DNSSEC para proveedores de hardware

Descubra lo que representan las DNSSEC para usted y qué medidas puede tomar para fomentar el éxito de las DNSSEC.

A medida que las extensiones de seguridad de los nombres de dominio (DNSSEC) toman impulso, lo mismo sucede con la demanda de hardware y dispositivos de internet compatibles con las DNSSEC. Verisign se compromete a trabajar junto a los proveedores de hardware interesados para ayudarlos a encontrar riesgos de compatibilidad y resolverlos.

Por qué actuar ahora Qué se necesita Qué tener en cuenta Dónde comenzar

Los registradores, los ISP y los usuarios finales necesitan cada vez más equipos de red y otros dispositivos compatibles con los entornos que cuentan con las DNSSEC.

En forma colectiva, estas entidades representan una oportunidad de mercado importante para los proveedores de hardware que actúen pronto para responder a esta necesidad. También destacan el potencial riesgo comercial que corren los proveedores si sus dispositivos no son compatibles con las DNSSEC. Desde una perspectiva más amplia, estos riesgos y oportunidades acentúan la función vital de los proveedores de hardware en la implementación y la adopción de las DNSSEC.

Las DNSSEC pueden ocasionar muchos problemas de compatibilidad en los equipos de red que soportan el DNS. La planificación estratégica, el desarrollo y los ciclos de manufactura que solucionen estos problemas pueden llevar meses o incluso años. Los proveedores de hardware deben planificar, desarrollar, probar y refinar sus productos a fin de cumplir con los requisitos de seguridad planteados por sus clientes.

Si actúan ahora, los proveedores de hardware pueden reforzar su reputación de líderes e innovadores en seguridad de internet, diferenciarse de los competidores y obtener una posición segura en el mercado de dispositivos compatibles con las DNSSEC.

Beneficios para los proveedores de hardware

Al moverse rápidamente para apoyar el éxito de las DNSSEC en todo el mundo, usted puede:

  • Introducir mejoras y productos nuevos que sean compatibles con las DNSSEC.
  • Contribuir a desarrollar su propia marca y reputación.
  • Mantener la lealtad y la confianza de los clientes.
  • Atraer y retener clientes que se concentran en la seguridad.
  • Aumentar la seguridad de internet para los clientes.
  • Proteger sus negocios principales a través de un aumento de la confianza en internet.
  • Ejercer liderazgo e influencia para moldear el futuro de las DNSSEC.

Las DNSSEC introducen cambios complejos en todo el ecosistema de internet. Para garantizar que los usuarios de internet se beneficien de esta capa agregada de seguridad de internet, los fabricantes de productos de infraestructura para internet como firewalls, enrutadores y otros dispositivos de red, deben asegurarse de que sus equipos sean compatibles con las DNSSEC. El funcionamiento correcto de estos productos afecta prácticamente a cualquiera que se conecte a internet, lo que incluye empresas, proveedores de servicios de internet, usuarios particulares y otros clientes.

Las DNSSEC impactan potencialmente a cualquier dispositivo que examina tráfico de internet en las capas 3 a 7 de la pila del protocolo de interconexión de sistema abierto (OSI). Los problemas de compatibilidad pueden surgir del hardware en sí mismo o de cómo lo han configurado los usuarios. Las investigaciones sugieren que la mayor parte de los enrutadores (frente a los sistemas de resolución de código auxiliar) de las oficinas pequeñas o de hogar (SOHO) parecen funcionar correctamente en un entorno con las DNSSEC habilitadas. Los firewalls de nivel empresarial (frente a los servidores recursivos) presentan el desafío más importante.

Verisign se compromete a ayudarlo a identificar los problemas de compatibilidad de sus productos y soluciones. La siguiente tabla proporciona recomendaciones para tratar algunas consideraciones importantes relacionadas con la compatibilidad con las DNSSEC.

