DNS4EU, el nuevo servicio, cofundado por la UE, de resolución DNS público y europeo, ya está disponible en su versión para el público. Para su puesta en funcionamiento está siendo desarrollado y mantenido por un consorcio de nueve empresas de la Unión Europea. Pretende ser el nuevo servicio europeo de resolución DNS que ofrezca servicio tanto a usuarios como a operadores de internet, instituciones públicas y empresas. Cuenta con el apoyo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y de mas empresas europeas.
INTRODUCCIÓN
Lo grandioso de este nuevo servicio es que es el primer DNS anycast puramente europeo y oficial de la Unión Europea. Hasta ahora lo que había era servicios DNS europeos con unos pocos servidores, ejemplos como DNS.sb, DNSForge o Mullvad DNS. También teníamos servicios DNS con sede en Europa de empresas venidas desde otros países. Por ejemplo, Quad9 que es un consorcio de IBM, PCH y Global Cyberalliance, DNS0.eu que es de los creadores de NextDNS o bien AdGuard, empresa original de Rusia traslada a Chipre en 2014.
DNS4EU es el primer servicio puramente europeo, oficial de la Unión Europea, que despliega una red de servidores anycast para dar servicio de resolución DNS en todos los países de la UE, incluyendo a España. Mi recomendación es que al menos le deis una oportunidad y lo probéis, yo ya lo tengo instalado en todos mis dispositivos.
VERSIONES DNS4EU DISPONIBLES
Esta versión de DNS4EU que ha sido hecha público y ya ha comenzado a funcionar, es la versión para usuarios finales. Según indican en su web, se van a crear otras versiones del servicio que serán las destinadas a proveedores de internet (ISP), instituciones públicas y para uso empresarial.
INFRAESTRUCTURA DE RED
La infraestructura de red que se ha utilizado para la red de servidores anycast en de momento 14 paises, es la suministrada por una empresa muy conocida, Datacamp Limited. Esta empresa ofrece una red global de servicios y distribución de contenido que además ya está siendo utilizada por algunos otros servicios DNS con excelentes resultados.
DNS PRIVADO Y SEGURO
Según la información suministrada por la web de DNS4EU, el servicio pretende garantizar totalmente la transparencia y la privacidad de los usuarios que lo utilicen. También anuncian que ha sido realizado siguiendo unos altos estándares de calidad para promover la confianza en su utilización. Se han ubicado servidores en toda la Unión Europea. El servicio garantiza que los datos privados y direcciones IPs de todos los usuarios que lo utilicen son anonimizados. Para mas información podéis acudir a su web o bien suscribiros a su newsletter.
OBJETIVOS DEL PROYECTO
- Garantizar la soberanía digital de la UE proporcionando un DNS europeo privado, seguro e independiente.
- Mejorar la autonomía de la UE proporcionando una alternativa a los servicios públicos existentes de DNS no europeos.
- Mejorar el control de la Unión Europea sobre sus infraestructuras y reducir la dependencia de los proveedores extranjeros de DNS.
NIVELES DE FILTRADO Y PROTOCOLOS DISPONIBLES
Los niveles de filtrado disponibles así como las IPs y servidores DOH/DOT disponibles para cada uno de ellos son los siguientes. En la propia web de DNS4EU tenéis disponible una guía de configuración para los distintos sistemas operativos y navegadores comúnmente utilizados. En lo referente al protocolo DoQ me han contestado que actualmente lo están desarrollando y que estará soportado próximamente.
