Gran parte del tráfico malicioso que se genera dentro de las organizaciones hacia Internet utiliza el servicio DNS para propagarse y muy pocas infraestructuras controlan a qué servidores específicamente pueden conectarse y corroborar que estén limpios de registros potencialente peligrosos.
Lo cierto es que hay algunas alternativas muy interesantes que permiten ofrecer un nivel de protección muy alto para cualquier empresa, escuela, organización o incluso para la red de la casa y, mejor aún, algunas de ellas son gratuitas.
Dentro de mi listado favorito de soluciones de seguridad están los DNS de OpenDNS/Cisco Umbrella pero principalmente fomento el uso de la variante Family Shield (ojalá me pagaran por publicidad!) ya que considero que es una herramienta extraordinariamente simple y efectiva para protegernos del malware, o sitios con contenido inapropiado. Existen otras opciones de servidores DNS abiertos que son muy efectivos, pero alguna vez usé esto DNS hace años y como veo que funcionan perfectamente, no veo necesidad de promover otra solución.
Family Shield son 2 servidores DNS gratuitos que cualquier persona o empresa puede utilizar y la gracia es que esos servicios ya vienen con los bloqueos activados automáticamente y los usuarios no deben hacer absolutamente nada, sino únicamente configurar sus dispositivos, computadores, firewalls o servidores para usar los DNS 208.67.222.123 y 208.67.220.123.

Teniendo estos DNS configurados en el PC, listo: seguridad automática de primer nivel en cuanto a tráfico de nombres de dominio. De hecho yo recomiendo el uso de Family Shield en todas las escuelas, ya que el contenido inapropiado queda inmediatamente bloqueado (pornografía, sitios de hacking, herramientas de descarga, malware, phishing, etc).
Todo maravilloso, pero para que esto sea efectivo en una red corporativa o institucional, TODOS los equipos de esa red deben configurar estos DNS manualmente, o bien deben ser entregados vía DHCP (imaginen lo que sería configurar estos DNS en todos los teléfonos que andan dando vueltas por ahí). Pues bien, existe una solución muy sencilla para forzar a los usuarios de una red a que se conecten a Family Shield AÚN CUANDO SU CONFIGURACIÓN DNS APUNTE A OTROS SERVIDORES (como 8.8.8.8 o 1.1.1.1).
El administrador de red debe crear una regla de redireccionamiento de tráfico que tome todas las consultas DNS (es decir, puerto de destino 53, protocolo UDP y TCP) a cualquier destino y enviarla a los servidores de Family Shield. Esto es posible de realizar en cualquier firewall decente, y en este caso mostraré la configuración que se necesita en pfSense para realizar este bloqueo en toda la red y aumentar el nivel de protección de los usuarios con una sola regla de NAT. Para ello hay que ir a la opción Firewall, NAT y luego Port Fordward donde crearemos una regla en la interfaz LAN con las siguientes opciones:
Interface: LAN
Protocol: TCP/UDP
Destination: Any
Destination port range: From port: 53 / To port: 53
Redirect target IP: 200.67.222.123
Redirect target port: 53
NAT reflection: Disable

Luego aplicamos los cambios y listo. Con esta regla TODO el tráfico que llegue en la interfaz LAN (cuyo destino sería Internet, lógicamente) y cuyo puerto de destino sea 53 tanto en TCP como en UDP, será reenviado automáticamente hacia el servidor 208.67.222.123 que se encargará de bloquear las consultas maliciosas. Luego pueden repetir el proceso para agregar la IP 208.67.220.123 como respaldo.
Para comprobar que esté todo funcionando, basta ingresar a la dirección de prueba: http://www.internetbadguys.com y debería aparecer el bloqueo automático (Luego de esto pueden probar con su listado favorito de páginas de contenido poco prolijo ;D)

Voilá! seguridad al instante. Para más información de cómo configurar Family Shield en diferentes plataformas, sistemas operativos, routers o dispositivos móviles pueden consultar la guía de configuración disponible en https://www.opendns.com/setupguide/#familyshield