filtrado de DNSSEC en los DNS de Movistar?

jordipalet
Yo probé el VDSL
filtrado de DNSSEC en los DNS de Movistar?

Hola,

 

Me he dado cuenta que los servidores DNS de Movistar dan error o quizás filtran DNSSEC, lo cual es un grave problema de seguridad, e incluso no se si podría ser delictivo.

 

Lo he comprobado tanto con 80.58.61.250/254, como con 80.58.32.97, 80.58.0.33, 194.179.1.100/101 ...

 

Con cualquier otro DNS funciona bien, pero se incrementa el retardo por no estar en la red de Telefonica.

 

Ejemplo con Telefonica (no devuelve RRSIG):

dig www.ripe.net +dnssec +multi @80.58.61.250

 

; <<>> DiG 9.8.3-P1 <<>> www.ripe.net +dnssec +multi @80.58.61.250

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42754

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

 

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags: do; udp: 512

;; QUESTION SECTION:

;www.ripe.net. IN A

 

;; ANSWER SECTION:

www.ripe.net. 10117 IN A 193.0.6.139

 

;; Query time: 60 msec

;; SERVER: 80.58.61.250#53(80.58.61.250)

;; WHEN: Fri Mar 17 16:34:27 2017

;; MSG SIZE  rcvd: 57

 

Ejemplo con google:

dig www.ripe.net +dnssec +multi @8.8.8.8

 

; <<>> DiG 9.8.3-P1 <<>> www.ripe.net +dnssec +multi @8.8.8.8

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26139

;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

 

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags: do; udp: 512

;; QUESTION SECTION:

;www.ripe.net. IN A

 

;; ANSWER SECTION:

www.ripe.net. 8350 IN A 193.0.6.139

www.ripe.net. 8350 IN RRSIG A 8 3 21600 20170416100320 (

20170317090320 18978 ripe.net.

L6+h8osawRo/rjSJcp80ECX5ag4Hott4iG6A2wAOMXQU

sbj91wUHz5nMAcQzgTWmArJoWyfwuXJb5NSIZ0fuJLtk

J9VE7gsr0ilnH0wfMMG+Xphrmxn1hdXZoh1Z0hfDkLGd

lusCtLXHHCMYcvVuke2ZwV7bnWqwvUEInC1X0gY= )

 

;; Query time: 66 msec

;; SERVER: 8.8.8.8#53(8.8.8.8)

;; WHEN: Fri Mar 17 16:35:23 2017

;; MSG SIZE  rcvd: 225

 

 

 

 

Mensaje 1 de 22
1.523 Visitas
21 RESPUESTAS 21
Javim-Movistar
Antiguo Moderador

Hola jordipalet.

 

Le hemos consultado a soporte de RED sobre los planes sobre DNSSEC y nos comentan que lo

están evaluando con el comité de Seguridad, ya que aunque aporta ciertas ventajas, crea nuevas

vulnerabilidad de seguridad al poner en público cierta información privada.

 

Saludos.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 2 de 22
1.479 Visitas
jordipalet
Yo probé el VDSL

No saben de lo que hablan. No presenta nuevos riesgos de seguridad. Por favor que se lean los RFCs correspondientes o documenten su respuesta ...

Mensaje 3 de 22
1.477 Visitas
acanteir
Yo probé el VDSL

Aprovecho este hilo ya creado, se sabe algo al respecto?. Yo he hecho pruebas y parece que sigue sin soportar DNSSEC.

Mensaje 4 de 22
527 Visitas
Theliel
Yo probé el VDSL

Buenas @acanteir 

 

Pues supongo que estás haciendo algo mal. hace ya algún tiempo que Movistar resuelve sin problema DNSSec, y bastante más tiempo que a pesar de que no lo soportaba, ni mucho menos lo filtraba.

