PERSPECTIVA GENERAL DE DNSSEC
La extensión de seguridad de DNS (DNSSEC) añade seguridad al sistema de nombres de dominio (DNS). Se ha diseñado para tratar los ataques de intermediario y de envenenamiento de cache, autenticando el origen de los datos DNS y verificando su integridad mientras se desplazan por Internet.
El Sistema de Nombres de Dominio (DNS), o sistema de direccionamiento de Internet, es el componente más crítico de la Infraestructura de Internet. Sin él, Internet no podría funcionar. Sin embargo, no fue diseñado con la seguridad en mente. Como resultado, es vulnerable a ataques "man-in-the-middle" (MITM) (intermediario) y de envenenamiento de cache. Estas amenazas usan datos falsos para redirigir el tráfico de Internet a sitios fraudulentos y direcciones distintas a las deseadas. Conozca más acerca del DNS
Cuando un usuario o dispositivo desprevenido alcanzan el sitio fraudulento, los ciberdelincuentes pueden ser capaces de extraer datos de tarjetas de crédito, robar contraseñas de usuario, pinchar comunicaciones de voz sobre IP (VoIP), instalar programas malignos o mostrar imágenes y texto que difamen la marca legítima o proporcionen información falsa. Dado que un solo servidor de nombres DNS puede actuar como punto de resolución de nombre a dirección para miles de usuarios, el impacto potencial de un ataque de intermediario o de envenenamiento de cache puede ser considerable.
BENEFICIOS DE DNSSEC PARA USUARIOS FINALES
DNSSEC presenta oportunidades para todos los miembros del ecosistema de Internet. Su impacto más amplio y directo recae en los usuarios finales.
- Actividades de confianza—Reforzando la seguridad de DNS, DNSSEC aumenta el impulso para un gran número de actividades de Internet, entre las que se incluyen el comercio electrónico, la banca en línea, el correo electrónico, la VoIP y la distribución de software en línea.
- Protección de consumidores y marca—DNSSEC mitiga el riesgo de que los clientes se conviertan en víctimas inconscientes de ciberdelitos cuando intenten acceder a un recurso.
- Nuevos tipos de transacciones seguras—DNSSEC abre la puerta al uso del sistema DNS para nuevos tipos de transacciones seguras de datos.
La Fuerza de Trabajo de Ingeniería de Internet (IETF) se ha dedicado durante más de 15 años a desarrollar un estándar operativo para las extensiones de seguridad del sistema de nombres de dominio (DNSSEC). DNSSEC protege a la comunidad de Internet de datos DNS falsificados, usando criptografía de clave pública para firmar digitalmente los datos de zona oficiales cuando entran en el sistema y para validarlos en su destino. Conozca más acerca de la criptografía de clave pública
La firma digital ayuda a asegurar a los usuarios que los datos se originaron en la fuente declarada y que no se modificaron en el trayecto. DNSSEC también puede establecer que un nombre de dominio no existe. Estas capacidades son esenciales para mantener la vitalidad de Internet.
En DNSSEC, cada zona tiene un par de claves públicas/privadas. La clave pública de la zona se publica mediante DNS, mientras que la clave privada de la zona se mantiene segura y almacenada idealmente fuera de línea. La clave privada de zona firma datos individuales de DNS en esa zona, creando firmas digitales que también son publicadas mediante DNS.
DNSSEC usa un modelo de confianza rígido, y esta cadena de confianza fluye de zona padre a zona hija. Las zonas de nivel superior (padres) firman, o responden por, las zonas inferiores (hijas). Los servidores de nombre oficiales para estas diversas zonas pueden ser administrados por registradores, proveedores de servicios Internet (ISP), compañías de alojamiento web y los mismos operadores de páginas web (registrantes).
Cuando un usuario final desea acceder a un sitio web, un resolutor local en el sistema operativo del usuario solicita la dirección IP del sitio web desde un servidor de nombres recursivo. Después de que el servidor solicite este registro, también solicita la clave DNSSEC asociada con la zona. Esta clave permite al servidor verificar que el registro de dirección IP que recibe es idéntico al registro del servidor de nombres oficial.