| NIVEL DE FILTRADO | IPV4 | DOT | DOH |
| Malware (MW) | 86.54.11.1 86.54.11.201 |
protective.joindns4.eu | https://protective.joindns4.eu/dns-query |
| MW + Filtrado parental (FP) | 86.54.11.12 86.54.11.212 |
child.joindns4.eu | https://child.joindns4.eu/dns-query |
| MW + Ads y rastreo (ADs) | 86.54.11.13 86.54.11.213 |
noads.joindns4.eu | https://noads.joindns4.eu/dns-query |
| MW + FP + ADs | 86.54.11.11 86.54.11.211 |
child-noads.joindns4.eu | https://child-noads.joindns4.eu/dns-query |
| Solo resolución | 86.54.11.100 86.54.11.200 |
unfiltered.joindns4.eu | https://unfiltered.joindns4.eu/dns-query |
QUE SERVIDORES DNS UTILIZAR SEGÚN DISPOSITIVO
La recomendación de que sistema utilizar es la siguiente. El par de IPs se configuran en el router para que transmita el DNS a la TVs, deco de tv y dispositivos smart home. En dispositivos android se configura DOT en la sección de ajustes, redes e internet. En los ordenadores bajo Windows 11 se puede configurar DOH directamente ya que ya está soportado. Para Windows 10, recomendable también para Windows 11 ya que funciona mejor, utilizar la utilidad utilidad YogaDNS y configurar DOH y mejor DOQ cuando lo activen. La diferencia entre DOH y DOQ es mínima, podéis ver las diferencias en este enlace, pero DOQ es el protocolo mas nuevo, eficiente y privado.
SOPORTE DE DNSSEC
Este servicio soporta completamente DNSSEC. DNSSEC es un conjunto de extensiones de seguridad que pretenden conseguir asegurar la devolución de la resolución del DNS hacia el cliente para garantizar que no haya ningún ataque de por medio que consiga alterar la respuesta. Es decir, DNSSEC busca asegurar el origen de los datos para que en caso de alteración de los mismos el cliente destino lo detecte. La web DNSCheck.tools nos confirma el soporte completo.
SIN SOPORTE ECS
Al menos por el momento, EDNS Client Subnet (ECS) no está soportado. Hay que tener claro que, en ausencia de ECS, lo que se hace es que las peticiones hacia servicios CDN/Akamai se resuelven al CDN mas próximo al servidor DNS que resuelve. Es por ese motivo por el que los DNS de los proveedores de internet ninguno tiene soporte para ECS ya que no lo necesitan. Cloudflare DNS hace lo mismo, no ofrece soporte ECS por que considera que siempre habrá al menos un solucionador DNS en el país de cada usuario. La ausencia de ECS también sirve para garantizar un poco mas la privacidad de los usuarios.
GUÍAS DE CONFIGURACIÓN
DNS4EU ofrece, en una sección de su web, las guías de configuración del DNS para Windows 10/11, MacOS, Linux Ubuntu, Android, iOS (iPhone/iPad), routers domésticos y navegadores. En la sección de los navegadores, los que han sido incluidos, al menos de momento, son Google Chrome, Mozilla Firefox, Microsoft Edge y Opera. Las instrucciones que vienen en estas guías son bastantes claras y detalladas para poder configurar cada uno de los dispositivos o navegadores.
ALERTA TEMPRANA E INTELIGENCIA ARTIFICIAL
DNS4EU no solamente va a integrar fuentes de urls maliciosos y actualizar a tiempo real para sus DNS. El objetivo de DNS4EU es integrar también datos de urls maliciosas provenientes de numerosos actores europeos desde ISPs, pasando por todo tipo de equipos de seguridad europeos que aporten datos para la inteligencia colectiva de DNS4EU. Además de lo anterior, mediante algoritmos de inteligencia artificial que analizan resoluciones y monitorizan dominios, se añade en tiempo real urls maliciosas. DNS4EU aportará un beneficio global, no solo a usuarios, si no a todos los equipos de empresas de seguridad que se unan al proyecto.
En su web ofrecen la descarga del libro blanco sobre la inteligencia aplicada para detectar las amenazas. Todo el que lo desee puede descargarse el white paper y descubrir los motores de inteligencia de amenazas que brindan protección superior a millones de usuarios en todo el mundo.
PANTALLAS DE BLOQUEO
En el caso de la configuración de malware (protective) y la de protección parental (child protection) se muestran pantallas de bloqueo para informar de que una url está bloqueada por DNS4EU. Personalmente prefiero este sistema a lo que hacen otros servicios que simplemente no resuelven y no se sabe si la web ha sido filtrada o bien es que no funciona. De momento en ambos casos la pantalla de bloqueo mostrada es la misma, no han personalizado, aunque suficiente para cumplir a nivel informativo y que el usuario sepa que la web ha sido filtrada por DNS4EU.
