Securización DNS en OPNSENSE

Requisitos para poder llevar a cabo los pasos expuestos en esta guía:

  • Servidor OPNSense
  • Plugin UnboundDNS
  • Plugin DNSCrypt
  • (opcional) Cuenta NextDNS

El objetivo una vez configuremos todo será tener una red local donde las queries DNS (53) son reenviadas internamente en el servidor Opnsense (que tenemos que tener configurado como servidor DNS en los clientes) hacia un proxy (DNSCrypt) que a su vez atacará (de forma segura) hacia el resolver que tengamos configurado (NextDNS) y aplicará de forma paralela bloqueo de anuncios si así lo requerimos.

Unbound DNS

La configuración en este plugin será muy sencilla. Únicamente es necesario habilitarlo en el puerto de escucha por defecto (53) y añadir la redirección al proxy:

El texto del final es el siguiente:

server:
do-not-query-localhost: no

forward-zone:
name: «.»
forward-addr: 127.0.0.1@5353
forward-addr: ::1@5353

DNSCrypt – Proxy

En cuanto a la configuración del DNSCrypt habría que dejarlo de la siguiente manera:

Tenemos la opción de marcar el checkbox de «Use DNSCrypt Servers» si queremos que cada query se envíe de forma aleatoria a un servidor distinto de forma que la trazabilidad del usuario sea mucho más difusa o, como he hecho yo, centralizar todo en un mismo resolver (nextDNS) para lo cual habría que añadirlo en la siguiente parte:

En el SDNS stamp pondríamos el que nos indique nuestra cuenta de NextDNS (https://my.nextdns.io/).

Las instrucciones son muy claras en NextDNS por lo que veo redundante pegar capturas del portal.

Ya por último también podríamos habilitar el adblocking tal que:



A tener en cuenta que si hay una lista que nos empieza a afectar en la visualización de algún contenido podríamos o bien quitar dicha lista o añadir el dominio web problemático a «Whitelists«

Con toodo esto configurado y los clientes apuntando a la IP del OPNSense como servidor DNS, podríamos hacer troubleshooting de las queries y su resolución tanto desde el propio OPNSense como desde NextDNS, teniendo además varias capas adicionales de seguridad y filtrado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.