Encrypt Your DNS (STOP Your ISP SNOOPING!)
Summary
TLDREl script de este video aborda una preocupación de privacidad crucial en la red: la fuga de solicitudes de DNS (Sistema de Nombres de Dominio). La mayoría de las personas no son conscientes de que sus actividades en línea pueden estar siendo filtradas sin su conocimiento a través de las solicitudes DNS. Estas solicitudes, que son el último protocolo no cifrado, son fundamentales para la navegación en la web, pues traducen nombres de sitios web en direcciones IP. El video ofrece una revisión rápida de cómo funciona el DNS y luego se centra en cómo cifrar las solicitudes DNS para evitar que terceros espíen la actividad en línea. Se recomienda el uso de un software de enrutador de código abierto como pfSense, combinado con un servicio de resolución de DNS como Quad 9, que ofrece cifrado del lado del cliente y es una organización sin fines de lucro con fuertes leyes de protección de datos en Suiza. El video concluye con una guía práctica para configurar un servidor DNS local y cómo enrutar las solicitudes a través de Quad 9 para mejorar significativamente la privacidad en línea.
Takeaways
- 🔒 DNS (Sistema de Nombres de Dominio) es la última capa de protocolos no cifrados, lo que significa que puede ser una fuente de filtración de datos personales.
- 📚 DNS actúa como una libreta de direcciones de internet, traduciendo nombres de sitio web en direcciones IP que los ordenadores entienden.
- 🕵️♂️ Los operadores de servicios de internet (ISP) suelen manejar las consultas DNS de los usuarios y son conocidos por recopilar y vender datos.
- 🏷️ Los ISP pueden construir un perfil de los hábitos de navegación de un usuario basándose en las consultas DNS que realizan.
- 🌐 A pesar de que muchas actividades en línea están cifradas, el proceso de DNS deja una brecha en la privacidad.
- 🛡️ Utilizar un resolución de DNS que puedas ejecutar tú mismo, como Unbound en pfSense, te permite tener control total sobre tus consultas DNS.
- 🔑 Quad9 es una opción de resolución de DNS que se enfoca en la privacidad, ofrece cifrado del lado del cliente y está basada en Suiza, lo que la coloca bajo estrictas leyes de protección de datos.
- 🔗 Protocolos de cifrado como DNS sobre TLS y DNS sobre HTTPS permiten cifrar la conexión entre tu dispositivo y el resolución de DNS de arriba, como Quad9.
- ⛓ Aunque no se puede cifrar la conexión entre el resolución de DNS de arriba y los servidores autorizados, Quad9 mezcla las consultas de DNS para proteger la privacidad.
- 📋 Para mejorar tu privacidad en línea, se puede configurar pfSense con Unbound como resolución local y apuntar a Quad9 como resolución recursiva upstream.
- 🌟 La privacidad de DNS es una parte crucial de las prácticas de seguridad en línea y es fundamental para navegar de manera segura e informática.
- 📚 El conocimiento sobre las fugas de DNS y cómo protegerlas es un paso importante para preservar la privacidad en internet.
Q & A
¿Qué es un DNS request y por qué es importante para la privacidad en internet?
-Un DNS request es una consulta hecha para resolver un nombre de dominio en una dirección IP. Es importante para la privacidad porque puede revelar todos los sitios web que una persona visita. Si no se cifra, permite que terceros, incluidos los proveedores de servicios de internet (ISP), vean y rastreen la actividad en línea de una persona.
¿Qué es el DNS y cómo funciona en la traducción de nombres de dominio a direcciones IP?
-DNS significa 'Sistema de Nombres de Dominio'. Actúa como la libreta de direcciones de internet, traduciendo nombres de sitio web en direcciones IP que las computadoras entienden. Para hacer esto, se contacta con una serie de servidores de nombres autorizados para buscar cada parte de la URL hasta llegar al servidor responsable del sitio web buscado.
¿Por qué es un problema de privacidad que los ISP manejen las consultas DNS de los usuarios?
-Los ISP son conocidos por recopilar y vender datos sobre sus clientes, incluidas las consultas DNS. Esto puede llevar a la creación de perfiles de navegación y a la pérdida de privacidad, ya que los ISP pueden saber qué sitios están visitando los usuarios.
¿Cómo pueden los gobiernos utilizar los datos de DNS para controlar la actividad en línea de las personas?
-Los gobiernos pueden utilizar los datos de DNS para monitorear la actividad en línea de las personas, determinar qué sitios están visitando y, en algunos casos, bloquear ciertos tipos de búsquedas DNS para controlar y censurar el acceso a información.
