En el 2022 y ya entrado el 2023 hemos visto las aparición de nuevos servicios de DNS públicos, de buena calidad y excelente velocidad de resolución con servidores en España. Hay varias opciones que funcionen muy bien para su uso en España, ofreciendo buenos resultados en velocidad de resolución, pero entre todos ellos vamos a destacar Quad9 que es el que consideramos que sigue siendo la mejor opción disponible, en cuanto a protección antimalware equilibrada y casi sin falsos positivos se refiere, para el que desee algo de instalar y olvidar, gratuito, sin panel de usuario ni estadísticas.
BLOQUEO ANTIMALWARE EQUILIBRADO Y CASI SIN FALSOS POSITIVOS
Quad9 no es el servicio que mas bloquea, hay servicios que bloquean mas mediante bloqueos preventivos en base a dominios que pudiera ser que por su comportamiento alberguen malware. Lo que si tiene Quad9 es que es un bloqueo muy equilibrado en cuanto a garantizar una buena calidad de bloqueo minimizando los falsos positivos. Además de lo anterior se soporta una especie de lista blanca que persigue garantizar que los principales dominios mas conocidos y usados no sean bloqueados por error de un falso positivo en alguno de los proveedores de seguridad.
A modo de ejemplo, para poder ubicarnos en a lo que me refiero con casi sin falsos positivos, en un año entero instalado solamente tuve que reportar un falso positivo.
NUEVOS SOCIOS Y PATROCINADORES QUE SE HAN UNIDO AL SERVICIO
Desde los inicios de Quad9 se han ido ampliando sus tratos con nuevos socios que se han ido incorporando para mejorar la calidad de la protección antimalware que Quad9 ofrece. Originalmente fue una unión entre PCH, IBM X-Force y Global Cyber Alliance a la que se han ido añadiendo nuevos socios para mejorar la calidad del servicio y protección ofrecida.
En cuanto a patrocinadores e infraestructuras de red se han unido Switch, Global Secure Layer, i3D.net, Edgeuno y Asurvio.
Actualmente a los anteriormente citados se han añadido otros muchos mas, como Switch cuando se trasladaron a Suiza, que podéis consultar en este enlace. Entre ellos los mas conocidos están los proveedores de inteligencia bfore.ai, F-secure, Domain Trust, OpenPhish, Threat Stop, Abuse.ch, Domain Tools, NetLab360, Threat Connect, Abusix, Riskiq y muchos mas.
MEJORA EN LA INFRAESTRUCTURA DE RED
Quad9 desde sus inicios ha ampliado su capacidad de red, con nuevos servidores en ciudades de todo el mundo y ampliando ubicaciones ya existentes con nuevos servidores. Actualmente tiene 210 puntos de presencia en todo el mundo y continua con nuevos puntos en proyecto para seguir ampliando su infraestructura de red. En cuanto a España se refiere posee servidores en Madrid (dos ubicaciones), Barcelona y Málaga, contando además con varios hosts en cada ubicación de Madrid y Barcelona.
15 RAZONES POR LAS QUE QUAD9 ES EL MEJOR DNS PÚBLICO
- Velocidad: Utiliza la infraestructura de PCH con mas de 210 ubicaciones Quad9 en todo el mundo.
- Presencia en España: dos puntos de conexión en Madrid, uno en Barcelona y otro en Málaga.
- Privacidad: No guarda datos privados ni IPs de usuarios.
- Seguridad: Utiliza bastantes proveedores para identificar urls maliciosas o de phishing.
- Sin falsas: Protección antimalware prácticamente sin falsos positivos.
- Geolocalización: Posibilidad de IP alternativa con geolocalización en las resoluciones (ECS).
- Posibilidad de IP para resolución sin lista negra de urls.
- Opcionalmente soporta encriptación mediante DNS over HTTPs, DNS over TLS y DNSCrypt.
- Sistema de prevención de bloqueo de dominios relevantes y críticos.
