Análisis, comparativa y diferencias entre los DNS públicos Quad9 y DNS0

Hace un tiempo publiqué un artículo de análisis de servicios de DNS públicos seguros, en ese artículo publiqué una revisión de ocho servicios DNS públicos en lo referente a infraestructura de red y protección antimalware. En esta ocasión voy a hacer una revisión pero centrándome en los dos servicios gratuitos con protección antimalware que mas fuerza y repercusión han tomado para los usuarios europeos. El servicio, por excelencia, seguro, privado y gratuito, hasta este año, estaba siendo Quad9, pero ahora se le ha añadido DNS0.eu, un servicio de DNS público europeo, que viene de los creadores de NextDNS.

INTRODUCCIÓN

He hecho la comparación en base a cinco criterios, que son los criterios mas típicos en servicios de este tipo, infraestructura de red, velocidad de resolución, protección antimalware, protección antiphishing y falsas alarmas. Esos son las características mas típicos que se suelen usar para realizar un análisis de este tipo de servicios. Por poder se podrían hacer en base a mas criterios pero es que ambos servicios son iguales en muchos, es decir, tienen servidores en España, el servicio es anycast, soporta ECS y DNSSEC, en ambos servicios ofrecen resolución DOH/DOT y en ambos casos se ofrece una alternativa de resolución pura sin filtrado.

Análisis, comparativa y diferencias entre Quad9 y DNS0

En el caso de DNS0 Zero es un servicio que realiza un bloqueo preventivo de dominios en base a criterios como antigüedad de menos de 30 días, reciente actividad tras mucho tiempo inactivo o que el nombre se parezca a otros servicios y pretenda recibir visitas de usuarios que teclean algo mal. Este servicio bloquea mas pero generará muchos falsos positivos en webs que, aunque cumplan esos criterios, no tienen malware ni phishing.

Un ejemplo típico es una conocida web de descargas de libros, como las operadoras van bloqueando sus nuevos dominios, estos frecuentemente tienen menos de 30 días de antigüedad y por consiguiente serán siempre bloqueados por DNS0 Zero. DNS0 Zero es un buen servicio pero antes de utilizarlo hay que tener claro como funciona y en que basa sus criterios de bloqueo a modo preventivo.

Recordamos antes de continuar que ambos servicios son del tipo de instalar y olvidar, es decir, no hay panel de usuario ni estadísticas de ningún tipo, simplemente se instala la configuración deseada de cada cual y se acabó, no tiene mas. Como mucho, eso si que es conveniente y beneficioso para todos, si se detecta una falsa alarma o una web maliciosa que no ha sido bloqueada, reportarla a través de sus formularios de contacto.

INFRAESTRUCTURA DE RED

Aquí quien tiene de una forma clara una infraestructura de red mucho mas potente a nivel internacional es Quad9. En Europa la infraestructura de redes bastante similar en ambas. En lo que a la Unión Europea la infraestructura es mayor en DNS0 pero en cambio en España es Quad9 quien cuenta con mas puntos de presencia. En la tabla pongo los puntos de presencia de cada servicio en distintas ciudades a nivel mundial, Europa, Unión Europea y España.

Puntos de Presencia
TOTAL EUROPA UNIÓN EUROPEA ESPAÑA
QUAD9 222 57 44 4
DNS0 55 55 55 2

En España las ciudades con puntos de presencia de ambos servicios son las siguientes:

Quad9: Madrid (2), Barcelona (1) y Málaga (1).
DNS0: Madrid (2).

VELOCIDAD DE RESOLUCIÓN

En el caso de la velocidad de resolución hay un claro empate ya que ambos servicios son muy rápidos, gana Quad9 como se puede observar pero la diferencia es inapreciable en la práctica. Este cuadro es válido para todos los operadores en España salvo para Movistar, en el caso de Movistar, desconozco el motivo, se empeñan en seguir resolviendo DNS0 hacia los servidores de fuera de España con lo que DNS0 va a ser mas lento para los usuarios de Movistar.

Prueba DNS Benchmark fecha Febrero/2023

PROTECCIÓN ANTIMALWARE

Aunque ambos servicios globalmente ofrecen buenos resultados, en lo referido a la protección antimalware, aunque DNS0 bloquea mas que Quad9, para mi Quad9 es mejor protección al ser mas compensadas respecto a las falsas alarmas. Quad9 ofrece una protección antimalware mucho mas equilibrada en cuanto a bloqueos minimizando falsas alarmas. Es decir, mientras que en Quad9 se antepone no bloquear un dominio entero por que una url apartada tenga malware o phishing, en DNS0 se bloquea el dominio entero mucho mas fácilmente.

DNS0 bloquea mas, sobre todo si se utiliza su configuración DNS0 Zero, pero por contra aumentan las falsas alarmas. Por eso creo que es mejor la protección de Quad9 si se tiene en cuenta el equilibrio respecto a las falsas alarmas. Si lo que se quiere es bloquear sin importar las falsas, entonces la situación es clara, DNS0 y sobre todo DNS0 Zero, bloquea mas que Quad9.