PROBLEMA: LOS PAQUETES CON LAS DNSSEC HABILITADAS SON MÁS GRANDES (>512 BYTES) QUE LOS PAQUETES DE DNS TRADICIONALES.
Explicación: Históricamente, los mensajes DNS han sido transportados por el protocolo de datagramas de usuario (UDP) y los estándares originales del DNS restringían el tamaño del paquete de DNS a 512 bytes. Los paquetes de las DNSSEC pueden contener claves públicas y firmas digitales. Como consecuencia, los paquetes de las DNSSEC suelen superar el tamaño máximo histórico de 512 bytes. Muchos dispositivos de red antiguos y algunos actuales pueden perder los paquetes más grandes de las DNSSEC. Recomendación: Tenga en cuenta las limitaciones del equipo relacionadas con el procesamiento de paquetes de las DNSSEC.
PROBLEMA: LAS DNSSEC (ACTIVACIÓN) GENERARÁN MÁS TRÁFICO DEL PROTOCOLO DE CONTROL DE TRANSMISIÓN (TCP).
Explicación: Debido a las limitaciones del tamaño de la unidad de transmisión máxima (MTU), el UDP no siempre puede dar cabida al tamaño de los paquetes de las DNSSEC. Como consecuencia, las consultas y respuestas recurren a usar el TCP, lo que ocasiona más tráfico y una carga más pesada sobre los equipos de red. Además, algunos dispositivos no están configurados para permitir paquetes de DNS por TCP o, en algunos casos, los dispositivos no soportan DNS por TCP en absoluto. Recomendación: Asegúrese de que su equipo soporta (y está configurado para soportar) TCP.
PROBLEMA: LAS DNSSEC (ACTIVACIÓN) REQUIEREN SOPORTE PARA EDNS0.
Explicación: Los mecanismos de extensión para DNS (EDNS) son un conjunto de extensiones para DNS publicados originalmente en 1999. El tráfico de las DNSSEC se apoya en estas extensiones para obtener señalización adicional y para soportar paquetes de DNS en UDP mayores a 512 bytes. Es posible que algunos dispositivos de red no sean capaces de procesar paquetes de DNS con EDNS0. Recomendación: Asegúrese de que su equipo soporta paquetes de DNS con EDNS0.

Verisign desea ayudarlo con la compatibilidad de su equipo con las DNSSEC. Considere los pasos siguientes para comenzar.

Evaluación y planificación

  • Revise sus productos para detectar las limitaciones relacionadas con las DNSSEC e identificar las configuraciones predeterminadas de fábrica.
  • Comprenda cómo encajan las DNSSEC dentro de su estrategia de desarrollo de productos.
  • Establezca una estrategia para el desarrollo de productos, actualizaciones y mejoras compatibles con las DNSSEC.

Prueba

Pruebe la compatibilidad de sus dispositivos de red con el comportamiento de las DNSSEC.

Exploración y educación

  • Entienda los beneficios y desafíos que sus clientes experimentan cuando implementan las DNSSEC.
  • Planifique estrategias para informar a los clientes acerca de la compatibilidad de sus productos con las DNSSEC.
  • Asegúrese de que su personal de TI y atención al cliente reciba capacitación para tratar problemas relacionados con las DNSSEC.
  • Trabaje junto con consorcios de la industria, organismos de estándares y otros proveedores de software y hardware para contribuir al desarrollo de soluciones y enfoques que cumplan con las necesidades de su organización.


más informaciónmenos información

¿NECESITA MÁS INFORMACIÓN?

Avisos legales// Privacidad// Depósito// Comuníquese con nosotros// Mapa del sitio


© 2011-2013 VeriSign, Inc. Todos los derechos reservados.
VERISIGN, el logotipo de VERISIGN y otras marcas comerciales, marcas de servicio y diseños son marcas registradas o no registradas de VeriSign, Inc. y sus filiales en los Estados Unidos y otros países. Las demás marcas comerciales son propiedad de sus respectivos propietarios.