DNSSEC para los proveedores de hardware

Descubra qué significa DNSSEC para usted y los pasos que puede seguir para apoyar el éxito de DNSSEC.

A medida que aumenta el impulso a las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), también lo hace la demanda de dispositivos de Internet y hardware compatible con DNSSEC. Verisign se compromete a trabajar con los proveedores de hardware interesados para ayudar a determinar y resolver riesgos de compatibilidad.

Por qué actuar ahora Qué se necesita Qué considerar Dónde empezar

Los registradores, ISP y usuarios finales necesitan cada vez más equipos de red y otros dispositivos que soporten y sean compatibles con un entorno habilitado con DNSSEC.

Colectivamente, estas entidades representan una oportunidad de mercado significativa para los proveedores de hardware para actuar rápidamente y abordar esta necesidad. También destacan los potenciales riesgos comerciales que los proveedores afrontan si sus dispositivos no son compatibles con DNSSEC. Desde una perspectiva más amplia, estos riesgos y oportunidades subrayan el papel vital que los proveedores de hardware juegan en el despliegue y adopción amplios y exitosos de DNSSEC.

La implementación de DNSSEC puede acarrear una serie de problemas de compatibilidad en equipos de red que soportan DNS. Los ciclos estratégicos de planificación, desarrollo y fabricación para resolver estos problemas pueden llevar meses, cuando no años. Los proveedores de hardware deben planificar, desarrollar, probar y refinar sus productos para satisfacer las necesidades de seguridad de sus clientes.

Actuando ahora, refuerza su reputación de liderazgo e innovación en seguridad de Internet, se diferencia de la competencia y avanza su presencia en el mercado de los dispositivos compatibles con DNSSEC.

Beneficios para los proveedores de hardware

Actuando rápido para apoyar el éxito global de DNSSEC, usted puede:

  • Introducir mejoras y nuevos productos que sean compatibles con DNSSEC.
  • Ayudar a construir su marca y reputación.
  • Mantener la fidelidad y confianza de sus clientes.
  • Atraer y conservar clientes preocupados por la seguridad.
  • Incrementar la seguridad de Internet para sus clientes.
  • Proteger su negocio central mejorando la confianza en Internet.
  • Ejercer liderazgo e influencia para determinar el futuro de DNSSEC.

DNSSEC introduce cambios complejos en el ecosistema entero de Internet. Para asegurar que los usuarios de Internet se benefician de esta capa añadida de seguridad en Internet, los fabricantes de productos de infraestructura de Internet tales como firewalls, routers y otros dispositivos de red necesitan comprobar que sus equipos son compatibles con DNSSEC. La operación correcta de estos productos tendrá un impacto en prácticamente todo aquel que se conecte a Internet, incluyendo a empresas, ISP, usuarios domésticos y otros clientes.

DNSSEC tiene un impacto potencial sobre cualquier dispositivo que examine el tráfico de Internet entre las capas 3 y 7 de la pila del protocolo de Interconexión de Sistemas Abierta (OSI). Pueden surgir problemas de compatibilidad desde el mismo hardware o por cómo los usuarios lo hayan configurado. Las investigaciones sugieren que la mayoría de routers domésticos y en oficinas pequeñas y domésticas (frente a resolutores locales) parecen funcionar correctamente en un entorno habilitado con DNSSEC. Los firewalls de empresa (frente a servidores recursivos) presentan el mayor desafío.

Verisign se compromete a ayudarle a identificar problemas de compatibilidad en sus productos y soluciones. La tabla siguiente proporciona recomendaciones para abordar algunas consideraciones importantes relacionadas con la compatibilidad de DNSSEC.

PROBLEMA: LOS PAQUETES HABILITADOS CON DNSSEC SON MAYORES (> 512 BYTES) QUE LOS PAQUETES DNS TRADICIONALES.
Explicación: Históricamente, los mensajes DNS han sido transportados mediante el Protocolo de Datagrama de Usuario (UDP), y los estándares originales de DNS restringían el tamaño de los paquetes DNS a 512 bytes. Los paquetes DNSSEC pueden contener claves públicas y firmas digitales; como resultado, los paquetes DNSSEC suelen ser mayores que el tamaño máximo histórico de 512 bytes. Muchos dispositivos de red antiguos y también algunos de los actuales pueden perder los paquetes DNSSEC más grandes. Recomendación: Esté atento a las limitaciones de equipo relacionadas con el procesamiento de paquetes DNSSEC.
PROBLEMA: (LA ACTIVACIÓN DE) DNSSEC GENERARÁ MÁS TRÁFICO DE TCP.
Explicación: A causa de las limitaciones en el tamaño de la unidad máxima de transmisión (MTU), el protocolo UDP no siempre puede acomodar el tamaño de los paquetes DNSSEC. Como resultado, las consultas y las respuestas recurren al uso de TCP, que causa más tráfico y supone una carga pesada para los dispositivos de red. Además, algunos dispositivos no están configurados para permitir paquetes DNS sobre TCP, y en algunos casos podría ser que los dispositivos no soportaran de modo alguno la transmisión DNS sobre TCP. Recomendación: Asegúrese de que su equipo soporta —y está configurado para soportar— TCP.
PROBLEMA: (LA ACTIVACIÓN DE) DNSSEC REQUIERE SOPORTE PARA EDNS0.
Explicación: Los Mecanismos de Extensión para DNS (EDNS) son un conjunto de extensiones de DNS publicadas en 1999. El tráfico DNSSEC depende de estas extensiones para señalización adicional y para soportar paquetes DNS sobre UDP mayores de 512 bytes. Algunos dispositivos de red pueden ser incapaces de procesar paquetes DNS con EDNS0. Recomendación: Asegúrese de que su equipo soporta paquetes DNS con EDNS0.

Verisign quiere ayudarle con la compatibilidad de dispositivos para DNSSEC. Considere los siguientes pasos para empezar.

Evaluación y planificación

  • Revise sus productos existentes para comprender sus limitaciones relacionadas con DNSSEC e identificar sus configuraciones de fábrica por defecto.
  • Comprenda como DNSSEC encaja en su estrategia de desarrollo de producto.
  • Establezca una hoja de ruta para el desarrollo de productos, actualizaciones y mejoras que soporten DNSSEC.

Pruebas

Pruebe la compatibilidad de sus dispositivos de red con el comportamiento de DNSSEC.

Explore y eduque

  • Comprenda los beneficios y desafíos que sus clientes experimentarán cuando implementen DNSSEC.
  • Planee estrategias para informar a sus clientes acerca de la compatibilidad con DNSSEC de sus productos.
  • Asegúrese de que su personal de TI y de soporte al cliente reciba formación para tratar con temas relacionados con DNSSEC.
  • Trabaje con consorcios industriales, cuerpos de estandarización y otros proveedores de software y hardware para ayudar a desarrollar soluciones y enfoques que satisfagan las necesidades de su organización.


más informaciónmenos información

¿NECESITA MÁS INFORMACIÓN?

Avisos legales// Privacidad// Depósito// Contacte con nosotros// Mapa del sitio


© 2011-2013 VeriSign, Inc. Todos los derechos reservados.
VERISIGN, el logotipo de VERISIGN y otras marcas comerciales, marcas de servicios y diseños son marcas registradas o no registradas de VeriSign, Inc. y de sus subsidiarias en los Estados Unidos y en otros países. Todas las demás marcas comerciales son propiedad de sus respectivos dueños.