-
Notifications
You must be signed in to change notification settings - Fork 2
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Showing
5 changed files
with
334 additions
and
7 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,119 @@ | ||
| ## ¿Cómo confirmo que estoy usando Quad9? | ||
|
|
||
| La prueba más sencilla es abrir [on.quad9.net](https://on.quad9.net) en el navegador de su elección. | ||
|
|
||
| ## Prueba de protocolo: confirme en qué protocolo Quad9 recibió su consulta | ||
|
|
||
| Confirme qué protocolo se utiliza cuando Quad9 recibe sus consultas de DNS. Esto es particularmente relevante después de configurar el cifrado DNS, como DNS sobre TLS o DNS sobre HTTPS, en el sistema operativo, enrutador o reenviador de DNS. | ||
|
|
||
| Ejecute el siguiente comando y consulte las posibles respuestas a continuación: | ||
|
|
||
| === "Windows (PowerShell/Terminal)" | ||
|
|
||
| `Resolve-DnsName -Escriba txt proto.on.quad9.net.` | ||
| === "MacOS/Linux/Unix (Terminal)" | ||
|
|
||
| `dig +short txt proto.on.quad9.net.` | ||
|
|
||
| Possible Responses: | ||
|
|
||
| * do53-udp (53/UDP - Plaintext) | ||
| * do53-tcp (53/TCP - Plaintext) | ||
| * doh (443/TCP - DNS over HTTPS) | ||
| * dot (853/TCP - DNS over TLS) | ||
| * dnscrypt-udp (UDP - DNSCrypt) | ||
| * dnscrypt-tcp (TCP - DNSCrypt) | ||
|
|
||
| Si no recibe una respuesta (NXDOMAIN), entonces Quad9 no se utilizó para realizar esta consulta de DNS. | ||
|
|
||
| ## Identificando un bloque Quad9 | ||
|
|
||
| La forma más rápida de ver si un dominio está bloqueado en Quad9 es utilizando nuestro [Probador de dominios bloqueados] (https://quad9.net/result). | ||
|
|
||
| Cuando Quad9 bloquea un dominio, la respuesta es "NXDOMAIN". `NXDOMAIN` también se devuelve cuando un dominio no existe. Para diferenciar entre dominios que no existen y dominios que están bloqueados, configuramos el valor `AUTHORITY` de manera diferente. Cuando recibe un `NXDOMAIN` con `AUTHORITY: 0`, ese es un bloque de Quad9. Cuando recibe `NXDOMAIN` *con* `AUTHORITY: 1`, entonces ese es un dominio que no existe. | ||
|
|
||
| Un dominio tampoco se resolverá si falla la autenticación DNSSEC, pero eso dará como resultado el código "SERVFAIL" en lugar de "NXDOMAIN". | ||
|
|
||
| === "Dominio bloqueado" | ||
|
|
||
| `dig @9.9.9.9 isitblocked.org | grep "status\|AUTHORITY"` | ||
| ``` | ||
| ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 29193 | ||
| ;; flags: qr rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 | ||
| ``` | ||
| === "Dominios que no existen" | ||
|
|
||
| `dig @9.9.9.9 sfaisofnadgre.odafds | grep "status\|AUTHORITY:"` | ||
| ``` | ||
| ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 22595 | ||
| ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 | ||
| ``` | ||
| === "Falla de DNSSEC" | ||
|
|
||
| `dig @9.9.9.9 A brokendnssec.net +dnssec | grep status` | ||
| ``` | ||
| ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 40999 | ||
| ``` | ||
|
|
||
| ## Detección de redirección transparente de DNS (secuestros) | ||
|
|
||
| Algunos ISP, con mayor frecuencia en Asia, África o el Medio Oriente, redirigirán de forma transparente las solicitudes de DNS destinadas a servicios DNS de terceros, como Quad9, a sus propios reenviadores/servidores de DNS. Esto puede ser un intento de hacer cumplir las políticas/leyes locales, o simplemente aumentar la tasa HIT de caché en sus reenviadores de DNS. | ||