Si el servidor de nombres recursivo determina que el registro de la dirección ha sido enviado por el servidor de nombres oficial y no ha sido alterado durante el trayecto, resuelve el nombre de dominio permitiendo al usuario acceder al sitio. A este proceso se le denomina validación. Si el registro de la dirección ha sido modificado o no proviene de la fuente declarada, el servidor de nombres recursivo no permite que el usuario alcance la dirección fraudulenta. DNSSEC también puede demostrar que un nombre de dominio no existe. Como resultado de este proceso, las consultas y respuesta DNS quedan protegidas de ataques de intermediario y del tipo de falsificaciones que posiblemente redireccionarían a los usuarios de Internet hacia sitios de phishing y pharming.
Para asegurar el éxito global de DNSSEC, Verisign aboga por un enfoque proactivo pero prudente, que gire alrededor de tres principios centrales:
- DNSSEC es una solución adecuada para un tipo específico de vulnerabilidad de Internet, pero debe ser complementada por otras capas de seguridad.
- La extensión metódica y controlada de DNSSEC es más segura.
- El ecosistema de Internet entero comparte la responsabilidad hacia DNSSEC.
UNA SOLUCIÓN ADECUADA PARA UNA VULNERABILIDAD ESPECÍFICA
Si bien DNSSEC mejora la seguridad de DNS, sólo es un componente en un enfoque estratificado a la seguridad de la infraestructura de Internet. No protege los servidores de nombres contra ataques distribuidos de denegación de servicio (DDoS), asegura la confidencialidad en los intercambios de datos, encripta datos de los sitios web, ni protege las direcciones IP contra spoofing o phishing. Otras capas de protección, como la mitigación de DDoS, la inteligencia de seguridad, la encriptación y validación de sitios Secure Sockets Layer (SSL) y la autenticación de dos factores, también son críticas para mantener la seguridad de Internet. Estos mecanismos tendrían que usarse en conjunción con DNSSEC.
EXTENSIÓN MEDIDA Y CONTROLADA
La implementación extendida de DNSSEC presenta una serie de cambios complejos que impactan sobre el ecosistema de Internet entero y requieren dedicar amplios recursos, documentación, pruebas y coordinación por parte de la industria. Cualquier extensión de DNSSEC debe ser realizada en fases, especialmente para la operación fiable de dominios de nivel superior (TLD) globalmente cruciales, como .com y .net. La estrategia, planificación y colaboración a largo plazo, no sólo dentro y a través de organizaciones e industrias, sino también a nivel internacional, crea una base sólida para una implementación exitosa.
RESPONSABILIDAD COMPARTIDA
Como el envenenamiento de cache puede ocurrir en cualquier punto de Internet, la efectividad de DNSSEC es mayor si la implementación es universal, empezando por la zona raíz y los dominios de nivel superior (TLD) y descendiendo hasta los nombres de dominio individuales. Los registros, registradores, registrantes, empresas de alojamiento, desarrolladores de software, proveedores de hardware, gobiernos, negocios y agencias con una presencia en Internet y coaliciones y expertos en Internet comparten la responsabilidad del éxito de este gran esfuerzo.
La adopción de DNSSEC está ganando impulso, a medida que gobiernos, instituciones financieras, proveedores de servicios de Internet (ISP), negocios y otras organizaciones están cada vez más concienciados acerca de las amenazas relacionadas con DNS.
La zona raíz de Internet, dominios de nivel superior (TLD) como .net, .com, .gov, .org, .museum y .edu, y un cierto número de TLD de código de país (ccTLD) han completado el pleno despliegue de DNSSEC. Estos TLD han empezado a aceptar nombres de dominio de segundo nivel firmados con DNSSEC. Algunos ISP han anunciado su intención de activar la validación de los servidores de nombres recursivos que responden las consultas de los usuarios, y algunos registradores han incluido la implementación de DNSSEC en sus planes de actuación. Además, la ICANN ha abierto la solicitud para nuevos TLD y es probable que la ICANN requiera a los solicitantes de nuevos TLD que tengan planes para la implementación de DNSSEC.