¿Qué es Unbound y cómo se puede utilizar para mejorar la privacidad de las consultas DNS?
-Unbound es un software de resolución de DNS de código abierto que puede ser utilizado como un resolutor DNS recursivo local. Al configurar Unbound para hacer forwarding de consultas a un resolutor DNS de arriba como Quad9, se puede mantener el control total sobre las consultas DNS y evitar que el ISP o el gobierno vean la actividad en línea.
¿Por qué es Quad9 un resolutor DNS recomendado para la privacidad en línea?
-Quad9 es un resolutor DNS no lucrativo con sede en Suiza que se dedica a hacer que Internet sea más seguro y privado. Cuenta con leyes de protección de datos estrictas que prohíben la venta, reutilización o divulgación de información personal. Además, Quad9 permite el cifrado del lado del cliente, lo que significa que las transacciones DNS entre los dispositivos y sus servicios no pueden ser observadas por terceros.
¿Cómo se puede cifrar el tráfico DNS para evitar que terceros como el ISP espíen la actividad en línea?
-Se puede cifrar el tráfico DNS utilizando protocolos de cifrado como DNS over TLS o DNS over HTTPS, que permiten cifrar la conexión entre el dispositivo y el resolutor DNS de arriba. Esto evita que cualquiera que esté en el medio pueda ver o interceptar las consultas DNS.
¿Cómo se puede configurar Unbound en pfSense para mejorar la privacidad de las consultas DNS?
-Para configurar Unbound en pfSense, se debe activar el resolutor DNS en los servicios de pfSense, configurar las opciones generales del resolutor DNS, habilitar el forwarding de consultas DNS y usar SSL/TLS para las consultas salientes. Luego, se indica a qué servidores DNS externos se realizarán los forwardings, en este caso, los servidores DNS de Quad9.
¿Qué son los protocolos DNS over TLS y DNS over HTTPS y cómo contribuyen a la privacidad en línea?
-DNS over TLS y DNS over HTTPS son protocolos de cifrado que se han desarrollado recientemente para cifrar las consultas DNS. Permiten cifrar la conexión entre el dispositivo del usuario y el resolutor DNS de arriba, evitando que terceros vean o intercepten las consultas DNS y mejorando la privacidad en línea.
¿Por qué es importante proteger la privacidad de las consultas DNS en la navegación en internet?
-La privacidad de las consultas DNS es crucial porque puede revelar información detallada sobre los hábitos, preferencias y rutinas de navegación de una persona. Proteger esta privacidad evita que los ISPs, gobiernos y otros actores recopilen y utilicen esta información para fines de monitoreo, censura o control.
¿Cómo se pueden utilizar las consultas DNS para construir un perfil de navegación de una persona?
-Las consultas DNS pueden ser utilizadas para construir un perfil de navegación analizando los nombres de dominio que una persona resuelve en buscadores y sitios web visitados. Esto proporciona una imagen de las actividades en línea, intereses y comportamientos de un individuo.
¿Cómo se puede asegurar que la información de DNS no sea utilizada para censura o monitoreo no deseado?
-Se puede asegurar la información de DNS utilizando resolutores DNS que priorizan la privacidad, como Quad9, y cifrando las consultas DNS con protocolos como DNS over TLS o DNS over HTTPS. Esto evita que terceros, incluidos los ISPs y gobiernos, vean o intercepten las consultas DNS.
Outlines
🔍 DNS Leaks: La privacidad vulnerable en la red
Este párrafo aborda el tema de las solicitudes de DNS y cómo pueden comprometer la privacidad de los usuarios en la internet. Se destaca que muchos no entienden qué es el DNS, que actúa como un directorio telefónico para la web, traduciendo nombres de dominio en direcciones IP. La preocupación surge cuando estos datos son manejados por ISPs, quienes podrían estar recopilando y vendiendo información sobre las actividades en línea de los usuarios. Además, se menciona que, aunque la mayoría de la actividad en línea está cifrada, el proceso de DNS deja una brecha en la privacidad, permitiendo que terceros, incluidos los gobiernos, puedan rastrear y controlar el comportamiento en línea de las personas.
