EXTENSIONES DE SEGURIDAD DEL SISTEMA DE NOMBRES DE DOMINIO (DNSSEC)

Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) pueden fomentar la confianza en internet al evitar que los usuarios sean redireccionados a sitios web fraudulentos o direcciones no deseadas.


Click to play
close

El sistema de nombres de dominio (DNS), el sistema de direcciones de internet, es el componente más importante de la infraestructura de internet. Sin el DNS, internet no puede funcionar. Sin embargo, cuando se lo diseñó, no se tuvo en cuenta la seguridad. Como consecuencia, es vulnerable a ataques mediante intermediario (man-in-the-middle) y de infección de caché. Estas amenazas usan datos falsificados para redireccionar el tráfico de internet a sitios fraudulentos y direcciones no deseadas.

Una vez que un dispositivo o usuario desprevenido llega al sitio fraudulento, es posible que los criminales informáticos puedan extraer información de tarjetas de crédito, robar contraseñas de usuario, intervenir comunicaciones de voz sobre IP (VoIP), plantar software malintencionado o mostrar imágenes y texto que difamen a la marca legítima o proporcionen información engañosa. Debido a que un único servidor de nombres de DNS puede actuar como punto de resolución de nombres a direcciones para miles de usuarios, el impacto potencial de los ataques mediante intermediario (man-in-the-middle) o de infección de caché es tremendo.

BENEFICIOS DE LAS DNSSEC

Elija a continuación su perfil para conocer más sobre cómo lo afectan las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) y el papel que juegan en nuestra estrategia para autenticar internet de principio a fin.

Registradores Operadores de sitios web Proveedores de servicios de internet

INFORMACIÓN SOBRE LAS DNSSEC

Verisign ha participado en el desarrollo de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) desde el 2000 y sigue colaborando con la comunidad técnica de internet.

Cómo funcionan las DNSSEC
Cronograma de las DNSSEC
El papel de Verisign en las DNSSEC

PREGUNTAS FRECUENTES SOBRE LAS DNSSEC


Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) protegen a la comunidad de internet de los datos de DNS falsificados al brindar firmas digitales de los datos de zonas autoritativas mediante el uso de criptografía de clave pública. La validación de las DNSSEC asegura a los usuarios que los datos se originaron en la fuente especificada y que no fueron modificados durante su transferencia. Las DNSSEC también pueden demostrar que un nombre de dominio no existe.

Aunque las DNSSEC mejoran la seguridad del DNS, no son una solución integral. No brindan protección contra ataques distribuidos de negación de servicio (DDoS), no aseguran la confidencialidad de los intercambios de datos, no cifran los datos de sitios web ni impiden la falsificación (spoofing) o el phishing de direcciones IP. Otras capas de protección, como la mitigación de ataques DDoS, la inteligencia de seguridad, el cifrado y la validación de sitios de la capa de sockets seguros (SSL) y la autenticación de dos factores, también son cruciales para que internet sea más segura. Estos mecanismos se deben utilizar junto con las DNSSEC.

Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) afectan a todos los componentes del ecosistema de la infraestructura de internet. Su implementación efectiva exige la participación de muchas partes interesadas de la comunidad de internet. Los registros, los registradores, los registrantes de nombres de dominio, los proveedores de software, hardware y servicios de internet, las entidades gubernamentales y los usuarios comunes de internet tendrán que cumplir distintas funciones para garantizar el éxito y traer mejoras vitales a la seguridad en internet. Las DNSSEC benefician a:

  • La comunidad de internet, porque mejoran la seguridad de las zonas que están firmadas.
  • Los registradores, porque les permiten ofrecer servicios de firma de dominios a sus clientes.
  • Los proveedores de servicios de internet, porque aumentan la seguridad de los datos devueltos a sus clientes.
  • Los usuarios, porque los protegen de las vulnerabilidades del DNS como la infección de caché y los ataques de intermediarios.

