DNSSEC OVERVIEW
Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) agregan seguridad al DNS. Están diseñadas para evitar los ataques de intermediarios y el envenenamiento de caché mediante la autenticación del origen de los datos de DNS y la verificación de su integridad mientras atraviesan internet.
El sistema de nombres de dominio (DNS), el sistema de direcciones de internet, es el componente más importante de la infraestructura de internet. Sin el DNS, internet no puede funcionar. Sin embargo, cuando se lo diseñó, no se tuvo en cuenta la seguridad. Como consecuencia, es vulnerable a ataques de intermediarios (MITM) y envenenamiento de caché. Estas amenazas usan datos falsificados para redireccionar el tráfico de internet a sitios fraudulentos y direcciones no deseadas. Más información sobre el DNS
Una vez que un dispositivo o usuario desprevenido llega al sitio fraudulento, los delincuentes informáticos pueden potencialmente extraer información de tarjetas de crédito, robar contraseñas del usuario, intervenir comunicaciones de voz sobre IP (VoIP), plantar software malicioso o mostrar imágenes y texto que difamen a la marca legítima o proporcionen información engañosa. Debido a que un solo servidor de nombres de DNS puede actuar como punto de resolución de nombres a direcciones para miles de usuarios, el impacto potencial de los ataques de intermediarios o envenenamiento de caché es tremendo.
BENEFICIOS DE LAS DNSSEC PARA LOS USUARIOS FINALES
Las DNSSEC presentan una oportunidad para todos los miembros del ecosistema de internet. Su impacto más directo y general será sobre los usuarios finales.
- Actividades de confianza: Al reforzar la seguridad del DNS, las DNSSEC aumentan la confianza de muchas actividades en internet, entre ellas el comercio electrónico, la banca en línea, el correo electrónico, las comunicaciones VoIP y la distribución en línea de software.
- Protección de la marca y el cliente: Las DNSSEC reducen el riesgo de que los clientes se conviertan en víctimas involuntarias de delitos informáticos cuando intentan acceder a algún recurso.
- Nuevos tipos de transacciones seguras: Las DNSSEC abren la puerta al uso del sistema DNS para nuevos tipos de transacciones seguras de datos.
El Grupo de Trabajo de Ingeniería de Internet (IETF) ha trabajado durante más de 15 años para desarrollar un estándar viable para las extensiones de seguridad del sistema de nombres de dominio (DNSSEC). Las DNSSEC protegen a las comunidad de internet contra los datos de DNS falsificados gracias al uso de criptografía de clave pública para firmar digitalmente los datos de la zona autoritativa cuando éstos ingresan al sistema y luego validarlos en su destino. Más información sobre la criptografía de clave pública
Las firmas digitales aseguran a los usuarios que los datos se originaron en la fuente especificada y que no fueron modificados durante el tránsito. Las DNSSEC también pueden demostrar que un nombre de dominio no existe. Estas capacidades son esenciales para el mantenimiento de la confianza en internet.
En las DNSSEC, cada zona tiene un par de claves, pública y privada. La clave pública de la zona se publica mediante DNS, mientras que la clave privada de la zona se mantiene a salvo e idealmente almacenada sin conexión. La clave privada de una zona firma los datos de DNS individuales de esa zona y crea firmas digitales que también se publican con el DNS.
Las DNSSEC usan un modelo de confianza estricto y esta cadena de confianza se transmite de la zona primaria a la secundaria. Las zonas de niveles superiores (primarias) firman, o avalan, las claves públicas de las zonas de niveles inferiores (secundarias). Los servidores de nombres autoritativos de estas diversas zonas pueden ser administrados por registradores, proveedores de servicios de internet (ISP), compañías de alojamiento web o por los mismos operadores de sitios web (registrantes).
Cuando un usuario final desea acceder a un sitio web, un stub del sistema operativo del usuario solicita la dirección IP del sitio web a un servidor de nombres recursivo. Después de que el servidor solicita este registro, también solicita la clave de DNSSEC asociada a la zona. Esta clave permite que el servidor verifique que la información recibida es idéntica al registro del servidor de nombres autoritativo.
