Publicado: 8 de marzo de 2024
Colaboradores: Tasmiha Khan, Michael Goodwin
DNSSEC es una función del Sistema de nombres de dominio (DNS) que utiliza la autenticación criptográfica para verificar que los registros DNS devueltos en una consulta DNS provienen de un servidor de nombres autorizado y no se alteran en el camino.
En pocas palabras, DNSSEC ayuda a garantizar que los usuarios se dirijan al sitio web real que están buscando y no a uno falso. Si bien no mantiene la privacidad de las búsquedas (la seguridad de la capa de transporte, o TLS, es un protocolo de seguridad diseñado para garantizar la privacidad en Internet), sí ayuda a evitar que entidades malintencionadas inserten respuestas de DNS manipuladas en las solicitudes de DNS.
DNSSEC (abreviatura de extensiones de seguridad del Sistema de Nombres de Dominio) se utiliza para ampliar el protocolo DNS y subsanar las vulnerabilidades del DNS que dejan el sistema expuesto a diversos ciberataques, como la suplantación del DNS, el envenenamiento de la caché del DNS, los ataques de intermediario y otras modificaciones no autorizadas de los datos del DNS. La implementación de DNSSEC ayuda a fortalecer el DNS contra estos riesgos potenciales, proporcionando una infraestructura más segura y confiable para Internet. Cuando un solucionador de DNS solicita información, las respuestas de búsqueda de DNS se validan a través de la verificación de firmas digitales, lo que confirma la autenticidad e integridad de los datos recibidos.
A medida que las amenazas de ciberseguridad continúan evolucionando, es probable que crezca la demanda de medidas de seguridad sólidas, incluida DNSSEC. Organizaciones como la Corporación de Internet para la Asignación de Nombres y Números (ICANN) promueven activamente su adopción global, lo que refleja un creciente reconocimiento de su papel crucial en la seguridad del DNS.
La Guía empresarial sobre la IA y la automatización de la TI ofrece un análisis detallado de la automatización de la TI con IA, que incluye por qué y cómo usarla, los problemas que bloquean sus esfuerzos y cómo empezar.
Suscríbase al boletín de IBM
Para ayudar a proteger el DNS, las extensiones de seguridad DNS agregan firmas criptográficas a los registros DNS existentes. Estas firmas se almacenan en servidores de nombres DNS con otros tipos de registros DNS, como registros A (que crean una conexión directa entre una dirección IPv4 y un nombre de dominio), registros AAAA (que conectan nombres de dominio a direcciones IPv6), registros MX (correos electrónicos directos a un servidor de dominio) y registros CNAME (que asignan los alias a sus nombres de dominio verdaderos o "canónicos").
Otros registros y términos relacionados que son útiles para comprender cómo funciona DNSSEC incluyen:
Los registros DS se utilizan para establecer una cadena de confianza segura entre una zona padre y una zona hija. Contienen el hash criptográfico de un registro DNSKEY.
Los registros DNSKEY (también conocidos como claves DNSSEC) almacenan claves públicas que están asociadas con una zona DNS particular. Estas claves se utilizan para verificar firmas digitales y garantizar la autenticidad e integridad de los datos DNS dentro de esa zona.
Los registros RRSIG contienen una firma criptográfica que está asociada a un conjunto de registros de recursos DNS.
Se trata de una colección de todos los registros de recursos de un tipo específico asociados a un nombre concreto en el DNS. Por ejemplo, si tiene dos direcciones IP asociadas a "ejemplo.com," los registros A de estas direcciones se agruparían para formar un RRset.
Este es un registro que enumera los tipos de registros que existen para un dominio y se utiliza para indicar la denegación de existencia autenticada de un nombre de dominio específico. Funciona devolviendo el "siguiente registro seguro". Por ejemplo, si un solucionador recursivo consulta a un servidor de nombres por un registro que no existe, el servidor de nombres devuelve otro registro (el "siguiente registro seguro" definido en el servidor), lo que indica que el registro solicitado no existe.
Se trata de una mejora de NSEC. Mejora la seguridad haciendo que sea más difícil para los atacantes predecir o adivinar los nombres de los dominios existentes en una zona. Funciona de manera similar a NSEC, pero utiliza nombres de registros cifrados con hash criptográfico para evitar enumerar los nombres en una zona en particular.
Los pares de claves de firma de zona (una clave pública y una clave privada) son claves de autenticación que se utilizan para firmar y verificar un RRset. En DNSSEC, cada zona tiene un par ZSK. La clave privada se utiliza para crear firmas digitales para RRset. Estas firmas se almacenan como registros RRSIG en el servidor de nombres. La clave pública asociada, almacenada en un registro DNSKEY, verifica las firmas, confirmando la autenticidad del RRset. Sin embargo, se necesitan medidas adicionales para validar la ZSK pública. Para ello se utiliza una clave de firma de claves.
Una clave de firma de clave es otro par de clave pública/privada y se utiliza para verificar que la clave de firma de zona pública no está comprometida.
