Articles /

DNSCrypt

Presentación de DNSCrypt

Antecedentes: La necesidad de mejorar la seguridad del DNS

El DNS es uno de los elementos fundamentales de Internet. Se utiliza cada vez que se visita un sitio web, se envía un correo electrónico, se mantiene una conversación de mensajería instantánea o se hace cualquier otra cosa en línea. Aunque OpenDNS ha proporcionado una seguridad de primera clase mediante DNS durante años, y OpenDNS es el servicio DNS más seguro disponible, el protocolo DNS subyacente no ha sido lo suficientemente seguro para nuestra comodidad. Muchos recordarán la Vulnerabilidad Kaminsky, que afectó a casi todas las implementaciones de DNS del mundo (aunque no a OpenDNS).

Dicho esto, la clase de problemas a los que se refería la Vulnerabilidad Kaminsky eran el resultado de algunos de los fundamentos subyacentes del protocolo DNS que son inherentemente débiles – particularmente en la «última milla». La «última milla» es la parte de su conexión a Internet entre su ordenador y su ISP. DNSCrypt es nuestra forma de asegurar la «última milla» del tráfico DNS y de resolver (sin ánimo de broma) toda una clase de graves problemas de seguridad con el protocolo DNS. A medida que la conectividad mundial a Internet se vuelve cada vez más móvil y cada vez más personas se conectan a varias redes WiFi diferentes en un solo día, la necesidad de una solución es cada vez mayor.

Ha habido numerosos ejemplos de manipulación, o ataques de hombre en el medio, y de fisgoneo del tráfico DNS en la última milla y representa un grave riesgo de seguridad que siempre hemos querido solucionar. Hoy podemos hacerlo.

Por qué DNSCrypt es tan importante

De la misma manera que SSL convierte el tráfico web HTTP en tráfico web encriptado HTTPS, DNSCrypt convierte el tráfico DNS normal en tráfico DNS encriptado que es seguro frente a las escuchas y los ataques de intermediarios. No requiere ningún cambio en los nombres de dominio o en su funcionamiento, simplemente proporciona un método para cifrar de forma segura la comunicación entre nuestros clientes y nuestros servidores DNS en nuestros centros de datos. Sin embargo, sabemos que las afirmaciones por sí solas no funcionan en el mundo de la seguridad, por lo que hemos abierto el código fuente de nuestra base de código DNSCrypt y está disponible en GitHub.

DNSCrypt tiene el potencial de ser el avance más impactante en la seguridad de Internet desde SSL, mejorando significativamente la seguridad y la privacidad en línea de cada usuario de Internet.

Nota: ¿Busca protección contra malware, botnet y phishing para ordenadores portátiles o dispositivos iOS? Echa un vistazo a Umbrella Mobility de OpenDNS.

Descargue ahora:

Descargue DNSCrypt para Mac
Descargue DNSCrypt para Windows

Preguntas frecuentes (FAQ):

1. ¿Qué es DNSCrypt? En pocas palabras, ¿qué es DNSCrypt?

DNSCrypt es un software ligero que todo el mundo debería utilizar para aumentar la privacidad y la seguridad en línea. Funciona encriptando todo el tráfico DNS entre el usuario y OpenDNS, impidiendo el espionaje, la suplantación de identidad o los ataques del hombre en el medio.

2. ¿Cómo puedo utilizar DNSCrypt hoy en día?

Hemos abierto el código fuente de nuestra base de código DNSCrypt y está disponible en GitHub. Las interfaces gráficas ya no están en desarrollo; sin embargo, la comunidad de código abierto sigue proporcionando actualizaciones no oficiales de la vista previa técnica.

Consejos:
Si tiene un cortafuegos u otro middleware que manipule sus paquetes, debería intentar habilitar DNSCrypt con TCP sobre el puerto 443. Esto hará que la mayoría de los firewalls piensen que se trata de tráfico HTTPS y lo dejen en paz.

Si prefiere la fiabilidad sobre la seguridad, habilite el fallback a DNS inseguro. Si no puedes localizarnos, intentaremos usar tus servidores DNS asignados por DHCP o previamente configurados. Sin embargo, esto es un riesgo para la seguridad.

3. ¿Qué pasa con DNSSEC? ¿Elimina esto la necesidad de DNSCrypt?

No. DNSCrypt y DNSSEC son complementarios. DNSSEC hace varias cosas. En primer lugar, proporciona autenticación. (¿El registro DNS por el que estoy recibiendo una respuesta proviene del propietario del nombre de dominio por el que estoy preguntando o ha sido manipulado?) En segundo lugar, DNSSEC proporciona una cadena de confianza para ayudar a establecer la seguridad de que las respuestas que se obtienen son verificables. Pero, por desgracia, DNSSEC no proporciona realmente cifrado a los registros DNS, ni siquiera a los firmados por DNSSEC. Incluso si todo el mundo utilizara DNSSEC, la necesidad de cifrar todo el tráfico DNS no desaparecería. Además, hoy en día DNSSEC representa un porcentaje casi nulo de los nombres de dominio en general y un porcentaje cada vez menor de los registros DNS a medida que Internet crece.

Dicho esto, DNSSEC y DNSCrypt pueden funcionar perfectamente juntos. No entran en conflicto de ninguna manera. Piensa en DNSCrypt como una envoltura alrededor de todo el tráfico DNS y en DNSSEC como una forma de firmar y proporcionar validación para un subconjunto de esos registros. Hay beneficios de DNSSEC que DNSCrypt no está tratando de abordar. De hecho, esperamos que la adopción de DNSSEC crezca para que la gente pueda tener más confianza en toda la infraestructura DNS, no sólo en el enlace entre nuestros clientes y OpenDNS.

4. ¿Esto utiliza SSL? ¿Cuál es la criptografía y cuál es el diseño?

No estamos utilizando SSL. Aunque hacemos la analogía de que DNSCrypt es como SSL en el sentido de que envuelve todo el tráfico DNS con cifrado de la misma manera que SSL envuelve todo el tráfico HTTP, no es la biblioteca de criptografía que se utiliza. Estamos utilizando criptografía de curva elíptica, en particular la curva elíptica Curve25519. Los objetivos del diseño son similares a los descritos en el diseño del forwarder DNSCurve.

Leave a Reply