En las DNSSEC, cada zona tiene un par de claves: pública y privada. La clave pública de la zona se publica mediante DNS, mientras que la clave privada de la zona se mantiene a salvo e idealmente almacenada sin conexión. La clave privada de una zona firma los datos de DNS individuales de esa zona y crea firmas digitales que también se publican con el DNS. Las DNSSEC usan un modelo de confianza estricto y esta cadena de confianza se transmite de la zona primaria a la secundaria. Las zonas de niveles superiores (primarias) firman, o avalan, las claves públicas de las zonas de niveles inferiores (secundarias). Los servidores de nombres autoritativos pueden ser administrados por registradores, proveedores de servicios de internet, compañías de alojamiento o por los mismos operadores de sitios web (registrantes).

Cuando un usuario final desea acceder a un sitio web, una resolución de código auxiliar en el sistema operativo del usuario solicita el registro del nombre de dominio de un servidor de nombres recursivo, ubicado en un proveedor de servicios de internet. Luego de que el servidor solicita este registro, también solicita la clave de DNSSEC asociada a la zona. Esta clave permite que el servidor verifique que la información recibida es idéntica al registro del servidor de nombres autoritativo.

Si el servidor de nombres recursivo determina que el servidor de nombres autoritativo ha enviado el registro de direcciones y éste no se ha alterado durante la transmisión, entonces resuelve el nombre de dominio y el usuario puede acceder al sitio. Este proceso se llama validación. Si el registro de direcciones se ha modificado o no proviene de la fuente especificada, el servidor de nombres recursivo no permite que el usuario llegue a la dirección fraudulenta. Las DNSSEC también pueden demostrar que un nombre de dominio no existe.

Existen muchos factores en la seguridad general de internet. Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) tienen el potencial de reducir los problemas de seguridad generados por ataques de intermediarios y de infección de caché, pero no representan una solución de seguridad integral. Las DNSSEC no resuelven muchas de las amenazas de seguridad más comunes de internet, como la falsificación (spoofing) o el phishing. Por este motivo, otras capas de protección, como los certificados de SSL y la autenticación de dos factores, son fundamentales para hacer que internet sea segura para todos.

La comunidad de internet todavía no ha creado un sistema estandarizado para informar a los usuarios sobre un ataque. Una posible solución es el desarrollo de navegadores “preparados para las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC)” que notifiquen a los usuarios que han sido dirigidos a un destino autenticado.

En julio de 2010 Verisign, junto con la Autoridad de Números Asignados a Internet (IANA) y el Ministerio de Comercio (DoC) de los Estados Unidos, completó la implementación de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) en la zona de raíz (el punto inicial de la jerarquía de DNS). Verisign también habilitó las DNSSEC para los dominios .edu en julio de 2010 en colaboración con EDUCAUSE y el DoC, y en diciembre de 2010 y marzo de 2011 habilitó los dominios .net y .com respectivamente.

Nuestra estrategia de implementación de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) consiste en comenzar por las zonas más pequeñas y evaluar las lecciones aprendidas de cada implementación antes de pasar a la zona siguiente. La zona .com fue la última que firmamos debido a que era la más grande. Queríamos adquirir toda la experiencia que fuera posible antes de dedicarnos al dominio que controla gran parte del comercio y las comunicaciones por internet de todo el mundo.

El éxito de la implementación de las DNSSEC tiene beneficios de gran repercusión para la comunidad global de internet, ya que aumenta la confianza para realizar muchas actividades en línea, entre ellas el comercio electrónico, la banca en línea, el correo electrónico, las comunicaciones mediante VoIP y la distribución de software en línea. Sin embargo, toda la comunidad de internet comparte la responsabilidad de lograr que las DNSSEC tengan éxito. El éxito depende de la participación activa y coordinada de los registros, los registradores, los registrantes, las compañías de alojamiento, los desarrolladores de software, los proveedores de hardware, los gobiernos, y las coaliciones y los tecnólogos de internet.

