Publicación: 8 de marzo de 2024
Colaboradores: Tasmiha Khan, Michael Goodwin
DNSSEC es una característica del Sistema de nombres de dominio (DNS) que utiliza la autenticación criptográfica para verificar que los registros DNS devueltos en una consulta DNS provienen de un servidor de nombres autorizado y no se alteran en el camino.
En pocas palabras, DNSSEC ayuda a garantizar que los usuarios se dirijan al sitio web real que están buscando y no a uno falso. Si bien no mantiene la privacidad de las búsquedas (la seguridad de la capa de transporte, o TLS, es un protocolo de seguridad diseñado para garantizar la privacidad en Internet), sí ayuda a evitar que entidades malintencionadas inserten respuestas de DNS manipuladas en las solicitudes de DNS.
DNSSEC (abreviatura de extensiones de seguridad del Sistema de Nombres de Dominio) se utiliza para ampliar el protocolo DNS y subsanar las vulnerabilidades del DNS que dejan el sistema expuesto a diversos ciberataques, como la suplantación del DNS, el envenenamiento de la caché del DNS, los ataques de intermediario y otras modificaciones no autorizadas de los datos del DNS. El despliegue de DNSSEC ayuda a fortalecer el DNS contra estos riesgos potenciales, proporcionando una infraestructura más segura y confiable para Internet. Cuando un solucionador de DNS solicita información, las respuestas de búsqueda de DNS se validan a través de la verificación de firmas digitales, lo que confirma la autenticidad e integridad de los datos recibidos.
A medida que las amenazas de ciberseguridad continúen evolucionando, es probable que crezca la demanda de medidas de seguridad sólidas, como DNSSEC. Organizaciones como la Internet Corporation for Assigned Names and Numbers (ICANN) promueven activamente su adopción global, lo que refleja un creciente reconocimiento de su papel crucial en la seguridad del DNS.
La Guía empresarial de IA y automatización de TI ofrece una visión detallada de la automatización de TI impulsada por IA, incluyendo por qué y cómo usarla, los problemas que están bloqueando sus proyectos y cómo comenzar.
Suscríbase al boletín de IBM
Para ayudar a proteger el DNS, las extensiones de seguridad DNS agregan firmas criptográficas a los registros DNS existentes. Estas firmas se almacenan en servidores de nombres DNS con otros tipos de registros DNS, como registros A (que crean una conexión directa entre una dirección IPv4 y un nombre de dominio), registros AAAA (que conectan nombres de dominio a direcciones IPv6), registros MX (correos electrónicos directos a un servidor de dominio) y registros CNAME (que asignan los alias a sus nombres de dominio verdaderos o "canónicos").
Otros registros y términos relacionados que son útiles para comprender cómo funciona DNSSEC incluyen:
Los registros DS se utilizan para establecer una cadena de confianza segura entre una zona padre y una zona hija. Contienen el hash criptográfico de un registro DNSKEY.
Los registros DNSKEY (también conocidos como claves DNSSEC) almacenan claves públicas que están asociadas con una zona DNS particular. Estas claves se utilizan para verificar firmas digitales y garantizar la autenticidad e integridad de los datos DNS dentro de esa zona.
Los registros RRSIG contienen una firma criptográfica asociada con un conjunto de registros de recursos DNS.
Se trata de una colección de todos los registros de recursos de un tipo específico asociados a un nombre determinado en el DNS. Por ejemplo, si tiene dos direcciones IP asociadas con "example.com", los registros A de estas direcciones se agruparían para formar un RRset.
Este es un registro que enumera los tipos de registro que existen para un dominio y se emplea para indicar la denegación autenticada de la existencia de un nombre de dominio específico. Funciona devolviendo el registro "siguiente seguro". Por ejemplo, si una resolución recursiva consulta a un servidor de nombres en busca de un registro que no existe, el servidor de nombres devuelve otro registro, el "siguiente registro seguro" definido en el servidor, lo que indica que el registro aplicar no existe.
Esto es una mejora para NSEC. Mejora la seguridad al hacer que sea más difícil para los atacantes predecir o adivinar los nombres de los dominios existentes en una zona. Funciona de manera similar a NSEC pero utiliza nombres de registro criptográficamente hash para evitar enumerar los nombres en una zona en particular.
Los pares de claves de firma de zona (una clave pública y una clave privada) son claves de autenticación que se emplean para firmar y verificar un RRset. En DNSSEC, cada zona tiene un par ZSK. La clave privada se emplea para crear firmas digitales para el RRset. Estas firmas se almacenan como registros RRSIG en el servidor de nombres. La clave pública asociada, almacenada en un registro DNSKEY, verifica las firmas y confirma la autenticidad del RRset. Sin embargo, se necesitan medidas adicionales para validar el ZSK público. Para ello, se emplea una clave de firma de claves.
Una clave de firma es otro par de claves pública/privada y se emplea para verificar que la clave de firma de la zona pública no está comprometida.
