Entendiendo DNS
Comprender DNSSEC primero requiere conocimientos básicos de cómo funciona el sistema DNS.
El DNS se utiliza para traducir nombres de dominio (como ejemplo.com) en direcciones numéricas de Internet (como 198.161.0.1).
Aunque este sistema de direcciones es muy eficaz para que las computadoras lean y procesen los datos, es extremadamente difícil de recordar para las personas. Digamos que cada vez que necesites consultar un sitio web, debes recordar la dirección IP de la máquina donde se encuentra. La gente suele llamar al sistema DNS la “guía telefónica de Internet”.
Para resolver este problema, se adjuntó una dirección IP numérica a cada nombre de dominio. Las direcciones de sitios web que conocemos son en realidad nombres de dominio.
La información de los nombres de dominio se almacena y se accede a ella en servidores especiales, conocidos como servidores de nombres de dominio, que convierten los nombres de dominio en direcciones IP y viceversa.
El nivel superior del DNS reside en la zona raíz donde todas las direcciones IP y nombres de dominio se guardan en bases de datos y se clasifican por nombre de dominio de nivel superior, como .com, .net, .org, etc.
Cuando se implementó el DNS por primera vez, no estaba protegido y, poco después de su puesta en uso, se descubrieron varias vulnerabilidades. Como resultado, se desarrolló un sistema de seguridad en forma de extensiones que podrían agregarse a los protocolos DNS existentes.
Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son un conjunto de protocolos que agregan una capa de seguridad a los procesos de búsqueda e intercambio del sistema de nombres de dominio (DNS), que se han convertido en parte integral del acceso a sitios web a través de Internet.
Ventajas de DNSSEC
DNSSEC tiene como objetivo fortalecer la confianza en Internet ayudando a proteger a los usuarios de redireccionamientos a sitios web fraudulentos y direcciones no deseadas. De esta manera, se pueden prevenir actividades maliciosas como el envenenamiento de la caché, el pharming y los ataques de intermediario.
DNSSEC autentica la resolución de direcciones IP con una firma criptográfica, para garantizar que las respuestas proporcionadas por el servidor DNS sean válidas y auténticas. En caso de que DNSSEC esté habilitado correctamente para su nombre de dominio, los visitantes pueden tener la seguridad de que se están conectando al sitio web real correspondiente a un nombre de dominio en particular.
Cómo funciona DNSSEC
El propósito original de DNSSEC era proteger a los clientes de Internet de datos DNS falsificados mediante la verificación de firmas digitales integradas en los datos.
Cuando un visitante ingresa el nombre de dominio en un navegador, el solucionador verifica la firma digital.
Si las firmas digitales de los datos coinciden con las almacenadas en los servidores DNS maestros, entonces se permite que los datos accedan a la computadora cliente que realiza la solicitud.
La firma digital DNSSEC garantiza que se esté comunicando con el sitio o la ubicación de Internet que desea visitar.
DNSSEC utiliza un sistema de claves públicas y firmas digitales para verificar los datos. Simplemente agrega nuevos registros al DNS junto con los registros existentes. Estos nuevos tipos de registros, como RRSIG y DNSKEY, se pueden recuperar de la misma manera que registros comunes como A, CNAME y MX.
Estos nuevos registros se utilizan para “firmar” digitalmente un dominio, utilizando un método conocido como criptografía de clave pública.
Un servidor de nombres firmado tiene una clave pública y privada para cada zona. Cuando alguien realiza una solicitud, envía información firmada con su clave privada; el destinatario luego lo desbloquea con la clave pública. Si un tercero intenta enviar información no confiable, no se desbloqueará correctamente con la clave pública, por lo que el destinatario sabrá que la información es falsa.
Tenga en cuenta que DNSSEC no proporciona confidencialidad de datos porque no incluye algoritmos de cifrado. Solo contiene las claves necesarias para autenticar los datos DNS como genuinos o realmente no disponibles.
Además, DNSSEC no protege contra ataques DDoS.
Claves utilizadas por DNSSEC
Hay dos tipos de claves que utiliza DNSSEC:
· La clave de firma de zona (ZSK): se utiliza para firmar y validar los conjuntos de registros individuales dentro de la zona.
· La clave de firma de clave (KSK): se utiliza para firmar los registros DNSKEY en la zona.
Ambas claves se almacenan como registros “DNSKEY” en el archivo de zona.
Ver el registro DS
El registro DS significa Firmante de delegación y contiene una cadena única de su clave pública, así como metadatos sobre la clave, como el algoritmo que utiliza.
Cada registro DS consta de cuatro campos: KeyTag, Algorithm, DigestType y Digest y tiene el siguiente aspecto:
Podemos dividir diferentes componentes del registro DS para ver qué información contiene cada parte:
- Ejemplo.com. – nombre de dominio para el que es el DS.
- 3600 – TTL, el tiempo que el registro puede permanecer en caché.
- 2371 – Key Tag, ID de la llave.
- 13 – tipo de algoritmo. Cada algoritmo permitido en DNSSEC tiene un número específico. El algoritmo 13 es ECDSA con una curva P-256 usando SHA-256.
- 2 – Tipo de resumen, o la función hash que se utilizó para generar el resumen a partir de la clave pública.
- La cadena larga al final es el resumen o el hash de la clave pública.
Todos los registros DS deben cumplir con RFC 3658.
Siempre puede utilizar el depurador DNSSEC para averiguar si hay algún problema con la configuración del nombre de dominio. Las instrucciones detalladas sobre su uso se pueden encontrar en el artículo.
Si tiene alguna pregunta, no dude en ponerse en contacto con nuestro.
Facebook Comments
Disqus