EXTENSIÓN DE SEGURIDAD DEL SISTEMA DE NOMBRES DE DOMINIO (DNSSEC)

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) pueden reforzar la confianza en Internet, ya que ayudan a proteger a los usuarios del redireccionamiento a sitios web fraudulentos y a direcciones no deseadas.


Click to play
close

El Sistema de Nombres de Dominio (DNS), o sistema de direccionamiento de Internet, es el componente más crítico de la infraestructura de Internet. Sin él, Internet no podría funcionar. Sin embargo, no fue diseñado con la seguridad en mente. La consecuencia ha sido su vulnerabilidad a ataques de intermediario (man-in-the-middle, MITM) y a envenenamiento de caché. Estas amenazas utilizan datos falsificados para redireccionar el tráfico en Internet a sitios fraudulentos y a direcciones no deseadas.

Cuando un usuario o dispositivo desprevenido llega al sitio fraudulento, los ciberdelincuentes pueden ser capaces de extraer datos de tarjetas de crédito, robar contraseñas de usuario, pinchar comunicaciones de voz sobre IP (VoIP), instalar programas malignos o mostrar imágenes y texto que difamen la marca legítima o proporcionen información falsa. Dado que un solo servidor de nombres DNS puede actuar como punto de resolución de nombre a dirección para miles de usuarios, el impacto potencial de un ataque de intermediario o de envenenamiento de cache puede ser considerable.

BENEFICIOS DE DNSSEC

Seleccione un rol a continuación para saber más acerca de cómo las DNSSEC le afectan y el papel que juegan en nuestra estrategia para autenticar la red de extremo a extremo.

Registradores Operadores de sitios web ISP

FORMACIÓN DNSSEC

Verisign ha estado involucrada en el desarrollo de DNSSEC desde el año 2000 y la colaboración con la comunidad técnica de Internet continúa.

Cómo funciona DNSSEC
Calendario de DNSSEC
El papel de Verisign en DNSSEC

Preguntas frecuentes sobre DNSSEC


DNSSEC protege a la comunidad de Internet de datos DNS falsificados usando criptografía de clave pública para firmar digitalmente los datos de zona oficiales. La validación DNSSEC asegura a los usuarios que los datos se originaron en la fuente declarada y que no se modificaron en el trayecto. DNSSEC también puede demostrar que un nombre de dominio no existe.

Si bien DNSSEC mejora la seguridad DNS, no se trata de una solución exhaustiva. No protege contra ataques distribuidos de denegación de servicio (DDoS), asegura la confidencialidad en los intercambios de datos, encripta datos de los sitios web, ni protege las direcciones IP contra spoofing o phishing. Otras capas de protección, como la mitigación de DDoS, la inteligencia de seguridad, la encriptación y validación de sitios Secure Sockets Layer (SSL) y la autenticación de dos factores, también son críticas para mantener la seguridad de Internet. Estos mecanismos tendrían que usarse en conjunción con DNSSEC.

DNSSEC afecta a cada componente del ecosistema de infraestructura de Internet. Su despliegue efectivo requerirá la participación de muchas partes interesadas en la comunidad de Internet. Los registros, registradores, registrantes de nombres de dominio, proveedores de hardware y software, proveedores de servicios de Internet (o ISP, por sus siglas en inglés), entidades gubernamentales y los usuarios de Internet comunes, todos ellos deben jugar su papel para asegurar el éxito del despliegue, que comportará mejoras vitales en la seguridad de Internet. DNSSEC beneficia a:

  • La comunidad de Internet, al mejorar la seguridad en las zonas firmadas.
  • Los registradores, al permitirles ofrecer servicios de firma de dominios a sus clientes.
  • Los ISP, al incrementar la seguridad de los datos devueltos a sus clientes.
  • Los usuarios, al protegerles de las vulnerabilidades de DNS como el envenenamiento de cache y los ataques de intermediario.

