Hola, en el articulo de hoy vamos a ver una novedad que trae Windows 10 en su versión Insider Preview 19628 del anillo Anticipado. Se trata de la característica de DNS sobre HTTPS, lo que vendría a ser una mejora en la seguridad y privacidad cifrando las consultas DNS. Para poder hacer uso y probar esta función debe ser miembro del programa de Windows Insider ya que aun no forma parte de una versión estable de Windows ya liberada.
Una vez que tenga instalada la versión 19628 de Windows Insider, podrá empezar a configurar DNS sobre HTTPS.
Lo primer será abrir el editor del registro de Windows. Desde una linea de comandos o en Ejecutar, escribimos “regedit” y aceptamos.

Luego debemos navegar en el registro hasta llegar a la siguiente llave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
Allí debemos crear un nuevo registro del tipo DWORD con el nombre “EnableAutoDoh” y con el valor 2.


Luego debemos abrir el Panel de Control.

Vamos al Centro de redes y recursos compartidos.

Vamos hasta la opción: Cambiar configuración del adaptador.

Buscamos nuestra placa de red, cableada o WiFi según sea caso aunque debe ser con la que nos conectamos a Internet. Haciendo clic con el botón derecho del mouse sobre la placa, seleccionamos las propiedades.

Ahora debemos modificar los DNS que vamos a utilizar en nuestra conexion, para lo cual Microsoft nos comenta que servidores de DNS podemos usar para ésta prueba:
Cloudflare: 1.1.1.1 / 1.0.0.1
Google: 8.8.8.8 / 8.8.4.4
Quad9: 9.9.9.9 / 149.112.112.112
También hay soporte para IPv6.

Una vez que realizamos los cambios de DNS en nuestra placa de red, pasamos a realizar algunas pruebas usando Powershell.
Vamos a ejecutar los siguientes lineas de comandos para capturas los paquetes del puerto 53 (consultas de DNS) usando un nuevo comando llamado pktmon. Abrimos el Powershell con permisos de administrador y escribimos los siguientes comandos. 1 por linea.
pktmon filter remove
pktmon filter add -p 53
pktmon start --etw -m real-time

Mientras ejecutamos la captura del puerto 53 en tiempo real, si abrimos un cmd y hacemos un ping a un sitio web, veremos que la captura no da ninguna información debido a que no está pasando por el puerto habitual sino que lo está cifrando mediante HTTPS.

Ahora vamos a cambiar nuestro DNS en nuestra placa por otro nuestro ISP.

Si volvemos a realizar las mismas pruebas, capturando los paquetes del puerto 53 y haciendo el ping a una web ahora si vemos que el trafico pasa por el puerto habitual.

En caso de que tengamos un server que soporte DNS sobre HTTPS y que no este en el listado del sistema, podremos agregar nuestro server de DoH en forma manual ejecutando el siguiente comando:
netsh dns add encryption server=<your-server’s-IP-address> dohtemplate=<your-server’s-DoH-URI-template>
Podremos realizar la verificación de que haya sido aplicado con este otro comando:
netsh dns show encryption server=<your-server’s-IP-address>
Espero que les haya sido de utilidad.
Seguiremos con mas notas de Windows 10.
Saludos,
Alejandro.