Tarantindigital's Blog

DNSSEC, el gran parche de internet

Posted by: tarantindigital on: December 30, 2010

En los tiempos de Jon Postel (autor de los primeros RFC’s ) cuando los pocos internautas que existían se conocían difícilmente se habrían podido imaginar los ataques de suplantación de identidad y otras vilezas que hoy día causan estragos a los cientos de miles de usuarios de la red. Bajo esas circunstancias se diseñaron los protocolos que rigen el pequeño y poco seguro mundo de la resolución de nombres de dominio.

Las extensiones de seguridad del DNS o más comunmente llamado DNSSEC es un esfuerzo planetario ( así de grave es el asunto ) por proteger uno de eslabones más débiles de la red a través de la incorporación de criptorgrafía asimétrica ( clave pública y privada ) de forma tal que los servidores de nombres recursivos de los proveedores de servicio de internet (ISP) puedan validar la autenticidad y la integridad  de las respuestas a las consultas de DNS que hacen sus usuarios. Si le parece confuso, piense en que finalmente podrá estar seguro de estar visitando su banco y no la copia que la pandilla de crackers ha colgado para hacerse con sus claves de acceso.

Profundizando en los aspectos técnicos, el protocolo de DNS se extiende agregando cuatro nuevos tipos de registro y dos bits:

  • Resource Record Signature o Firma del Registro de Recurso (RRSIG)
  • DNS Public Key que almacena la llave pública del registro (DNSKEY)
  • Delegation Signer, un hash empleado en la validación de la cadena de confianza (DS)
  • Next Secure,  para confirmación autenticada de no existencia  (NSEC)
  • Los bits Checking Disabled (CD) y Authenticated Data (AD)

Existen a su vez el par de llaves Zone Signing Key (ZSK) empleada en la firma de la zona y Key Signing Key (KSK) empleada en la firma de la llave anterior y en  la construcción de la cadena de confianza desde la zona padre que deben ser actualizadas con cierta regularidad en un proceso llamado Key Rollover.

A día de hoy  la complejidad y costo de la implementación han ralentizado la adopción de las extensiones de seguridad,  no en vano ISC ha decidido usar el slogan: “DNSSEC para Humanos” en la versión 9.7.x de su servidor de nombres Bind; en este sentido y para ser más exactos Steve Crocker publicó en el último meeting de este año la siguiente gráfica y un diagrama de venn que ilustra bien el estado y la expectativa para el próximo año de las implementaciones al nivel de ccTLD’s:

Estado de la implementación de DNSSEC en el mundo

El año 2011 será sin duda de DNSSEC

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Cancel

Connecting to %s

Mi Twitter

Error: Please make sure the Twitter account is public.

Clone this site at WordPress.com

Theme: Albeo by Design Disease.

Follow

Get every new post delivered to your Inbox.