🛡️ Protegiendo la Privacidad DNS con Unbound y Quad9
En este párrafo se discute cómo proteger la privacidad de las solicitudes DNS utilizando un software de enrutador de código abierto llamado pfSense y un servicio de resolución de DNS llamado Unbound. Se sugiere configurar Unbound como un reenvidor que enruta las consultas a un servidor DNS arriba, como Quad9, que se destaca por su enfoque en la privacidad y su ubicación en Suiza, donde las leyes de protección de datos son estrictas. Quad9 ofrece soporte para protocolos de cifrado de cliente, como DNS sobre TLS y DNS sobre HTTPS, lo que impide que ISP u otros observadores intermediarios espíen la actividad en línea del usuario. Se proporciona una guía básica para configurar Unbound en pfSense para que use Quad9 como su servidor DNS arriba y habilite la encriptación para las consultas salientes.
🌐 Importancia de la Privacidad DNS en la Navegación Segura
Este párrafo subraya la importancia de proteger la privacidad de las solicitudes DNS para navegar de manera segura en la web. Se señala que los datos de DNS son una fuente valiosa de información sobre los hábitos, preferencias y rutinas de los usuarios en línea, y que ya son utilizados por gobiernos en todo el mundo para monitorear y censurar la actividad en línea. Se enfatiza que la protección de la privacidad de DNS debe ser parte de las prácticas de seguridad en línea de cada individuo, y que, al tomar medidas para proteger la privacidad de las consultas DNS, los usuarios pueden disfrutar de una mayor privacidad en línea. Además, se menciona que NBTV es una organización sin fines de lucro que se basa en donaciones comunitarias y se ofrecen recursos educativos para apoyar sus esfuerzos.
Mindmap
Keywords
💡DNS
💡DNS Leak
💡DNS Recursive Resolver
💡ISP
💡
💡Data Protection Laws
💡Quad9
💡DNS over TLS
💡Unbound
💡pfSense
💡Encryption
💡Privacy Concerns
Highlights
DNS请求可能导致您的互联网活动泄露,即使您认为您的搜索内容是私密的。
DNS(域名系统)是互联网的电话簿,将域名转换为IP地址。
DNS泄露是隐私问题,因为您的DNS查询通常由您的互联网服务提供商(ISP)处理,他们可能会收集并出售您的数据。
ISP通过DNS请求可以构建您的网络浏览档案,即使大部分网络活动已经加密。
某些政府可能会根据您访问的网站来监控或控制您的网络行为。
使用您自己的DNS解析器可以避免将DNS查询发送给第三方。
pfSense和Unbound可以作为您自己的DNS解析器,以保护您的DNS隐私。
使用Unbound作为转发器,并将查询转发到隐私保护的上游DNS解析器,如Quad9。
Quad9是一个非营利组织,位于瑞士,致力于使互联网更安全和私密。
Quad9支持客户端加密,保护您的设备与上游DNS解析器之间的连接。
使用Quad9作为上游解析器可以防止ISP窥探您的DNS流量。
即使ISP可以看到您发送到权威服务器的未加密查询,Quad9通过混合查询来保护您的隐私。
设置Unbound和Quad9作为您的DNS解析器和上游解析器是一个简单的过程。
在pfSense上启用DNS解析器并配置Unbound作为本地DNS解析器。
将Unbound设置为转发器,并指向Quad9作为上游递归解析器。
使用SSL/TLS加密从您的设备到Quad9的连接,以保护您的隐私。
更改DNS设置是提高在线隐私的重要步骤。
DNS数据是政府监控网络活动和审查异议人士、活动家、受迫害少数群体的工具。
保护DNS隐私应成为每个人在线安全实践的一部分。
Transcripts
Most of us probably presume that what we search for on the internet
stays private. But you might be leaking all of your internet activity without even realizing,
through something called a DNS request. Not many people even know what the DNS is.
John Todd from Quad 9 explained it to us, along with why DNS leakage is a HUGE privacy concern.
It's the last unencrypted protocol. It's the last place where people can get their
hands on your data for better or worse. In previous videos in our Private Home
Network series we explained how to upgrade your router's software and hardware,
segment your network to isolate your IoT devices away from your important devices,
and we've done a deep dive on how DNS works. All of those videos are linked in the description.
In this video we're going to do a quick review of DNS, and explain how to encrypt your DNS requests,
to stop people snooping on your internet activity. Let's start with the quick review
DNS stands for Domain Name System.
DNS acts as the phone book for the internet. Computers need IP addresses to communicate to
each other. They actually don't understand names. So what the DNS does is it translates the names
that you're most commonly familiar with, like www.quadnine.net turns that into an IP address.
The way DNS does this lookup is you contact a series of different authoritative name servers,
and ask each where to find a separate piece of the URL. They'll each send you to a new nameserver to
get the next bit of information you need, until finally you reach the authoritative nameserver
responsible for maintaining a record of the IP address for the website you're trying to visit.