- Infraestructura totalmente segura y resistente a fallos.
- Formulario para reportar urls maliciosas o bloqueadas por error.
- Actualizaciones varias veces al día de sus bases de datos de urls.
- Aplicación Android con estadísticas de uso y bloqueo para conexión de datos bajo Quad9.
- Excelente atención al usuario y soporte.
- En continua expansión de infraestructuras de red.
PRIVACIDAD Y SEGURIDAD DE LOS DATOS DE LOS USUARIOS
Quad9 no guarda datos de usuarios, no guarda IPs origen de las peticiones de resolución, no se guardan registros de datos de las peticiones. Lo único que se guarda son los dominios que el servicio va descubriendo, de las peticiones de usuarios, los cuales son enviados a sus proveedores de inteligencia para revisión en busca de webs maliciosas. Es decir, resumiendo, no se guarda información alguna de los usuarios finales, ni datos ni sus IPs.
Al igual que otros servicios similares Quad9 ofrece opciones de encriptación como DOH, DOT o DNSCrypt.
PROTECCIÓN ANTIMALWARE CON O SIN ECS
Las opciones de preconfiguración disponibles de Quad9 son tres, la de solo resolución la recomiendan solamente para motivos de pruebas, las opciones preferibles se reducen a dos. La diferencia entre ambas es únicamente la activación o no del servicio ECS, es decir, que se transmita o no la información de subnet para que, en el caso de grandes webs alojadas en CDN, se resuelva hacía el servidor mas próximo al usuario.
Cuando no se transmite información ECS, por norma general, se suele resolver al servidor CDN mas próximo al servidor DNS que procesa la petición. Es decir, a modo de ejemplo, si el servidor DNS que nos resuelve esta ubicado en Madrid, entonces la resolución será al servidor CDN mas próximo a Madrid.
FORMULARIO DE CONSULTA DE DOMINIOS
Quad9 dispone de un formulario de consulta desde el cual se puede introducir un dominio para que el sistema nos indique si está bloqueado o no y, en caso afirmativo, que proveedor de seguridad lo ha bloqueado. En caso de falso positivo podremos reportar directamente el dominio para que sea desbloqueado. Desde el formulario de contacto también podemos sugerir dominios para que sean bloqueados o desbloqueados.
GUÍAS DE USUARIO Y FAQ
Una cosa que tienen muy al completo en su web son las guías de usuario para configuración de Quad9 en los diferentes sistemas operativos, dos distribuciones de Linux incluidas, y dispositivos móviles. Entre los sistemas operativos nos encontramos con las guías de configuración para Windows, Ubuntu, Linux Mint, MacOS, Chromebook y ChromeOS. En dispositivos móviles nos encontramos con las instrucciones para configuración en Android e iOS. En cuanto a DOH y DOT nos encontramos con las guías de configuración para Windows 11, Ubunbu y mediante Stubby en Windows 10 y MacOS. También nos ofrecen guías de configuración DNSCrypt para Windows y MacOS.
En lo que a dispositivos varios se refiere nos ofrecen guías de configuración para OPNSense, pfSense, Pi-Hole, Openwrt, PS4, IPFire y Mikrotik.
Tambien nos incluyen una sección a modo de FAQ con bastantes preguntas y respuestas sobre Quad9, las posibilidades de Quad9 e información variada relacionada con el servicio.
MAPA DE DATACENTERS Y LOCALIZACIONES DE QUAD9
Actualmente Quad9 tiene presencia en 210 puntos de todo el mundo. En lo que se refiere a España tienen servidores en Madrid (Punto Neutro Español de Internet, DE-CIX Madrid), Barcelona (Catalunya Neutral Internet Exchange Point) y Málaga (Startnix IXPlay Peers).
