Una posibilidad muy interesante a la hora de configurar un DNS bajo Windows 10/11 es la de configurar un DNS privado, encriptado y seguro en vez de un DNS sin encriptar como el DNS simple de siempre mediante par de IPs, que transmite texto plano. Tenemos en el software cliente YogaDNS una herramienta, muy útil y de fácil manejo, que permite configurar rápidamente dicha funcionalidad de DNS privado, seleccionar el protocolo que se desee utilizar, de una amplia lista de protocolos soportados, e incluso acceder a estadísticas de resoluciones y errores producidos.
HISTORIA DEL DNS
Antes del servicio DNS, a modo de curiosidad para quien no lo sepa, lo que había era un archivo hosts, con una lista de dominios e IPs, que se compartía. Cada cierto tiempo se descargaba y actualizaba en el sistema operativo ese fichero. Luego ya llego lo que conocemos ahora, el servicio DNS que mediante un par de IPs, o una sola IP si el servicio es estable, se realizan peticiones por las que se devuelve la IP correspondiente a cada dominio. El problema de este sistema es que las peticiones se realizan mediante texto plano, sin ningún tipo de encriptación. Este protocolo de DNS simple es el que ha estado utilizándose desde casi toda la vida de internet.
Para solucionar ese problema se crearon los nuevos y modernos protocolos DNS encriptados, privados y seguros. En este artículo no es mi intención hacer una descripción detallada de DOH, DOT y DOQ, para eso ya hay bastantes webs en internet, pero si que voy a hacer un resumen breve para que quede clara la importancia de estos nuevos protocolos DNS.
EXPLICACIÓN DE LOS PROTOCOLOS DNS
DNS simple por par de IPs.- Este es el DNS de siempre, el que se implementó en los inicios de internet y que sigue hasta ahora con nosotros. El problema que tiene es que no ofrece mecanismos de seguridad ni privacidad de ningún tipo, es decir, envía la peticiones en texto plano fácilmente visible por cualquiera que este en medio entre nuestra conexión y el destino. También sería fácilmente visible, por ejemplo, por cualquiera que este utilizando un inspeccionador de paquetes en la red desde la que estemos conectando a internet.
DNS over HTTPS (DoH).- Con este protocolo las peticiones DNS se envían a través de un túnel encriptado usando HTTPs, utilizando el puerto tcp/443, igual que cuando navegamos por páginas HTTPs, la ventaja de este sistema radica en que no se puede distinguir entre el tráfico de la navegación web y el tráfico de peticiones DNS. Esto implica que al no poder distinguirse tampoco se puede bloquear.
DNS over HTTPS3 (DoH3).- Este protocolo es la evolución de DOH, usa el protocolo udp/443 y aunque podría ser bloqueado se bloquearía también cualquier otro tráfico web que utilizara el mismo protocolo. DOH3 y DOQ utilizan el mismo sistema proporcionado por QUIC inspirado en HTTP/2. DOH3 también es resistente a la perdida de paquetes al igual que DOQ ya que ambos utilizan flujos independientes de peticiones. HTTP3 tiene algunas actualizaciones únicas sobre HTTP2, a nivel básico se podría decir que es HTTP2 over QUIC por lo que DNS over HTTP3 es el conjunto de UDP+QUIC+HTTP2+DNS. DoH3 es casi tan bueno como DoQ, pero todavía tiene una capa HTTP3 adicional (sobrecarga) que es inútil para DNS. Por otro lado, está mucho más disponible en el lado del servidor. En cada conexión y enlace SSL se pueden enviar varias peticiones de resolución.
DNS over TLS (DoT).- Este protocolo utiliza el puerto 853. La diferencia respecto a DoH es que DoH es mas completo y ofrece mejor rendimiento, mientras que DoT es un protocolo mas simple y ofrece un rendimiento algo mas bajo. Por eso DOT en su contra tiene que es el protocolo mas lento y tiene la mayor sobrecarga. Cada resolución requiere una nueva conexión TCP y un protocolo de enlace SSL para cada resolución, no se pueden enviar múltiples solicitudes a través de un canal TCP/TLS existente ya abierto. Es decir, por cada petición hay que añadir los tiempos de negociación de la conexión y protocolo.