Si el servidor de nombres recursivo determina que el servidor de nombres autoritativo ha enviado el registro de direcciones y éste no se ha alterado durante el tránsito, resuelve el nombre del dominio y el usuario puede acceder al sitio. Este proceso se llama validación. Si el registro de direcciones se ha modificado o no proviene de la fuente especificada, el servidor de nombres recursivo no permite que el usuario llegue a la dirección fraudulenta. Las DNSSEC también pueden demostrar que un nombre de dominio no existe. Como consecuencia de este proceso, las consultas y respuestas de DNS están protegidas de ataques de intermediarios y del tipo de falsificaciones que podrían redirigir a los usuarios de internet a sitios de phishing o pharming.
Para garantizar el éxito global de las DNSSEC, Verisign aboga por un enfoque proactivo pero prudente que se basa en tres principios básicos:
- Las DNSSEC son una solución efectiva para un tipo específico de vulnerabilidad de internet, pero deben estar complementadas por otras capas de seguridad.
- Lo más seguro es realizar una introducción controlada y metódica de las DNSSEC.
- Todo el ecosistema de internet comparte la responsabilidad de la implementación de las DNSSEC.
UNA SOLUCIÓN EFECTIVA PARA UN TIPO ESPECÍFICO DE VULNERABILIDAD
Aunque las DNSSEC mejoran la seguridad de DNS, son sólo un componente de un enfoque estratificado de la seguridad de la infraestructura de internet. No protegen a los servidores de nombres contra ataques distribuidos de negación de servicio (DDoS), no aseguran la confidencialidad de los intercambios de datos, no cifran los datos de sitios web ni impiden la falsificación y suplantación de direcciones IP. Otras capas de protección, como la mitigación de DDoS, la inteligencia de seguridad, el cifrado y la validación de sitios de la capa de sockets seguros (SSL) y la autenticación de dos factores también son cruciales para que internet sea más segura. Estos mecanismos se deben utilizar junto con las DNSSEC.
INTRODUCCIÓN CONTROLADA Y MEDIDA
La implementación amplia de las DNSSEC presenta un conjunto de cambios complejos que impacta a todo el ecosistema de internet y exige muchos recursos, documentaciones, pruebas y una importante coordinación de la industria. Cualquier introducción de las DNSSEC debe realizarse en fases, sobre todo para garantizar el funcionamiento confiable de los dominios de primer nivel (TLD) que son cruciales en todo el mundo, como .com y .net. La colaboración, la planificación y la creación de estrategias a largo plazo (no sólo dentro de las organizaciones e industrias y entre ellas, sino también en forma internacional) establecen cimientos fuertes para lograr que la implementación sea exitosa.
RESPONSABILIDAD COMPARTIDA
Debido a que el envenenamiento de caché puede ocurrir en cualquier punto de internet, las DNSSEC son más efectivas cuando se implementan de manera universal, comenzando por la zona de raíz y los dominios de primer nivel (TLD) y descendiendo hasta los nombres de dominio individuales. Los registros, los registradores, los registrantes, las compañías de alojamiento, los desarrolladores de software, los proveedores de hardware, los gobiernos, las empresas y las agencias que tienen presencia en internet, y las coaliciones y los tecnólogos de internet comparten la responsabilidad del éxito de este gran esfuerzo.
La adopción de las DNSSEC está tomando impulso a medida que los gobiernos, las instituciones financieras, los proveedores de servicios de internet (ISP), las empresas y otras organizaciones toman cada vez más conciencia de las amenazas relacionadas con el DNS.
La zona de raíz de internet, los dominios de primer nivel (TLD) como .net, .com, .gov, .org, .museum y .edu, y un gran número de TLD con códigos de país (ccTLD) han completado la implementación de las DNSSEC. Estos TLD ya han comenzado a aceptar nombres de dominio de segundo nivel firmados por las DNSSEC. Algunos ISP han anunciado que planean activar la validación en los servidores de nombres recursivos que responden a consultas de los usuarios, y algunos registradores han incluido la implementación de las DNSSEC en sus estrategias. Además, ICANN ya abrió las solicitudes para los TLD nuevos, y es probable que exija un plan de implementación de las DNSSEC para aceptar solicitudes para estos nuevos TLD.
