Qué es DNSSEC y por qué debería implementarlo su empresa

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son un protocolo para garantizar la cadena de confianza que existe entre los registros del sistema de nombres de dominio (DNS) almacenados en cada nivel de dominio, verificando cada confianza entre el nivel hijo y su padre, hasta llegar a la zona raíz. A través de este proceso en varios niveles, se puede verificar la integridad de los registros DNS asociados a un dominio, asegurando así al cliente que el sitio web o servicio solicitado y el que se entrega son, de hecho, uno y el mismo.

Este artículo ofrece una breve explicación de cómo funciona DNSSEC y por qué su empresa debería considerar implementarlo.

Índice de Contenido
  1. ¿Cómo funciona DNSSEC?
  2. ¿Qué protege DNSSEC?
  3. ¿Cuáles son las limitaciones de DNSSEC?
  4. ¿Por qué debería implementar DNSSEC su empresa?
  5. ¿Cómo se habilita DNSSEC?
  6. Configuración de DNSSEC

¿Cómo funciona DNSSEC?

Para demostrarlo, consideremos que nuestro sitio web se aloja en test.themacjesus.com.

El primer paso en el proceso requiere que los servidores de nombres ".com" verifiquen los registros de "themacjesus" (en una relación padre-hijo). En segundo lugar, "themacjesus" verifica los registros de "test" (también en una relación padre-hijo). En tercer lugar, los servidores DNS raíz verifican los registros de .com. Por último, los registros publicados por la raíz verifican su integridad mediante un par de claves de firma de zona (ZSK) llamado Zone Signing Key (ZSK). Además, se utiliza un par de claves secundarias llamadas Key Signing Key (KSK) para validar el ZSK.

Al igual que el DNS, DNSSEC es invisible para el usuario. Sin embargo, en segundo plano, las extensiones de seguridad funcionan firmando eficazmente la zona raíz de su dominio, y cada registro posterior requiere verificación por parte de su padre hasta que el sitio solicitado se haya validado.

¿Qué protege DNSSEC?

El objetivo de los servicios DNS habilitados con extensiones de seguridad es acceder a sitios web y servicios validados. La meta es llegar a los servidores previstos que alojan esos sitios o servicios. En cuanto a la protección, DNSSEC garantiza la protección contra URL maliciosas diseñadas para hacerse pasar por un sitio o servicio con el fin de robar nombres de cuenta y contraseñas. Esto puede ocurrir mediante la inserción maliciosa de un registro durante un ataque de intermediario o como parte de una vulnerabilidad conocida, como el envenenamiento de la memoria caché DNS o los ataques de suplantación. En ambos casos, DNSSEC responderá con un error 404 (sitio web no encontrado) en caso de que un dominio no se resuelva debido a registros DNS que no se pueden validar.

¿Cuáles son las limitaciones de DNSSEC?

La carga administrativa de crear y gestionar registros adicionales para cada dominio protegido por DNSSEC puede llevar tiempo y ser costosa, dependiendo del número de dominios. El alcance puede crecer exponencialmente si se requiere cobertura para servicios adicionales, como registros MX para servidores de correo electrónico. Hablando de registros MX, existen problemas conocidos que ocurren durante las consultas de registros MX protegidos por DNSSEC y versiones de Microsoft Exchange 2013 y anteriores, lo que puede resultar en errores.

La configuración de los sitios destinados a DNSSEC debe ser libre de errores. Cualquier error durante el proceso de configuración, como errores ortográficos, probablemente generará registros que no coincidan con el dominio que se está protegiendo. En estos casos, la validación del dominio fallará y el sitio web o servicio no se resolverá cuando se solicite.

DNSSEC proporciona integridad como parte del triángulo de seguridad de la CIA, pero no proporciona confidencialidad ni disponibilidad de datos. DNSSEC tampoco protege contra ataques de denegación de servicio distribuido (DDoS). Si bien estos no son realmente limitaciones del conjunto DNSSEC, es bueno saberlo, ya que a veces se asume incorrectamente que DNSSEC proporciona estas protecciones.

