DNSSEC

From Espanol ICANNWiki
Jump to: navigation, search

Las Extensiones de Seguridad del Sistema de Nombres de Dominio son un conjunto de extensiones de Sistema de Nombres de Dominio (DNS) que permiten la autenticación de la comunicación entre los hosts y los datos del DNS al tiempo que asegura la integridad de los datos. El DNSSEC se usa para asegurar información específica que el DNS proporciona. Este Sistema de Seguridad DNS agrega registros de recursos y bits de encabezado de mensaje que pueden usarse para verificar que los datos solicitados coinciden con lo que el administrador de zona introdujo en la zona y no ha sido alterado durante el tránsito. El DNSSEC no proporciona un túnel seguro, ya que no cifra u oculta datos DNS. Fue diseñado teniendo en cuenta la compatibilidad con versiones anteriores. El protocolo DNS estándar original sigue funcionando igual.

Los nuevos tipos de registro de recursos son: RRSIG (para firma digital), DNSKEY (la clave pública), DS (firmante delegado) y NSEC (puntero al registro Next-Secure). Los nuevos bits de encabezado de mensaje son: AD (Datos Autenticados) y CD (Checking Disabled). Un "resolver" de validación DNSSEC utiliza estos registros y criptografía de clave pública (asimétrica) para probar la integridad de los datos DNS. Una clave privada (específica de una zona) se utiliza para cifrar un hash de un conjunto de registros de recursos, que es la firma digital almacenada en un registro RRSIG.

La clave pública correspondiente se almacena en el registro de recursos DNSKEY. El "resolver" de validación utiliza DNSKEY para descifrar el RRSIG y luego compara el resultado con el hash del conjunto de registros de recursos correspondiente para verificar que no ha cambiado. Un hash del DNSKEY público se almacena en un registro de DS y esto se almacena en la zona principal. El resolver de validación recupera de la zona principal el registro de DS, su firma correspondiente (RRSIG) y la clave pública (DNSKEY). Un hash de esa clave pública se encuentra disponible en la zona principal. Esto se convierte en una cadena de confianza, también llamada “cadena de autenticación”. El resolver de validación se configura con un ancla de confianza; este es el punto de partida que se refiere a una zona firmada. El ancla de confianza es un registro DNSKEY o DS y debe recuperarse de forma segura desde una fuente de confianza (que no utiliza DNS).

Además, todos los nombres de la zona tienen registros NSEC correspondientes que se encuentran listados en orden, creando una cadena de todos los conjuntos de registros firmados. También se crean registros RRSIG correspondientes para verificar los datos del registro NSEC. Debido a que no existe brechas, los registros NSEC se utilizan para proporcionar una prueba de no existencia de un registro de recursos o para autenticar respuestas negativas.

Descripción[edit | edit source]

El principal objetivo del DNSSEC es proteger contra la falsificación de datos y la corrupción. Inicialmente, se llamaba sólo DNS (Domain Name System) y no incluía extensiones de seguridad. Las principales extensiones DNSSEC se especifican por RFC 4033, RFC 4034 y RFC 4035. También hay algunos RFC adicionales que proporcionan información de apoyo. [1]

Aparte de los nuevos conceptos de servidor DNS y cliente, DNSSEC introdujo en el DNS los siguientes cuatro nuevos registros de recursos: DNSKEY, RRSIG, NSEC y DS.

¿Cómo funciona?[edit | edit source]

El DNS se desarrolló inicialmente sin ninguna extensión de seguridad, aumentando así las posibilidades de salir de sincronización y permitir la suplantación de direcciones IP con la posibilidad de redirigir el tráfico a sitios web no deseados. DNSSEC se creó como un medio de agregar protección y seguridad al DNS para que el tráfico redirigido pudiera ser revisado y dirigido hacia el servidor correcto. El DNS asegura la correlación entre la dirección web con la dirección IP y el tráfico de ruta, pero DNSSEC asegura la exactitud de la fecha de búsqueda agregando una firma digital. De esta manera, el equipo está conectado a servidores legítimos. [2]

Objetivos[edit | edit source]

Los principales objetivos del DNSSEC son:

  • Autoridad de origen
  • Integridad de los datos
  • Negación autenticada de existencia[3]

El mecanismo DNSSEC de autenticación de comunicación entre hosts se cumple mediante TSIG. Más específicamente, el TSIG se utiliza para autenticar de forma segura las transacciones entre los servidores de nombres y el resolver.