 

/tmp/home/root# dig es. +dnssec @80.58.61.250

; <<>> DiG 9.18.16 <<>> es. +dnssec @80.58.61.250
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47585
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;es.                            IN      A

;; AUTHORITY SECTION:
f94kjjb25e33ru8ckavqfaervkfrf428.es. 600 IN NSEC3 1 1 5 7E859D0532B87C99 F94MTHB053AKTDE48GRNBU7RGO36MN9P NS SOA RRSIG DNSKEY NSEC3PARAM
f94kjjb25e33ru8ckavqfaervkfrf428.es. 600 IN RRSIG NSEC3 8 2 86400 20240210003512 20240127040509 61351 es. bH6O9jV0TLf2ryFw5BBzY3LUtiF520xjZvBgl8A3XG48riXMHYzFpSVw pxa5TMaANtWgsWWDr+cpA7pT2AoLxky9yp4waMRq4zebdfyTsLHx5QNw C2e3eSMDWzsSC017O3+OevjFX1kQEindw9GFUWZI1ZGsVGHY2UQTtD5b EXc7hmmvTQGJGpb+1AiolpWEbfbfpqBSS51C/NSVcT4fcvDFi5geHIAA dUn9VTov2NHC6QaOHGtt/+gHD2dRR3K/ZxeQ/UZBExoNczGif2A4HJbo RXlOPcP4IFOjIoX7Cb0OelFgc9oWtcKz3mvQqE1Epe2g40TiccrNbBnD dw5zvA==
es.                     600     IN      SOA     ns1.nic.es. hostmaster.nic.es. 2024020501 7200 7200 2592000 86400
es.                     600     IN      RRSIG   SOA 8 1 3600 20240218182511 20240205000608 61351 es. oRTqqqL4XbsBTBmYexX9bD4UIZbHfSCNTrpOW5DEaqpOPi96n7UbI5nl CZzYTt4mhKQP+nx+LsjU1VzKKZb3Bk9w4uSMhhDEcJn3luZXFiN4iWwg gbhzEYpRy9jm0SmGq+grSamraU4FLjzWPjoa01a5eExg7Ub9ycbLkI0s BlStCzxSd3+cgiUtoxJKFEfRbA/grz9SRmT5K1PlYi8mLT3xmQj1x1XB Wql0qkaPvD1IwzOQoAt7ARUwEhHAhieC1YKXftBgPnRRqKA1SREhQbSq yiGXKgAYaK53RCB3aRz4fDQJBKTzDtdDDujThuzqUo2zVxUviXQoMUp2 p/jjpA==

;; Query time: 39 msec
;; SERVER: 80.58.61.250#53(80.58.61.250) (UDP)
;; WHEN: Mon Feb 05 02:29:10 CET 2024
;; MSG SIZE  rcvd: 754

 

 

El problema actual con DNSSec es la escasa popularidad que tiene. A pesar que la inmensa mayoría de servidores DNS soportan DNSSec a día de hoy, prácticamente nadie lo implementa. Pesos pesados como Google, Microsoft, Amazon... nadie lo usa.

 

Nota: Cuando digo que prácticamente nadie lo usa, me refiero siempre a dominios de segundo+ nivel, las zonas raíces de primer nivel prácticamente todas están firmadas con DNSSec.

 

DNSSec no es malo por naturaleza, proporciona sin duda alguna protección frente a intercepciones DNS, intentos de envenenamiento... pero la complejidad que supone su implementación en cualquier red más o menos grande, no compensa, es bastante complicado hacerlo compatible con la propia red que se tiene, desde problemas como digo de compatibilidad, errores de configuración... piensa que a día de hoy DNS se usa para mucho mucho más que simplemente resolver registros A/AAAA.

 

Para poner todo esto en perspectiva, esta captura es de 24h de peticiones DNS en mi red, clasificadas por tipo de registros. DNSSec se intenta usar en absolutamente todas las peticiones DNS:

 

Captura de pantalla 2024-02-05 021418.png

 

Aproximadamente son unas 100.000 consultas DNS, registros DS/DNSKEY de 1.1%/0.4%. Eso lo dice todo básicamente 🙂

 

Así que aunque como digo la inmensa mayoría de servidores DNS funcionan bien con DNSSec, esto vale para poco, por no decir para nada, ya que a día de hoy lo único que se protege básicamente son los registros raíces.

 

Saludos.

