Tecnología, Internet y juegos
174 meneos
2109 clics
Cómo usar los DNS públicos europeos para mejorar la seguridad

Cómo usar los DNS públicos europeos para mejorar la seguridad

La UE está promocionando unos DNS públicos europeos que ponen el acento en la seguridad de ciudadanos y empresas de la Unión. Compatibles con el Reglamento General de Protección de Datos (GDPR), han sido creados por dns0.eu, una organización francesa sin ánimo de lucro fundada por los responsables de NextDNS. Estos DNS públicos europeos son gratuitos y trabajan sobre múltiples proveedores de alojamiento en cada estado miembro de la Unión Europea. En una infraestructura 100% europea, actualmente usan 62 servidores y 55 centros de datos en 27...

| etiquetas: dns , públicos , europeos , seguridad , gpdr
91 83 1 K 212
91 83 1 K 212
Comentarios destacados:                
#17 #6 Un Pi-Hole es un software que corre sobre un servidor linux (luego te cuento sobre qué puedes correr esto).
Lo ideal para montarlo es hacer lo siguiente:
- Anulas el servidor DHCP de tu router (para que no asigne ip's a los dispositivos de tu red).
- El pi-hole lo configuras para que sea el servidor DHCP de tu red y obligas a que en toda la red el servidor de DNS sea la ip del pi-hole
- El Pi-hole lo configuras para que coja las dns de dónde tú quieras (yo por ejemplo las cojo de 1.1.1.3, y así ya evito webs de malware y porno en la red de mi casa).

Con este esquema lo que consigues es filtrar la publicidad de todos los dispositivos que tengas en casa. imagina que llega un amigo a tu casa y le dejas conectarse al wifi. Tu amigo, sólo por el hecho de conectarse a tu wifi, si va a cualquier página web no va a tener publicidad de ningún tipo (No le aparecen los baners ni le salta publicidad por ningún lado). Eso sin instalar nada en su dispositivo. Sólo conectándose a tu wifi.…...
#6 Un Pi-Hole es un software que corre sobre un servidor linux (luego te cuento sobre qué puedes correr esto).
Lo ideal para montarlo es hacer lo siguiente:
- Anulas el servidor DHCP de tu router (para que no asigne ip's a los dispositivos de tu red).
- El pi-hole lo configuras para que sea el servidor DHCP de tu red y obligas a que en toda la red el servidor de DNS sea la ip del pi-hole
- El Pi-hole lo configuras para que coja las dns de dónde tú quieras (yo por ejemplo las cojo de…   » ver todo el comentario
#17 ¿Las orange pi dónde se compran en una tienda europea? Intenté comprar una desde orangepi . com y solo tenían de Odroid aunque la web sigue activa como si se pudieran comprar. Menos mal que me devolvieron el dinero despues de mucho insistir e incluso llamarles por teléfono...
#22 No son europeas pero las tengo visto en Amazon y AliExpress. Me parecería raro que no hubiera alguna tienda europea vendiéndolas o revendiéndolas a mayor precio.
#17 ¿Funcioria el filtro de publicidad si configuro mi router para que asigne esos servidores dns mediante dhcp?
#35 sí, claro. Sin problema alguno. Desactivas el dhcp en el pi-hole (que viene desactivado por defecto) y listo. Si total las DNS es definir la IP que las sirve. Si el router lo permite (que algunos de las operadoras son muy puñeteros y no dejan cambiar las DNS) por supuesto.
#35 Siempre y cuando el cliente no tenga configurado sus propios DNS. Eso también aplica a software especifico en el cliente, por ejemplo Firefox puede configurar su propio DNS distinto al del sistema.

Luego hay soluciones más complejas con routers serios para intentar redirigir trafico DNS y forzar a usar el propio, o bloquear terceros. Pero eso ya es otra historia y hay maneras de saltárselo.
#97 en los Asus hay una opcion que sirve para "impedir que Firefox asigne sus propias dns"
#17 en eso me encuentro ya ahora. Proxmox es una puta maravilla.

