DNSSEC

 

Nuestras DNSSEC Privadas solo funcionan en nuestra red local para beneficio de nuestros suscriptores, pero que es un DNS seguro?.

Prueba tu DNSSEC aquí

Son extensiones de seguridad del actual protocolo con la idea de permitir retrocompatibilidad y minimizar el impacto en la transición. Está basado en criptografía de llave pública (certificados digitales) y utiliza los servidores raíz DNS como entidades de certificación autorizadas. A modo de conclusión, a día de hoy nos estamos sensibilizando con la protección de nuestra información privada, y lentamente van apareciendo leyes y protocolos que nos permiten defendernos o, al menos, tener la opción de hacerlo. Estamos migrando de un modelo del ‘Internet de la información’ a otro modelo del ‘Internet del valor‘, por lo que en breve nuestra identidad digital podría estar ligada a servicios y propiedades físicas. Por ello, es importante protegernos, estar siempre atentos a nuestros datos y equipos informáticos y tener sentido común al utilizarlos.

¿Qué beneficios tiene el uso de DNSSEC?

La utilización de DNSSEC aporta una capa extra de autenticidad sobre los datos enviados mediante DNS sin extensiones de seguridad, evitando ataques de suplantación, como aquellos que redirigen a la víctima a sitios maliciosos como los de tipo phishing. También aumenta la protección frente a ataques de observación e interceptación del tráfico ya que la cadena de custodia que aporta DNSSEC lo evita.

DNSSEC no es una funcionalidad que la mayoría de los usuarios puedan habilitar ya que depende del proveedor de servicios de Internet o ISP que se haya contratado.

En la siguiente imagen se muestra una representación de un ciberdelincuente atacando una web con DNSSEC.

 

  1. El atacante accede al servidor DNS vulnerable y modifica la dirección IP asociada al servidor web por otra fraudulenta bajo su control.
  2. El usuario busca en su navegador web el dominio tienda.es.
  3. El servidor DNS local del usuario pregunta al servidor DNS raíz dónde puede encontrar al servidor DNS de los dominios .es.
  4. El servidor DNS raíz responde con la dirección IP del servidor DNS de los dominios .es y con las firmas del servidor raíz y del siguiente servidor DNS a consultar.
  5. El servidor DNS local pregunta al servidor DNS .es por el dominio de tienda.es.
  6. El servidor DNS .es devuelve la dirección IP del servidor DNS de tienda.es y con las firmas del servidor .es y del siguiente servidor DNS a consultar.
  7. El servidor DNS local pregunta al servidor DNS de tienda por la dirección IP de su servidor web.
  8. El servidor DNS de tienda.es devuelve la dirección IP fraudulenta del servidor web y las firmas asociadas al dominio tienda.es.
  9. El servidor DNS local facilita la dirección IP del servidor web al equipo del usuario.
  10. El equipo del usuario comprueba que la cadena de confianza que ofrece DNSSEC se ha roto ya que las firmas del servidor DNS de tienda.es no coinciden con las firmas facilitadas por el servidor DNS .es y, por lo tanto, no accede al sitio web de tienda.es.

En el siguiente escenario un atacante intercepta el tráfico para redirigir al usuario a una web fraudulenta.

 

  1. El usuario busca en su navegador web el dominio tienda.es.
  2. Su servidor DNS local devuelve al atacante que está interceptando el tráfico la dirección IP del servidor web legítimo y las firmas de los distintos servidores DNS consultadas en el proceso.
  3. El atacante modifica la dirección IP por la de un servidor web bajo su control.
  4. El atacante devuelve al usuario la dirección IP fraudulenta y las firmas DNSSEC.
  5. El equipo del usuario comprueba que la cadena de confianza que ofrece DNSSEC se ha roto ya que las firmas no coinciden con las que debería ser y no accede al sitio web de tienda.es.

En ambos casos la cadena de confianza que ofrece DNSSEC se rompe ya que las firmas utilizadas para autenticarla no coinciden con las que deberían ser, por lo tanto el usuario no accederá a la web fraudulenta.

Desde INCIBE-CERT se ha elaborado una completa Guía de implantación y buenas prácticas de DNSSEC. En ella puedes obtener más información sobre los aspectos técnicos de estas mejoras de seguridad sobre el protocolo DNS.

¿Cómo saber si mi web tiene DNSSEC?

Para saber si tu página web cuenta con DNSSEC existen varias herramientas en Internet que lo permiten como:

Haciendo una comprobación de un dominio con DNSSEC, obtenemos el siguiente resultado:

En cambio, si hacemos la comprobación contra un dominio sin DNSSEC, el resultado es:

Si después de comprobar el uso de DNSSEC en tu dominio ves que no cuenta con esta mejora de seguridad, es recomendable que contactes con tu ISP para solicitarle que lo implemente. En caso de no obtener una respuesta afirmativa, es recomendable buscar otro proveedor que sí lo haga, de esta forma elevaremos la seguridad en la empresa y sobre todo para nuestros clientes, además de mejorar nuestra reputación digital.

DNSSEC es una mejora de seguridad que todo sitio web debería tener ya que se aumenta la integridad y autenticidad de un protocolo que es de vital importancia en Internet. No esperes más y solicita a tu ISP que implemente DNSSEC, si no lo ha hecho todavía.

¿Cuál es mi servidor DNS?

Con esta  herramienta de verificación del servidor DNS verifica y muestra los servidores DNS que utiliza su dispositivo. También revela el propietario (ISP) del servidor DNS que procesa sus solicitudes.  Ingresa a  top10vpn.com

debe salirte este resultado

Test para comprobar fugas de DNS

En este sentido tenemos un amplio abanico de posibilidades. Podemos utilizar diferentes herramientas que hay en Internet y que son gratuitas. Su funcionamiento es muy simple, ya que únicamente nos indican los DNS que estamos utilizando, así como la ubicación donde nos encontramos. Si por ejemplo estamos en España pero tenemos instalada una VPN para simular que nos encontramos en Alemania y al realizar una prueba aparece que estamos en España, algo funciona mal.

DNSLeakTest

La página web de DNSLeakTest es una de las opciones que tenemos disponibles. Es muy sencilla de utilizar. Simplemente hay que entrar en ella y automáticamente nos mostrará nuestra dirección IP y la ubicación donde se encuentra. Es gratuita y no tienes que instalar nada para comenzar a usarla.

Si estamos utilizando una VPN conectada en otro país, debería de aparecer que estamos en esa nación. En nuestro caso hemos probado un servicio VPN que simula que nos encontramos en Países Bajos. Al acceder a este sitio, como podemos ver en la imagen de abajo, nos muestra que efectivamente nos encontramos allí. Eso significa que no hay fugas y, por tanto, no reconoce que realmente nos encontramos en España al realizar esta prueba.

Tiene varias opciones. Una de ellas es la estándar, que únicamente nos muestra lo que hemos visto en la imagen, mientras que otra opción es un test extendido, que es más completo y también tarda más tiempo en dar los resultados. Si te interesa profundizar más, puedes realizar este test alternativo.

DNSLeak

Una opción muy similar es la de DNSLeak. Nada más entrar nos indicará cuál es la dirección IP que ha detectado. A continuación simplemente tenemos que darle a Start y realizar un análisis para ver si hay alguna fuga de DNS. El proceso es rápido y también es totalmente gratuito.

Una vez haya finalizado podremos ver si ha filtrado la IP real o, por el contrario, nos muestra la que corresponde con la VPN que estamos utilizando en nuestro dispositivo. Si ocurre esto último habría que tomar medidas para preservar en todo momento la privacidad y que no surjan problemas.

IPLeak

Otra página también gratuita y fácil de usar que tenemos a nuestra disposición para comprobar posibles fugas de DNS o direcciones IP es IPLeak. Nada más entrar analiza la IP y los DNS que tenemos. Es también un proceso rápido y veremos si tenemos algún problema con la privacidad o el programa que usamos está actuando correctamente.

En nuestro caso, con una VPN configurada en esta ocasión para que simule estar en Estados Unidos, nos aparece que estamos en dicho país. Como vemos, nos indica que todo está correcto y que no hay ningún tipo de fuga que pueda dañar la privacidad. Puedes realizar diferentes pruebas conectándote a diferentes servidores de la VPN y así verificar que todos ellos funcionan correctamente y no hay problemas.

Perfect Privacy

También podemos utilizar la página de Perfect Privacy. Tiene función para comprobar fugas de DNS, ver la dirección IP y realizar un test WebRTC. El objetivo, como los casos anteriores, es comprobar que todo funciona correctamente y que nuestra privacidad no se ve comprometida al utilizar una VPN. Nada más entrar verás diferentes opciones y solo hay que seleccionar la que nos interese.

Por ejemplo puedes marcar para que haga una prueba de fugas de DNS. Te mostrará cuál es la dirección IP, la operadora, el país, etc. Si estás conectado a través de una VPN y ésta funciona correctamente, no debería de aparecer información personal, de tu conexión, sino la de los servidores a los que estás conectado.

En definitiva, estas son algunas opciones que tenemos para comprobar si hay fugas DNS en nuestra conexión. La misión de estas páginas es permitir que conozcamos qué dirección IP y DNS pueden registrar los sitios que visitamos. De esta forma sabremos si la VPN que estamos utilizando funciona bien o deberíamos de cambiar a otra. Nuestro consejo es utilizar herramientas VPN que sean de garantías, evitar siempre que sea posible las gratuitas y verificar en todo momento que están actualizadas y que no hay ningún problema que pueda poner en riesgo nuestra seguridad y privacidad al navegar por la red.

¿Como hacemos todo esto?

Estamos usando un conjunto de herramientas como Pihole + Unbound, Pi-hole incluye un servidor DNS de almacenamiento en caché y reenvío , ahora conocido como FTL DNS. Después de aplicar las listas de bloqueo, reenvía las solicitudes realizadas por los clientes a los servidores DNS ascendentes configurados. Sin embargo, como lo mencionaron varios usuarios en el pasado, esto genera algunos problemas de privacidad, ya que en última instancia plantea la pregunta: ¿ En quién puede confiar? Recientemente, han aparecido en el mercado más y más pequeños (y no tan pequeños) proveedores de DNS upstream, que anuncian un servicio de DNS gratuito y privado, pero ¿cómo puede saber si cumplen sus promesas?.
Además, desde el punto de vista de un atacante, los servidores DNS de los proveedores más grandes son objetivos muy valiosos, ya que solo necesitan envenenar un servidor DNS, pero millones de usuarios pueden verse afectados. En lugar de la dirección IP real de su banco, podría ser enviado a un sitio de phishing alojado en alguna isla. Este escenario ya ha sucedido y no es improbable que vuelva a suceder…
Con nuestro propio servidor DNSSEC recursivo, la probabilidad de verse afectado por un ataque de este tipo se reduce considerablemente

 

Seguridad de navegación principal

IPv4 address:    10.0.0.50
IPv6 address:    2803:ea10:3::1010
hostname:         DNS-1 – DNS-2

IPv4 address:   10.0.0.70
IPv6 address:    2803:ea10:3::1001

 

Seguridad de navegación sin publicidad ni rastreadores

IPv4 address:    10.0.0.50
IPv6 address:    2803:ea10:3::5
hostname:         DNS-IPCOM-20 – DNS-IPCOM-30

IPv4 address:   10.0.0.70
IPv6 address:    2803:ea10:3::4

Internet está lleno de contenido desagradable: anunciantes que quieren venderle cosas que no necesita, rastreadores que extraen y venden sus datos como si fueran petróleo y contenido malicioso que compite para secuestrar su dispositivo favorito. Con Nuestros DNSSEC esperamos ayudarlo a minimizar estos problemas y a mantener una presencia en línea más agradable, utilizando la maravillosa utilidad gratuita y de código abierto conocida como Pi-hole .

Protección Infantil

Este DNS se ocupará de los anuncios molestos y maliciosos, ventanas emergentes y anuncios de vídeo, oculta tus datos de una multitud de rastreadores y analizadores de actividad que abundan en Internet evita todos los sitios web fraudulentos, phishing y ataques de malware

 

 

Control parental

IPv4 address:   10.0.0.150
IPv6 address:   2803:ea10:3::7

hostname:        DNS-IPCOM-100  –  DNS-IPCOM-200

IPv4 address:   10.0.0.170
IPv6 address:   2803:ea10:3::6

Protege a tus hijos en línea restringiendo su acceso a contenido adulto e inapropiado. elimina material obsceno de resultados de búsqueda y provee a los padres de una lista negra personalizada para una navegación web más segura a tus hijos para que puedan usar la computadora sin problemas.

Si deseas usar este maravilloso beneficio solo tienes que contactarnos para realizar los cambios en su Router terminal.