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 5 de 22
506 Visitas
acanteir
Yo probé el VDSL

Pues muchas gracias. Estaba utilizando webs de estas que te hacen un test de diversas cosas y es que ninguna me muestra que MV soporte DNSSEC, lo cual a estas alturas me extrañaba bastante, por eso he preguntado. ¿Seguro que de esa forma sirve para realizar esa comprobación?, acabo de probar con 9.9.9.10 (que en teoría no tiene DNSSEC) y me sale lo mismo que a ti.

 

Mira esta web, es una muy conocida y usada, prueba con 9.9.9.9 (si soporta DNSSEC), con 9.9.9.10 (no soporta) y luego con los DNS de Movistar.

 

https://dnscheck.tools/

 

Muchas gracias.

Mensaje 6 de 22
481 Visitas
Theliel
Yo probé el VDSL

Buenas @acanteir 

 

Por lo general, no me creo absolutamente nada que diga una página web :), de ahí a que tengamos herramientas especializadas que lo hacen ellas mismas, como es el caso de dig, no engaña. Si los servidores DNS de Movistar no resolviesen registros DNSSec, no devolverían los registros anteriores, sin más. La fiabilidad es del 100% 🙂

 

Por legibilidad, corto algunos trozos:

 

 

dig cloudflare.com +dnssec @149.74.252.196
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38376
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;cloudflare.com.                        IN      A

;; ANSWER SECTION:
cloudflare.com.         300     IN      A       104.16.132.229
cloudflare.com.         300     IN      A       104.16.133.229
--------------------------------------------------------------

dig cloudflare.com +dnssec @80.58.61.250
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61961
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096

cloudflare.com.         138     IN      RRSIG   A 13 2 300 202...
--------------------------------------------------------------

dig cloudflare.com +dnssec @1.1.1.1
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52988
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232

cloudflare.com.         68      IN      RRSIG   A 13 2 300 202...
--------------------------------------------------------------

dig cloudflare.com +dnssec @9.9.9.10
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17824
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512

cloudflare.com.         300     IN      RRSIG   A 13 2 300 202...

 

 

 

El primero, es un servidor DNS sin soporte DNSSec. Al lanzar "dig cloudflare.com +dnssec @server_test", lo que se hace realmente es lanzar una resolución DNS hacia el servidor "server_test" del dominio cloudflare.com, y se solicita que se autentifique con dnssec (+dnssec). Uso ese dominio porque sé que si tiene configurado correctamente DNSSec, si uso otro que no use DNSSec la respuesta sería exactamente igual que si el servidor DNS no lo soportase.

 

La respuesta, como no soporta DNSSec el primer servidor, no incluye el registro RRSIG, y también puede verse por los flags de las cabeceras, si el servidor tiene el bit "ad", es que la respuesta está siendo autentificada, está usando DNSSec. En el primer caso no puedes verla.

 

El resto de los servidores mostrados son el de Movistar, los de Cloudflare, y el que has puesto tb que decías que no lo soporta. TODOS ELLOS soportan perfectamente DNSSec.

 

-------------

 

En cualquier caso, la web en cuestión, si pruebo con las DNS de Movistar, me dice también que funciona

 

Captura de pantalla 2024-02-05 135115.png

 

Aun con todo, repito, no me fio de lo que diga una web, puede ser bastante arbitrario en función de como lo quiera verificar o las pruebas que realice. Como te digo el servidor 9.9.9.10 tb lo soporta pese a que te diga a ti que no :).

 

---------

 

Para terminar, con respecto a EDNS, no tiene absolutamente nada que ver con DNSSec. En este caso, los servidores de Movistar SI SOPORTAN EDNS, pero solo cuando se les pasa un rango/ip pertenecientes a ellos mismos. EDNS se ha criticado muy duramente por la privacidad, ya que en la misma petición DNS se incluye parte de tu IP y red, que puede ser enviada de forma recursiva a otros servidores DNS. Actualmente, no son muchos los servidores DNS públicos que soporten EDNS, precisamente por este motivo. Ni los servidores de Cloudflare, ni los de Quad ni mucho sotros lo soportan por este mismo motivo.

