Hace un tiempo publiqué un artículo de análisis de servicios de DNS públicos seguros, en ese artículo publiqué una revisión de ocho servicios DNS públicos en lo referente a infraestructura de red y protección antimalware. En esta ocasión voy a hacer una revisión pero centrándome en los dos servicios gratuitos con protección antimalware que mas fuerza y repercusión han tomado para los usuarios europeos. El servicio, por excelencia, seguro, privado y gratuito, hasta este año, estaba siendo Quad9, pero ahora se le ha añadido DNS0.eu, un servicio de DNS público europeo, que viene de los creadores de NextDNS.
INTRODUCCIÓN
He hecho la comparación en base a cinco criterios, que son los criterios mas típicos en servicios de este tipo, infraestructura de red, velocidad de resolución, protección antimalware, protección antiphishing y falsas alarmas. Esos son las características mas típicos que se suelen usar para realizar un análisis de este tipo de servicios. Por poder se podrían hacer en base a mas criterios pero es que ambos servicios son iguales en muchos, es decir, tienen servidores en España, el servicio es anycast, soporta ECS y DNSSEC, en ambos servicios ofrecen resolución DOH/DOT y en ambos casos se ofrece una alternativa de resolución pura sin filtrado.
En el caso de DNS0 Zero es un servicio que realiza un bloqueo preventivo de dominios en base a criterios como antigüedad de menos de 30 días, reciente actividad tras mucho tiempo inactivo o que el nombre se parezca a otros servicios y pretenda recibir visitas de usuarios que teclean algo mal. Este servicio bloquea mas pero generará muchos falsos positivos en webs que, aunque cumplan esos criterios, no tienen malware ni phishing.
Un ejemplo típico es una conocida web de descargas de libros, como las operadoras van bloqueando sus nuevos dominios, estos frecuentemente tienen menos de 30 días de antigüedad y por consiguiente serán siempre bloqueados por DNS0 Zero. DNS0 Zero es un buen servicio pero antes de utilizarlo hay que tener claro como funciona y en que basa sus criterios de bloqueo a modo preventivo.
Recordamos antes de continuar que ambos servicios son del tipo de instalar y olvidar, es decir, no hay panel de usuario ni estadísticas de ningún tipo, simplemente se instala la configuración deseada de cada cual y se acabó, no tiene mas. Como mucho, eso si que es conveniente y beneficioso para todos, si se detecta una falsa alarma o una web maliciosa que no ha sido bloqueada, reportarla a través de sus formularios de contacto.
INFRAESTRUCTURA DE RED
Aquí quien tiene de una forma clara una infraestructura de red mucho mas potente a nivel internacional es Quad9. En Europa la infraestructura de redes bastante similar en ambas. En lo que a la Unión Europea la infraestructura es mayor en DNS0 pero en cambio en España es Quad9 quien cuenta con mas puntos de presencia. En la tabla pongo los puntos de presencia de cada servicio en distintas ciudades a nivel mundial, Europa, Unión Europea y España.
Puntos de Presencia |
TOTAL | EUROPA | UNIÓN EUROPEA | ESPAÑA |
---|---|---|---|---|
QUAD9 | 222 | 57 | 44 | 4 |
DNS0 | 55 | 55 | 55 | 2 |
En España las ciudades con puntos de presencia de ambos servicios son las siguientes:
Quad9: Madrid (2), Barcelona (1) y Málaga (1).
DNS0: Madrid (2).
VELOCIDAD DE RESOLUCIÓN
En el caso de la velocidad de resolución hay un claro empate ya que ambos servicios son muy rápidos, gana Quad9 como se puede observar pero la diferencia es inapreciable en la práctica. Este cuadro es válido para todos los operadores en España salvo para Movistar, en el caso de Movistar, desconozco el motivo, se empeñan en seguir resolviendo DNS0 hacia los servidores de fuera de España con lo que DNS0 va a ser mas lento para los usuarios de Movistar.
PROTECCIÓN ANTIMALWARE
Aunque ambos servicios globalmente ofrecen buenos resultados, en lo referido a la protección antimalware, aunque DNS0 bloquea mas que Quad9, para mi Quad9 es mejor protección al ser mas compensadas respecto a las falsas alarmas. Quad9 ofrece una protección antimalware mucho mas equilibrada en cuanto a bloqueos minimizando falsas alarmas. Es decir, mientras que en Quad9 se antepone no bloquear un dominio entero por que una url apartada tenga malware o phishing, en DNS0 se bloquea el dominio entero mucho mas fácilmente.