Todavía estoy aprendiendo, pero tiene un potencial cojonudo
#37 Proxmox es lo mejor que le ha pasado a la informática en mucho tiempo. Los fanboys de vmware (o citrix - XCP-ng) me van a matar, pero permite sustituir perfectamente un software carísimo y hacer lo mismo y en muchos casos más (casi se me saltan las lágrimas al ver lo bien que funciona proxmox backup Server comparado con la combinación vmware-veeam backup).
#37 proxmox es la ostia, yo empecé con un pequeño pc donde tenía pfsense y poco más y a día de hoy tengo montado un cluster con 5 servers, alta disponibilidad, ceph como sistema de ficheros distribuido y un par de pequeños clusters kubernetes para ir aprendiendo. Ahora que tengo acceso a CPU desde kubernetes podré tener una versión local de ChatGPT para controlar home assistant por voz, al más puro estilo HAL. Es Una droga, no sales de un lío y ya te estás metiendo en otro <:(
#50 droga dura!
#50 hay que tener tiempo. Yo empecé algo así pero llegaron los críos y con tener tiempo de cagar tranquilo me conformo :foreveralone:
#50 ¿5 servidores? o_o
#98 Para usar ceph vas incluso justo, aunque mi cuello de botella es a nivel de red. Con doble nic de 10gbps por host al tener que replicar las escrituras en diferentes nodos se queda corta. Cuando me ponga paneles solares me pillo un router mellanox en eBay de 56gbps, de momento paso pq son más de 100w en reposo, por eso salen tan baratos
#99 ¿Una solución de almacenamiento requiere 5 servidores con HA y más de 20Gbps? ¿No tendrás 50 personas trabajando en tu casa y te llamarás Linus Sebastian, verdad? ;)
#50 alguna recomendacion de donde encontrar informacion de calidad para hacer cosas con proxmox?
#17 No tienes por qué deshabilitar el DHCP, simplemente tienes que configurar que la DNS que devuelva el router sea la IP del servidor donde tengas instalado el pihole.
#17 Pero 1.1.1.3 bloquea también... ejem... otras cosas.
#65 jajaja! Sí. Pero tengo niños en casa y como no uso… otras cosas, pues me viene muy bien.
#17 Prueba Adguard Home como LXC en tu Proxmox. O si tienes Opnsense hay un plugin y te ahorras un contenedor.

Sobre los móviles, también puedes abrir un puerto a tu servidor DNS sobre TLS o HTTPS y no necesitas estar conectado a la VPN siempre.
#17 Me interesa mucho todo esto. Tienes alguna web con documentación?

Tengo también Proton VPN de pago y creo que combinándolo todo mi vida puede mejorar mucho!

Aunque aún habría que encontrar una solución para los nuevos anuncios de YouTube, que según tengo entendido se sirven desde su propio servidor y son más difíciles de bloquear, no? Un pihole y el DNS 1.1.1.1 no funcionarian para esto.
#95 yo para pi-hole hago esto

www.flopy.es/piserver-con-docker-parte-3-instalacion-de-pi-hole/

Antes lo instalaba a pelo, pero con docker puedes instalarlo de forma más eficiente.

Eso sí. Tal y cómo dices, los anuncios de YouTube te los comes. Con pi-hole que yo sepa no se pueden bloquear.
#17 Gracias por ese DNS .3, no lo conocía!
#18 #16 #17 A ver que no entiendo una cosa. Yo tengo un Asus y desde siempre en las dns para la wan usa dns-over-tls, a través de 9.9.9.9 y 1.1.1.1. No estoy consiguiendo lo mismo que con el sistema del pihole que mencionas? Todo lo que en mi casa se conecta a internet usa ese sistema. Estoy equivocado?
Los DNS que nos ocupan son los 193.110.81.0 (principal) y 185.253.5.0 (secundario).
#2 Es curioso, desde mi conexión actual (Euskaltel/Virgin), no me responden esas IPs a pings ni a nada (probado desde windows y desde un servidor con linux dentro de la misma red. He probado desde fuera de la red y sí responden.
#2 Deberían haberlo puesto en la entradilla :hug:
¿Llaman seguridad a que otros, no se sabe con qué criterior, decidan qué webs puedes visitar y que webs no? No gracias....
#3 No he sufrido ningún límite en las webs, ni siquiera con rt, Sputnik y otras páginas demoníacas {0x1f601}
#5 prueba con alguna que este denunciada por las mafias de derechos de autor como piratebay
#10 No entiendo mucho pero todo lo que quiero ver lo hago con Stremio y en música a través de New Pipe que te puedes bajar la música o vídeos en calidad y formato que elijas sin ningún tipo de publicidad.
Para libros y demás, telegram.
#13 si te pongo un enlace como dios manda me strikean, sry, prueba por ej con TRESUVEDOBLES epublibre PUNTO org pero arreglandolo hasta que parezca una url :-D