Although this process happens in milliseconds, it takes a lot of work
to make all these queries, so typically Your computer or your phone outsources
that task to a local, what's called a DNS Recursive Resolver.
That resolver will do these lookups for you, which means that you're sending the
resolver every URL you want to visit, so that it can find the IP address for you.
We're going to let someone else see all our internet
activity by sending them our DNS requests!
Well, whoever we're sending this to is trustworthy, right?
Whoever we're sending this to is trustworthy, right?
Everybody should be very aware where they're sending their DNS queries.
Yet I bet that most people actually have no idea
who's handling these DNS requests for them, nor how they're using this data.
Most people's dns queries are handled by default by their ISP, or Internet service provider.
And this is very bad, because ISPs are notorious for collecting data about us and selling it.
Many people might already have a hunch that something like this is going on.
They sort of have a vague understanding that, that their I S P might be watching what they're doing.
But you should really take the time to find
our specifics. Take a look at your ISP's terms of service.
If it's not spelled out in very big, clear, bold letters like, we're not using your data,
we will never use your DNS data, they're probably using your DNAs data .
What does this mean?
They could be building a profile of you looking at the websites you're browsing.
Even though most internet activity today is encrypted
once you connect to a website, DNS pokes a giant hole in this privacy.
If you ask the telephone book how to get to a certain website,
it's kind of a given that that's where you're going to be going. So they can build a profile
even just based on the queries that you're sending to the DN s recursive resolver.
And when critical infrastructure like ISPs get this information,
you can bet that means governments get access to it too.
If you're seen going to a site which is illegal or is frowned upon depending on
what country you're in. That may be a, a risk to your freedom. There's more and more
focus on it now as a method to determine what people are doing. It's not just observation,
but now it's actually being used as a method of control,
Governments are starting to say,
well, we're not gonna allow certain d DNS lookups to occur. They're actually blocking,
certain DNS lookups from happening which should be very worrying to everybody.
So what can you do?
One option is to use a DNS resolver that you can run yourself, instead of sending your DNS
queries to someone else. As explained in previous videos we recommend using the open source router
software pfsense, and using a service inside of pfsense called Unbound for your DNS resolution.
Unbound is a recursive resolver, so you have the ability to send out queries
all over the internet to all the various authoritative servers.
Essentially this means that you're bypassing your ISP's resolver entirely.
That's great. That means that you control your own DNS completely and there's no one else involved.
But there are 2 big downsides to this:
First, The authoritative servers you're sending requests directly
to see who you are and what you're querying. Second, it's not possible to encrypt the
connection from a recursive resolver to these authoritative servers, which means:
That's very easy to intercept. There's nothing that prevents anybody sitting
downstream from you from seeing what you're doing.
So running your own resolver and sending your unencrypted DNS queries directly to
authoritative servers doesn't stop your ISP or government
from seeing your activity. But there is a solution.
It seems like we're having to choose either outsourcing dns
queries to someone else or handling it all ourselves. But while only one
DNS resolver will ultimately be used for each transaction,
That's not to say that you can't stack them. You could use both a local DNS resolver AND
an upstream resolver. So you'll set up Unbound as described, but
You wanna actually use it as a forwarder.
Instead of Unbound doing all this recursive work for you,
it's gonna forward the queries to the DNS servers you set in the general configuration options.
And the upstream DNS resolver you'll set to
handle these forwarded queries will be a privacy-focused one.
We like Quad9, and that's for a number of reasons. First,
they're a nonprofit based in Switzerland whose mission is
to help make the internet safer and more private. Due to swiss data protection laws,
We can't sell or reuse or we're in any way divulge personal information about anybody.
We've chosen a place that is extraordinarily strict to be housed,
to give end users the assurance that we are doing what we say we're going to do,
and that we're not actually storing their personal data or logging it or even looking at it.
Another big reason that we like them is that they're one of the few dns providers that allows
Client side encryption. What does this mean?
We already mentioned that a DNS resolver's connection
with authoritative servers can't be encrypted.
But it IS possible to encrypt the connection from
your device to an upstream dns resolver like Quad 9.
In the last couple of years two major encryption protocols have arisen and that's
DNS over TLS is the first one it came out with. And the other one is DNS over https.
Most ISPs do not implement them.
But Quad 9 does
We are actually the first major, uh, public resolver
to actually offer standards-based encryption.
That means that all of the DNS transactions between those devices
and our services cannot be observed by anybody sitting on the wire in the middle.
