es

Mejores prácticas de seguridad: Validación de DNSSEC

21 de junio de 2016

Edward LewisEdward Lewis, Senior Technologist

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

null

Quisiera compartir algunos puntos clave acerca de la importancia de la tecnología de seguridad de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) y algunas actualizaciones importantes que se implementarán en el año entrante. Estos puntos han sido extraídos de mi reciente presentación en la Cumbre Africana de Internet, 2016 (AIS'16) realizada en Gaborone, Botsuana.

El DNS es un sistema de preguntas y respuestas, y cualquiera que se base en buscar servicios en Internet se basa en respuestas del DNS. Sin embargo, las respuestas del DNS no aseguradas pueden ser falsificaciones que pueden redirigir el tráfico destinado a los servicios de confianza hacia sitios maliciosos. Por ejemplo, los intentos de acceder a información de cuentas bancarias puede resultar en la redirección hacia un sitio que robará la identificación de usuario y las contraseñas, e incluso posiblemente instalará malware en el equipo de la víctima.

Los usuarios de Internet pueden protegerse contra los ataques de este tipo mediante el despliegue de DNSSEC, que están compuestas por dos funciones principales: firma y validación. En esta publicación, deseo centrarme en la validación, que es una mejora de la seguridad del protocolo del DNS que comprueba las respuestas recibidas para verificar la autenticidad e integridad.

Dado que la mayoría de los usuarios de Internet confían y dependen de sus proveedores de servicios de red, la habilitación de la validación de DNSSEC se produce normalmente en la infraestructura de dicho proveedor. Los proveedores de conectividad o de servicios de Internet deberían habilitar la validación de DNSSEC en los resolutores del DNS que operan. La validación de DNSSEC reduce el riesgo de que los atacantes utilicen el DNS para redirigir a los clientes del proveedor de servicios hacia sitios comprometidos. Si bien estos ataques son relativamente poco frecuentes, pueden llegar a ser más comunes a medida que se abordan vulnerabilidades que permiten tipos de ataques más fáciles.

Más allá de proteger la infraestructura del proveedor de servicios de red, la activación de la validación de DNSSEC proporciona un mecanismo por el cual se puede confiar en los datos almacenados en el DNS de una forma más plena. Esta capacidad crea una nueva infraestructura sobre la cual se pueden construir servicios más seguros.

La configuración de servidores del DNS para realizar la validación es relativamente simple, y el funcionamiento del resolutor de validación sigue siendo el mismo que el de un resolutor que no realiza validación. Se requiere un poco de mantenimiento continuo; los operadores de los resolutores de validación deben asegurarse de que la configuración del anclaje de confianza para la zona raíz del DNS se mantenga actualizada. Este proceso también se puede automatizar.

El anclaje de confianza corresponde a la clave pública criptográfica que es parte de la Clave para la firma de la llave de la zona raíz (KSK). Esta clave se cambiará en 2017. Para asegurarnos de que la comunidad esté al tanto de estos cambios, hemos creado una página de recursos “Traspaso de KSK de la Zona Raíz” que incluye detalles acerca de los cambios, la forma en que los miembros de la comunidad pueden participar y enlaces a recursos adicionales.

Nos sentimos alentados por el creciente número de organizaciones que están adoptando la validación de DNSSEC. Es una inversión mínima que crea una infraestructura del DNS mucho más segura y capaz.

Senior Technologist

Edward Lewis

Read biographyRead biography