DNS BENCHMARK (TEST DE VELOCIDAD DE RESOLUCIÓN)
Para realizar esta prueba de velocidad hemos utilizado la conocida utilidad DNS Benchmark realizada por Steve Gibson. Un detalle importante para esta prueba, es lo primero que hay que entender, es que las diferencias de velocidad entre DNS públicos con presencia en España siempre va a ser mínima con resultados muy similares. Al ser irrelevantes las diferencias en la prueba de velocidad hay que optar por otras características de cada DNS para decidir cual vamos a usar.
Para esta prueba hemos introducido una IP de cada uno de los DNS públicos mas conocidos. En este caso Quad9 ha quedado en primera posición, conviene entender que, las diferencias entre las nueve primeras posiciones, son de escasos mili segundos, es decir, totalmente inapreciable en la práctica, en cuanto a velocidad nos daría igual utilizar uno que otro pero por protección si nos interesa Quad9.
IPS DE CONFIGURACIÓN
Quad9 dispone de varias opciones de configuración, según la IP utilizada para la resolución DNS, concretamente tenemos disponibles tres posibilidades a la hora de configurar el servidor de resolución. Quad9 solo precisa de una IP a modo de DNS primario, si se necesita la segunda IP se puede acudir a su web para ver cual es. A continuación os pongo las IPv4 y las IPv6 para los distintos servicios soportados.
Malware IPv4: 9.9.9.9 / 149.112.112.112 IPv6: 2620:fe:fefe / 2620:fe::9 DOH: https://dns.quad9.net/dns-query DOT: dns.quad9.net |
Malware + ECS IPv4: 9.9.9.11 / 149.112.112.11 IPv6: 2620:fe::11 / 2620:fe::fe:11 DOH: https://dns11.quad9.net/dns-query DOT: dns11.quad9.net |
Resolución sin ECS ni DNSSEC IPv4: 9.9.9.10 / 149.112.112.10 IPv6: 2620:fe:10 / 2620:fe::fe:10 DOH: https://dns10.quad9.net/dns-query DOT: dns10.quad9.net |
En dispositivos Android, aunque tienen disponible una aplicación en Google Play, lo mejor si se dispone de Android 8 o superiores, es configurar DOT en Ajustes, Redes e Internet, DNS privado.
CONCLUSIONES FINALES
Estamos ante un DNS público que yo creo que es la mejor opción en cuanto a equilibro de la protección antimalware se refiere, es decir, si se valor el hecho de no bloquear cuanto mas mejor a riesgo de provocar un aumento de bloqueos erróneos, sino tratar de bloquear lo máximo posible sin obtener prácticamente falsos positivos. En esto pienso que, aunque hay otros DNS que bloquean mas, Quad9 tiene la posición mas equilibrada en cuanto a bloqueo de webs maliciosas sin dar prácticamente falsos positivos.
¿Estas utilizando este servicio de Quad9?, escribe un comentario y cuéntanos que tal te va.
OTROS ARTÍCULOS DE INTERÉS SOBRE SERVICIOS DNS PÚBLICOS
– AdGuard DNS: Servicio especializado en bloqueo publicitario y rastreadores.
– CleanBrowsing DNS: Varios niveles de filtrado y versión de pago.
– Cloudflare DNS: Nuevo DNS público con varias preconfiguraciones.
– Control D: Nuevo servicio DNS personalizable y con resolución desde España.
– DNS0.eu: Nuevo servicio de DNS público, europeo, privado y seguro.
– DNS.sb: DNS europeo privado y seguro.
– Foundation for Applied Privacy: DNS privado y seguro.
– GCore DNS: DNS público de una red de entrega de contenido.
– Mullvad DNS: Servidores DOH/DOT con varios niveles de filtrado.
– NextDNS: Servicio con personalización de perfiles, dispositivos y muchas opciones.
– NTT DNS: Un servicio de resolución muy poco conocido con presencia en España.
– Quad9 DNS: Excelente protección antimalware sin falsos positivos.
– Restena: DNS Público neutral y privado.
– RethinkDNS: Bloqueo de publicidad y malware por DOH/DOT.
– UncensoredDNS: Un proyecto personal de DNS sin censura.