La zona de raíz de internet, los dominios de primer nivel (TLD), como .gov, .org, .museum y un número de TLD con códigos de país (ccTLD) ya han firmado las zonas que administran. Otros TLD, como .edu, .net y .com, implementaron las DNSSEC en el 2010 y 2011. Estos TLD han comenzado a aceptar nombres de dominio de segundo nivel firmados por las DNSSEC. Los grandes proveedores de servicios de internet como Comcast activaron la validación en los servidores de nombres recursivos que responden a consultas de los usuarios, y algunos registradores han incluido la implementación de las DNSSEC en sus estrategias. Además, la Corporación para la Asignación de Números y Nombres en Internet (ICANN) ya abrió las solicitudes para TLD nuevos, y es probable que se exija un plan de implementación de las DNSSEC para aceptar una solicitud de un TLD nuevo.

Aunque tanto las DNSSEC como la SSL se basan en la criptografía de clave pública, cada una lleva a cabo funciones muy diferentes que se complementan en lugar de sustituirse.

En un modelo muy simplista, las DNSSEC se encargan del “dónde” y la SSL se encarga del “quién” y el “cómo”.

  • Dónde: Las DNSSEC usan firmas digitales para verificar la integridad de los datos del DNS, por lo que garantizan que los usuarios lleguen a la dirección IP deseada. Su trabajo termina cuando el usuario llega a la dirección. Las DNSSEC no garantizan la identidad de la entidad de la dirección y no cifran las interacciones entre el usuario y el sitio.
  • Quién: La SSL usa certificados digitales para validar la identidad de un sitio. Cuando estos certificados son emitidos por autoridades de certificados (CA) de terceros con buena reputación, la SSL le da garantías al usuario sobre la identidad del dueño del sitio web. Sin embargo, la SSL no garantiza que un usuario llegue al sitio correcto, por lo que no se puede utilizar contra ataques que redirigen a los usuarios. En otras palabras, la validación de sitio de la SSL es efectiva, pero sólo si en primer lugar el usuario llega al destino correcto.
  • Cómo: La SSL también usa certificados digitales para cifrar los intercambios de datos entre un usuario y un sitio, por lo que protege la confidencialidad de las transacciones financieras, las comunicaciones, el comercio electrónico y otras interacciones confidenciales.

Al usar ambas, las DNSSEC y la SSL aumentan el nivel de seguridad y confianza en internet: los usuarios pueden determinar con certidumbre adónde van, con quién interactúan y qué tan confidenciales son sus interacciones.

El memorándum 08-23 de la Oficina de Administración y Presupuesto de los Estados Unidos (OMB) exigió la implementación de las DNSSEC en el dominio de primer nivel .gov para enero de 2009, y que las agencias federales de los EE.UU. implementaran las DNSSEC en los sitios externos para diciembre de 2009. El registro .gov se firmó a comienzos de 2009. Asimismo, la Agencia de Sistemas de Información de Defensa de EE.UU. (Defense Information Systems Agency) planea cumplir con los requisitos de la OMB respecto a las DNSSEC para el dominio .mil. Las nuevas regulaciones de la ley federal estadounidense de protección de la información (FISMA) exigieron que las agencias firmaran sus zonas de intranet con las DNSSEC a mediados de 2010. Actualmente no se exige a los operadores de sitios web públicos que aseguren sus dominios con las DNSSEC.

1994: Se publica el primer anteproyecto de una posible norma.
1997: Se publica la RFC 2065 (las DNSSEC son una norma de la IETF).
1999: Se publica la RFC 2535 (se modifica la norma de las DNSSEC).
2005: Se reescriben por completo las normas publicadas.
RFC 4033 (introducción y requisitos).
RFC 4034 (nuevos registros de recursos).
RFC 4035 (cambios en el protocolo).
Julio de 2010: Se firma la zona de raíz.
Julio de 2010: Se firma .edu.
Diciembre de 2010: Se firma .net.
Febrero de 2011: Se transfiere el registro .gov con las DNSSEC habilitadas a Verisign.
Marzo de 2011: Se firma .com.
Marzo de 2011: El servicio de gerencia de DNS de Verisign se mejora para cumplir por completo con las DNSSEC.
Enero de 2012: Comcast anuncia que sus clientes están usando sistemas de resolución con validación de las DNSSEC.
Marzo de 2012: El número de TLD firmados alcanza los 90.