|
|
||
| Puede detectar una redirección DNS transparente ejecutando el siguiente comando desde el símbolo del sistema o la terminal de cualquier sistema operativo. Si la respuesta es cualquier cosa excepto `resXXX.xxx.rrdns.pch.net`, entonces el DNS se está redirigiendo de forma transparente. | ||
|
|
||
| === "Windows (PowerShell)" | ||
|
|
||
| ``` | ||
| nslookup -q=txt -class=chaos id.server. 9.9.9.9 | Select-String "pch" | ||
| ``` | ||
|
|
||
| === "MacOS/Linux/BSD (Terminal)" | ||
| ``` | ||
| dig +short ch txt id.server. @9.9.9.9 | ||
| ``` | ||
| Si el resultado no se parece al siguiente, o no hay ningún resultado, entonces el DNS se está redirigiendo de forma transparente. | ||
|
|
||
| === "Windows (PowerShell)" | ||
| ``` | ||
| Non-authoritative answer: | ||
| "res200.vie.rrdns.pch.net" | ||
| ``` | ||
|
|
||
| === "MacOS/Linux/BSD (Terminal)" | ||
| ``` | ||
| "res860.qfra3.rrdns.pch.net" | ||
| ``` | ||
| ### Mi ISP está redirigiendo DNS de forma transparente. ¿Ahora que? | ||
|
|
||
| Consulte nuestras Guías de configuración adjuntas con "(Encriptado)" en el título. Al utilizar DNS cifrado, no será posible la redirección de DNS transparente. | ||
|
|
||
| ## ¿Qué es la subred del cliente EDNS (ECS)? | ||
|
|
||
| El servicio `9.9.9.11` de Quad9 es compatible con ECS. | ||
|
|
||
| La subred de cliente (ECS) de EDNS permite a Quad9 enviar una parte de su dirección IP a servidores de nombres autorizados, lo que ayuda a los principales proveedores de contenido (CDN), como Google, Microsoft, etc., a determinar con precisión su geolocalización. | ||
|
|
||
| ECS no tendrá ningún efecto sobre a qué ubicación de Quad9 se envían sus consultas, simplemente afecta la información que Quad9 reenvía al servidor de nombres autorizado y puede afectar la dirección IP que devuelven. Quad9 utiliza direcciones Anycast para garantizar que se le dirija a la ubicación Quad9 más cercana disponible para usted, independientemente de si utiliza o no nuestro servicio ECS. | ||
|
|
||
| Dado que ECS no desempeña ningún papel a la hora de determinar a dónde se envían sus consultas, no tiene ningún efecto positivo o negativo en el tiempo de ida y vuelta (ping) a Quad9. | ||
|
|
||
| ECS puede verse como una compensación entre la privacidad y la obtención de contenido geoespecífico. Una opción para el usuario centrado en la privacidad es dejarlo deshabilitado y habilitarlo solo si nota que un dominio específico no le entrega el contenido correcto o no se carga en absoluto. | ||
|
|
||
| ## Proveedores de red/Pruebas de fugas de DNS | ||
|
|
||
| Quad9 utiliza múltiples proveedores de red en nuestra red global. Al ejecutar una prueba de fugas de DNS, se espera ver direcciones IP propiedad de los siguientes proveedores: | ||
|
|
||
| !!! tenga en cuenta "Herramienta de prueba de fugas de DNS recomendada" | ||
| [dnscheck.tools](https://dnscheck.tools/) | ||
|
|
||
| * WoodyNet (AKA PCH.net) | ||
| * PCH.net | ||
| * GSL Networks | ||
| * i3D | ||
| * EdgeUno | ||
| * Equinix Metal (FKA: Packet, Packet.net, or Packethost) | ||
| * Path.net (Path Network) | ||
|
|
||
| Estas organizaciones también figuran en la página de Patrocinadores del sitio web de Quad9: [quad9.net/about/sponsors](https://quad9.net/about/sponsors) | ||
