Conexión segura por TLS al DNS de CloudFlare

Después de ver el video de Naseros "Protege tu privacidad y aumenta tu seguridad en internet mediante los DNS", he decidido conectar mi DNS de CloudFlare por TLS en Ubuntu 20.04.

Por cierto... Muchas Felicidades por conseguir más de 100.000 subscriptores!!!.

• Vídeo de Naseros

Vamos a ver como hacerlo.

Instalación

Stubby está en los repositorios de Ubuntu. Para instalarlo:

sudo apt install stubby

Esto instalará stubby y la biblioteca getdns . Una vez instalado, stubby se ejecuta en segundo plano.

Verifica su estado con:

systemctl status stubby

Stubby escucha en el puerto 53 de TCP y UDP de localhost (127.0.0.1), como se puede ver al ejecutar este comando:

sudo netstat -lnptu | grep stubby

El solucionador de stub predeterminado proporcionado por systemd-resolved escucha en el puerto 53 de TCP y UDP de 127.0.0.53.

sudo netstat -lnptu |  sistema de agarred-resolv

Nota: Si dnsmasq está escuchando en el puerto TCP 53 de 127.0.0.1, Stubby solo escuchará en el puerto UDP 53 de 127.0.0.1.

Archivo de configuración

El archivo de configuración principal es /etc/stubby/stubby.yml.

Normalmente, no es necesario realizar cambios a menos que desee utilizar otro o solucionador recursivo su propio .

Déjame explicarte algunas configuraciones predeterminadas. Puede abrir el archivo con:

sudo nano /etc/stubby/stubby.yml

La siguiente línea hace que stubby se ejecute como un solucionador de stub en lugar de un DNS recursivo completo, por lo que se llama stubby.

resolution_type: GETDNS_RESOLUTION_STUB

La siguiente configuración hace que stubby envíe consultas de DNS encriptadas con TLS. No enviará consultas en texto plano.

dns_transport_list:
- GETDNS_TRANSPORT_TLS

La siguiente línea requiere un certificado TLS válido en el resolutor recursivo remoto.

tls_authentication: GETDNS_AUTHENTICATION_REQUIRED

Las siguientes líneas establecen las direcciones de escucha para el demonio stubby. De forma predeterminada, tanto IPv4 como IPv6 están habilitados.

listen_addresses:
- 127.0.0.1
- 0 :: 1

La siguiente línea hace que los DNS recursivos de consultas stubby se realicen por turnos. Si se establece en `0`, Stubby usará cada servidor ascendente secuencialmente hasta que deje de estar disponible y luego pasará a usar el siguiente.

round_robin_upstreams: 1

De forma predeterminada, hay 3 resolutores recursivos habilitados en el archivo de configuración stubby.

Yo los he comentado para que no funcionen, añadiendo delante 8.

Añade al final del archivo de configuración el siguiente servidor DNS de CloudFlare:

#CloudFlare servers
  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
  - address_data: 1.0.0.1 
    tls_auth_name: "cloudflare-dns.com"

Google

Si quieres utilizar las de Google:

  - address_data: 8.8.8.8
    tls_auth_name: "dns.google"
  - address_data: 8.8.4.4
    tls_auth_name: "dns.google"

Cambiar a Stubby

Ya no se recomienda editar el archivo `/etc/resolve.conf` para cambiar el nombre del servidor DNS. Sigue las instrucciones para hacer `systemd-resolved`enviar consultas de DNS a stubby.

El método antiguo y no recomendado, que también nos puede ser útil para consultar los servidores DNS actuales, es:

cat /etc/resolv.conf

Deshabilitar systemd-resolved

Si quieres deshabilitar systemd-resolved, deshabilita y deten el servicio resuelto systemd:

sudo systemctl disable systemd-resolved
sudo systemctl stop systemd-resolved

En la siguiente línea a [main], en el archivo /etc/NetworkManager/NetworkManager.conf, añade:

nano /etc/NetworkManager/NetworkManager.conf

[main]
plugins=ifupdown,keyfile
dns=default

Eliminar el enlace simbólico /etc/resolv.conf

rm /etc/resolv.conf

Creamos un nuevo archivo:

sudo nano /etc/resolv.conf

Y añadimos:

nameserver 127.0.0.1    # Conectarnos a la ip de esta máquina, donde corre Stubby por el puerto 53

Reiniciar NetworkManager

sudo systemctl restart NetworkManager

También ten en cuenta que deshabilitar systemd-resolvd puede romper la resolución de nombres en VPN para algunos usuarios.

Comprobando si todo es correcto

Nos concectaremos para ver si ya nos conectamos via TLS. https://cloudflare-dns.com/help

Fuentes

• https://forums.linuxmint.com/viewtopic.php?t=345236
• https://www.linuxbabe.com/ubuntu/ubuntu-stubby-dns-over-tls
• https://qastack.mx/ubuntu/907246/how-to-disable-systemd-resolved-in-ubuntu

Publicado por Angel el Monday 19 July del 2021

También te puede interesar:

• Conexión segura por TLS al DNS de CloudFlare
• Nuevas DNS de Cloudflare
• Docker: Duck DNS. Facilitando la conexión a tus servicios

Powered by org-bash-blog

Written in OrgMode with Emacs and converted to HTML with Pandoc

Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional.