imgSubHeaderWhyVerisignAlt
Innovación + iniciativas

A medida que Internet sigue creciendo, nos comprometemos a crear e impulsar avances que permitan que Internet sea rápida, segura y confiable para todos los usuarios.

Proveedores de servicios de Internet

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) permiten que los ISP ofrezcan un valor agregado a los miles de clientes que confían en una Internet segura para trabajar, aprender, jugar e interactuar. Verisign se compromete a trabajar junto con los proveedores de servicios de Internet para simplificar y estandarizar las DNSSEC. Descubra lo que representan las DNSSEC para usted, cómo puede prepararse para las DNSSEC y cómo pueden ayudarlo las herramientas, la información y otros recursos de Verisign a planificar, probar y habilitar las DNSSEC en forma efectiva.

Por qué actuar ahora

La adopción de las DNSSEC está tomando impulso. Debido al creciente reconocimiento de las amenazas relacionadas con el DNS y la trayectoria de otras iniciativas de seguridad para Internet como la capa de sockets seguros, es probable que las DNSSEC se conviertan en una condición obligatoria en la industria de los ISP, debido a los requisitos internos, como el control de riesgos, y a la exigencia de una experiencia de Internet más segura por parte de los consumidores.

Como administradores de servidores de nombres recursivos que responden a consultas de resolución de nombres, los ISP desarrollan una función clave en la habilitación de una capa adicional de seguridad para los usuarios de Internet. Algunos registradores e ISP importantes ya han incorporado la implementación de las DNSSEC a sus estrategias. Debido a que la implementación de las DNSSEC es un proceso complejo, Verisign aboga por un enfoque cuidadoso y metódico. Los ISP deben comenzar pronto para contar con bastante tiempo para planificar, desplegar, probar y refinar la implementación de las DNSSEC.

Al actuar ahora mismo, los ISP pueden proteger mejor a sus clientes, reforzar su reputación de líderes en la protección de clientes y la seguridad de Internet y diferenciarse de los competidores. Como primeros adoptantes, pueden ser capaces de influir en el desarrollo de productos y servicios (y otras iniciativas de la industria) que respalden y beneficien a su empresa.

Beneficios de las DNSSEC para los ISP preventivos
Las DNSSEC son un ingrediente clave para un enfoque estratificado de la seguridad en Internet. Si agrega esta capa importante de forma preventiva, usted puede:

  • Ayudar a reducir el riesgo de que sus clientes sean víctimas delitos informáticos.
  • Contribuir a proteger y desarrollar su propia marca y reputación.
  • Mantener la lealtad y la confianza de los clientes.
  • Ofrecer una experiencia de Internet más segura como parte de la propuesta de valor que realiza a sus clientes.
  • Atraer y retener clientes que se concentran en la seguridad.
  • Proteger sus negocios principales a través de un aumento de la confianza en Internet.
  • Ejercer liderazgo e influencia para moldear el futuro de las DNSSEC.

Qué hacer

Los ISP cumplen una función esencial en el funcionamiento de Internet y en el éxito de las DNSSEC. Los servidores de nombres recursivos (resolvedores) que gestionan los ISP ayudan a los usuarios a resolver los nombres de dominios de forma rápida millones de veces por día. Además, los servidores de nombres recursivos son los instrumentos principales del envenenamiento de caché.

Los servidores de nombres recursivos con las DNSSEC habilitadas ayudan a evitar el envenenamiento de caché de la siguiente manera: cuando un servidor de nombres recursivo solicita información de DNS al servidor autoritativo de una zona y la zona está firmada, el servidor de nombres recursivo también solicita la clave de DNSSEC de la zona para verificar que la información recibida es idéntica a la información que está en el servidor autoritativo.

Para ayudar a propagar las DNSSEC a través todo el ecosistema de Internet, usted deberá habilitar las DNSSEC en los servidores de nombres recursivos y garantizar la compatibilidad de su infraestructura de red (por ejemplo, firewalls, enrutadores, conmutadores y distribuidores de carga) con las respuestas de DNS más grandes que generan las DNSSEC. Con el tiempo, podrá incorporar las DNSSEC en sus ciclos de pruebas y desarrollo. Los ISP que proporcionan servicios de alojamiento de DNS también deberán habilitar la funcionalidad de las DNSSEC para estos servicios.

La mayoría de los servidores de nombres recursivos comercialmente disponibles ya son compatibles con las DNSSEC y sólo requieren una actualización o un cambio de parámetros. Sin embargo, es posible que deba mejorar o reemplazar los servidores de nombres antiguos y los dispositivos de red que posee. Para determinar el impacto, si lo hubiere, de las DNSSEC sobre sus componentes de infraestructura empresarial, puede programar una prueba en el laboratorio de interoperabilidad de las DNSSEC de Verisign.

Qué tener en cuenta

Verisign se compromete a ayudarlo a identificar la mejor estrategia de implementación de las DNSSEC según su situación.

La siguiente tabla proporciona recomendaciones para tratar algunos problemas importantes relacionados con la implementación de las DNSSEC.

Problema: Las versiones antiguas del software del servidor no son compatibles las DNSSEC.
Explicación: El DNS ha sido una plataforma muy resistente. Como consecuencia, es posible que los administradores no hayan actualizado el software del servidor con mucha frecuencia. Algunos software de servidores de nombres, entre ellos las versiones antiguas de BIND, no serán compatibles con las DNSSEC. Recomendación: Revise sus servidores de nombres y actualice a una versión que soporte el protocolo de las DNSSEC y RSA-SHA256, NSEC y NSEC3.

