Descripción general de las DNSSEC

El sistema de nombres de dominio (DNS), el sistema de direcciones de Internet, es el componente más importante de la infraestructura para Internet. Sin él, Internet no podría funcionar. Sin embargo, cuando se lo diseñó, no se tuvo en cuenta la seguridad. Como consecuencia, es vulnerable a ataques de intermediarios (MITM) y envenenamiento de caché. Estas amenazas usan datos falsificados para redirigir el tráfico de Internet a sitios fraudulentos y direcciones no deseadas. Más información sobre el DNS y los motivos de su vulnerabilidad.

Una vez que un dispositivo o usuario desprevenido llega al sitio fraudulento, los delincuentes informáticos pueden potencialmente extraer información de tarjetas de crédito, robar contraseñas del usuario, intervenir comunicaciones de voz sobre IP (VoIP), plantar software malicioso o mostrar imágenes y texto que difamen a la marca legítima o proporcionen información engañosa. Debido a que un solo servidor de nombres de DNS puede actuar como punto de resolución de nombre a dirección para miles de usuario, el impacto potencial de los ataques de intermediarios o envenenamiento de caché es tremendo.

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) agregan seguridad al DNS. Están diseñadas para evitar los ataques de intermediarios y el envenenamiento de caché mediante la autenticación del origen de los datos de DNS y la verificación de su integridad mientras atraviesan Internet.

Beneficios de las DNSSEC para los usuarios finales

Las DNSSEC presentan una oportunidad para todos los miembros del ecosistema de Internet. Su impacto más directo y general será sobre los usuarios finales.

Actividades de confianza: Al reforzar la seguridad del DNS, las DNSSEC aumentan la confianza de muchas actividades en Internet, entre ellas el comercio electrónico, la banca en línea, el correo electrónico, las comunicaciones VoIP y la distribución en línea de software. Mientras más amplia sea su implementación, la comunidad global de Internet gozará de más beneficios de las DNSSEC.

Protección de la marca y el cliente: Las DNSSEC reducen el riesgo de que los clientes se conviertan en víctimas involuntarias de delitos informáticos cuando intentan acceder a algún recurso. Las DNSSEC son vitales para las organizaciones que tienen una gran presencia en línea, las operaciones de comercio electrónico y las marcas de gran valor.

Nuevos tipos de transacciones seguras: Las DNSSEC abren la puerta al uso del sistema DNS para nuevos tipos de transacciones seguras de datos (por ejemplo, la autenticación del origen de correos electrónicos) ya que echan a perder ataques que pueden ocasionar que los datos caigan en manos equivocadas. Las DNSSEC complementan (no reemplazan) otras características de seguridad en línea como los certificados de la capa de sockets seguros (SLL) y la reducción de la denegación de servicio distribuida (DDoS).

El Grupo de Trabajo de Ingeniería de Internet (IETF, del inglés Internet Engineering Task Force) ha trabajado durante más de 15 años para desarrollar un estándar viable para las extensiones de seguridad del sistema de nombres de dominio (DNSSEC). Las DNSSEC protegen a las comunidad de Internet contra los datos de DNS falsificados gracias al uso de criptografía de clave pública para firmar digitalmente los datos de la zona autoritativa cuando éstos ingresan al sistema y luego validarlos en su destino. Más información sobre la criptografía de clave pública.

Las firmas digitales aseguran a los usuarios que los datos se originaron en la fuente especificada y que no fueron modificados durante el tránsito. Las DNSSEC también pueden demostrar que un nombre de dominio no existe. Estas capacidades son esenciales para el mantenimiento de la confianza en Internet.

En las DNSSEC, cada zona tiene un par de claves, pública y privada. La clave pública de la zona se publica mediante DNS, mientras que la clave privada de la zona se mantiene a salvo e idealmente almacenada sin conexión. La clave privada de una zona firma los datos de DNS individuales de esa zona y crea firmas digitales que también se publican con el DNS.

Las DNSSEC usan un modelo de confianza estricto y esta cadena de confianza se transmite de la zona primaria a la secundaria. Las zonas de niveles superiores (primarias) firman, o avalan, las claves públicas de las zonas de niveles inferiores (secundarias). Los servidores de nombres autoritativos de estas diversas zonas pueden ser administrados por registradores, proveedores de servicios de Internet (ISP), compañías de alojamiento Web o por los mismos operadores de sitios Web (registrantes).

Cuando un usuario final desea acceder a un sitio Web, un stub del sistema operativo del usuario solicita la dirección IP del sitio Web a un servidor de nombres recursivo. Después de que el servidor solicita este registro, también solicita la clave de DNSSEC asociada a la zona. Esta clave permite que el servidor verifique que la información recibida es idéntica al registro del servidor de nombres autoritativo.

Si el servidor de nombres recursivo determina que el servidor de nombres autoritativo ha enviado el registro de direcciones y este no se ha alterado durante el tránsito, resuelve el nombre del dominio y el usuario puede acceder al sitio. Este proceso se llama validación. Si el registro de direcciones se ha modificado o no proviene de la fuente especificada, el servidor de nombres recursivo no permite que el usuario llegue a la dirección fraudulenta. Las DNSSEC también pueden demostrar que un nombre de dominio no existe. Como consecuencia de este proceso, las consultas y respuestas de DNS están protegidas de ataques de intermediarios y del tipo de falsificaciones que podrían redirigir a los usuarios de Internet a sitios de phishing o pharming.