p.d. soy lerdo y no me acordaba de que tambien lo podia probar yo, resuelve correctamente.
#15 Eres muy amable e ingenioso pero no hay libro que no esté en telegram en el formato que elijas. Zascandilea por biblioteca secreta, a veces con símbolos o letras que van cambiando según cierran una y abren otra.
#19 a esos canales de telegram les quedan dos telediarios, recuerdas que al dueño lo detuvieron en francia hace poco... a largo plazo me fio mas de zlib aunque para acceder hay que entrar via tor que es un pelin lento.
#19 #15 epublibre .org está genial no solo por la cantidad de libros sino también por su organización. Si no buscas un libro determinado es de las mejores web para libros
#27 a mi me mola porque puedes hacer seguimiento de tus autores o sagas favoritas y te avisa cuando han subido cositas nuevas de los mismos.
#27 Uno muy bueno también es Ebookelo, mu bueno y con toda clase de formatos en cada libro de descarga.
#19 Amule power!!!
#19 con lo cómodo que es emule en un nas sin meterme en grupos de Telegram o buscar bots xD
#10 Páginas como thepiratebay no están bloqueadas por DNS si no por firewall desde el core del operador.

No metamos más ruido a algo ya de por sí complicado para la mayoría como tener tu propio servidor caché.
#34 si sumas DNSoverTLS / DNSoverHTTPS a ECH ya tienes que la inspección de paquetes en los firewalls no sirve para determinar a qué dominio (baneado) va.

El problema queda en que los servidores web de destino tienen que implementarlo, y hacer que funcione es un poco más complicado que publicar una simple web (tampoco demasiado, colocar la clave pública en el DNS del dominio)
#60 Me temo que también te equivocas. Con eso evitas la inspección del DNS pero los firewalls de los operadores no bloquean por DNS. Emplean direcciones IP y los nombres de dominio que aparecen en la parte plana de cualquier certificado SSL (nombre común, nombres alternativos) que se envían en plano en el proceso de negociación del SSL.
#82 por eso decía que combinado con ECH, que cifra esa parte que iba en plano del nombre del dominio en los paquetes

Y si bloquean por IP se arriesgan a bloquear muchos otros sitios que compartan IP, como, CDNs y demás.

Primero ser hace la consulta DNS cifradas para obtener la IP y ver si tienen el certificado público del servidor web de destino. Después se manda la petición ya cifrada hacía el servidor web.

Naturalmente el servidor web debe ser compatible. Lo que no sé es si ya hay implementaciones en los principales softwares de servidores web. Cloudflare tiene una versión propia modificada compatible
#87 El drama suele estar en las órdenes judiciales. A veces dicen bloquear el dominio, a veces dicen bloquear la IP, a veces dicen bloquear el sitio.. y los operadores tampoco están por la labor, así que se hace lo que diga la orden con el mínimo esfuerzo (siempre que no sean parte de la demanda, claro).
Esos DNS europeos de los que hablan ya tienen su tiempo y lo único que hacen es censurar a saber según qué criterios, como dice #3. Ahora puede que tengan una listas de URL maliciosas, pero ¿quién nos dice que en el futuro no van a marcar como "maliciosas" URL/webs que no les interesen? Pongamos, por ejemplo, RT.

Lo mejor, como dice #1, es que lo gestione cada uno1. Pero, obviamente, montarlo en tu casa no es una opción para todos.

1 Son firme defensor de

…   » ver todo el comentario
#24 alguien que lo dice tal y como es...

Y luego otro día hablamos lo de obligar a los navegadores a instalar el certificado raíz que el gobierno de turno quiera... Eso de fiarte del tls ... Cuando lo vi no entendí una huelga de todo It a nivel europeo
#55 no te he entendido en lo de no fierta del tls.
#24 si censuran nos enteraremos como nos enteramos de que los DNS de los ISPs y otros están censurando y si hacen lo que no deben lo tenemos tan fácil como poner otro DNS.

