DNSSEC para ISP

La extensión de seguridad de DNS (DNSSEC) permite a los ISP ofrecer un valor añadido a los miles de clientes que dependen de una experiencia de Internet segura para trabajar, aprender, divertirse e interactuar.

Verisign se compromete a trabajar con los ISP para simplificar y estandarizar DNSSEC. Descubra lo que DNSSEC significa para usted, los pasos que usted puede tomar para prepararse para DNSSEC, y cómo las herramientas, información y otros recursos de Verisign pueden ayudarle a planear, probar y habilitar efectivamente DNSSEC.

Por qué actuar ahora Qué hacer Qué considerar Dónde empezar

Dada la creciente concienciación acerca de las amenazas al sistema DNS y la trayectoria de otras iniciativas de seguridad en Internet como Secure Sockets Layer, DNSSEC es un imperativo comercial para los ISP, fomentado por necesidades internas como la gestión de riesgo y por la demanda de los consumidores de una experiencia de Internet más segura.

Actuando ahora, puede proteger mejor a sus clientes, reforzar su reputación de liderazgo en protección del cliente y seguridad de Internet, y diferenciarse de la competencia. Con esta adopción prematura, también puede influir en el desarrollo de productos, servicios y otras iniciativas de la industria que apoyen y beneficien a su negocio.

Beneficios para ISP proactivos

Añadiendo proactivamente esta capa importante, usted puede:

  • Ayudar a mitigar el riesgo de que sus clientes se conviertan en víctimas del ciberdelito
  • Ayudar a proteger y construir su marca y reputación
  • Mantener la fidelidad y confianza de sus clientes
  • Ofrecer una experiencia de Internet más segura como parte de su propuesta de valor a los clientes
  • Atraer y conservar a clientes preocupados por la seguridad
  • Proteger su negocio central mejorando la confianza en Internet
  • Ejercer liderazgo e influencia para determinar el futuro de DNSSEC

Los ISP juegan un papel esencial en el funcionamiento de Internet y en el éxito de DNSSEC. Los servidores de nombres recursivos (resolutores) que los ISP administran ayudan a los usuarios de Internet a resolver nombres de dominio rápidamente, millones de veces al día. Los servidores de nombres recursivos son también el principal vector de envenenamiento de cache.

Los servidores de nombres de dominio recursivos equipados con DNSSEC ayudan a prevenir el envenenamiento de cache de la forma siguiente: Cuando un servidor de nombres recursivo solicita información de DNS desde un servidor oficial de la zona y esa zona está firmada, el servidor de nombres recursivo también solicita la clave DNSSEC de la zona de forma que pueda verificar que la información recibida es idéntica a la información en el servidor oficial.

Para ayudar a propagar DNSSEC a través del ecosistema de Internet, necesita incorporar DNSSEC a sus servidores de nombres recursivos y asegurar la compatibilidad de su infraestructura de red (por ejemplo en firewalls, routers, switches y distribuidores de carga) con la mayor cantidad de respuestas DNS que genera DNSSEC. Con el tiempo, usted podrá incorporar DNSSEC a sus ciclos de desarrollo y pruebas. Los ISP que proporcionan servicios de alojamiento DNS también necesitan activar la funcionalidad DNSSEC para esos servicios.

La mayoría de los servidores de nombres recursivos disponibles comercialmente ya soportan DNSSEC y solo requieren una actualización o un cambio de parámetros. Sin embargo usted podría tener que actualizar o sustituir servidores de nombre antiguos y dispositivos de red existentes.

Verisign se compromete a ayudarle a identificar la mejor estrategia de despliegue de DNNSEC para su situación.

La tabla siguiente proporciona recomendaciones para abordar algunas consideraciones importantes relacionadas con la implementación de DNSSEC.

PROBLEMA: LAS VERSIONES ANTERIORES DEL SOFTWARE DE SERVIDORES DE NOMBRE NO ADMITEN DNSSEC.
Explicación: DNS ha sido una plataforma muy sólida y resistente. En consecuencia, es posible que los administradores no hayan actualizado el software de servidores de nombre muy a menudo. Además, existe software de servidores de nombre —incluyendo versiones antiguas de BIND— que es incompatible con DNSSEC. Recomendación: Revise los servidores de nombres y actualice a una versión compatible con el protocolo DNSSEC y RSA-SHA256, NSEC y NSEC3.