 

Saludos.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 7 de 22
447 Visitas
acanteir
Yo probé el VDSL

He probado lo que haces con dig, y si, me sale como a ti.

 

Lo de Quad9 si digo que no soporta DNSSEC en la IP .10 es por que al menos así se anuncian. Lo otro que dices de que Quad9 no tiene ECS no es así, Quad9 si tiene ECS, lo que pasa es que tiene un par de IPs a parte para ECS, concretamente la .11

 

https://quad9.net/service/service-addresses-and-features

 

Y luego la captura que me pones tu del dnscheck.tools pues no se ... ¿que DNS usas exactamente?, la 80.58.61.250 y 254?, por que a mi eso que me pones no me sale.

dnscheck-mv.pngdnscheck-mv2.png

Lo de ECS ya se que no tiene nada que ver, era por aprovechar el hilo para la consulta. Actualmente si, bastantes servidores DNS públicos lo soportan, al menos los mas conocidos, Google, OpenDNS, Quad9, NextDNS; DNS0, AdGuard DNS, ControlD..

Mensaje 8 de 22
439 Visitas
Theliel
Yo probé el VDSL

Buenas @acanteir 

 

Como te digo, me fio de lo que me dicen las herramientas :). En cuanto a DNSSec, la 10 me sale que lo soporta correctamente sin problema alguno también. Comprobado como te digo con dig, que es totalmente fiable, y por ende si coloco la .10 y compruebo en la misma web que has dicho antes, tb me dice que las peticiones están siendo autentificadas. El motivo por el cual digan en la web de Quad que lo soporta o no lo soporta, ya escapa a mi entendimiento:

 

#dig cloudflare.com +dnssec dnskey @9.9.9.10
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57641
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;cloudflare.com.                        IN      DNSKEY

;; ANSWER SECTION:
cloudflare.com.         2813    IN      DNSKEY  257 3 13 mdss...
cloudflare.com.         2813    IN      DNSKEY  256 3 13 oJMR...
cloudflare.com.         2813    IN      RRSIG   DNSKEY 13 2 3600...

 

Respecto a lo que dices/dicen de que la 11 si soporta ECS es cierto, y tb se puede comprobar de forma sencilla con dig:

 

dig google.com +subnet=200.123.0.0/16 @9.9.9.9
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14477
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             21      IN      A       172.217.17.14
---------------------------------------------------------------

#dig google.com +subnet=200.123.0.0/16 @9.9.9.11
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38111
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 667f1960321cf28f0100000065c13aeffdd4abf8a160a716 (good)
; CLIENT-SUBNET: 200.123.0.0/16/19
;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             300     IN      A       142.250.0.102
google.com.             300     IN      A       142.250.0.100
google.com.             300     IN      A       142.250.0.101
google.com.             300     IN      A       142.250.0.139
google.com.             300     IN      A       142.250.0.138
google.com.             300     IN      A       142.250.0.113

 

En la petición le digo que me devuelva la IP para la red 200.123.0.0/16 (o cualquier IP/red que queramos), vamos, que estamos usando EDNS. El servidor "normal", no nos responde nada especial, en el segundo vemos como la sección en opt seudo nos muestra otra cosa bien diferente, y obviamente la IP devuelta por los servidores DNS de Google tb es diferente.

 

Como he dicho, yo personalmente no recomiendo usar EDNS, por cuestiones de privacidad obviamente, eso sin contar mi recomendación de usar DoH/DoT y ECH.

 

Por cierto, edito lo anterior, estaba lanzando diferentes pruebas y parece que los servidores de Movistar si soportan EDNS cuando he enviado un rango real de Movistar al servidor de ellos. Igual validan la red pasada y la filtran si no es de ellos, ahora edito el mensaje anterior para evitar información errónea.

 

-------------

 

Respecto a que DNS uso con Movistar, probé únicamente con la 250 la verdad, pero he dado por supuesto que sería igual con la 254, al menos dig me dice que sí igualmente.

 

Las capturas que pones no las puedo ver aun, cuando las habilite algún moderador pues les echamos un vistazo 🙂

 

Saludos.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 9 de 22
419 Visitas
acanteir
Yo probé el VDSL

Gracias por la atención, voy a probar yo también las instrucciones dig que pones.

