Este artículo explica como evitar (bypass) bloqueos de OpenDNS que nos impiden navegar a determinados sitios Web. OpenDNS es un servicio estúpido y e inútil, que no sólo entorpece la resolución de nombres sino que además afecta la privacidad. Por esa razón voy a explicar cómo evitar esta basura de forma simple en cualquier entorno, ya sea Linux, *BSD o Windows.

OpenDNS es una empresa que ofrece el servicio de resolución de nombres de dominio (DNS) gratuito y abierto. Tiene características opcionales gratuitas como corrección de errores ortográficos, filtrado de contenidos, protección contra phishing y robo de identidad, malware básico (Conficker y vulnerabilidades de Internet Explorer) configurables a través de un panel de control, previo registro en su sitio web. El servicio básico gratuito se financia a través de publicidad en las páginas de bloqueo de contenidos y en páginas de búsqueda generadas tras un intento de navegación fallido como resultado de la introducción de dominios inexistentes en la URL de la barra de navegación del navegador.

Una gran mierda, si me preguntan. Servicio de resolución delegado a un tercero extranjero y para colmo ¡que incluye publicidad! Una enorme bosta putrefacta.

Lamentablemente esta empresa fue adquirida por Cisco. Con lo cual, los nuevos enrutadores de dicho proveedor de hardware ahora tienen la capacidad de utilizar este bonito servicio para bloquear sitios. Y de paso darle toda esta información a Cisco para que haga con ella lo que le plazca. Al carajo con la privacidad en nuestra red local.

Mi recomendación a todos los administradores de red es evitar completamente el uso de resolución de nombres en la nube. Esto es algo terrible y un abuso hacia la privacidad de los usuarios de la red local. Y si, lamentablemente como es en mi caso, se recurre a esta gran mierda. Aclararlo en los términos de servicio de la red local a través de políticas claras.

(No estoy seguro de que lleguen a apreciar mi nivel de desprecio hacia los administradores de red.)

En definitiva, siempre se debe implementar un servicio de resolución de DNS local y privado en una red corporativa. Si en tu casa querés usar los DNS de Google para que el gran hermano conozca absolutamente todo tu tráfico IP, es tu problema. Pero en una red corporativa es, como menos, deshonesto tomar esa decisión por todos los usuarios de la misma, muchos de los cuales aprecian su privacidad.

En fin, suficiente rant por hoy. Vayamos directo al caso.

Una técnica simple es cambiar los servidores de nombre utilizados en nuestra configuración de red del sistema operativo (/etc/resolv.conf). Esta es la solución trivial que ofrecen miles de sitios en los resultados de la búsqueda "bypass opendns" y funciona en cualquier sistema operativo. Claro que para ello hace falta tener acceso a un DNS exterior. Cosa imposible en la mayoría de los entornos corporativos donde se tiene acceso a Internet a través de un firewall perimetral, y nos vemos obligados a utilizar los servidores de nombre de la red local. Por otro lado, esta solución tiene la misma falencia crítica desde el punto de vista de la privacidad (sin embargo nos permitiría acceder al sitio en cuestión).

¿Cómo hacer entonces para evitar el bloqueo de sitios de OpenDNS sin contar con acceso a otro servidor de nombres? Simple, evitando el uso del servicio de resolución desde un principio. Esto consiste en utilizar resolución de nombres estática para los dominios bloqueados. Suena tedioso, pero en la práctica los sitios bloqueados serán apenas un puñado (dos o tres). Salvo que nuestro comportamiento de navegación nos lleve constantemente por sitios espurios. No es mi caso, pues sólo tengo dos dominios con resolución estática: un foro que casualmente incluye la palabra "mule" en el nombre de dominio (bloqueado porque se asocia a redes peer-to-peer eMule) y el que aquí uso como ejemplo.

Estoy tratando de acceder al sitio de una bodega para conocer la etiqueta de cierto vino. No es nada ilegal, ya que soy mayor de edad, tampoco es gran cosa, no se trata de un sitio de drogas o armas en la deep web (?). Al ingresar al sitio "www.bodegasalentein.com", ¡oh sorpresa!:

Para comenzar, utilizar cualquier servicio online de resolución de nombres (lookup) DNS. Simplemente basta con buscar "online dns" o "dns lookup" en cualquier buscador como Google o duck.com.

En esta oportunidad recurrí al sitio dns-lookup.com/.

Ingresar el nombre de dominio para obtener la dirección IP asociada:

Luego copiar la dirección IP y editar el archivo /etc/hosts para configurar la resolución de nombre estática.

En sistemas basados en Unix (Linux/*BSD):

# nano /etc/hosts

En Windows, en cambio, se debe editar el archivo C:\WINDOWS\system32\drivers\etc\hosts.

Pegar el siguiente contenido:

173.201.247.15 bodegasalentein.com www.bodegasalentein.com

La sintaxis es bien simple, por cada línea en el archivo se incluye una dirección IP seguida de todos los nombres que resolverán a la misma. Se separa con cualquier número de espacios en blanco.

Guardar los cambios e intentar acceder nuevamente al sitio:

Fuck you OpenDNS.


Tal vez pueda interesarte


Compartí este artículo