Estadísticas de implementación del DNSSEC[edit | edit source]

De acuerdo con el Informe DNLD de TLD de la ICANN, 95 TLD de los 313 TLD de la zona raíz de DNS ya estaban firmados con el protocolo DNSSEC, mientras que 86 TLD tienen anclajes de confianza editados en la zona raíz, lo que significa que son compatibles con DNSSEC.[4]

DNSSEC y ICANN[edit | edit source]

La ICANN es una de las cuatro entidades que forman parte del proceso DNSSEC, es responsable de recibir e inspeccionar la información de los operadores de TLD. Estas acciones se llevan a cabo conjuntamente con:  

  1. La Administración Nacional de Telecomunicaciones e Información (NTIA), la cual es una división del Departamento de Comercio de los Estados Unidos y es responsable de autorizar los cambios en la zona raíz.
  2. El Gobierno de los Estados Unidos contrató a VeriSign para que edite la zona raíz con la información suministrada y autenticada por la ICANN que posteriormente es autorizada por el Departamento de Comercio, y también para distribuir el archivo de zona raíz que contiene información sobre dónde encontrar información sobre TLD.
  3. Un grupo internacional de operadores de servicios raíz que distribuye información raíz desde el archivo de zona raíz a través de Internet. Estos grupos son:
  • Servicios de registro global de VeriSign
  • Instituto de Ciencias de la Información de la Universidad del Sur de California
  • Cogent Communications
  • Universidad de Maryland
  • Centro de Investigación de Ames de la NASA
  • Internet Systems Consortium Inc.
  • Centro de Información de Redes del Departamento de Defensa de los Estados Unidos (DOD)
  • Laboratorio de Investigación del Ejército de los Estados Unidos
  • Autonomica/NORDUnet, Suecia
  • RIPE NCC, Países Bajos
  • ICANN
  • Proyecto WIDE, Japón [5]

El 27 de enero de 2007 se inició oficialmente el despliegue de DNSSEC para la zona raíz, la cual se elaboró por la ICANN y VeriSign con el apoyo del Departamento de Comercio de los Estados Unidos.[6] Los detalles de la firma raíz pueden encontrarse en la web de Root DNSSEC.

En junio de 2010, la ICANN organizó la primera ceremonia de entrega de la clave DNSSEC en un centro de datos de alta seguridad fuera de Washington, D.C. La ceremonia de claves involucró la creación de la primera clave digital criptográfica utilizada para asegurar la zona raíz de Internet, la cual se almacenó de forma segura después de su generación. Cada ceremonia de claves está diseñada para permitir que el material de clave privada para la zona raíz se gestione de una manera transparente pero segura. El objetivo es que toda la comunidad de Internet pueda confiar en que los procedimientos involucrados se ejecutaron correctamente y que los materiales de clave privada se almacenan de forma segura. Se hace hincapié en la transparencia del proceso a través del uso de representantes confiables de la comunidad (TCR), quienes realizan los procedimientos detallados con 14 empleados de la ICANN. Los TCR son miembros de la comunidad internacional de DNS y no están afiliados a la ICANN, VeriSign o el Departamento de Comercio de los Estados Unidos. Estas ceremonias se llevarán a cabo 4 veces al año en dos localizaciones americanas diferentes. [7]

En la reunión de la ICANN celebrada en Bruselas a finales de ese mes, hubo una abrumadora respuesta por parte de las empresas que habían aplicado o estaban apoyando el nuevo protocolo. [8]

Durante la reunión de la ICANN 43 en Costa Rica, se dedicó medio día a la discusión del DNSSEC. Ram Mohan, Vicepresidente Ejecutivo de Operaciones de Negocios y Director de Tecnología de Afilias, escribió en su blog que "la industria se está moviendo rápidamente hacia la fase de adopción del usuario final del despliegue global de DNSSEC". Su declaración se basó en su evaluación durante la sesión DNSSEC en Costa Rica. Citó el ccTLD .se como ejemplo en el que Staffan Hagnel, un operador pionero de ccTLD en Suecia, dijo que 172.000 nombres de dominio adoptaron DNSSEC durante la noche después de ofrecer un descuento del 5% a los registradores. Él planea aumentar el descuento al 7,5% para llegar a 350.000 nombres de dominio a finales de 2012. Durante la discusión, la comunidad de la ICANN también se enteró de las experiencias de las empresas que implementan el protocolo DNSSEC. Comcast señaló que los consumidores no tienen suficiente conocimiento sobre DNSSEC, mientras que Bill Smith, un representante de PayPal, dijo que se tomó la empresa una gran cantidad de planificación y preparación para desplegar el DNSSEC a través de sus 1.100 nombres de dominio. Él percibió que el siguiente desafío es crear una para crear una estrategia de renovación efectiva de la clave. [9]