En DNSSEC, cada zona tiene un par de claves, una pública y una privada. La clave pública de la zona se publica mediante DNS, mientras que la clave privada de la zona se mantiene segura y almacenada, idealmente fuera de línea. La clave privada de zona firma datos individuales de DNS en esa zona, creando firmas digitales que también son publicadas mediante DNS. DNSSEC usa un modelo de confianza rígido y esta cadena de confianza fluye de la zona principal a la secundaria. Las zonas de nivel superior (principales) firman —o responden — por las zonas inferiores (secundarias). Los servidores de nombre oficiales para estas zonas pueden ser administrados por registradores, ISP, proveedores de alojamiento web y los mismos operadores de páginas web (registrantes).

Cuando un usuario final desea acceder a un sitio web, un resolutor local en el sistema operativo del usuario solicita el registro del nombre de dominio desde un servidor de nombres recursivo, localizado en un ISP. Después de que el servidor solicite este registro, también solicita la clave DNSSEC asociada con la zona. Esta clave permite al servidor verificar que la información que recibe es idéntica al registro del servidor de nombres oficial

Si el servidor de nombres recursivo determina que el registro de la dirección ha sido enviado por el servidor de nombres oficial y no ha sido alterado durante el trayecto, resuelve el nombre de dominio permitiendo al usuario acceder al sitio. A este proceso se le denomina validación. Si el registro de la dirección ha sido modificado o no proviene de la fuente declarada, el servidor de nombres recursivo no permite que el usuario llegue a la dirección fraudulenta. DNSSEC también puede demostrar que un nombre de dominio no existe.

El rompecabezas general de la seguridad en Internet tiene muchas piezas. DNSSEC puede mitigar preocupaciones de seguridad generadas por ataques de intermediario y envenenamiento de cache, pero no supone una solución de seguridad exhaustiva. DNSSEC no soluciona muchas de las amenazas más comunes a la seguridad en Internet, como el spoofing o el phishing. Por este motivo, otras capas de protección, como los certificados SSL y la autenticación de dos factores, resultan críticas para hacer que Internet sea seguro para todos.

La comunidad de Internet no ha concebido aún un sistema estandarizado para informar a los usuarios de un ataque. Una solución posible pasaría por desarrollar navegadores “preparados para DNSSEC” que notifiquen a los usuarios cuando hayan sido dirigidos a un destino autenticado.

En julio de 2010, Verisign (junto con la Agencia de Asignación de Números de Internet (IANA) y el Departamento de Comercio (DoC) de EUA) completaron la implantación de DNSSEC en la zona raíz (el punto de inicio de la jerarquía de DNS). Verisign también adaptó el dominio .edu en julio de 2010, en colaboración con EDUCAUSE y el DoC, el dominio .net en diciembre de 2010 y el dominio .com en marzo de 2011.

Nuestra estrategia de despliegue de DNSSEC empezó primero por las zonas más pequeñas para evaluar cada despliegue y tomar nota de todo lo aprendido antes de pasar a la siguiente zona. Como la zona .com es la más extensa, la dejamos para el final. Quisimos obtener tanta experiencia como fuera posible antes de emprender la tarea en un dominio que maneja la mayor parte del comercio y las comunicaciones basadas en Internet en todo el mundo.

El despliegue con éxito de DNSSEC comporta beneficios de largo alcance para la comunidad global de Internet al incrementar la confianza en una gran cantidad de actividades de Internet, incluyendo el comercio electrónico, la banca en línea, el correo electrónico, la VoIP y la distribución de software en línea. Sin embargo, la comunidad de Internet entera comparte la responsabilidad de hacer que el despliegue de DNSSEC sea un éxito. Para ello será necesaria la participación activa y coordinada de registros, registradores, registrantes, empresas de alojamiento, desarrolladores de software, proveedores de hardware, gobiernos, coaliciones y expertos en Internet.

