Para interpretar o entender DNSSEC primero requiere un conocimiento básico de cómo funciona el sistema DNS.
DNSSEC son las Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son un conjunto de especificaciones del Grupo de trabajo de ingeniería de Internet (IETF) para proteger ciertos tipos de información proporcionada por el Sistema de nombres de dominio (DNS) tal como se utiliza en las redes de Protocolo de Internet (IP). Es un conjunto de extensiones de DNS que proporcionan a los clientes DNS (solucionadores) autenticación criptográfica de datos DNS, denegación de existencia autenticada e integridad de datos, pero no disponibilidad o confidencialidad.
El DNS se utiliza para traducir nombres de dominio (como example.com) en direcciones numéricas de Internet (como 198.161.0.1).
Aunque este sistema de direcciones es muy eficiente para que las computadoras lean y procesen los datos, es extremadamente difícil para las personas recordarlo. Supongamos que cada vez que necesite consultar un sitio web, debe recordar la dirección IP de la máquina donde se encuentra. La gente a menudo llama al sistema DNS la "guía telefónica de Internet".
Para resolver este problema, se adjuntó una dirección IP numérica a cada nombre de dominio. Las direcciones de sitios web que conocemos son en realidad nombres de dominio.
La información de nombre de dominio se almacena y se accede a ella en servidores especiales, conocidos como servidores de nombre de dominio, que convierten los nombres de dominio en direcciones IP y viceversa.
El nivel superior del DNS reside en la zona raíz, donde todas las direcciones IP y nombres de dominio se mantienen en las bases de datos y se ordenan por nombre de dominio de nivel superior, como .com, .net, .org, etc.
Cuando el DNS se implementó por primera vez, no estaba asegurado y, poco después de su uso, se descubrieron varias vulnerabilidades. Como resultado, se desarrolló un sistema de seguridad en forma de extensiones que podrían agregarse a los protocolos DNS existentes.
Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son un conjunto de protocolos que agregan una capa de seguridad a los procesos de búsqueda e intercambio del sistema de nombres de dominio (DNS), que se han convertido en parte integral para acceder a sitios web a través de Internet.
Ventajas de DNSSEC
DNSSEC tiene como objetivo fortalecer la confianza en Internet al ayudar a proteger a los usuarios de la redirección a sitios web fraudulentos y direcciones no deseadas. De esta manera, se pueden prevenir actividades maliciosas como el envenenamiento de caché, el pharming y los ataques de hombre en el medio.
DNSSEC autentica la resolución de las direcciones IP con una firma criptográfica, para asegurarse de que las respuestas proporcionadas por el servidor DNS sean válidas y auténticas. En caso de que DNSSEC esté habilitado correctamente para su nombre de dominio, los visitantes pueden asegurarse de que se están conectando al sitio web real correspondiente a un nombre de dominio en particular.
Cómo funciona DNSSEC
El propósito original de DNSSEC era proteger a los clientes de Internet de datos DNS falsificados mediante la verificación de firmas digitales incrustadas en los datos.
Cuando un visitante ingresa el nombre de dominio en un navegador, el resolutor verifica la firma digital.
Si las firmas digitales en los datos coinciden con las que están almacenadas en los servidores DNS maestros, entonces los datos pueden acceder a la computadora cliente que realiza la solicitud.
La firma digital DNSSEC garantiza que se esté comunicando con el sitio o la ubicación de Internet que desea visitar.
DNSSEC utiliza un sistema de claves públicas y firmas digitales para verificar los datos. Simplemente agrega nuevos registros a DNS junto con los registros existentes. Estos nuevos tipos de registros, como RRSIG y DNSKEY, se pueden recuperar de la misma manera que los registros comunes como A, CNAME y MX.
Estos nuevos registros se utilizan para "firmar" digitalmente un dominio, utilizando un método conocido como criptografía de clave pública.
Un servidor de nombres firmado tiene una clave pública y privada para cada zona. Cuando alguien hace una solicitud, envía información firmada con su clave privada; el destinatario lo desbloquea con la clave pública. Si un tercero intenta enviar información no confiable, no se desbloqueará correctamente con la clave pública, por lo que el destinatario sabrá que la información es falsa.
Tenga en cuenta que DNSSEC no proporciona confidencialidad de datos porque no incluye algoritmos de cifrado. Solo lleva las claves necesarias para autenticar datos DNS como genuinos o genuinamente no disponibles.
Además, DNSSEC no protege contra los ataques DDoS.
Claves utilizadas por DNSSEC
DNSSEC utiliza dos tipos de claves:
· La clave de firma de zona (ZSK): se utiliza para firmar y validar los conjuntos de registros individuales dentro de la zona.
· La clave de firma de clave (KSK): se utiliza para firmar los registros DNSKEY en la zona.
Ambas claves se almacenan como registros "DNSKEY" en el archivo de zona.
Ver el registro DS
El registro DS significa Delegation Signer, y contiene una cadena única de su clave pública, así como metadatos sobre la clave, como qué algoritmo utiliza.
Cada registro DS consta de cuatro campos: KeyTag, Algorithm, DigestType y Digest y tiene el siguiente aspecto:
Podemos dividir diferentes componentes del registro DS para ver qué información contiene cada parte:
Example.com. - nombre de dominio para el que es el DS.
3600 - TTL, el tiempo que el registro puede permanecer en caché.
IN significa internet.
2371 - Etiqueta de clave, ID de la clave.
13 - tipo de algoritmo. Cada algoritmo permitido en DNSSEC tiene un número especificado. El algoritmo 13 es ECDSA con una curva P-256 usando SHA-256.
2 - Tipo de resumen, o la función hash que se utilizó para generar el resumen a partir de la clave pública.
La cadena larga al final es el resumen, o el hash de la clave pública.
Español
