En Internet, tanto los usuarios como las páginas comparten la misma forma de identificarse: mediante una dirección IP única, compuesta de varias cifras. Para poder introducir en el navegador un nombre de dominio como ionos.es, existe el denominado sistema de nombres de dominio o DNS, responsable de la resolución de nombres y uno de los servicios más importantes en redes basadas en IP. Compuesto por diferentes servidores de nombres (o servidores DNS), el sistema de nombres de dominio traduce nombres en direcciones IP y permite al programa-cliente establecer el contacto deseado.
Sin embargo, la comunicación entre el servidor de nombres y el cliente implica un gran riesgo para la seguridad, ya que, al no comprobarse la identidad del emisor, el receptor no puede saber si la respuesta del DNS realmente proviene del servidoral que se preguntó. Entre el servidor de nombres y el cliente, un atacante podría proporcionar al receptor una dirección IP falsa. El mecanismo de protección DNSSEC, implantado en el dominio .es desde 2011, se desarrolló precisamente para solventar este problema.
Las extensiones de seguridad del sistema de nombres de dominio o DNSSEC por su nombre en inglés (Domain Name System Security Extensions) constituyen una serie de especificaciones que completan el sistema de nombres de dominio con un método de autenticación de la fuente de donde proviene la información para garantizar la veracidad y la integridad de los datos.
Desde que se comprobara que la primera versión de 1999 ya no era idónea para grandes redes, tuvieron que pasar aún algunos años hasta que las extensiones de seguridad del DNS fueran finalmente publicadas en los tres RFC (Request for Comments) RFC 4033, RFC 4034 y RFC 4035 y, a partir de ahí, estandarizadas. En 2010, esta técnica se desplegó por primera vez en el nivel de la raíz de Internet, concretamente en los trece servidores de nombres de raíz responsables de la resolución de los dominios de nivel superior. DNSSEC se apoya en un sistema criptográfico de clave pública, un procedimiento de encriptado asimétrico por el cual las dos partes implicadas, en lugar de compartir una clave secreta común, recurren a un par de claves consistente en una pública (public key) y una privada (private key). La clave privada otorga una firma digital a los registros de recursos (resource records) que contienen toda la información del DNS. El programa-cliente puede verificar esta firma con ayuda de la clave pública, confirmando así la veracidad de la fuente.
¡Dominio GRATIS!
¡Consigue tu dominio gratis con IONOS!
SimpleSeguroAsistencia 24/7Cada servidor de nombres en el DNS es responsable de una zona determinada. En el archivo de esta zona, el servidor gestiona una lista completa de todos los registros de recursos que la describen, protegida con una clave de zona propia. Todos los servidores de nombres cuentan con su propia clave. La clave pública de la clave de zona está integrada en el archivo de la zona como DNSKEY Resource record y con su ayuda se firman todas las unidades de información. Es así como se originan los RRSIG Resource records, que son entregados junto a los registros originales. Esta combinación se mantiene, independientemente de si se almacena en caché o se transfiere a un servidor DNS diferente, para ser entregada, por último, al cliente solicitante, que puede validar la firma con ayuda de un “resolver” y de la clave pública.
Para facilitar la gestión de las claves y crear una cadena de confianza (chain of trust) existe, además de la clave de zona, una clave sintácticamente idéntica que verifica adicionalmente su autenticidad (una clave para verificar a otra clave). Un valor hash de esta clave se guarda en una entrada de su zona como trusted key. El “resolver” solo puede conocer la clave pública del nivel de raíz.
Los resolvers son módulos de software de los clientes que pueden solicitar información a los servidores de nombres de manera iterativa o recursiva. En el primer caso, el resolver obtiene la información solicitada del servidor al que la solicitó o una referencia al próximo servidor de nombres donde la puede conseguir y así procede hasta que resuelve la dirección. Los resolvers que trabajan recursivamente, también llamados stub resolvers, típicos de clientes tan habituales como los navegadores web, envían una solicitud al servidor de nombres al cual está subordinado en la red local o en la red del proveedor. Si no se encuentra la información solicitada en la base de datos, la responsabilidad de la resolución de esta dirección recae en este servidor, que envía entonces, por su parte, solicitudes iterativas para resolverla.
Para poder gozar de las ventajas del protocolo DNSSEC es necesario disponer de un resolver que pueda validar y evaluar toda la información adicional generada. Con esta finalidad, el resolver ha de soportar los mecanismos de extensión para DNS (EDNS, Extension Mechanisms for DNS). Solo así puede ser activada la validación en el encabezado del DNS.
La expansión de DNSSEC es muy difícil debido, principalmente, a la complejidad de sus requisitos, pues tanto el administrador de una página como el usuario han de soportar la técnica. Los propietarios del dominio dependen también de que el registrador soporte este método de encriptado. Los usuarios no tienen ninguna influencia sobre la protección o no de una página mediante firmas de DNSSEC y necesitan, además, un resolver que la valide.
En definitiva, para beneficiarse de la extensión de seguridad DNSSEC, hay que:
En cualquier caso, hay que observar que DNSSEC solamente autentifica la resolución de nombres, no los datos transmitidos, los cuales quedan sin proteger. Como consecuencia, es obligatorio combinarlo con protocolos de transmisión encriptada como TSL.
Algunos problemas responsables de la lentitud en la aceptación de estas especificaciones pueden ser:
Otros puntos débiles, como el llamado Zone Walking (enumeración de zona), ya han obtenido reacción. En este tipo de amenaza, el atacante puede interpretar el contenido completo de una zona protegida con DNSSEC. Para protegerlos, los nuevos resolvers nombran a los registros de recursos con un valor hash en lugar de con un texto.
El servidor DNS no responde: este es un mensaje de error y las opciones para solucionarlo.común en Windows. Si aparece al acceder a una página web, quiere decir que la conexión a Internet ha sido interrumpida. Esto puede tener varias causas: además de los problemas de red que limitan la accesibilidad al servidor DNS, también el router, el cortafuegos de Windows y el navegador pueden ser los...
Uno de los problemas de la versión más antigua del Protocolo de Internet IPv4 era la falta de garantías en cuanto a normas de seguridad, integridad, autenticidad y confidencialidad. El antiguo protocolo carecía de los medios necesarios para, por ejemplo, identificar la fuente de origen de los datos o para garantizar la seguridad de la transferencia. IPsec, desarrollado para el protocolo sucesor...
Algunos sistemas operativos como Windows o macOS almacenan automáticamente la información sobre la resolución de direcciones de Internet y aplicaciones en redes en la llamada caché del DNS. El propósito de esta caché es mejorar la velocidad del tráfico de red. Sin embargo, es necesario realizar una limpieza de caché de vez en cuando. A continuación, explicamos por qué es recomendable y cómo...
Aunque la gestión de direcciones en Internet es muy compleja, el sistema de nombres de dominio está organizado de manera clara. El sistema garantiza que la comunicación entre clientes y servidores funcione sin problemas. Además, permite las denominadas comprobaciones de Reverse DNS con las que se determinan los nombres de host de cualquier dirección IPv4 o IPv6. Te explicamos cómo funcionan y con...
El DNS o sistema de nombres de dominio siempre ha mostrado una importante brecha de seguridad: las solicitudes y respuestas se transmiten sin cifrar, lo que da vía libre a los para dirigir a los usuarios a páginas web fraudulentas. DNS over TLS es una solución a este problema. ¿Cómo funciona este concepto de seguridad?
Ofrece un servicio fiable y de alto rendimiento a tus clientes con un pack hosting de IONOS.
Ver packs
