Filtrando webs mediante DNS

Actualmente navegamos por Internet de forma libre y sin restricción según nuestras necesidades ( vaaaleee obviando la privacidad y restricciones de ISP, gobiernos, etc. como os ponéis… 😉 ). Aun así, esto tiene el peligro de encontrarnos con algún sitio malicioso o potencialmente peligroso.

Para resolver este problema, se pueden presentar muchas soluciones, como son la instalación de soluciones antimalware, implementación de proxys, firewalls, etc. Pero en este artículo vamos a tratar una formula mucho mas simple para estar un poco mas seguros, el bloqueo mediante DNS.

De forma muy muy rápida, para aquellos que no lo sepan, vamos a explicar en que consiste el DNS. A alto nivel, esto no es más que un mecanismo para la resolución de nombres en direcciones IP. Por ejemplo, el servicio DNS hace que al escribir «sysbeards.com» este sea resuelto por una dirección IP gracias a una resolución previamente registrada. Fácil no?

Además de esto, comentar que sin esta resolución, NO podríamos acceder al sitio web que queremos visitar escribiendo el nombre. De ahí, que si algún cibercriminal rompiera el sistema DNS mundial todo Internet colapsaría, pero esto es otra historia…

Como podréis imaginar, el sistema de DNS no fue diseñado como elemento de seguridad, pero tiene un gran potencial en este caso. Sabiendo como funciona y cuales son sus principios, ¿Qué sucedería si fuera selectivo? Es decir, ¿si resolviera nombres según su contenido?

Esto es lo que veremos en este post. Existen diferentes servicios de DNS que resuelven los nombres según el sitio web. Por ejemplo, si la web a consultar es maliciosa o tiene contenido dudoso, no la resolverá el sistema DNS y, por lo tanto, no podremos acceder. Pero en cambio, sigue funcionando a la perfección el resto de sitios web.

En el mundo empresarial existen empresas que ofrecen estos servicios y que tienen resultados muy buenos como Akamai ETP o (el clásico) Cisco Umbrella. Obviamente estas son soluciones empresariales y con un coste elevado, pero ahora veremos como también hay soluciones «personales» y sin coste que ofrecen este bloqueo mediante DNS.

Para esta entrada me gustaría centrarme en la solución DNS de Cloudflare. Los DNS de esta compañía son altamente conocidos por su velocidad de resolución, pero también disponen de unos no tan conocidos orientados a la seguridad.

Los servidores DNS se podrían clasificar de la siguiente forma:

• SIN seguridad: 1.1.1.1 y 1.0.0.1
• Protección antimalware: 1.1.1.2 y 1.0.0.2
• Restricción de contenido adulto y antimalware: 1.1.1.3 y 1.0.0.3

De esta forma, estableciendo estos servidores DNS podemos bloquear la navegación a Internet sin complicarnos la vida. ¡Y SON GRATIISSSS!

Para verlo, establecemos en primer lugar los DNS de Cloudflare generales,

Accedemos a una web maliciosa (de prueba) y todo normal. Entramos sin problemas.

En este punto vamos a cambiar los DNS «generales» por los antimalware de Cloudflare a ver que sucede. Establecemos los DNS….

Y al repetir la navegación por la web maliciosa de pruebas vemos que el contenido no se muestra y solo vemos un mensaje de error de DNS:

Esto mismo es lo que sucedería al entrar en un sitio web malicioso real o en una página con contenido para adulto si establecemos el bloqueo mediante DNS correspondiente. Incluso las búsquedas en Google o en otro buscador aparecerán filtradas para evitar estos sitios maliciosos!

Como se muestra, aplicar un poco seguridad en nuestro «día a día» requiere de 5 minutos. Estableciendo una configuración como esta en un PC (o smartphone o router o…) evitaremos navegación maliciosa, aumentando nuestra seguridad y en un tiempo récord sin grandes configuraciones.