DNS over QUIC (DoQ).- Este protocolo es el mas moderno, rápido y permite mejorar la eficacia de los anteriores protocolos DOH y DOT, utiliza el puerto udp/8853 para el envió de peticiones. Es un protocolo mas moderno y eficiente ya que es resistente a la perdida de paquetes, al no hacerse todo mediante una única conexión TCP, si se pierde un paquete no hay que esperar a la transmisión del paquete perdido. Cada flujo de peticiones es independiente y la perdida de una no afecta al resto. Se requiere mas uso de CPU y batería pero no de una forma relevante, las diferencias no deberían ser palpables. En cada conexión y enlace SSL se pueden enviar varias peticiones de resolución.
¿POR QUE ES CONVENIENTE INSTALAR YOGADNS?
Aunque igual pueda parecer una obviedad voy a comentar el motivo por el que es conveniente instalar YogaDNS. Una posibilidad de instalación de DNS privado es la ya conocida que viene en los navegadores, es decir, instalar DOH en las opciones de configuración del navegador que utilicemos. Yo utilizo Firefox y instalando DOH en Firefox funciona todo perfectamente y sin dar ningún tipo de problema.
Pero hacer esto tiene un problema y es que solo estaríamos utilizando DOH en el navegador, el resto de peticiones DNS del sistema operativo se seguirían haciendo mediante el DNS simple por par de IPs.
Aún en el caso de Windows 11, que ofrece de DOH de serie, pienso que sería conveniente instalar YogaDNS por que nos ofrece mas posibilidades, mas protocolos y estadísticas de resoluciones o, como es lo que tengo configurado en mi caso, estadísticas de solo errores.
CONFIGURAR DOH/DOT/DOQ MEDIANTE YOGADNS
No se si hay mas utilidades alternativas pero YogaDNS es una opción que funciona muy bien para configurar DOH/DOT/DOQ en Windows o 10 o para configurar DOT/DOQ en Windows 11. También se puede usar YogaDNS para configurar DOH en Windows 11 pero recordamos que Windows 11 eso ya lo ofrece de forma nativa así que, si lo que se desea es configurar DOH, no sería necesario instalar nada en Windows 11.
La configuración básica es extremadamente sencilla, no vamos a hacer una configuración del tipo de según hosts/IPs utilizar un DNS u otro, que también se puede. En nuestro caso basta con ir a «DNS Servers» y configurar un servidor. En la linea con el artículo que escribí sobre AdGuard DNS adjunto una captura de pantalla con lo que sería la configuración de AdGuard DNS mediante protocolo DOQ que es actualmente el mejor protocolo disponible.
A parte de AdGuard os recuerdo que podéis utilizar alguno de los DNS públicos mas comúnmente utilizados como puede ser Quad9, DNS0.eu, ControlD, Cloudflare o NextDNS.
INTEGRACIÓN A NIVEL DE SISTEMA
YogaDNS funciona como utilidad que intercepta las peticiones DNS del sistema, no hay que cambiar nada en la configuración DNS del adaptador de red. También ofrece la versión de pago que, entre otras posibilidades extra, permite realizar la misma función mediante un servicio de red. Al instalar YogaDNS como servicio de red lo que se consigue es que la resolución funcione sin necesidad de iniciar sesión de usuario e iniciar la aplicación.
La configuración como servicio de red es sencilla, YogaDNS ofrece un gestor del servicio que lo unico que precisa es primero configurar la utilidad, comprobar que funciona bien, exportar su configuración desde la opción disponible para ello y luego importar dicha configuración en el gestor del servicio.
PROTOCOLOS SOPORTADOS
YogaDNS soporta los siguientes protocolos de resolución DNS:
- DNS simple por par de IPs.
- DNS-over-HTTPS (DoH).
- DNS-over-HTTPS/3 (DoH3).
- DNS-over-TLS (DoT).
- DNS-over-QUIC (DoQ).
- DNSCrypt.
- DNSCrypt Relay.
- DNS anónimo.
- DNSSEC con validación local.
- IPv4 e IPv6.
IMPORTACIÓN AUTOMÁTICA DE SERVIDORES DNS
Para quien no tenga claro la configuración de un servidor DNS, siempre que sea uno de los comúnmente utilizados, YogaDNS permite la importación automática de servidores y configuraciones y, una vez importados, seleccionar el servidor y el protocolo que se desee usar.
WEB OFICIAL DE YOGADNS PARA DESCARGA, INFORMACIÓN Y SOPORTE
YogaDNS es la web oficial de esta excelente utilidad. Desde su web podéis acceder a la documentación e información completa de la utilidad, proceso de compra si estáis interesados en adquirirlo (es barata) o bien consultas y soporte.