Por ello pregunto ¿A qué tienes miedo? Y ¿Por qué razón habrían de censurar nada?
#74 Tengo miedo a que censuren. Creo que es suficiente.

Y censuran porque sus intereses no son los mismos que los tuyos.

Confío en que cuando digo "sus" sepas a quiénes me refiero.
#79 ya censuran muchos DNS, principalmente los de los ISPs que bloquean muchos dominios de piratería. A lo que me refiero es a que si censuran te vas a enterar igual que te enteras de cómo censuran los DNS de los ISP y en ese momento lo tienes tan fácil como cambiar de DNS, por tanto ¿A qué tienes miedo si de la censura te vas a enterar y vas a poder eludirla fácilmente? Y mientras tanto tienes un servicio que te puede resultar útil. Yo, por ejemplo, usaré los DNS para niños en los dispositivos de los niños.
#3 Entonces, ¿tienes montados tus propios servidores con securedns y todo lo demás? , ¿o tienes montado todo en local en cada máquina que usas?

Porque si no tienes que confiar en alguien que te sirva los DNS.
El mejor dns es un pihole y detrás de eso 1.1.1.1
#1 joder explicate, que suena interesante xD
#6 la pihole es una raspi con un software que la convierte en un repetidor con cache del dns que uses. la ip esa es la de los dns de cloudflare
#7 y tienes meneame limpito y no te trackea ni la tele.
#8 Menéame limpito mientras estés en tu casa, desde el bar el agujero negro pasa a ser un agujero de gusano.
#78 para eso uso blokada en android.
#85 Vale, de puta madre.
Al final el problema fundamental es en y con la sociedad, no a nivel particular con toda la batería de cortapisas que quieras o puedas poner para que no te toquen los guevos con sus tonterías.
Por otro lado lo de las listas sigue siendo parte del problema fundamental. ¿Quién controla al controlador?

¿Por que el software libre no es de uso general e internacional?
(me respondo a mí mismo) ¡Pareces tonto chaval!
#88 Sí, a todo sí, lo que ocurre es que me he vuelto muy vago y no me preocupa tanto el sobreexceso de vomitiva publicidad como el espionaje real y masivo.
He llegado a un punto en que me da igual ser uno más del montón de abusados. Perdonadme la traición a la causa.

Por ejemplo yo a mi lista blanca tendría que tomarme la molesta de desblanquer la p0rnøjuaraphía (por si acaso la IA espía).
Y que me perdonen las feministas.
#7 ¿Se puede hacer lo mismo con un router con OpenWRT?
#16 deberia pero hace mucho que no tengo un router decente, echa un ojo en la wiki del proyecto
#16 ¿Correrlo desde el hardware de un router? Corregidme si me equivoco, pero me parece que no. Necesitas correrlo desde una máquina con algún linux que tenga base en debian. Los requisitos son muy bajos, pero va a necesitar un poco de espacio en disco y bajar listados de ip's baneadas. No veo yo a un router que ya está corriendo otra cosa moviendo esto, pero a lo mejor alguien lo ha probado y me sorprende.
#21 OpenWRT es como una distro pero para routers wifi: openwrt.org/ La única limitación es el espacio aunque cada vez hay router con más recursos aunque caros.
#23 es que la pregunta de #16 es buena. La teoría es que sí se debería poder, pero el limitante del hardware creo que es grande. En este hilo de reddit hay gente que lo ha propuesto pero el que contesta corría openwrt y el pihole (las dos cosas) desde la misma raspberry, no desde el router.

www.reddit.com/r/pihole/comments/osmef3/can_you_run_pihole_on_openwrt/

Puede que sea interesante investigarlo. Me da que es algo en plan “correr Doom en esta cafetera”. El proyecto mola pero sólo para amantes de emociones fuertes.
#25 Parece que en OpenWRT se puede hacer con una imagen de pi-hole usando Docker: some-natalie.dev/blog/openwrt-setup/
#30 sí, sí, pero o he leído mal o lo montan sobre una raspberry. La persona que comentaba creo que quería correrlo directamente sobre el router, que son palabras mayores. Sobre una raspi o un equipo virtualizado no le veo problema
#31 si no recuerdo mal, hace más tiempo que el sol que redirecionabas todas las IPS chungas al localhost. En localhost tenías un lighthttp que mostraba una web vacía.