Las extensiones de seguridad del DNS proporcionan un marco protegido criptográficamente que está diseñado para mejorar la seguridad y la confiabilidad del DNS. Básicamente, DNSSEC emplea un sistema de pares de claves públicas y privadas. Para habilitar la validación DNSSEC, un administrador de zona genera firmas digitales (almacenadas como registros RRSIG) utilizando la clave privada de firma de zona y una clave pública correspondiente que se distribuye como un registro DNSKEY. Se utiliza una clave de firma de claves para firmar y autenticar el ZSK, lo que proporciona una capa adicional de seguridad.
Los solucionadores de DNS, cuando son consultados, recuperan el RRset solicitado y el registro RRSIG asociado, que contiene la clave privada de firma de zona. A continuación, el solucionador solicita el registro DNSKEY que contiene la clave ZSK pública. Estos tres recursos juntos validan la respuesta que recibe el solucionador. Sin embargo, la autenticidad del ZSK público aún debe verificarse. Aquí es donde entran en juego las claves de firma de claves.
La clave de firma de claves se usa para firmar la ZSK pública y crear un RRSIG para la DNSKEY. El servidor de nombres publica una KSK pública en un registro DNSKEY, como lo hizo para la ZSK pública. Esto crea un RRSet que contiene ambos registros DNSKEY. Están firmados por la KSK privada y validados por la KSK pública. Esta autenticación valida el ZSK público (el propósito del KSK) y verifica la autenticidad del RRSet solicitado.
Las DNSSEC funcionan según el principio de establecer una "cadena de confianza" en toda la jerarquía del DNS y la firma de los datos del DNS en cada nivel para crear una ruta verificable que garantice la integridad y autenticidad de los datos. Cada enlace de la cadena está protegido con firmas digitales, creando un anclaje de confianza que comienza en los servidores de zona raíz y se extiende a través de los servidores de dominio de nivel superior (TLD) a los servidores DNS autoritativos para dominios individuales.
Los registros del firmante de delegación (DS) se utilizan para permitir la transferencia de confianza de una zona principal a una zona secundaria. Cuando un solucionador se refiere a una zona secundaria, la zona principal proporciona un registro DS que contiene un hash del registro DNSKEY de la zona principal. Esto se compara con el KSK público con hash de la zona secundaria. Una coincidencia indica la autenticidad del KSK público y le permite al solucionador saber que se puede confiar en los registros del subdominio (zona secundaria). Este proceso funciona de zona a zona, estableciendo una cadena de confianza.
Las DNSSEC y la seguridad del DNS son conceptos relacionados dentro del ámbito de la seguridad de Internet, cada uno con un enfoque y alcance distintos. DNSSEC se refiere específicamente a un conjunto de extensiones DNS diseñadas para fortalecer la seguridad del Sistema de Nombres de Dominio. Su objetivo principal es garantizar la integridad y autenticidad de los registros DNS a través de criptografía de clave pública y privada.
La seguridad del DNS es un término más amplio que abarca un enfoque integral para proteger todo el entorno DNS. Si bien DNSSEC es un componente crucial de la seguridad del DNS, el alcance de la seguridad del DNS se extiende más allá de los protocolos específicos de DNSSEC. La seguridad del DNS aborda una amplia gama de amenazas,ataques distribuidos de denegación de servicio ((DDoS) y robo de dominio, proporcionando una estrategia integral para proteger contra actividades maliciosas que podrían comprometer la infraestructura del DNS.
IBM NS1 Connect Managed DNS services ofrece conexiones DNS resilientes, rápidas y autorizadas para evitar interrupciones de la red y mantener su negocio en línea, todo el tiempo.
IBM Cloud DNS Services ofrece servicios de nombres de dominio (DNS) públicos o privados confiables con un tiempo de respuesta rápido, redundancia sin par y seguridad avanzada, gestionados a través de la interfaz web de IBM Cloud o por API.
Mejore la resiliencia de las aplicaciones y el tiempo de actividad con una red global y capacidades avanzadas de direccionamiento del tráfico DNS.
El DNS permite que los usuarios accedan a sitios web utilizando URL en lugar de direcciones numéricas de protocolo de Internet (IP).
Los servidores DNS traducen los nombres de dominio del sitio web que los usuarios buscan en los navegadores web a direcciones IP numéricas correspondientes. Este proceso se conoce como resolución de DNS.
Un registro del Sistema de Nombres de Dominio (DNS) es un conjunto de instrucciones empleadas para conectar nombres de dominio con direcciones de protocolo de Internet (IP) dentro de los servidores DNS.
Aprenda cómo funcionan las redes informáticas y la arquitectura utilizada para diseñarlas, además de cómo mantenerlas seguras.
La seguridad de redes es el campo de la ciberseguridad centrado en la protección de las redes y sistemas informáticos frente a ciberamenazas y ciberataques internos y externos.
La seguridad de la base de datos se refiere a la gama de herramientas, controles y medidas diseñadas para establecer y preservar la confidencialidad, integridad y disponibilidad de la base de datos.