¿Por qué debería implementar DNSSEC su empresa?

DNSSEC proporcionará a su organización y a sus usuarios la tranquilidad de que los sitios web y servicios que utilizan a diario para realizar su trabajo son legítimos y no representan una amenaza malintencionada que se hace pasar por ellos para obtener credenciales y datos de su empresa. Al actuar como un sistema de verificación que abarca los dominios multinivel hasta llegar a los servidores DNS raíz, se puede verificar la cadena de confianza entre cada enlace para garantizar que las comunicaciones establecidas entre los sitios web y servicios en línea y su organización hayan sido evaluadas minuciosamente y se haya validado su integridad de extremo a extremo.

¿Cómo se habilita DNSSEC?

Habilitar DNSSEC para los servidores DNS de su organización es generalmente un proceso de varios pasos que, si bien no es complicado, variará según el registrador de su dominio, la extensión de dominio de nivel superior (TLD) de su sitio y la configuración de los servidores de nombres, ya sea gestionados internamente o por un tercero.

Algunas soluciones gestionadas, como CloudFlare, permiten habilitar DNSSEC con varios clics del ratón para los usuarios que utilizan sus servicios de DNS completamente gestionados. Para los servidores de nombres gestionados internamente, la configuración y el proceso de instalación pueden requerir información específica para implementar correctamente DNSSEC. Aunque a continuación se explica una configuración general, las organizaciones deben ponerse en contacto con sus equipos de soporte de TI y cualquier servicio de terceros que hayan contratado para gestionar los servicios de dominio, para comprender exactamente en qué consistirá el proceso para habilitar DNSSEC correctamente.

Configuración de DNSSEC

  1. Verifique que su TLD admita las extensiones de seguridad de DNS.
  2. Hable con su departamento de TI y con los proveedores de servicios de dominio de terceros para obtener los requisitos específicos de DNSSEC.
  3. Genere la clave de firma de zona (ZSK, por sus siglas en inglés) y la clave de firma de clave (KSK, por sus siglas en inglés) para la zona DNS de su dominio.
  4. Firme su zona DNS para generar registros de zona firmados para sus dominios.
  5. Genere el registro de Declaración de Firma (DS, por sus siglas en inglés), que contiene los valores hash para las claves criptográficas utilizadas para firmar su zona DNS.
  6. Importe el(s) registro(s) DS para su(s) dominio(s) en el servidor de nombres autohospedado o completamente gestionado, asegurándose de que la información obtenida en el paso nº 2 esté disponible, si es necesario.
  7. (Opcional) Utilice la herramienta Verisign Lab's DNSSEC Debugger Tool para verificar cada enlace en la cadena de confianza y diagnosticar cualquier problema que afecte la implementación de DNSSEC en su(s) dominio(s).

También te puede interesar:

  • El 36% de los sitios web federales de Estados Unidos no superó una prueba de seguridad crítica (Newsmatic)
  • El nuevo malware MaMi de macOS está secuestrando la configuración de DNS (Newsmatic)
  • Cómo el servicio Quad9 de IBM protege a los usuarios de acceder a sitios web maliciosos (Newsmatic)
  • Cómo agregar un registro de Autorización de Autoridad de Certificación en Google Domains (Newsmatic)
  • Fracaso en asegurar DNS es una "ignorancia salvaje": Geoff Huston (ZDNet)
  • Llega una nueva herramienta de seguridad para navegación web: DNS sobre TLS (ZDNet)
  • La propuesta patrocinada por APNIC podría mejorar enormemente la resiliencia de DNS contra ataques DDoS (ZDNet)

¿Ha implementado DNSSEC su organización? ¿Qué ventajas o desventajas ha encontrado antes, durante o después de la implementación? Comparta sus comentarios con nosotros a continuación, en la sección de comentarios.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Qué es DNSSEC y por qué debería implementarlo su empresa , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.