 

Lo de la web dnscheck.tools si que me resulta curioso, no puede ser que a ti te salga una cosa y a mi otra respecto al dnssec, cuando puedas ver las capturas ya verás lo que me sale.

Mensaje 10 de 22
411 Visitas
Técnico-Movistar
Técnico Banda Ancha

Hola @acanteir 

 

Comprobamos que has sido asesorado por @Theliel, al que agradecemos sus aportaciones a la Comunidad Movistar. ¿Te podemos ayudar en algo más?

 

Un saludo.

 

María José



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 11 de 22
367 Visitas
acanteir
Yo probé el VDSL

Estoy esperando a que @Theliel  vea las capturas que le he hecho, todavía no me ha respondido.

Mensaje 12 de 22
363 Visitas
Theliel
Yo probé el VDSL

Buenas @acanteir 

 

Lo siento pero he estado fuera unos días y sin contar que suelo "perder" los hilos... vamos que se me olvidan para que decir otra cosa :). Si, ya se pueden ver las capturas.

 

Creo que te lo decía anteriormente, por lo general pruebo siempre con la DNS principal de 250, pero los resultados son los mismos con 254.

 

Respecto a una captura u a otra, no te puedo dar una respuesta categórica. Primero, porque no tengo ni idea que tipo de comprobación y como hace la propia aplicación web. Es cierto que los resolver que salen a uno y otro son diferentes, pero esto no es nada raro, es totalmente normal (si que es los datos que muestra repito son ciertos). La sección de DNSSec puedo decir exactamente lo mismo, solo puedo presuponer que hace o no hace la aplicación Web... imagino, y esto es solo imaginación como digo, que lanzará resoluciones DNSSec contra dominios que están bien configurados con una firma correcta, otro que tengan un error de firma, ortos que no dispongan firma y otros que la firma haya expirado o se haya revocado. Repito que esto es tan solo suposición.

 

En ese caso, si duchas resoluciones las realizan por HTTP o WebSocket, el navegador puede igualmente estar provocando datos dispares, o cualquier suite de seguridad que use el dispositivo.

 

No puedo darte me temo como digo una respuesta segura, para eso tendría que tener el código de la aplicación web y cruzar datos, poco más. De ahí como te digo que me fie más de lo que me dicen herramientas como dig, que tienen demasiado peso en sus espaldas :). Para nada con esto quiero decir que desprecie la labor de dicha web, ojo, solo digo que no puedo saber que está haciendo por detrás o que no... bueno, miento, parte si puedo saberlo porque puedo ver como interacciona el navegador con ella, y algunas comprobaciones son obvias, pero otras no.

 

Saludos.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 13 de 22
348 Visitas
acanteir
Yo probé el VDSL

OK, gracias por todo. 🙂

Mensaje 14 de 22
337 Visitas
acanteir
Yo probé el VDSL

Ya está, acabo de encontrar la solución al "misterio" de por que a ti esa web te da un resultado y a mi otro.

 

Por lo que veo la web de dnscheck.tools utiliza para sus pruebas ambas DNS del sistema y mezcla los resultados.

 

Si en DNS del adaptador se configura solamente la DNS .250 entonces la web dnscheck.tools si que se obtiene el resultado de que las DNS de Movistar tienen implementado DNSSEC. Por otra parte también se puede observar en las pruebas que la DNS .250 es mas rápida que la .254.

 

Debido a lo anterior, pues si, el orden de las DNS de Movistar tiene importancia y hay que poner primero la .250.

 

Paso captura para que se vea, a ver si me la prueba el moderador y ya queda el tema totalmente claro. Si, las DNS de Movistar soportan DNSSEC pero ojo con el orden, la .250 primero, que es lo que recomienda Movistar.

 

testdnssecmovistar250.png

 

Mensaje 15 de 22
330 Visitas
Theliel
Yo probé el VDSL

Buenas @acanteir 

 

No te entiendo, cuales tenías puestas? Tanto una como otra, mis resultados son los mismos, da igual que use la 250 o la 254, en cuanto a dicha web, el resultado para dnssec es igual, no varía.