Las extensiones de seguridad del DNS proporcionan un marco protegido criptográficamente que está diseñado para mejorar la seguridad y la confiabilidad del DNS. Básicamente, DNSSEC emplea un sistema de pares de claves públicas y privadas. Para habilitar la validación DNSSEC, un administrador de zona genera firmas digitales (almacenadas como registros RRSIG) utilizando la clave privada de firma de zona y una clave pública correspondiente que se distribuye como un registro DNSKEY. Se utiliza una clave de firma de claves para firmar y autenticar el ZSK, lo que proporciona una capa adicional de seguridad.
Los solucionadores de DNS, cuando son consultados, recuperan el RRset solicitado y el registro RRSIG asociado, que contiene la clave privada de firma de zona. A continuación, el solucionador solicita el registro DNSKEY que contiene la clave ZSK pública. Estos tres recursos juntos validan la respuesta que recibe el solucionador. Sin embargo, la autenticidad del ZSK público aún debe verificarse. Aquí es donde entran en juego las claves de firma de claves.
La clave de firma de claves se usa para firmar la ZSK pública y crear un RRSIG para la DNSKEY. El servidor de nombres publica una KSK pública en un registro DNSKEY, como lo hizo para la ZSK pública. Esto crea un RRSet que contiene ambos registros DNSKEY. Están firmados por la KSK privada y validados por la KSK pública. Esta autenticación valida el ZSK público (el propósito del KSK) y verifica la autenticidad del RRSet solicitado.
DNSSEC opera según el principio de establecer una "cadena de confianza" en toda la jerarquía del DNS y la firma de datos del DNS en cada nivel para crear una ruta verificable que garantice la integridad y autenticidad de los datos. Cada eslabón de la cadena está protegido con firmas digitales, lo que crea un anclaje de confianza que comienza en los servidores de la zona raíz y se extiende a través de los servidores de dominio de nivel superior (TLD) hasta los servidores DNS autorizados para dominios individuales.
Los registros de firmante de delegación (DS) se utilizan para permitir la transferencia de confianza de una zona principal a una zona secundaria. Cuando se hace referencia a un solucionador a una zona secundaria, la zona principal proporciona un registro DS que contiene un hash del registro DNSKEY de la zona principal. Esto se compara con el hash público de KSK de la zona infantil. Una coincidencia indica la autenticidad de la KSK pública y permite al solucionador saber que se puede confiar en los registros del subdominio (zona secundaria). Este proceso funciona de zona en zona, estableciendo una cadena de confianza.
La seguridad de DNSSEC y DNS son conceptos relacionados dentro del ámbito de la seguridad en Internet, cada uno con un enfoque y alcance distintos. DNSSEC se refiere específicamente a un conjunto de extensiones de DNS diseñadas para fortalecer la seguridad del Sistema de Nombres de Dominio. Su objetivo principal es garantizar la integridad y autenticidad de los registros DNS a través de la criptografía de clave privada y pública.
La seguridad del DNS es un término más amplio que abarca un enfoque integral para proteger todo el entorno del DNS. Aunque DNSSEC es un componente crucial de la seguridad del DNS, el alcance de la seguridad del DNS se extiende más allá de los protocolos específicos de DNSSEC. La seguridad DNS aborda una amplia gama de amenazas, entre las que se incluyen ataques de denegación de servicio distribuido (DDoS), proporcionando una estrategia integral para protegerse contra actividades maliciosas que podrían poner en peligro la infraestructura DNS.
El servicio NS1 Connect Managed DNS ofrece conexiones DNS DNS resilientes, rápidas y autoritaticas para evitar interrupciones de la red y mantener su empresa en línea en todo momento.
IBM Cloud DNS Services ofrece servicios DNS autoritativos tanto públicos como privados con un tiempo de respuesta rápido, una redundancia sin precedentes y una seguridad avanzada, gestionados a través de la interfaz web de IBM Cloud o mediante API.
Mejore la resiliencia y el tiempo de actividad de las aplicaciones con una red global y capacidades avanzadas de direccionamiento del tráfico DNS.
El DNS hace posible que los usuarios se conecten a sitios web utilizando URL en lugar de direcciones numéricas de protocolo de Internet.
Los servidores DNS traducen los nombres de dominio del sitio web que los usuarios buscan en los navegadores web en las direcciones IP numéricas correspondientes. Este proceso se conoce como resolución DNS.
Un registro del sistema de nombres de dominio (DNS) es un conjunto de instrucciones utilizadas para conectar nombres de dominio con direcciones de protocolo de Internet (IP) dentro de los servidores DNS.
Aprenda cómo funcionan las redes informáticas, la arquitectura utilizada para diseñarlas y cómo mantenerlas seguras.
La seguridad de redes es el campo de la ciberseguridad centrado en la protección de las redes y sistemas informáticos frente a ciberamenazas y ciberataques internos y externos.
La seguridad de las bases de datos se refiere a la gama de herramientas, controles y medidas diseñados para establecer y preservar la confidencialidad, integridad y disponibilidad de las bases de datos.