|
|
||
| Si simplemente intenta determinar si está utilizando Quad9, puede visitar [on.quad9.net](https://on.quad9.net) en lugar de depender de una prueba de fuga de DNS. Sin embargo, una prueba de fuga de DNS puede ser útil para asegurarse de que está utilizando exclusivamente Quad9, lo cual es necesario para garantizar que todas sus solicitudes de DNS estén protegidas por Quad9. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,127 @@ | ||
| ## Descripción general | ||
|
|
||
| Estás administrando DNS para un edificio, oficina, empresa, ISP, etc., y deseas utilizar Quad 9. ¡Excelente elección! | ||
|
|
||
| !!! nota | ||
|
|
||
| Para ISP u organizaciones con más de 5000 usuarios detrás de una caché de reenvío, o si espera más de 500 consultas por segundo desde una única dirección IP de salida, comuníquese con [Soporte de Quad9](https://quad9.net/support/contact) con los detalles de su implementación, y asi poder trabajar juntos para garantizar una implementación fluida y exitosa. | ||
|
|
||
| Los reenviadores de caché y su configuración óptima son fundamentales cuando se envían consultas en masa a Quad9, y es muy preferible a la asignación directa a través de DHCP a los usuarios finales con respecto a: | ||
|
|
||
| ### Desempeño | ||
| Reducir la cantidad de consultas que recurren a Quad9, ahorrar ancho de banda y brindar una experiencia más rápida para el usuario final cuando sus consultas ya están en la memoria caché de los reenviadores. | ||
|
|
||
| ### Seguridad | ||
| Se recomienda habilitar el registro de consultas o algún tipo de métrica de alto nivel para identificar posibles compromisos de puntos finales o clientes específicos y, en ocasiones, lo exige la ley local. | ||
|
|
||
| ### Política local | ||
| Poder bloquear o analizar ciertos FQDN en el nivel del reenviador pone más control en manos del administrador de la red sin depender exclusivamente de Quad9 para bloquear dominios maliciosos. | ||
|
|
||
| Al configurar Quad9 como solucionador recursivo en su infraestructura y almacenar en caché los reenviadores de DNS, considere las siguientes recomendaciones. | ||
|
|
||
| ### Exclusividad | ||
|
|
||
| Dado que los reenviadores de DNS utilizan ordenamiento por turnos al reenviar consultas a una lista de servidores DNS recursivos, Quad9 debe configurarse como los servidores DNS recursivos exclusivos en sus reenviadores. Agregar servidores DNS recursivos adicionales que no sean Quad9 dará como resultado que un porcentaje de sus consultas DNS no estén protegidas por el bloqueo de amenazas de Quad9. | ||
|
|
||
| ### Almacenamiento en caché | ||
|
|
||
| Es imperativo que sus reenviadores DNS estén configurados para almacenar en caché los datos de respuesta para evitar consultas recursivas excesivas a Quad9 y proporcionar una resolución DNS significativamente más rápida para los dispositivos en la red. | ||
|
|
||
| Asegúrese de que sus reenviadores de DNS tengan suficiente memoria o espacio en disco asignado al caché para evitar que se llene. | ||
|
|
||
| La cantidad de memoria que se debe dedicar al almacenamiento en caché de DNS varía mucho, desde megabytes hasta gigabytes, según la cantidad de solicitudes de DNS que se originan en los puntos finales de su red. | ||
|
|
||