DNSSEC TIMELINE
| 1990 | Se descubre un fallo importante en el DNS y empieza el diálogo para hacer el DNS más seguro. |
| 1995 | DNSSEC se convierte en un tema formal en el IETF. |
| 1999 | Se termina de crear el protocolo DNSSEC (RFC2535) y se desarrolla el BIND9 como la primera implementación exitosa de DNSSEC. |
| 2001 | La gestión de claves crea problemas operativos que hacen imposible desplegar DNSSEC en redes grandes. El IETF decide reescribir el protocolo. |
| 2005 | Se reescriben los estándares DNSSEC en varios RFC: 4033, 4034, 4035. En octubre, Suecia (.se) permite DNSSEC en su zona. |
| 2007 | En julio, el ccTLD.pr (Puerto Rico) activa DNSSEC, seguido de .br (Brasil) en septiembre y .bg (Bulgaria) en octubre. |
| 2008 | Se publica el estándar NSEC3 (RFC 5155). En septiembre, el ccTLD .cz (República Checa) activa DNSSEC. |
| 2009 | Verisign y EDUCAUSE albergan una base de pruebas de DNSSEC para registrantes .edu seleccionados. La zona raíz es firmada para el uso interno por Verisign y la ICANN. La ICANN y Verisign ejercen la firma de ZSK con KSK. |
| 2010 | El primer servidor raíz empieza a servir a la raíz firmada con la metodología DURZ (zona raíz deliberadamente no validada). Todos los servidores raíz sirven a la raíz firmada, con la metodología DURZ. La ICANN celebra la primera ceremonia KSK en Culpeper (Virginia), en EE. UU. La ICANN publica el trust anchor de la zona raíz y los operadores raíz empiezan a servir a la zona raíz firmada con claves reales: la zona raíz está disponible. Verisign y EUDCAUSE habilitan DNSSEC para el dominio .edu. Verisign habilita DNSSEC para el dominio .net. |
| 2011 | En febrero, se hace la transición del registro .gov habilitado para DNSSEC a Verisign. En marzo, se firma .com y el servicio Verisign Managed DNS se mejora para que sea del todo compatible con DNSSEC. Se firman 59 TLD con trust anchors en la zona raíz. |
| 2012 | En enero, Comcast anuncia que sus clientes usan resolutores de validación de DNSSEC. En marzo, el número de TLD firmados aumentó a 90. |
EL PAPEL DE VERISIGN
Verisign ha participado en el desarrollo de DNSSEC desde el año 2000, y nuestros ingenieros han desempeñado un papel de liderazgo en el desarrollo del protocolo NSEC3. Seguiremos colaborando con la comunidad técnica de Internet, a medida que avancen las pruebas, implementación y adopción de DNSSEC. Por ejemplo, éramos un miembro activo de la Coalición DNSSEC, una organización de la industria dedicada a facilitar la adopción de DNSSEC. Para asegurarnos de que empleamos las mejores prácticas, compartimos lo que hemos descubierto en nuestros despliegues de DNSSEC, y apoyamos un enfoque consistente de DNSSEC a través de los registros.
En julio de 2010, Verisign (junto con la Agencia de Asignación de Números de Internet (IANA) y el Departamento de Comercio (DoC) de EE. UU.) completaron la implantación de DNSSEC en la zona raíz (el punto de inicio de la jerarquía de DNS). Verisign también adaptó el dominio .edu en julio, en colaboración con EDUCAUSE y el DoC, el dominio .net en diciembre de 2010 y el dominio .com en marzo de 2011. Además, un cierto número de dominios de nivel superior (TLD), entre los que se cuentan .gov, .org y los TLD de código de país de Brasil, Bulgaria, la República Checa, Puerto Rico y Suecia, han sido firmados por otros registros.
También hemos tomado numerosos pasos para ayudar a los miembros del ecosistema de Internet a aprovechar las ventajas de DNSSEC. Estos pasos incluyen la publicación de recursos técnicos, la puesta en marcha de un Entorno de Prueba Operacional, el desarrollo de sesiones educativas, la participación en foros de la industria, la creación de herramientas para simplificar la administración de DNSSEC y el soporte a la comunidad con un laboratorio de interoperabilidad.