Para garantizar el éxito global de las DNSSEC, Verisign aboga por un enfoque preventivo pero prudente que se basa en tres principios básicos:

• Las DNSSEC son una solución efectiva para un tipo específico de vulnerabilidad de Internet, pero deben estar complementadas por otras capas de seguridad.
• Lo más seguro es realizar una introducción controlada y metódica de las DNSSEC.
• Todo el ecosistema de Internet comparte la responsabilidad de la implementación de las DNSSEC.

Una solución efectiva para un tipo específico de vulnerabilidad

Aunque las DNSSEC mejoran la seguridad de DNS, son sólo un componente de un enfoque estratificado de la seguridad de la infraestructura para Internet. No protegen a los servidores de nombres contra ataques de denegación de servicio distribuida (DDoS), no aseguran la confidencialidad de los intercambios de datos, no cifran los datos de sitios Web ni impiden la falsificación y suplantación de direcciones IP. Otras capas de protección, como la mitigación de DDoS, la inteligencia de seguridad , la encriptación y validación de sitios Segure Sockets Layer (SSL) y la autenticación de dos factores, también son críticas para mantener la seguridad de Internet. Estos mecanismos se deben utilizar junto con las DNSSEC.

Introducción controlada y medida

La implementación amplia de las DNSSEC presenta un conjunto de cambios complejos que impacta a todo el ecosistema de Internet y exige muchos recursos, documentaciones, pruebas y una importante coordinación de la industria. Cualquier introducción de las DNSSEC debe realizarse en fases, sobre todo para garantizar el funcionamiento confiable de los dominios de primer nivel (TLD) que son cruciales en todo el mundo, como .com y .net. La colaboración, la planificación y la creación de estrategias a largo plazo (no sólo entre y en las organizaciones y las industrias, sino también en forma internacional) establece unos cimientos fuertes para lograr que la implementación sea exitosa.

Responsabilidad compartida

Debido a que el envenenamiento de caché puede ocurrir en cualquier punto de Internet, las DNSSEC son más efectivas cuando se implementan de manera universal, comenzando por la zona de raíz y los dominios de primer nivel (TLD) y descendiendo hasta los nombres de dominio individuales. Los registros, los registradores, los registrantes, las compañías de alojamiento, los desarrolladores de software, los proveedores de hardware, los gobiernos, las empresas y las agencias que tienen presencia en Internet, y las coaliciones y los tecnólogos de Internet comparten la responsabilidad del éxito de este gran esfuerzo.

La adopción de las DNSSEC está tomando impulso a medida que los gobiernos, las instituciones financieras, los proveedores de servicios de Internet (ISP), las empresas y otras organizaciones toman cada vez más conciencia de las amenazas relacionadas con el DNS.

La zona de raíz de Internet, los dominios de primer nivel (TLD) como .net, .com, .gov, .org, .museum y .edu, y un gran número de TLD con códigos de país (ccTLD) han completado o están por completar la implementación de las DNSSEC. Estos TLD pronto comenzarán a aceptar nombres de dominio de segundo nivel firmados por las DNSSEC. Algunos ISP han anunciado que planean activar la validación en los servidores de nombres recursivos que responden a consultas de los usuarios, y algunos registradores han incluido la implementación de las DNSSEC en sus estrategias. Además, se espera que ICANN abra las solicitudes para los TLD nuevos en un futuro cercano, y es probable que el plan de implementación de las DNSSEC sea un requisito para aceptar una solicitud de TLD nuevo.

La función de Verisign

Verisign ha estado involucrado en el desarrollo de las DNSSEC desde el año 2000, y nuestros ingenieros han desempeñado una función crucial en el desarrollo del protocolo NSEC3. Seguiremos colaborando con la comunidad técnica de Internet a medida que avancen las pruebas, la implementación y la adopción de las DNSSEC. Para asegurarnos de usar los métodos óptimos, compartir lo que hemos aprendido en las implementaciones de las DNSSEC y mantener un enfoque consistente sobre las DNSSEC en todos los registros, formamos parte de la DNSSEC Coalition, una organización de la industria dedicada a simplificar la adopción de las DNSSEC.

En julio de 2010, Verisign, junto con la autoridad de números asignados a Internet (IANA) y el Departamento de comercio de los Estados Unidos (DoC), completó la implementación de las DNSSEC en la zona de raíz (el punto inicial de la jerarquía de DNS). Verisign también las habilitó para .edu en julio, en colaboración con EDUCAUSE y el DoC y está avanzando para habilitar las DNSSEC en .net y .com. Además, varios dominios de primer nivel (TLD) han sido firmados por otros registros, entre ellos .gov, .org y los nombres de TLD con códigos de país para Brasil, Bulgaria, la República Checa, Puerto Rico y Suecia.

Nuestra estrategia de implementación de las DNSSEC consiste en comenzar por las zonas más pequeñas y evaluar cada una de las implementaciones antes de pasar a la zona siguiente. Firmaremos la zona .com en último lugar. Pretendemos adquirir toda la experiencia que sea posible antes de dedicarnos al dominio que controla gran parte del comercio y las comunicaciones por Internet de todo el mundo.

Estamos trabajando de manera puntual pero siendo cuidadosos y metódicos para firmar las zonas que administramos. Usted, sus clientes, empleados y socios experimentarán el mismo servicio de Internet igual que siempre, pero con mayor seguridad.

También hemos dado varios pasos para ayudar a que los miembros del ecosistema de Internet aprovechen las DNSSEC. Estos pasos incluyen publicación de recursos técnicos, entrega de un entorno de pruebas operativas y un laboratorio de interoperabilidad de DNSSEC, conducción de sesiones educativas, participación en foros de la industria y desarrollo de herramientas que simplifiquen la administración de las DNSSEC.