recurrir a una VPN

" Aproximadamente el 85 % del malware utiliza DNS para establecer un canal de comando y control"
DNS Convencional
- Las Consultas de envían sin cifrar a través de la red
- La información del Dominio que visitas esta disponible para personas que tengan acceso a nuestra red
( ISP, Gobierno, persona dentro de nuestra red ejecutando #Wireshark )
DoT (DNS over TLS)
- Encripta consultas DNS mediante el protocolo SSL-TLS (TLS)
- Puerto 853
Contras:
-Puerto dedicado, cualquier persona de la Red puede ver que hay tráfico (aunque las peticiones y respuestas estan encriptadas)
DoH (DNS over HTTPS)
- El tráfico DNS se envía a traves de un túnel encriptado usando el Protocolo (HTTPS)
- El tráfico DoH se camufla con el resto de tráfico HTTPS
- Puerto 443 (tráfico HTTPS)
Contras:
-Cookies HTTP
-Encabezados HTTP (Authentication, User-Agent, Accept-Language)
-Múltiples Huellas digitales
DoQ (DNS over QUIC)
- Promete mejorar Protocolos DNS cifrados al aprovechar el protocolo de transporte QUIC (RFC Mayo-2022)
- Cifra el tráfico DNS.
- Resuelve el problema del "bloqueo de cabeza de línea"
·funcionará mejor en redes con una alta tasa de pérdida de paquetes (datos móviles en ascensores o túneles)
- QUIC admite la llamada "Migración de conexión"
·Cuando el teléfono cambia de Wi-Fi a red móvil, la conexión QUIC NO se interrumpe
- QUIC establece la conexión de red mucho más rápido
- Puerto UDP 8853
DoH3 (DNS over HTTP/3)
- Usa el mismo marco que DoQ proporcionado por el protocolo QUIC
- Puerto UDP 443
SNI (Server Name Indication)
- Cabecera que el cliente envía al servidor en texto plano sin cifrar al inicio de la conexión, donde se indica el nombre del dominio
- Da la posibilidad a los ISP para saber a qué Webs accedes
- Las cabecera SNI se usan para bloquear accesos a web
ESNI (Encrypted Server Name Indication)
- cliente encripta la extensión de su SNI bajo la clave pública del servidor y enviaba el texto cifrado al servidor
ECH (Encrypted Client Hello)
- Extensión del protocolo de enlace TLS
- Cifra el protocolo de enlace completo
- Cuando te conectas a un servidor, nadie en la red entre tú y el servidor debería ser capaz de discernir a qué origen llegaste
** DoT y DoH se ejecutan sobre una única conexión TCP, lo que significa que, en caso de pérdida de un paquete,todas las consultas o respuestas de DNS después de este paquete deben esperar a que se retransmita el paquete perdido (HoL o Head-of-line blocking)
** Una sola sesión de QUIC puede transportar varias secuencias individuales. Cada flujo es independiente y la pérdida de un paquete solo afecta al flujo al que está asociado
Apple con iCloud Private Relay
- Crea un túnel cifrado entre el terminal y los servidores de Apple, de forma que todo el tráfico de internet que genera el usuario queda oculto para los intermediarios.
- Todo el tráfico viaja cifrado, por lo que el proveedor de internet no tiene forma de leer el SNI.
DNSSEC
-NO encripta datos, se asegura que los datos NO hayan sido alterados.
-Evita PHISHING (que suplanten la identidad) al evitar que suplanten la direccion DNS destino
-HASH (metodo criptografico de llave publica / llave privada)
1-HASHea IP (El Servidor DNS HASHea la IP del Servidor al que se quiere acceder)
2-Resultado=HASH se encripta con llave privada
3-(Se añade al paquete de datos donde iba la IP)=Firma Digital
4-Firma digital + IP se envian a la pc/servidor destino.
5-PC Destino/Servidor: HASHea IP que le llego {HASH1}
6-Firma Digital se desencripta con la llave pública
7-Al desencriptar aparece el HASH que antes encriptamos {HASH2}
8-{HASH1} = {HASH2} (El resultado tiene que ser IGUAL)
*Las llaves públicas validan su autentificación mediante las llaves KEY SIGNING KEY (KSK Pública y KSK Privada)
Las llaves KSK se validan cada 3 meses en la Ceremonia de Firma de Raíz
*Web para verificar el estado de nuestra configuración ( https://www.cloudflare.com/es-es/ssl/encrypted-sni/ )