Esto se hacía directamente en openwrt con el /etc/hosts.

No es lo mismo porque te tenías que descargar el fichero de definiciones manualmente pero poder se podía. Al final es un wget.
#32 uhmmm... No conocía yo ese truco. Es ingenioso, y seguro que si la dirección de descarga es siempre la misma se puede automatizar. No es lo mismo, obviamente, pero es una ñapa ingeniosa.
#36 de hecho era la misma. Al menos hace unos años, era la principal de la que se nutría pi-hole que era un /etc/host en GitHub.
#31 No es por hacer publi, pero yo tengo un router "de viaje", GL-Inet, en concreto el gl-axt-1800, llevan OpenWRT (con una personalización propia) y puedes instalar AdGuard que hace la misma función que pi-hole (docs.gl-inet.com/router/en/4/interface_guide/adguardhome/)
#25 en #64 comento la opción "nativa" para bloquear anuncios por DNS en OpenWRT, no es PiHole, pero tampoco es necesario que lo sea.

Más detalles en la documentación de OpenWRT: openwrt.org/docs/guide-user/services/ad-blocking
#23 Para routers (punto).
#69 También lo puedes instalar en Raspberry Pi y ordenadores openwrt.org/docs/guide-user/installation/openwrt_x86
#21 Supongo que tu comentario es específico sobre routers comerciales. En cualquier caso, por ejemplo en muchos routers Asus puedes instalar el firmware Merlin que a su vez tiene un software llamado Diversion del estilo de Pihole más simplificado, y usa listas igual.
#16 en OpenWRT tienes una alternativa no tan completa como PiHole pero bastante resultona: instalar los paquetes adblock y luci-app-adblock (interfaz web para el sistema LuCI de OpenWRT)

Es una alternativa bastante ligera pero que también te deja meneame limpio de anuncios, sobre todo cuando navegas desde el teléfono.
#16 Imagino que sí. Tengo montado un pihole en un linux normal y no me gusta mucho como lo han construido.
#16 mira adguard
#7 buena shur
#7 se puede instalar también en un Android rooteado. Lo instalé en un ladrillo del pleistoceno que tenía en un cajón con la batería casi inservible (Android 5 y anterior es muy fácil de rootear independientemente de la marca, no hace falta ni desbloquear el bootloader).
#91 ¿Es este el proyecto?
github.com/DesktopECHO/Pi-hole-for-Android
Porque que yo sepa android no está soportado de forma oficial
#6 Te lo explico con dibujos, empieza así
curl -sSL install.pi-hole.net | bash
...y sigue con más dibujos.
#76 No sé cuando se puso de moda en proyectos de soft libre ejecutar como administrador scripts remotos sin comprobar ni siquiera su hash, pero es una mala práctica de cojones
#1 Claro, lo normal. Explicaselo a tu abuela. Luego se lo compras, instalas, configura y mantiene.
#33 mantener? Hace 5 años que instalé el mío y ni he vuelto a mirarlo
#1 sigues estando a merced de lo que cloudflare quiera. Eso de "mejor", ni de coña.
#54 ¿Pi-hole depende siempre de un DNS externo? ¿No puede resolver directamente? Si no otra opción sería poner un Bind (o servidor DNS similar) en esa misma raspberry y que Pi-hole consulte ese DNS en vez de uno público
#1 Suma a eso una vpn con wireguard en tu casa para conectar tu teléfono móvil y listo! O/y usar Brave para navegar.
#1 Adguard Home con quad9 por DNS sobre HTTPS con DNSSEC y listas de filtrado de Hagezi corriendo en Opnsense 8-D
#93 Ah, vale.
opennic.org/