Considere las siguientes versiones compatibles con DNSSEC: BIND 9.9.0, 9.81-p1, 9.7.4-p1 y Unbound 1.4.16
PROBLEMA: LOS PAQUETES HABILITADOS CON DNSSEC SON MAYORES (> 512 BYTES) QUE LOS PAQUETES TRADICIONALES.
Explicación: Los paquetes DNSSEC son mayores que los paquetes tradicionales y contienen información diferente. El software de servidores de nombres compatible con DNSSEC puede incrementar el uso de recursos de un servidor. Los paquetes más grandes incrementarán los requisitos de capacidad para la CPU, la memoria del servidor y el ancho de banda para las operaciones de ISP. Recomendación: Revise el hardware en el que se ejecutan sus servidores de nombres para asegurarse de que están preparados para el incremento de carga.
PROBLEMA: LOS SERVIDORES DE NOMBRES RECURSIVOS REQUIEREN QUE LA VALIDACIÓN ESTÉ “ACTIVADA”.
Explicación: Para proporcionar funcionalidades DNSSEC a sus clientes, usted debe activar la validación DNSSEC en sus servidores de nombres recursivos. Recomendación: Evalúe y decida si “enciende” o no la validación. En tal caso deberá configurar y mantener un servidor de nombres recursivo activado con DNSSEC.
PROBLEMA: DNSSEC INCREMENTARÁ LAS RESPONSABILIDADES DE GESTIÓN DE DNS DE LOS ADMINISTRADORES DE SISTEMAS.
Explicación: Los administradores de sistemas responsables de las operaciones de DNS deberán realizar un mantenimiento periódico de confianza y actualizar la clave pública (usada para autenticación de DNSSEC) cuando los operadores de zona raíz desplieguen nuevos pares de claves públicas y privadas para las firmas digitales. Recomendación: Asegúrese de que los administradores de sistema encargados de las operaciones de DNS estén versados en los conceptos de DNSSEC y mantenimiento de trust anchor. Proporcione formación técnica e incremente la familiaridad con las herramientas disponibles.
PROBLEMA: LOS USUARIOS FINALES ENCONTRARÁN FALLOS DE VALIDACIÓN DE DNSSEC.
Explicación: Una preocupación significativa para los ISP y la comunidad de Internet es la experiencia del usuario final cuando se hayan detectado datos de DNS fraudulentos o la resolución del nombre falle porque las firmas digitales usadas para autenticar DNS hayan expirado. Recomendación: Eduque y forme a su equipo de soporte al cliente para que sepan cómo diagnosticar y explicar tales fallos a su base de usuarios. Colabore con Verisign, otros ISP y el resto de agentes en el ecosistema de Internet para encontrar una solución estandarizada a este problema.

A base de pequeños pasos usted puede alcanzar su meta de lograr un sistema habilitado con DNSSEC que ayude a mantener la confianza de los usuarios finales y proporcione una ventaja competitiva. Basándonos en las lecciones aprendidas en el trabajo realizado con registradores e ISP para despliegue de DNSSEC en las zonas raíz, .edu, .net y .com, le sugerimos los siguientes pasos para empezar.

Explore y eduque

  • Comprenda como DNSSEC encaja en su estrategia de ciberseguridad.
  • Conozca los beneficios y desafíos de implementar DNSSEC.
  • Comprenda la criptografía de clave pública, los estándares de encriptación y cómo las firmas digitales y las claves públicas/privadas funcionan en conjunto.
  • Asegúrese de que su personal de TI y de soporte al cliente reciba formación para tratar con temas relacionados con DNSSEC.
  • Integre los recursos de Verisign, y planee estrategias para informar a los clientes acerca de DNSSEC.

Planifique

  • Establezca un calendario para la adopción de DNSSEC.
  • Decida cómo integrará DNSSEC en su arquitectura de DNS existente.
  • Cree políticas y procesos para sistematizar la integración de actualizaciones de claves públicas desde los registradores y otros trust anchors.

Evalúe y actualice

  • Realice un inventario de su infraestructura y revísela; por ejemplo, anote qué versión del software DNS BIND o Unbound está utilizando y determine si sus servidores de nombres pueden soportar NSEC3 y SHA-256.
  • Determine, si es el caso, qué impacto tendrá DNSSEC sobre el ancho de banda de su red (los paquetes más grandes de DNSSEC incrementan el tráfico en la red.)
  • Considere cómo afectará DNSSEC a la administración de sus servidores de nombres recursivos.
  • Consulte con sus proveedores de hardware si la implementación de DNSSEC está entre sus planes y si disponen de actualizaciones para sus dispositivos de red existentes.
  • Evalúe los productos y servicios que soporten su implementación.
  • Actualice el hardware de DNS y el software de los servidores de nombres en la medida de lo necesario para hacer que sean compatibles con DNSSEC.

Participe

  • Trabaje con consorcios industriales, cuerpos de estandarización y proveedores de software y hardware para ayudar a desarrollar soluciones y enfoques que satisfagan las necesidades de su organización.
  • Colabore y desarrolle experiencias para abordar la experiencia del usuario final cuando DNSSEC detecte datos “malos”.

más informaciónmenos información

¿NECESITA MÁS INFORMACIÓN?

Avisos legales// Privacidad// Depósito// Contacte con nosotros// Mapa del sitio


© 2011-2013 VeriSign, Inc. Todos los derechos reservados.
VERISIGN, el logotipo de VERISIGN y otras marcas comerciales, marcas de servicios y diseños son marcas registradas o no registradas de VeriSign, Inc. y de sus subsidiarias en los Estados Unidos y en otros países. Todas las demás marcas comerciales son propiedad de sus respectivos dueños.