La zona raíz de Internet, dominios de nivel superior (TLD) como .gov, .org o .museum, y un cierto número de dominios de nivel superior de código de país (ccTLD), han firmado las zonas que administran. Otros TLD como .edu, .net, y .com implementaron DNSSEC entre 2010 y 2011. Estos TLD han empezado a aceptar nombres de dominio de segundo nivel firmados con DNSSEC. ISP importantes, como Comcast, activaron la validación de los servidores de nombres recursivos que responden las consultas de los usuarios y algunos registradores han incluido la implementación de DNSSEC en sus planes de actuación. Además, la Corporación para la Asignación de Números y Nombres en Internet (ICANN) ha abierto aplicaciones para nuevos TLD y es probable que los planes para la implementación de DNSSEC sean un requisito para la aceptación de una nueva solicitud de TLD.

Si bien tanto DNSSEC como SSL se basan en la criptografía de clave pública, cada uno realiza funciones muy distintas, que se complementan más que sustituir el uno al otro.

En un modelo muy simplificado, DNSSEC trata con el “dónde”, mientras que SSL trata con el “quién” y el “cómo”.

  • Dónde—DNSSEC usa firmas digitales para verificar la integridad de los datos DNS, asegurando de ese modo que los usuarios llegan a la dirección IP deseada. Su trabajo termina una vez que el usuario ha alcanzado la dirección. DNSSEC no asegura la identidad de la entidad en dicha dirección, ni encripta las interacciones entre el usuario y el sitio.
  • Quién—SSL usa certificados digitales para validar la identidad de un sitio. Cuando estos certificados están emitidos por terceras autoridades certificadoras (CA) acreditadas, SSL asegura a los usuarios la identidad del propietario del sitio web. Sin embargo, SSL no sirve para asegurar que un usuario ha llegado al sitio correcto, por lo que no es de utilidad contra ataques que redirijan a los usuarios. En otras palabras, la validación de sitio por SSL es efectiva, pero únicamente si primero un usuario ha llegado al destino correcto.
  • Cómo—SSL también usa certificados digitales para encriptar el intercambio de datos entre un usuario y un sitio, por lo que se protege la confidencialidad de transacciones financieras, comunicaciones, comercio electrónico y otras interacciones confidenciales.

Cuando se usan conjuntamente, DNSSEC y SSL incrementan la seguridad y la confianza en Internet: los usuarios pueden determinar con certeza adónde se dirigen, con quién están interactuando y hasta qué punto son confidenciales sus interacciones.

En EUA, el memorándum 08-23 de la Oficina de Gestión y Presupuesto (OMB) estableció el despliegue de DNSSEC en el dominio de nivel superior .gov para enero de 2009 y en los sitios externos de las agencias federales de ese país para diciembre de 2009. El registro del dominio .gov fue firmado a principios de 2009. Los Sistemas de Información de los Estados Unidos tiene también la intención de cumplir los requisitos de DNSSEC de la OMB para el dominio .mil. Las estipulaciones de la Ley Federal de Administración de la Seguridad de la Información (FISMA) han exigido a las agencias firmar sus zonas de intranet con DNSSEC antes de mediados de 2010. Actualmente no se requiere a los operadores de sitios web públicos a asegurar su dominio con DNSSEC.

1994: Se publica el primer borrador de un posible estándar
1997: Se publica la RFC 2065 (DNSSEC es un estándar IETF)
1999: Se publica la RFC 2535 (se revisa el estándar DNSSEC)
2005: Se publica una reescritura total de los estándares
RFC 4033 (Introducción y requisitos)
RFC 4034 (Nuevos registros de recursos)
RFC 4035 (Cambios en el protocolo)
Julio de 2010: se firma la zona raíz
Julio de 2010: se firma el dominio .edu
Diciembre de 2010: se firma el dominio .net
Febrero de 2011: se hace la transición del registro .gov habilitado para DNSSEC a Verisign
Marzo de 2011: se firma el dominio .com
Marzo de 2011: el servicio Verisign Managed DNS se mejora con una compatibilidad total para el cumplimiento de DNSSEC
Enero de 2012: Comcast anuncia que sus clientes usan resolutores de validación de DNSSEC
Marzo de 2012: el número de TLD firmados llega a 90