| === "BIND" | ||
| Vincula cachés en la memoria de forma predeterminada, por lo que la única limitación es agotar la memoria disponible en el sistema. | ||
|
|
||
| Para verificar el tamaño del caché actual, puede volcar el caché en un archivo local y luego examinar el tamaño del archivo, que será aproximadamente la cantidad de memoria que utiliza el caché: | ||
|
|
||
| ``` | ||
| rndc dumpdb -all | ||
| ``` | ||
|
|
||
| ``` | ||
| ls -alh /var/bind/ | ||
| ``` | ||
| === "dnsdist" | ||
| El almacenamiento en caché está deshabilitado de forma predeterminada, pero [se puede habilitar para el almacenamiento en memoria] (https://dnsdist.org/guides/cache.html). | ||
| === "Unbound" | ||
| El tamaño de caché asignado está determinado por las opciones msg-cache-size y rrset-cache-size en el [archivo unbound.conf] (https://www.nlnetlabs.nl/documentation/unbound/unbound.conf/). | ||
|
|
||
| Puede verificar la cantidad de memoria que su caché está usando actualmente para compararla con el tamaño de caché que asignó en unbound.conf usando el [comando unbound-control](https://www.nlnetlabs.nl/documentation/unbound/unbound -control/) para ver las estadísticas de los valores mem.cache.rrset y mem.cache.message. | ||
|
|
||
| === "Knot Resolver" | ||
| Knot Resolver almacena en caché en el disco de forma predeterminada, pero se puede configurar para usar memoria/tmpfs, backends y compartir caché entre instancias. Knot Resolver tiene [excelente documentación sobre todo lo relacionado con el almacenamiento en caché] (https://knot-resolver.readthedocs.io/en/stable/daemon-bindings-cache.html). | ||
| === "Windows DNS Server" | ||
| El almacenamiento en caché en memoria se puede configurar utilizando el subprograma cmd `Set-DnsServerCache`. | ||
|
|
||
| El uso de la memoria se puede verificar usando el subprograma cmd `Get-DnsServerStatistics`. | ||
| ### Utilice las direcciones IP Quad9 primaria y secundaria | ||
|
|
||
| Configurar la IP primaria *y* secundaria de su servicio Quad9 deseado naturalmente ayuda a equilibrar la carga de las consultas DNS en la infraestructura Quad9. | ||
|
|
||
| ### Usar IPv6 | ||
|
|
||
| Si su red es compatible con IPv6, configure también las direcciones IPv6 primarias y secundarias de su servicio Quad9 deseado en sus reenviadores DNS, lo que naturalmente ayuda a equilibrar la carga de las consultas DNS en la infraestructura Quad9. | ||
|
|
||
| Si IPv6 no está en uso, Quad9 le recomienda encarecidamente que investigue cómo habilitarlo en su red. Las rutas de ruta IPv6 suelen ser más rápidas en comparación con las rutas de IPv4, lo que genera una mayor probabilidad de éxito a velocidades más rápidas y con mejor redundancia. | ||
|
|
||
| ### Direcciones IP separadas para cada reenviador DNS | ||
|
|
||
| Idealmente, cada reenviador de DNS debería enviar y recibir consultas de DNS a Quad9 utilizando diferentes direcciones públicas IPv4 e IPv6, incluso si las direcciones están dentro de la misma subred. | ||
|
|
||
| ### Deshabilitar la validación DNSSEC | ||
|
|
||
| Dado que Quad9 ya realiza la validación de DNSSEC, la habilitación de DNSSEC en el reenviador provocará una duplicación del proceso de DNSSEC, lo que reducirá significativamente el rendimiento y potencialmente provocará respuestas FALSAS y falsas. | ||
|
|
||
| === "dnsdist" | ||