Para el no lo conozca, existe desde hace muchos años
#11 No lo conocía y me lo apunto.
Fichero host en local y tirando, que al final no son tantas las webs que visitas, no nos flipemos :troll:
#9 eso, y si alguna web cambia de ip, que te informen previamente por carta
#9 Es lo que hay, para este viaje no se necesitan tantas alforjas y no confundir esto con echar pestes contra el software pi-hole.
Un método bien descrito para cambiar los DNS. Lo hice hace tiempo y aun no ha explotado nada {0x263a}
O las DNS de adguard que ya filtran publicidad y trackers (o protección infantil)

adguard-dns.io/es/public-dns.html
#41 Yo uso estas y están muy bien.
#41 yo flipé el día que me enteré del 1.1.1.2 y 1.1.1.3 (con 1.0.0.2 y 1.0.0.3 de secundarias) para malware block y adult content block respectivamente
#41 Existe algún riesgo usando el dns de adguard en el movil?
#81 si, que me he acostumbrado y cuando uso el móvil de otro recuerdo lo insoportables que son algunas web desde el móvil.

Que espien lo que quieran, yo no lo quito
#92 Gracias. Con que espíen te refieres a Adguard? Es que no se si un dns supone un riesgo a la privacidad, como lo puede ser Facebook, o si también sobre un riesgo de seguridad. Un móvil hoy en día tiene apps del banco, de Hacienda...
Con el historial reciente de la UE en materia de censura e intentos de bloquear el cifrado (o de troyanizarlo, que es peor) no estoy seguro de que esto sea buena idea. Pero algo hay que hacer.
Desde la detención de Pavel Durov por haber estado garantizando la privacidad de sus usuarios yo ya NO ME CREO el rollito pro privacidad de la UE.

Somos peores que en China o Korea del Norte. Allí al menos saben que no tienen privacidad, y toman LSD precauciones que crean. Aquí es peor, te venden la moto de que tienes privacidad y muchos tontos se lo creen.
#42 no es privacidad, es que se queden los datos (y los dineros) "en casa", y no se los lleve EEUU
pitatebay te lo bloquea el ISP, da igual que el dns lo resuelva.

Sería más interesante saber si esos dos bloquean webs como kiwifarms.
#48 con ech y DNS seguro se salta el bloqueo.
Los principales navegadores incorporan ya ech y permiten pasar del DNS del sistema operativo y configurar uno seguro (DNS over https) con lo cual tampoco te lo va a poder secuestrar el router de tu operador
Llevo montando la siguiente combinación en clientes años. Hablo de pymes que con un Proliant ML150 G9 refurbished, discos NVME Pcie y un par de discos HDD equipas una pyme de narices.

Tengo aún algún Promox 3 en un cliente muy muy cerrado.

Proxmox con
- pfsense + pfblocler (pihole con esteroides)
- VM Windows Server (en muchas pymes de requiere para ERPs específicos sectoriales) como servidor de archivos, AD, SQL y de apss
- VM Debían con Bareos
- Nextcloud
- etc, etc.

Y lo que se os ocurra de esta absoluta maravilla de scripts para desplegar casi cualquier cosa

github.com/community-scripts/ProxmoxVE

Tenéis de todo para pymes y no pymes.
Los de muycomputer.com... o bien no saben que existen otros sistemas operativos más allá de Windows o... lo saben pero piensan que los que usamos esos otros sistemas operativos ya nos buscaremos la vida para usar los DNS que más nos convenga porque sabemos mucho de informática... o lo saben pero creen que nosotros no confiamos en las cosas que publican los "muy..." o que no leemos sus publicaciones (en esto último puede que lleven razón).

Pero una pequeña indicación del tipo: "en Linux estas cosas se configuran de otra forma", no hubiera empeorado el artículo :-D
#59 estás obviando Mac :-P
#66 Y los BSD... mea culpa... :-)
Yo tengo puestas las DNS Kids de este servicio en la tablet de mis hijas y de lujo, lo recomiendo, les bloquea selectivamente todo lo que no deben ver.
DNS pro censura. No gracias
Me fío menos de esos DNSs que de los DNSs de Google, y que encima van a censurar webs como RT, Sputnik, etc.
Yo he perdido bastante la confianza en que Europa proteja la privacidad de los usuarios, hay demasiados intereses, lo que si confió es que poco a poco la vayan erosionando envolviéndolo todo en un montón de marketing para guardar las apariencias.
Y lo peor es que es difícil encontrar a alguien que no este de acuerdo conmigo y aún así va a pasar.
«12

menéame