Encrypting this DNS traffic out of your devices is
super important for stopping anyone like your ISP from being able to snoop on it,
so using an upstream resolver like quad9 has huge privacy benefits.
Now we already mentioned that it's not possible to encrypt the second part of this journey that goes
from quad 9 to the authoritative servers, so what quad 9 does is, once they receive your dns query,
We mix that query in with all the other millions of people that are making queries
at that moment in time. And then we send that out in an unencrypted fashion to all
the different authoritative servers on the internet and get answers and give it back
to you. So anybody observing even past our system can't tell what queries you're doing.
Now let's explain how to set all this up. It's actually a very simple process.
First we'll give you a quick recap of how to set up unbound on pfsense as your local
resolver. If you want to dive deeper into pfsense, take a look at our previous video.
Then we'll put Unbound into forwarding mode, Point to quad 9 as our upstream recursive resolver
and show you how to turn on encryption so that the connection between your device and
quad 9 is private. So let's begin.
The first thing you need to do if you're on pfSense is
that you need to enable your DNS resolver.
That enables Unbound to start working on your pfSense box.
Go to services, select DNS Resolver, and under the general settings tab
You're gonna click on the box that says enabled DNS resolver.
This sets Unbound to be your local DNS resolver.
Now scroll down in the General DNS Resolver Options.
Network interfaces should be all outgoing network interface should be WAN.
Now scroll down to where it says DNS Query Forwarding
You definitely want DNS forwarding turned on.
We'll configure where to forward your DNS to in a moment.
Use SSL TLS for outgoing DNS queries to forwarding servers.
Yes. You wanna turn that on as well? That
means mm-hmm. encrypt the connection between Unbound and Quad nine.
So no one can see where you're going or what you're doing with the DNS.
The rest of the settings you can leave as the default. We're going to publish an addendum
to this video for a deeper dive into what each of these settings means, including the ones we
skipped, so that you can better understand some of your other pfsense capabilities.
Now it's time to tell Unbound which upstream DNS resolver we want it to forward queries to.
You're going to then point unbound to, uh, an external resolver such as Quad nine.
Go into the system settings under general setup and there you're gonna see DNS server settings.
We're going to add 3 different dns servers, all IP addresses belonging to quad 9.
In the first field
9.9.9.9. And then you'd add another 1.149.112.112.112.
And then you'd add another one if you have IPV6 and that's 2620:FFE::FE
Not every ISP offers IPV6, but you can add one anyway.
It's not something that will hurt. It won't slow anything down,
especially if you list it as the last one.
Then you'll add the hostnames
Put DNS.quad9.net
And put that next to each of the 3 dns servers you've added.
You may have another setting in there that's is the gateway,
which you can just leave as none, or if you don't have that option just ignore.
And that's it! Changing these dns settings is a HUGE step in improving your online privacy. DNS
requests can be a goldmine of information about our internet habits, preferences, and routines.
This is the last piece of data that it's able to be observed.
and every piece of this data we send across the internet can be collected,
analyzed, and we don't know how it might be used in the future.
But we do know that this DNS data is already being used by governments all over the world
to monitor online activity, and it can be used for the censorship and targeting of dissidents,
activists, persecuted minorities, you name it. Governments are not just simply trying to
observe what people are doing, but they're trying to control it.
Protecting DNS privacy should be a part of everyone's online safety practices. We
want to be able to navigate the internet safely and with the peace of mind that not everything
we're doing is under constant surveillance. Better privacy online is achievable, you just
have to learn how, and now that you know about DNS leaks, you're one big step further along.
As always, we have no partnership with quad9 or any other company,
we just like to spread awareness of tools that we think will help people preserve
their rights online. Nbtv is a non profit that is actually funded by community donations. If you’d
like to support our free educational content, please visit NBTV.media/support. We also have
a book “beginner’s introduction to privacy” that also supports our channel. Also liking, sharing,
and commenting on our videos also really helps. Thanks so much for watching through till the end!
DNS, DNS, make it really private and stop the snooping!
Browse More Related Video
Web I - SPA y Ajax - Partial Render
Qué es el Protocolo HTTP y para que lo utilizamos
Aprende lo básico sobre APIs y HTTP para CONECTAR la IA con cualquier aplicación
⭐PROTOCOLO HTTP 🖥️ Requests y Responses con: GET, POST, PUT, PATCH y DELETE | DESARROLLO WEB 🌎
1125 - CREAR UNA RED SIMPLE CON PACKET TRACER
¿Cómo funciona Internet?
5.0 / 5 (0 votes)