PROTECCIÓN ANTIPHISHING

En el caso de la protección antiphishing el vencedor es claro, en esto gana DNS0, tiene unas tasas de bloqueo por phishing mas altas que Quad9. Para quien no lo tenga claro se denomina phishing a las webs falsas, que no son lo que aparentan ser, y que tienen la intención de robarnos datos para proceder a algún tipo de estafa. Es decir, no hay malware que pueda dañar nuestro ordenador, lo que se hace es que la web pretende robarnos datos para luego estafarnos de alguna forma.

FALSAS ALARMAS

En lo referente a las falsas alarmas aquí el vencedor es también claro, se puede decir que prácticamente Quad9 es un servicio casi sin falsas. A modo de ejemplo a mi, durante todo el año pasado, solo me bloqueó una web por error, la cual tras reportarla a Quad9 fue retirada del bloque en pocas horas. Por contra DNS0, sobre todo en el caso de las webs de phishing, va a bloquear mas pero a cuenta de provocar falsas alarmas.

CONFIGURACIÓN DNS0

Normal (Malware)
IPv4: 193.110.81.0 / 185.253.5.0
IPv6: 2a0f:fc80:: / 2a0f:fc81::
DOH: https://dns0.eu
DOT: dns0.eu
Zero (Malware reforzado)
IPv4: 193.110.81.9 / 185.253.5.9
IPv6: 2a0f:fc80::9 / 2a0f:fc81::9
DOH: https://zero.dns0.eu
DOT: zero.dns0.eu
Kids (filtrado parental)
IPv4: 193.110.81.1 / 185.253.5.1
IPv6: 2a0f:fc80::1 / 2a0f:fc81::1
DOH: https://kids.dns0.eu
DOT: kids.dns0.eu
Resolución sin filtrado
IPv4: 193.110.81.254 / 185.253.5.254
IPv6: 2a0f:fc80::ffff / 2a0f:fc81::ffff
DOH: https://open.dns0.eu
DOT: open.dns0.eu

CONFIGURACIÓN QUAD9

Malware
IPv4: 9.9.9.9 / 149.112.112.112
IPv6: 2620:fe:fefe / 2620:fe::9
DOH: https://dns.quad9.net/dns-query
DOT: dns.quad9.net
Malware + ECS
IPv4: 9.9.9.11 / 149.112.112.11
IPv6: 2620:fe::11 / 2620:fe::fe:11
DOH: https://dns11.quad9.net/dns-query
DOT: dns11.quad9.net
Resolución sin ECS ni DNSSEC
IPv4: 9.9.9.10 / 149.112.112.10
IPv6: 2620:fe:10 / 2620:fe::fe:10
DOH: https://dns10.quad9.net/dns-query
DOT: dns10.quad9.net

CONCLUSIONES FINALES

La conclusión para mi es clara, Quad9 es mejor servicio si se desea una excelente protección antimalware bastante equilibrada y casi sin falsas alarmas. Si lo que se desea es el máximo número de bloqueos de webs de malware o phishing pero asumiendo que van a aumentar las falsas alarmas entonces las mejor opción es DNS0 o DNS0 Zero.

Cualquiera de las opciones van a dar un buen resultado pero todo depende de las preferencias hacia donde se quiere inclinar la protección en el entorno que se vaya a instalar.

OTROS ARTÍCULOS DE INTERÉS SOBRE SERVICIOS DNS PÚBLICOS

AdGuard DNS: Servicio especializado en bloqueo publicitario y rastreadores.
CleanBrowsing DNS: Varios niveles de filtrado y versión de pago.
Cloudflare DNS: Nuevo DNS público con varias preconfiguraciones.
Control D: Nuevo servicio DNS personalizable y con resolución desde España.
DNS0.eu: Nuevo servicio de DNS público, europeo, privado y seguro.
DNS.sb: DNS europeo privado y seguro.
Foundation for Applied Privacy: DNS privado y seguro.
GCore DNS: DNS público de una red de entrega de contenido.
Mullvad DNS: Servidores DOH/DOT con varios niveles de filtrado.
NextDNS: Servicio con personalización de perfiles, dispositivos y muchas opciones.
NTT DNS: Un servicio de resolución muy poco conocido con presencia en España.
Quad9 DNS: Excelente protección antimalware sin falsos positivos.
Restena: DNS Público neutral y privado.
RethinkDNS: Bloqueo de publicidad y malware por DOH/DOT.
UncensoredDNS: Un proyecto personal de DNS sin censura.

Autor: Alvaro
Creador y administrador del grupo de webs de Portalvasco.com. Desde Septiembre del año 2006 escribiendo en este blog sobre aviso de radares, radares y cinemómetros, noticias sobre temas de tráfico, motor, seguridad en carretera, seguros, leyes, un poco sobre sociedad, actualidad y temas relacionados con informática, accesorios electrónicos e internet.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


El periodo de verificación de reCAPTCHA ha caducado. Por favor, recarga la página.