Considere las siguientes versiones compatibles con las DNSSEC: BIND 9.6.2 y Unbound 1.4.0
Problema: Los paquetes con las DNSSEC habilitadas son más grandes (>512 bytes) que los paquetes tradicionales.
Explicación: Los paquetes de las DNSSEC son más grandes que los paquetes tradicionales y contienen información diferente. El software de los servidores de nombres compatible con las DNSSEC puede aumentar el uso de recursos del servidor. Los paquetes más grandes aumentarán los requisitos de capacidad de la CPU, la memoria del servidor y el ancho de banda para el funcionamiento del ISP. Recomendación: Revise el hardware que utilizan sus servidores de nombres para asegurarse de que los servidores están preparados para el aumento de carga.
Problema: Los servidores de nombres recursivos exigen que la validación esté “encendida”.
Explicación: Para proporcionar la funcionalidad de las DNSSEC a sus clientes, deberá activar la validación de las DNSSEC en sus servidores de nombres recursivos. Recomendación: Evalúe y decida si “encender” o no la validación. Luego establezca y mantenga un servidor de nombres recursivo preparado para la validación de las DNSSEC.
Problema: Las DNSSEC aumentarán las responsabilidad de administración de DNS para los administradores de sistemas.
Explicación: Los administradores de sistemas responsables de las operaciones de DNS deberán realizar mantenimientos de confianza periódico y actualizar la clave pública (que se usa para la autenticación de las DNSSEC) cuando los operadores de la zona de raíz envíen nuevos pares de claves pública y privada para las firmas digitales. Recomendación: Asegúrese de que los administradores de sistema que gestionan sus operaciones de DNS tengan conocimientos de los conceptos de mantenimiento de anclajes de veracidad y DNSSEC. Proporcione una capacitación técnica y aumente la familiaridad de los administradores con las herramientas disponibles.
Problema: Los usuarios finales se encontrarán con fallas de validación de las DNSSEC.
Explicación: Una gran preocupación de los ISP y la comunidad de Internet es la experiencia de los usuarios finales cuando se detecten datos de DNS fraudulentos o cuando falle la resolución de nombres porque las firmas digitales que se usan para autenticar el DNS han vencido. Recomendación: Entrene y capacite a su equipo de atención al cliente para que sepa cómo diagnosticar y explicar dichas fallas a sus usuarios. Colabore con Verisign, otros ISP y otros participantes del ecosistema de Internet para encontrar una solución estandarizada a este problema.

Dónde comenzar

Puede dar pasos calculados para cumplir el objetivo de contar con un sistema con las DNSSEC habilitadas que ayude a mantener la confianza de los usuarios finales y le proporcione una ventaja competitiva. En base a las lecciones aprendidas durante el trabajo con registradores e ISP y el trabajo de implementación de las DNSSEC en la zona de raíz, .edu, .net y .com, sugerimos estos pasos para comenzar.

Exploración y educación

  • Comprenda cómo encajan las DNSSEC dentro de su estrategia de seguridad cibernética.
  • Conozca los beneficios y desafíos de la implementación de las DNSSEC
  • Comprenda la criptografía de clave pública, los estándares de cifrado y cómo funcionan en conjunto las claves públicas y privadas y las firmas digitales.
  • Asegúrese de que su personal de TI y atención al cliente reciba capacitación para tratar problemas relacionados con las DNSSEC.
  • Aproveche los recursos de Verisign y planifique estrategias para informar a sus clientes sobre las DNSSEC.

Planificación

  • Establezca un cronograma para la adopción de las DNSSEC.
  • Decida cómo integrará las DNSSEC en su arquitectura de DNS existente.
  • Diseñe políticas y procesos para sistematizar la integración de actualizaciones de claves públicas por parte de registradores u otros anclajes de veracidad.

Evaluación y actualización

  • Realice un inventario y revise su infraestructura; por ejemplo, registre qué versión de software de DNS BIND o Unbound está usando y determine si los servidores de nombres son compatibles con NSEC3 y SHA-256.
  • Determine el impacto, si lo hubiere, de las DNSSEC sobre el ancho de banda de la red (los paquetes de las DNSSEC aumentan el tráfico de la red al ser más grandes).
  • Considere cómo las DNSSEC afectarán la administración de los servidores de nombres recursivos.
  • Pregunte a los proveedores de hardware qué lugar ocupan las DNSSEC en su estrategia y si existen mejoras disponibles para los dispositivos de red que posee.
  • Evalúe los productos y servicios compatibles con la implementación.
  • Actualice el hardware de DNS y el software del servidor de nombres, según sea necesario, para que sean compatibles con las DNSSEC.

Participación

  • Use el laboratorio de interoperabilidad de las DNSSEC de Verisign para probar la compatibilidad de sus dispositivos de red con las DNSSEC.
  • Trabaje junto con consorcios de la industria, organismos de estándares y proveedores de software y hardware para contribuir al desarrollo de soluciones y enfoques que cumplan con las necesidades de su organización.
  • Trabaje en colaboración y cree estrategias para atender la experiencia del usuario final cuando las DNSSEC detectan datos “malos”.

¿Necesita más información?

Llame al +1-703-925-6999
Correo electrónico o Hable en línea con Atención al cliente.

Avisos legales//Privacidad//Depósito//Comuníquese con nosotros//Feedback//Mapa del sitio


© 2011-2012 VeriSign, Inc. Todos los derechos reservados.
VERISIGN, el logo de VERISIGN, y otras marcas comerciales, marcas de servicios y diseños son marcas comerciales registradas o no registradas de VeriSign, Inc. y sus subsidiarias en Estados Unidos y en otros países. El resto de las marcas comerciales pertenecen a sus respectivos dueños.