| Agregue esto en `dnsdist.conf` *arriba* de la asignación de su grupo. | ||
| ``` | ||
| if noDNSSECOnNOSEC then | ||
| addAction(NetmaskGroupRule(nmgNOSEC, false), SetDisableValidationAction(), { name="R_NO_DS" }) | ||
| end | ||
| ``` | ||
| === "Knot Resolver" | ||
| Agregue esto al archivo `kresd.conf` y vuelva a cargar/reiniciar el servicio `kresd`. | ||
| ``` | ||
| -- turns off DNSSEC validation | ||
| trust_anchors.remove('.') | ||
| ``` | ||
| === "PowerDNS Recursor" | ||
| En `recursor.conf`, deshabilite `dnssec` y vuelva a cargar/reiniciar `pdns-recursor`. | ||
| ``` | ||
| dnssec=off | ||
| ``` | ||
| === "Unbound" | ||
| Comente estas líneas en `unbound.conf` y vuelva a cargar/reiniciar sin enlazar. | ||
| ``` | ||
| trust-anchor-file: | ||
| auto-trust-anchor-file: | ||
| trust-anchor: | ||
| trusted-keys-file: | ||
| ``` | ||
| ### Deshabilitar la minimización de QNAME | ||
|
|
||
| La minimización de QNAME es una función de privacidad diseñada para usarse cuando se opera una solución recursiva (Quad9), pero no proporciona ninguna mejora de la privacidad y reduce significativamente el rendimiento. [¿Qué es la minimización de QNAME?](https://www.isc.org/blogs/qname-minimization-and-privacy/) | ||
| === "BIND" | ||
| En la sección ```options {``` del archivo nombrado.conf, agregue la siguiente línea y vuelva a cargar/reiniciar nombrado/bind9. | ||
| ``` | ||
| qname-minimization disabled; | ||
| ``` | ||
| === "dnsdist" | ||
| La minimización de QNAME no es compatible con dnsdist. Nada que hacer aquí. | ||
| === "Unbound" | ||
| Agregue esto en `unbound.conf` y vuelva a cargar/reiniciar sin enlazar. | ||
| ``` | ||
| qname-minimisation: no | ||
| ``` | ||
| === "Knot Resolver" | ||
| En el archivo `kresd.conf`, agregue una política para deshabilitar la minimización de QNAME y reinicie/recargue el servicio `kresd`. | ||
| ``` | ||
| policy.add(policy.all(policy.FLAGS('NO_MINIMIZE'))) | ||
| ``` | ||
|
|
||
| ¿Preguntas? ¿Asuntos? ¡Contáctenos! | ||
|
|
||
| [Obtenga soporte](https://quad9.net/support/contact){ .md-button .md-button--primary } |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,34 @@ | ||
| # Descripción general | ||
|
|
||
| <figure markdown> | ||
| { width="300" } | ||
| { width="300" } | ||
| </figure> | ||
| Quad9 es una organización sin fines de lucro con sede en Suiza que opera un servicio recursivo de DNS abierto y centrado en la privacidad y la seguridad para las masas, que se utiliza en aproximadamente decenas de millones de dispositivos en todo el mundo y está destinado a todos, desde usuarios domesticos a empresas de gran escala. | ||
|
|
||
| Quad9 está financiado en parte por usuarios como usted. Si valora nuestro servicio, considere hacer una donación. | ||
| <figure markdown> | ||
| [Donate :octicons-heart-fill-24:{ .heart }](https://quad9.net/donate){ .md-button .md-button--primary } | ||
| </figure> | ||
|
|
||
| ## ¿Por qué Quad9? | ||
|
|
||
| ### Privacidad por ley | ||
|
|
||
| Quad9 nunca registrará/registrará las direcciones IP de los usuarios finales. Nunca. | ||
|
|
||
| Estas no son sólo palabras en un sitio web. Como organización con sede en Suiza, Quad9 está sujeta a estrictas leyes suizas de privacidad en Internet. | ||
|
|
||
| ### Seguridad | ||
|
|
||