 

Sobre cual es más rápido o más lento, me temo que no se puede usar ningún test sintético para conocer que servidor DNS funciona mejor que otro, entran en juego una cantidad de variables importantes, las cuales varían enormemente según la hora, el momento, el dominio en particular, si está o no está cacheado en el servidor DNS, si está o no cacheado en la caché del propio equipo o del Router si da lugar... así como incluso si la IP que resuelve un servidor DNS concreto es mejor o peor que el otro. A veces un servidor DNS puede responder más rápido pero nos da una IP que en ese momento es peor que la que nos da otro servidor DNS que en ese momento es algo más lento.

 

Dicho de otro modo... cualquier servidor DNS que sea mínimamente confiable, puedes esperar un rendimiento similar.

 

Saludos.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 16 de 22
315 Visitas
acanteir
Yo probé el VDSL

Pues la web me dice que soporta DNSSEC pero solamente si en el adaptador configuro solo el .250, si pongo el solo .254 o pongo los dos, que es lo normal, poner lo normal, el primario y el secundario, me sale que no soporta.

 

Y eso con tres webs que tengo uso para ese test, no solo con una. Bueno, cosas que pasan... el caso es que a mi me sale como te digo. Además si hago la prueba que haces tu con el DIG me sale igual, flag ad solo con la .250.

 

Y si, se puede saber cual es mas rápido, no en un solo benchmark por supuesto, haciendo muchos, a muchas horas del día, muchos días. Y si, es como te digo, el .250 es mas rápido. Otro tema es que se note en la navegación, pero en lo que se refiere en la prueba de velocidad el más rápido es el .250. Ahora mismo que recuerde, asi tal cual te lo digo, no recuerdo que una sola vez me ha salido mas rápido el .254.

Mensaje 17 de 22
308 Visitas
Theliel
Yo probé el VDSL

Buenas @acanteir 

 

Ya te decía que fiarte de una web que no sabes que hace por abajo... complicado. Eso sin contar con el equipo/navegador/software de cada una. En mi caso, como te digo, da igual la DNS que ponga primera o segunda, tanto por dig como he mostrado anteriormente, como la web que has puesto, como esta otra de Cloudflare:

 

Captura de pantalla 2024-02-13 220425.png

 

Obviamente al usar el servidor DNS de Movistar es imposible que me de el tick de DNS seguro, para ello se requiere usar DoH/DoT. Si se pasa a usar DoH/DoT a nivel de navegador, sistema operativo o incluso implementándolo en el mismo Router, si es sencillo hacer pleno:

 

Captura de pantalla 2024-02-13 220426.png

 

-----------

 

Respecto a la velocidad, lo explico mejor.

 

Cuando uno realiza una resolución DNS, el tiempo es altamente variable en función de un gran número de variables.

 

 

Mira estos datos, borro toda la parte que no es útil para estos efectos:

dig google.es
;; Query time: 9 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)

dig google.es @80.58.61.250
;; Query time: 8 msec
;; SERVER: 80.58.61.250#53(80.58.61.250) (UDP)

dig google.es @80.58.61.254
;; Query time: 10 msec
;; SERVER: 80.58.61.254#53(80.58.61.254) (UDP)

 

Pero los datos de las resoluciones DNS siempre tienen truco. En ese ejemplo supuestmaente la 254 es ligeramente más lenta. Pero es igualmente falso... Esos datos son usando Dig desde el Router, estos siguientes desde cualquier dispositivo de mi red:

 

dig google.es
;; Query time: 41 msec
;; SERVER: 192.168.5.100#53(192.168.5.100)

dig google.es
;; Query time: 1 msec
;; SERVER: 192.168.5.100#53(192.168.5.100)

dig google.es @80.58.61.254
;; Query time: 86 msec
;; SERVER: 80.58.61.254#53(80.58.61.254)


dig google.es @80.58.61.250
;; Query time: 0 msec
;; SERVER: 80.58.61.250#53(80.58.61.250)

 

Las dos son realizadas por el mismo equipo, separadas de 4 segundos. La primera se va a 41ms, la segunda sólo a 1ms....

 

Todas son igualmente ciertas, lo que pasa es que cada dispositivo, y por supuesto cada servidor DNS, usa su propia caché, que hace que los tiempos sean totalmente dispares. Pero no solo eso... peor aun, los datos pueden ser igualmente "tramposos". Mira las dos última entrada que he puesto, he lanzando una petición de resolución al servidor de Movistar 254 y 4 segundos más tarde al 250, con tiempos respectivos de 86 y 0. Supuestamente dig me dice que la respuesta es del servidor de Movistar, pero es totalmente falso, la respuesta en ambos casos no vienen del servidor DNS de Movistar, vienen exactamente del mismo servidor que las otras dos primeras, de 192.168.5.100. Es más, desde cualquier equipo de mi red local puedo usar el servidor DNS que sea que es indiferente.

 

Con todo esto lo que te quiero ilustrar, el poco valor que tiene el medir la latencia de las resoluciones DNS. Y esto es solo la mitad de la cuestión, puesto que aun cuando existiese un servidor DNS que digamos siempre fuese el más rápido a la hora de responder resoluciones, tampoco lo convertiría en el servidor DNS más "rápido" a nivel práctico, ya que aquí se abren montones de escenarios donde, te puedo asegurar, el tiempo de respuesta de un servidor DNS es lo de menos. Por ejemplo, si el servidor DNS debe de realizar una recursividad, cualquier tiempo anterior puede ser totalmente eclipsado. También tienen impactos enormes si se usa todo en un entorno con IPv6, o si el sitio está configurado para responder a registros DNS HTTP... en fin, que a día de hoy definir un servidor DNS como más rápido frente a otro, es una cuestión bastante bastante bastante compleja. Hasta el punto que si me preguntas personalmente cual creo que son los servidores DNS más rápidos (a nivel práctico y efectivo), posiblemente te diría que ni idea, sería necesario hacer un estdio extremadamente en profundidad y tener que medir al milímetro cada detalle para tener cierto viso de rigurosidad.

 

Y ya ni que hablar si esto tiene o no tiene un impacto en la negación global, o aplicación de Internet que sea, que ya digo tajantemente que no, que a día de hoy las resoluciones DNS no tienen un impacto perceptible en ningún servicio cuando funcionan bien. Y digo esto porque como es natural siempre puede existir algún problema puntual en algún servidor DNS y dar problemas.

 

--------------

 

A día de hoy, como dije en un principio, la elección de un servidor DNS a otro se podría clasificar en:

 

-Manía que tenga cada uno

-Funcionalidades que para bien o para mal pueda aportar unos u otros

 

Para el 99% de la población, las DNS del proveedor suelen ser más que buenas. Siempre he dicho que los servidores de Movistar son bastante buenos. En lo personal, y repito, personal y mis necesidades/manías, siempre va todo enfocado a estabilidad y privacidad, con lo que toda mi red funciona directamente bajo DoT/DoH y ECH.

 

Saludos.

 

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 18 de 22
293 Visitas
acanteir
Yo probé el VDSL

OK, gracias.

Mensaje 19 de 22
274 Visitas
Técnico-Movistar
Técnico Banda Ancha

Hola @acanteir 

 

Nos gustaría conocer si tras la información facilitada por @Theliel (al que agradecemos su colaboración) ha quedado resuelta tu consulta.


Por otra parte, si consideras que tu consulta está resuelta, te agradeceríamos que en el hilo que has abierto, pulsases en el botón “Aceptar como solución” del post en el que se te ha resuelto tu caso. Es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

 

Un saludo

Lidia



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 20 de 22
230 Visitas
acanteir
Yo probé el VDSL

Si, OK, tema resuelto.

Mensaje 21 de 22
222 Visitas
Técnico-Movistar
Técnico Banda Ancha

Hola @acanteir.

 

Nos alegra que se haya resuelto. Ya sabes donde nos tienes para cualquier otra consulta. 

 

Un saludo.

 

Angela.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 22 de 22
208 Visitas