Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son un conjunto de protocolos que agregan una capa de seguridad a los procesos de búsqueda y de intercambio de sistemas de nombres de dominio (DNS), que se han convertido en integrales en el acceso a sitios web a través de Internet. Aunque DNSSEC no puede proteger cómo se distribuyen los datos o quién puede acceder a él, las extensiones pueden autenticar el origen de los datos enviados desde un servidor DNS, verificar la integridad de los datos y autenticar los datos DNS inexistentes.
Entendiendo el DNS
Comprender DNSSEC requiere primero un conocimiento básico de cómo funcionan las direcciones de sitios web. Las direcciones reales de protocolo de Internet (IP) utilizadas por los sitios web son una serie de números separados por puntos. Aunque este sistema de direcciones es muy eficiente para que las computadoras puedan leer y procesar, es extremadamente difícil para la gente recordar. Para resolver este problema, los nombres de dominio se adjuntan a las direcciones IP numéricas. Lo que ha llegado a ser conocido como direcciones de sitios web son en realidad nombres de dominio.
La información del nombre de dominio se almacena y se accede en servidores especiales, conocidos como servidores de nombres de dominio, que convierten nombres de dominio en direcciones IP y viceversa. El nivel superior del DNS reside en la zona raíz donde todas las direcciones IP y nombres de dominio se guardan en bases de datos y se ordenan por nombre de dominio de nivel superior, como .com, .net y .org.
DNSSEC Desarrollo
Cuando DNS fue implementado por primera vez, no incluía ninguna seguridad, y poco después de ser puesto en uso, se descubrieron varias vulnerabilidades. Como resultado, se desarrolló un sistema de seguridad en forma de extensiones que podrían agregarse a los protocolos DNS existentes. Este sistema fue posteriormente revisado, modificado y aprobado como un estándar por el Internet Engineering Task Force (IETF).
Después de varios despliegues de prueba, a partir de 2007, DNSSEC se desplegó oficialmente en el nivel raíz en 2010 para las direcciones que utilizan el dominio de nivel superior .org. A finales de 2010 y 2011, los dominios de nivel superior .com, .net y .edu se actualizaron para DNSSEC y la implementación continúa para dominios de nivel superior específicos de cada país. En noviembre de 2011, más del 25 por ciento de todos los dominios de nivel superior habían sido incluidos.
Cómo funciona DNSSEC
El propósito original de DNSSEC era proteger a los clientes de Internet contra falsificación de datos DNS mediante la verificación de firmas digitales incrustadas en los datos. Si las firmas digitales de los datos coinciden con las que se almacenan en los servidores DNS maestros, se permite que los datos continúen hasta el equipo cliente que realiza la solicitud.
DNSSEC utiliza un sistema de claves públicas y firmas digitales para verificar los datos. Estas claves públicas también pueden ser utilizadas por sistemas de seguridad que cifran los datos a medida que se envían a través de Internet y luego descifrarlos cuando son recibidos por el destinatario. Sin embargo, DNSSEC no puede proteger la privacidad o confidencialidad de los datos porque no incluye algoritmos de cifrado. Sólo lleva las claves necesarias para autenticar los datos DNS como genuinos o genuinamente no disponibles.
La implementación de DNSSEC requirió varios tipos nuevos de registros para ser creados para DNS. Estos tipos de registro son los siguientes:
- DS
- DNSKEY
- NSEC
- RRSIG
El registro RRSIG es la firma digital y almacena la información clave utilizada para la validación de los datos adjuntos. La clave contenida en el registro RRSIG se compara con la clave pública en el registro DNSKEY. La familia de registros NSEC, incluyendo NSEC, NSEC3 y NSEC3PARAM, se utiliza como una referencia adicional para frustrar los intentos de spoofing de DNS. El registro de DS se utiliza para verificar claves para subdominios.
El proceso específico utilizado para una consulta DNSSEC varía según el tipo de servidor utilizado para realizar o enviar la consulta. Los servidores de nombres recursivos, a menudo operados por los proveedores de servicios de Internet (ISP), utilizan un proceso único para la validación DNSSEC. Los servidores que ejecutan Microsoft Windows utilizan lo que se conoce como resolvers de stub, que también requieren un proceso específico.
Independientemente del proceso que se utilice, la verificación de las claves DNSSEC requiere puntos de inicio denominados anclajes de confianza. Las anclas de confianza se incluyen en los sistemas operativos u otro software confiable. Una vez que una clave se verifica a través del ancla de confianza, también debe ser verificada por el servidor de nombres con autoridad a través de la cadena de autenticación, que consta de una serie de registros DS y DNSKEY.
Problemas con DNSSEC
Mientras que DNSSEC aumenta drásticamente la seguridad de Internet, descubrimientos recientes han demostrado que puede causar una nueva vulnerabilidad, que se conoce como enumeración de zona. Los datos de zona DNS tradicionalmente se han mantenido privados porque incluyen información de red para sitios web y servidores específicos. Cualquier persona que pueda obtener esta información tendría un tiempo mucho más simple para preparar e implementar un ataque de Internet.
El DNSSEC original requería que los servidores DNS revelaran todos los datos de la zona DNS para que se pudiera generar un informe definitivo cuando no se encuentre un nombre de dominio. Sin embargo, las versiones más recientes de DNSSEC utilizan una o más soluciones, que a menudo hacen uso de los registros NSEC3.