SERVIDORES DISPONIBLES, PUNTOS DE PRESENCIA (POP)
DNS4EU se ha iniciado con un total de 14 servidores repartidos en 14 países de la Unión Europea incluido uno en España, concretamente en Madrid. Actualmente las resoluciones desde bastantes proveedores de internet españoles están ya enrutándose hacia el servidor que tienen resolviendo desde Madrid, aunque no todos todavía.
Podéis confirmar a través de webs como DNSCheck.tools para comprobar que servidor nos está atendiendo las resoluciones.
TEST DE VELOCIDAD DE RESOLUCIÓN (DNS BENCHMARK)
Y para los que se que os gustan estas cosas, aquí os pongo el test de resolución con una selección de los 15 servicios DNS mas conocidos. El ping es algo mas relativo ya que depende de la distancia al servidor, en mi caso DNS4EU me da 7 ms. Este test está realizado desde una conexión de Movistar.
El resumen del resultado de la prueba de resolución es que con los servicios que disponen de servidores en España las diferencias en el test son escasas. La diferencia ya algo mas palpable, que si voy a mencionar, la marcan los cuatro últimos de la captura. Google, aunque sigue resolviendo rápido, se está quedando mas lento comparado con el resto, lo cual lleva pasando desde hace bastantes meses. En el caso de DNS0EU, aunque hay servidor en España, resuelve va mas lento que el resto. Luego están en último lugar Comodo DNS y Adguard DNS, lo cual es normal ya que no tienen servidores en España.
Esta prueba de velocidad ha sido realizada con la utilidad DNSBench de Gibson. Podéis descargaros la utilidad desde este enlace y si queréis os dejo mi fichero de servidores para que no tengáis que meterlos vosotros.
ATENCIÓN AL USUARIO Y SOPORTE TÉCNICO
La web también dispone de un formulario de contacto desde el que se pueden reportar dominios maliciosos, errores en la categorización de dominios, falsos positivos de dominios maliciosos o consultas a soporte técnico. Me indican desde su servicio de soporte que, al menos por el momento, no prestan atención en castellano.
Aunque en estos servicios no hay mucho que consultar, yo he hecho tres consultas y el servicio de atención al usuario ha sido rápido, eficiente y muy bueno. Posiblemente el objetivo de la Unión Europea sea no sólamente el servicio en si si no también dar un buen servicio de atención al usuario.
ÍNDICE DE ARTÍCULOS SOBRE SERVICIOS DNS PÚBLICOS
En este blog ya se han publicado bastantes artículos sobre servicios DNS públicos, así que he decidido hacer un indice para poder tenerlos ordenados y localizados. En el índice de artículos sobre servicios de DNS tenéis todas las pruebas realizadas en esta web tanto a DNS públicos como a, en algunos casos, sus versiones de DNS privado de pago.
Buenas tardes Alvaro.
Muchas gracias por tú análisis.
Un saludo.
Jose Manuel, este era mas que obligado, hice el artículo ayer según me enteré. Sabía que estaban en ello pero… pensaba que igual para el 2030. 😀
Ya lo tengo instalado en todos los dispositivos que tengo. 🙂
Enorme la Unión Europea, un servicio útil e importantísimo, ahora mismo me lo configuro yo también. 🙂 ¡¡¡A tope con DNS4EU!!!.
Pues si Luis, posiblemente el servicio europeo mas importante del año, un auténtico notición.
Gracias por la información ahora mismo me lo pongo yo también
De nada GTI, configuratelo y ya verás, van muy bien.
Me ha sorprendido el test de velocidad, empiezan fuerte. Ahora me lo pongo.
Jesús, prueba sin dudar, ya verás que bien funciona.
Me he cambiado a este creo que hay que apoyarles
Jon, te funcionará bien, ya veras…. prueba sin pega.
Actualizo la captura del DNS Benchmark con un test a 15 servicios.
Añadido también la segunda IP a cada nivel de filtrado.
Añadidas capturas de soporte DNSSEC y servidores resolviendo desde España.
Añadido un resumen con la explicación al resultado de DNSBench.
Añadido apartado de información sobre las pantallas de bloqueo.