Este artículo asume que ha leído ¿Qué es el DNS y cómo funciona? El sistema de nombres de dominio (DNS) es un elemento crítico del sistema de Internet. En términos sencillos, sin DNS, no hay Internet. Pero inicialmente el DNS se desarrolló sin mucha seguridad. Por ejemplo, el DNS es vulnerable al envenenamiento de caché de DNS (ataques de falsificación de DNS); donde un atacante puede inyectar algunas entradas no válidas en el sistema DNS débil y estos datos falsos se pueden usar para redirigir el tráfico web a sitios falsos (Obtenga más información sobre el envenenamiento de caché de DNS y cómo puede afectar a Internet). Además de la falsificación de DNS, el sistema DNS también es vulnerable a los ataques DDOS y man in the middle.
Para resolver los problemas de seguridad de DNS, se introdujo la extensión de seguridad del sistema de nombres de dominio (DNSSEC). DNSSEC no fue diseñado para terminar con los ataques mencionados anteriormente, sino para garantizar que sean detectables por el usuario final o el resolutor (resolutor habilitado para seguridad). Significa que el resolutor consciente de la seguridad podrá validar la respuesta recibida del servidor DNS e identificar si la información es correcta o no.
Implementar DNSSEC no es un trabajo fácil, aunque la implementación sí lo es. Implica que los propietarios de zonas como .net, .com, .edu, .in, etc. necesiten implementar DNSSEC para sus zonas. No se detiene ahí, las diversas organizaciones, instituciones, proveedores de servicios de Internet (ISP) necesitan implementar DNSSEC en sus propios servidores DNS. Y finalmente, el final seguro que tiene que hacer algo; actualice sus resolutores para comprender el protocolo DNSSEC y agregue algunas claves confiables. Estas claves confiables se denominan claves ancladas, que deben configurarse en la resolución. Si se hace todo esto, el usuario final (como tú y yo) podrá detectar ataques.
DNSSEC proporciona autenticación de origen de datos y protección de integridad de datos a DNS. Utiliza criptografía de clave pública como Secure Shell (SSH) y seguridad de protocolo de Internet (IPSec).
Tecnicamente DNSSEC…
DNSSEC agrega naturaleza criptográfica al Sistema de nombres de dominio (DNS) existente para garantizar la autenticidad e integridad de la respuesta DNS. Cuando dije naturaleza criptográfica, significa que las firmas criptográficas se publican para registros A en DNS. Por ejemplo, RRSIG (firma de registro de recursos) publicado para un registro A, la organización de origen permite que los resolutores verifiquen que el registro A recibido es auténtico y correcto.
Permítanme recibir ayuda de CISCO , donde la funcionalidad DNSSEC se explica a continuación,
“Una computadora cliente con un resolutor de stub incorporado establece el bit OK (DO) de DNSSEC en 1 en las consultas salientes cuando quiere usar DNSSEC para verificar la autenticidad de la información de DNS. Cuando un servidor DNS habilitado para DNSSEC recibe una consulta con DO=1, utiliza registros RRSIG recibidos o almacenados localmente para verificar criptográficamente la autenticidad de la información DNS. El resultado de la verificación se comunica al resolutor de código auxiliar mediante el bit de datos autenticados (AD) en la respuesta de DNS; donde AD=1 indica que los datos de DNS son auténticos y AD=0 indica que la verificación de DNSSEC falló ” – Créditos:CISCO
¿Cuál es la diferencia entre DNS y DNSSEC?
Como dije anteriormente, DNSSEC es una extensión de seguridad para el DNS existente. Significa que DNS puede vivir sin DNSSEC (por supuesto, con pocas vulnerabilidades), pero DNSSEC no puede existir sin DNS.
Otra diferencia principal es el tamaño de los registros. Los tamaños de los mensajes DNSSEC son más grandes que los mensajes DNS (sin DNSSEC habilitado). Porque DNSSEC llevará banderas como DO, AD y otras banderas de encabezado relacionadas con DNSSEC.
Ahora ya sabes qué es DNSSEC y por qué es importante habilitarlo en tu DNS. Veamos cómo implementar DNSSEC en su sistema DNS existente en los próximos días.
LEER:¿Cómo configurar DNSSEC en Bind?
LEER:¿Cómo identificar si un dominio está firmado con DNSSEC o no?