Dificultades del DNSSEC[edit | edit source]

Se cree ampliamente que asegurar los DNS es de vital importancia para la seguridad en Internet como un todo, pero el despliegue de DNSSEC en concreto se ha visto obstaculizado por varias dificultades:

  1. La necesidad de diseñar un estándar compatible con versiones anteriores que puede escalarse al tamaño de la Internet.
  2. Prevención de la "enumeración de la zona" donde se desee.
  3. El despliegue de las implementaciones DNSSEC en una amplia variedad de servidores de DNS y "resolvers" (clientes).
  4. El desacuerdo entre los encargados de la ejecución sobre quién debe poseer las llaves de raíz de los dominios de nivel superior.
  5. La superación de la aparente complejidad de DNSSEC y su despliegue.

Error de la NASA en el DNSSEC[edit | edit source]

El 18 de enero de 2012, la Administración Nacional de Aeronáutica y Espacio de Estados Unidos (NASA) firmó erróneamente el protocolo DNSSEC en su nombre de dominio nasa.gov, lo que causó que Comcast bloqueara automáticamente a los usuarios para acceder al sitio. Muchos pensaron que el bloqueo del sitio web de la NASA era una estrategia de Comcast para expresar su protesta contra la legislación SOPA y PIPA porque el error de firma de DNSSEC coincidió con la protesta de Blackout. Según Jason Livingood, vicepresidente de Ingeniería de Sistemas de Internet para Comcast Cable Communications, el problema fue causado por un error de firma de dominio. La resolución DNS de Comcast detectó que las firmas de seguridad utilizadas por el administrador del dominio nasa.gov no eran válidas. También dijo que los varios nombres de dominio .gov experimentaron el mismo problema.[10]

Comcast fue uno de los primeros proveedores de servicios de ISP en Norteamérica para integrar completamente el nuevo protocolo de seguridad. La compañía completó su despliegue de DNSSEC el 10 de enero de 2012. En un comunicado, el Sr. Livingwood confirmó que los 17,8 millones de clientes residenciales de Xfinity Internet Service de la compañía están completamente respaldados con servidores DNS de validación DNSSEC. [11]

Un informe detallado del error de firma de DNSSEC de la NASA está disponible aquí.

Normas DNSSEC[edit | edit source]

  • RFC 2181 Aclaraciones a la Especificación de DNS
  • RFC 2535 extensiones de seguridad del sistema de nombres de dominio
  • RFC 3833 un análisis de amenazas del sistema de nombres de dominio
  • RFC 4033 Introducción y Requisitos de Seguridad de DNS (DNSSEC-bis)
  • RFC 4034 registros de recursos para las Extensiones de seguridad DNS (DNSSEC-bis)
  • RFC 4035 Modificaciones de Protocolo de las Extensiones de seguridad DNS (DNSSEC-bis)
  • RFC 4398 Almacenamiento de certificados en el Domain Name System (DNS)
  • RFC 4470 Cobertura mínima de registros NSEC y firma en línea de DNSSEC
  • RFC 4509 uso de SHA-256 en los registros de recursos (RR) de firmante Delegado (DS) DNSSEC
  • RFC 4641 DNSSEC Prácticas Operacionales
  • RFC 5155 DNSSEC negación autenticada de existencia por hash[12]

Educación[edit | edit source]

La Estonian Internet Foundation creó un vídeo tutorial para [[DNSSEC[[ después de su despliegue en enero de 2014. La publicación del video fue apoyada por el programa de Fondos Estructurales de la Unión Europea, "Raising Public Awareness on the Information Society". Se titula "¿Qué es DNSSEC?" Y se puede ver en Vimeo.[13][14]

Enlaces externos[edit | edit source]

  • DNSSEC-TOOS.org - es un sitio web que anima a los usuarios a enviar informes sobre la calidad y capacidad de DNSSEC de su conexión actual.

Referencias[edit | edit source]

Artículos relacionados[edit | edit source]