| Al utilizar el servicio seguro de bloqueo de amenazas líder en la industria de Quad9 (9.9.9.9), Quad9 bloqueará las solicitudes de DNS destinadas a dominios asociados con intenciones maliciosas, como aquellos asociados con malware, virus, adware, phishing, estafas, etc. | ||
|
|
||
| ### Cifrado | ||
|
|
||
| Quad9 soporta DNS sobre TLS (DoT), DNS sobre HTTPS (DoH) y DNSCrypt. | ||
|
|
||
| ## Preguntas/Soporte | ||
|
|
||
| Para cualquier pregunta sobre Quad9 o nuestra documentación, ¡contáctenos! | ||
|
|
||
| [Obtenga soporte](https://quad9.net/support/contact){ .md-button .md-button--primary } |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,44 @@ | ||
| Quad9 ofrece varias variaciones de nuestro servicio DNS privado y gratuito. | ||
|
|
||
| ## 9.9.9.9 (Seguro) | ||
|
|
||
| Nuestro servicio más popular. Un servicio DNS recursivo que bloquea amenazas y da prioridad a la privacidad. | ||
|
|
||
| | IPv4 | IPv6 | DNS sobre TLS | DNS sobre HTTPS | | ||
| | --------------------------- | -------------------------------- | --------------- | -------------- | | ||
| | `9.9.9.9`, `149.112.112.112`| `2620:fe::fe`, `2620:fe::9` | `dns.quad9.net` | `https://dns.quad9.net/dns-query` | | ||
|
|
||
| ## 9.9.9.10 (Sin bloqueo de amenazas) | ||
|
|
||
| Para los usuarios que quieran aprovechar nuestro servicio DNS recursivo que prioriza la privacidad, pero no quieran bloquear amenazas, utilice nuestro servicio 9.9.9.10. | ||
|
|
||
| | IPv4 | IPv6 | DNS sobre TLS | DNS sobre HTTPS | | ||
| | --------------------------- | -------------------------------- | --------------- | -------------- | | ||
| | `9.9.9.10`, `149.112.112.10`| `2620:fe::10`, `2620:fe::fe:10` | `dns10.quad9.net` | `https://dns10.quad9.net/dns-query` | | ||
|
|
||
| ## 9.9.9.11 (Seguro + ECS) | ||
|
|
||
| Para los usuarios que no se dirigen a la ubicación Quad9 más cercana posible, utilice nuestra versión 9.9.9.11 para obtener un mejor rendimiento de CDN: | ||
|
|
||
|
|
||
| | IPv4 | IPv6 | DNS sobre TLS | DNS sobre HTTPS | | ||
| | --------------------------- | -------------------------------- | --------------- | -------------- | | ||
| | `9.9.9.11`, `149.112.112.11`| `2620:fe::11`, `2620:fe::fe:11` | `dns11.quad9.net` | `https://dns11.quad9.net/dns-query` | | ||
|
|
||
| ## 9.9.9.12 (Sin bloqueo de amenazas + ECS) | ||
|
|
||
| Para los usuarios que no se dirigen a la ubicación Quad9 más cercana posible y tampoco desean bloquear amenazas, utilice nuestra versión 9.9.9.12 para obtener un mejor rendimiento de CDN: | ||
|
|
||
| | IPv4 | IPv6 | DNS sobre TLS | DNS sobre HTTPS | | ||
| | --------------------------- | -------------------------------- | --------------- | -------------- | | ||
| | `9.9.9.12`, `149.112.112.12`| `2620:fe::12`, `2620:fe::fe:12` | `dns12.quad9.net` | `https://dns12.quad9.net/dns-query` | | ||
|
|
||
| ## Puertos alternativos | ||
|
|
||
| Quad9 escucha en los siguientes puertos no estándar para una mejor disponibilidad de nuestros servicios en entornos de red restrictivos. | ||
|
|
||
| | Protocolo | Puerto estándar | Puerto alternativo | ||
| | --------------------------- | ------------------ | ------------- | | ||
| | `UDP/TCP (Plaintext)` | `53` | `9953` | | ||
| | `DNS sobre TLS` | `853` | `8853` | | ||
| | `DNS sobre HTTPS` | `443` | `5053` | |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters