¿Puedo confiar en los servidores DNS?

No, no puedes.

Es tan fácil como buscar información sobre el tema "Fuga de DNS". Cuando usa una VPN, corre el riesgo de una fuga de DNS. En otras palabras, la resolución de su DNS se hará fuera de su VPN.

Segundo, el servidor VPN sabe (de alguna manera) quién eres, de dónde eres y adónde quieres ir. Es el mismo riesgo que plantean los nodos de salida de Tor Network.

De todos modos, depende de cuán paranoico te hayas despertado hoy.

No debes confiar en ellos. Usted puede sufrir de "fugas de DNS". Idealmente, su computadora debería enviar solicitudes de DNS a través de la VPN, pero puede solicitarla directamente. Su dirección IP será expuesta. Cualquier persona que espíe la conexión con el servidor DNS verá a qué sitio está accediendo. Eso también te abre al peligroso ataque Man-In-The-Middle. Utilice protocolo DNSCrypt . Literalmente cifra sus solicitudes de DNS a OpenDNS o un proveedor similar.

Realmente hay dos cosas en las que debes confiar aquí: la autenticidad y privacidad de la respuesta del DNS.

Autenticidad

Puede estar razonablemente seguro de la autenticidad de los datos devueltos si todos de los siguientes son verdaderos:

• El sitio admite DNSSEC
• El TLD del sitio admite DNSSEC
• Su cliente comprueba DNSSEC. Para un navegador, recomiendo la extensión en dnssec-validator.cz (No puedo publicar más de 2 enlaces en mi reputación)

Privacidad

Es más difícil hacer que la respuesta del DNS sea privada. Veo dos soluciones. Utilice un servidor que admita DNSCurve , o canalice el tráfico DNS a través de la VPN.

Tenga en cuenta que es probable que necesite cambiar el servidor DNS que utiliza en ambos casos, ya que es poco probable que el servidor DNS del ISP sea compatible con DNSSEC, y casi seguro que no es compatible con DNSCurve. Sin embargo, no necesita usar el suyo propio, puede usar servidores públicos acreditados como Google DNS o OpenDNS.

EDITAR: tenga en cuenta que la respuesta se vuelve más auténtica cuando es privada, ya que cambiar la respuesta se vuelve mucho más difícil (o el servidor DNS que usa debe estar comprometido o el servidor VPN necesita obtener Man-In-The- Middle'd, dependiendo de la solución que elija.

Mientras usa su propia VPN, puede aumentar su seguridad, colocar el servidor DNS en el lado de la red del servicio VPN y forzar cualquier solicitud de DNS a través de su propio servicio / proxy DNS local.

Sin embargo, el proveedor ISP / DNS del servidor / red donde se aloja el DNS puede registrar, interceptar y modificar sus consultas de DNS.

Configuración de un servidor DNS / caché / servidor proxy que no habla con los servidores de nombre raíz normales, sino que habla a través de TLS con servidores habilitados para dnscrypt usted resuelve de un solo golpe el elemento de privacidad de sus solicitudes de DNS y cualquier posible fuga.

Para mayor seguridad, debe configurar también reglas de firewall adicionales que intercepten las solicitudes de DNS provenientes de sus instalaciones / su cliente DNS que no están usando su dirección IP de DNS y obligar a que las solicitudes de DNS se envíen a su servicio DNS (por ejemplo, , una máquina con la configuración del servidor DNS de Google 8.8.8.8 a mano se verá obligada a hablar con sus servicios DNS en su lugar).

Como medida de seguridad adicional, tenga en cuenta que, por ejemplo, OS / X y iPhone permiten la configuración a través de los perfiles de VPN bajo demanda. En otras palabras, cualquier nueva solicitud de conexión no se cumplirá sin que el VNP se active, negando así cualquier conexión accidental mientras no se establezca la VPN.

Como nota al margen, en casa ejecuto un servidor DNS que sirve a mi equipo y uso con frecuencia mi propia VPN doméstica, las VPN de trabajo que gestiono yo y una VPN comercial. En este caso, no puede haber fugas de DNS en el ISP local cuando hablo con servidores de DNS externos a través de dnscrypt / TLS.

También vale la pena tener en cuenta que, mientras que los servicios como enlace se comprueban en busca de fugas, la "ausencia" de una fuga no responde por su preparar; esas pruebas son mucho más útiles cuando encuentran fugas.

Como último recordatorio, también agregaría que las políticas / reglas de firewall agregadas por un cliente VPN, especialmente las reglas predeterminadas agregadas por el software comercial VPN, pueden cambiar los comportamientos esperados de su infraestructura.

Para solucionar el problema de la pérdida de DNS, estoy seguro de que puede obtener la dirección IP de su proveedor de VPN a la que está realizando la conexión y el cortafuegos de todas las conexiones salientes que se dirigen a cualquier otra dirección IP en cualquier puerto que no sea el específico IP y puerto que usa tu VPN. Eso evitará que el tráfico "filtrado" salga de su red. Hecho.

Después de eso, solo el proveedor de VPN sabrá con certeza qué sitios está visitando, y depende de si mantienen o no registros de su tráfico. Sus opciones aquí son transmitir sus datos a través de I2P después de que se haya conectado a su VPN.

Después de eso, solo los ataques de sincronización a gran escala, como los de adversarios a nivel nacional, probablemente lo encuentren.

Si está usando una VPN y esa VPN está usando un DNS público, lo más probable es que sus solicitudes sean lo suficientemente anónimas. La verdad es que si quieren encontrarte lo suficientemente mal, lo harán.

Ejecutar su propio DNS sería una mala idea ya que las solicitudes que se envían a un DNS con un solo usuario se destacan como extrañas. Yo diría que deberías encontrar el DNS más popular y usarlo. A la inversa, puede averiguar la IP de los sitios que desea visitar y omitir DNS todos juntos.

Si usted es un técnico y también si es un experto en seguridad, no debe confiar en ningún DNS de terceros. Debido a que hay tantos sitios web y servidores web, estos ofrecen sus servicios y también venden sus datos a otros hackers para obtener sus beneficios. Entonces, si tiene su propio DNS y VPN bien preparados, confíe solo en usted mismo.