DNSSEC TIMELINE
| 1990 | Se descubre una falla importante en el DNS y se inicia el diálogo al respecto de la seguridad del DNS. |
| 1995 | Las DNSSEC se convierten en un tema oficial de la IETF. |
| 1999 | Se completa el protocolo DNSSEC (RFC2535) y se desarrolla BIND9 como la primera implementación con funcionalidades DNSSEC. |
| 2001 | El manejo de claves genera problemas operativos que impiden la implementación de las DNSSEC para redes de gran tamaño. La IETF decide volver a redactar el protocolo. |
| 2005 | Las normas DNSSEC son redactadas nuevamente en varias RFC: 4033, 4034 y 4035. En octubre, Suecia (.se) habilita las DNSSEC en su zona. |
| 2007 | En julio, el ccTLD .pr (Puerto Rico) habilita las DNSSEC, seguido por el .br (Brasil) en setiembre y el .bg (Bulgaria) en octubre. |
| 2008 | Se publica la norma NSEC3 (RFC 5155). En setiembre, el ccTLD .cz (República Checa) habilita las DNSSEC. |
| 2009 | Verisign y EDUCAUSE realizan un banco de pruebas DNSSEC para registrantes .edu seleccionados. Se firma la zona raíz para uso interno de ICANN y Verisign. ICANN y Verisign practican firmar el ZSK con el KSK. |
| 2010 | El primer servidor raíz comienza a atender la raíz firmada mediante la metodología DURZ (raíz no validada intencionalmente). Todos los servidores raíz comienzan a atender la raíz firmada usando la metodología DURZ. ICANN realiza su primer ceremonia KSK en Culpeper, Vancouver, Estados Unidos. ICANN publica el anclaje de veracidad de la raíz y los operadores de raíz comienzan a atender la zona de raíz firmada con claves reales; la raíz firmada está ahora disponible. Verisign y EDUCAUSE habilitan las DNSSEC para el dominio .edu. Verisign habilita las DNSSEC para el dominio .net. |
| 2011 | En febrero, se traspasa a Verisign el registro .gov con las DNSSEC habilitadas. En marzo se firma el .com y se mejora el servicio de gerencia de DNS de Verisign para cumplir por completo con las DNSSEC. Se firman 59 TLD con anclajes de veracidad en la zona raíz. |
| 2012 | En enero, Comcast anuncia que sus clientes están usando servidores de resolución con validación DNSSEC. Al mes de marzo se alcanzaron los 90 TLD firmados. |
EL PAPEL DE VERISIGN
Verisign ha estado involucrado en el desarrollo de las DNSSEC desde el año 2000, y nuestros ingenieros desempeñaron una función crucial en el desarrollo del protocolo NSEC3. Seguiremos colaborando con la comunidad técnica de internet a medida que avancen las pruebas, la implementación y la adopción de las DNSSEC. Por ejemplo, integramos activamente la Coalición DNSSEC, una organización del sector dedicada a facilitar la adopción de las DNSSEC. Además, para asegurarnos de usar las mejores prácticas, compartimos lo que hemos aprendido en nuestras implementaciones de las DNSSEC y mantenemos un enfoque coherente sobre las DNSSEC en todos los registros.
En julio de 2010 Verisign, junto con la Autoridad de Números Asignados a Internet (IANA) y el Ministerio de Comercio (DoC) de los Estados Unidos, completó la implementación de las DNSSEC en la zona de raíz (el punto inicial de la jerarquía de DNS). Verisign también habilitó las DNSSEC para el dominio.edu en julio, en colaboración con EDUCAUSE y el DoC, y en diciembre de 2010 y marzo de 2011 habilitó los dominios .net y .com respectivamente. Además, varios dominios de primer nivel (TLD) han sido firmados por otros registros, entre ellos .gov, .org y los nombres de TLD con códigos de país para Brasil, Bulgaria, la República Checa, Puerto Rico y Suecia.
También hemos dado varios pasos para ayudar a que los miembros del ecosistema de internet aprovechen las DNSSEC. Estos pasos incluyen la publicación de recursos técnicos, la entrega de un entorno de pruebas operativas, la conducción de sesiones educativas, la participación en foros de la industria, el desarrollo de herramientas que simplifiquen la administración de las DNSSEC, y el apoyo a la comunidad con un laboratorio de interoperabilidad.