DNS0 bloquea mas, sobre todo si se utiliza su configuración DNS0 Zero, pero por contra aumentan las falsas alarmas. Por eso creo que es mejor la protección de Quad9 si se tiene en cuenta el equilibrio respecto a las falsas alarmas. Si lo que se quiere es bloquear sin importar las falsas, entonces la situación es clara, DNS0 y sobre todo DNS0 Zero, bloquea mas que Quad9.
PROTECCIÓN ANTIPHISHING
En el caso de la protección antiphishing el vencedor es claro, en esto gana DNS0, tiene unas tasas de bloqueo por phishing mas altas que Quad9. Para quien no lo tenga claro se denomina phishing a las webs falsas, que no son lo que aparentan ser, y que tienen la intención de robarnos datos para proceder a algún tipo de estafa. Es decir, no hay malware que pueda dañar nuestro ordenador, lo que se hace es que la web pretende robarnos datos para luego estafarnos de alguna forma.
FALSAS ALARMAS
En lo referente a las falsas alarmas aquí el vencedor es también claro, se puede decir que prácticamente Quad9 es un servicio casi sin falsas. A modo de ejemplo a mi, durante todo el año pasado, solo me bloqueó una web por error, la cual tras reportarla a Quad9 fue retirada del bloque en pocas horas. Por contra DNS0, sobre todo en el caso de las webs de phishing, va a bloquear mas pero a cuenta de provocar falsas alarmas.
CONFIGURACIÓN DNS0
Normal (Malware) IPv4: 193.110.81.0 / 185.253.5.0 IPv6: 2a0f:fc80:: / 2a0f:fc81:: DOH: https://dns0.eu DOT: dns0.eu |
Zero (Malware reforzado) IPv4: 193.110.81.9 / 185.253.5.9 IPv6: 2a0f:fc80::9 / 2a0f:fc81::9 DOH: https://zero.dns0.eu DOT: zero.dns0.eu |
Kids (filtrado parental) IPv4: 193.110.81.1 / 185.253.5.1 IPv6: 2a0f:fc80::1 / 2a0f:fc81::1 DOH: https://kids.dns0.eu DOT: kids.dns0.eu |
Resolución sin filtrado IPv4: 193.110.81.254 / 185.253.5.254 IPv6: 2a0f:fc80::ffff / 2a0f:fc81::ffff DOH: https://open.dns0.eu DOT: open.dns0.eu |
CONFIGURACIÓN QUAD9
Malware IPv4: 9.9.9.9 / 149.112.112.112 IPv6: 2620:fe:fefe / 2620:fe::9 DOH: https://dns.quad9.net/dns-query DOT: dns.quad9.net |
Malware + ECS IPv4: 9.9.9.11 / 149.112.112.11 IPv6: 2620:fe::11 / 2620:fe::fe:11 DOH: https://dns11.quad9.net/dns-query DOT: dns11.quad9.net |
Resolución sin ECS ni DNSSEC IPv4: 9.9.9.10 / 149.112.112.10 IPv6: 2620:fe:10 / 2620:fe::fe:10 DOH: https://dns10.quad9.net/dns-query DOT: dns10.quad9.net |
CONCLUSIONES FINALES
La conclusión para mi es clara, Quad9 es mejor servicio si se desea una excelente protección antimalware bastante equilibrada y casi sin falsas alarmas. Si lo que se desea es el máximo número de bloqueos de webs de malware o phishing pero asumiendo que van a aumentar las falsas alarmas entonces las mejor opción es DNS0 o DNS0 Zero.
Cualquiera de las opciones van a dar un buen resultado pero todo depende de las preferencias hacia donde se quiere inclinar la protección en el entorno que se vaya a instalar.
OTROS ARTÍCULOS DE INTERÉS SOBRE SERVICIOS DNS PÚBLICOS
– AdGuard DNS: Servicio especializado en bloqueo publicitario y rastreadores.
– CleanBrowsing DNS: Varios niveles de filtrado y versión de pago.
– Cloudflare DNS: Nuevo DNS público con varias preconfiguraciones.
– Control D: Nuevo servicio DNS personalizable y con resolución desde España.
– DNS0.eu: Nuevo servicio de DNS público, europeo, privado y seguro.
– DNS.sb: DNS europeo privado y seguro.
– Foundation for Applied Privacy: DNS privado y seguro.
– GCore DNS: DNS público de una red de entrega de contenido.
– Mullvad DNS: Servidores DOH/DOT con varios niveles de filtrado.
– NextDNS: Servicio con personalización de perfiles, dispositivos y muchas opciones.
– NTT DNS: Un servicio de resolución muy poco conocido con presencia en España.
– Quad9 DNS: Excelente protección antimalware sin falsos positivos.
– Restena: DNS Público neutral y privado.
– RethinkDNS: Bloqueo de publicidad y malware por DOH/DOT.
– UncensoredDNS: Un proyecto personal de DNS sin censura.