¿Qué es la seguridad de DNS?
Las extensiones de seguridad del sistema de nombres de dominio (DNS) (DNSSEC) son un medio para proteger Internet y sus usuarios de posibles ataques que pueden deshabilitar u obstaculizar el acceso a los servicios de nombres esenciales en Internet. Las extensiones de seguridad crean una forma para que los servidores DNS continúen proporcionando sus funciones de traducción de direcciones de protocolo de Internet (IP), pero con la provisión adicional de que los servidores DNS se autentiquen entre sí creando una serie de relaciones de confianza. A través de las extensiones, los datos compartidos entre los servidores DNS también logran un nivel de integridad que normalmente es difícil para el protocolo existente por el cual se transfieren los datos.
Originalmente, el DNS se creó como una distribución pública no segura de nombres y sus direcciones IP relacionadas. Sin embargo, a medida que Internet creció, se desarrollaron varios problemas relacionados con la seguridad, la privacidad y la integridad de los datos de DNS. Con respecto a los problemas de privacidad, el problema se solucionó desde el principio mediante la configuración adecuada de los servidores DNS. Aún así, es posible que un servidor DNS esté sujeto a varios tipos diferentes de ataques, como la denegación de servicio distribuida (DDoS) y los ataques de desbordamiento del búfer, que pueden afectar a cualquier tipo de servidor. Sin embargo, es específico del DNS el problema de que alguna fuente externa envenene los datos al introducir información falsa.
DNSSEC fue desarrollado por el grupo de trabajo de ingeniería de Internet (IETF) y se detalla en varios documentos de solicitud de comentarios (RFC), 4033 a 4035. Estos documentos describen la seguridad de DNS como alcanzable mediante el uso de técnicas de autenticación de clave pública. Para aliviar el procesamiento en los servidores DNS, solo se utilizan las técnicas de autenticación y no el cifrado.
La forma en que funciona DNSSEC es a través de la creación de relaciones de confianza entre los diferentes niveles de la jerarquía de DNS. En el nivel superior, el dominio raíz del DNS se establece como el intermediario primario entre los dominios inferiores, como .com, .org, etc. Los subdominios luego buscan el dominio raíz, actuando como lo que se llama un tercero de confianza, para validar la credibilidad de los demás para que puedan compartir datos DNS precisos entre sí.
Un problema que aparece como resultado de los métodos descritos en los RFC se denomina enumeración de zonas. Es posible que una fuente externa conozca la identidad de cada computadora nombrada en una red. Se desarrolló cierta controversia con la seguridad de DNS y el problema de enumeración de zonas debido al hecho de que aunque el DNS no fue diseñado originalmente para la privacidad, varias obligaciones legales y gubernamentales requieren que los datos permanezcan privados. Un protocolo adicional, descrito en RFC 5155, describe un medio para implementar registros de recursos adicionales en el DNS que pueden aliviar el problema, aunque no eliminarlo por completo.
Otros problemas con la implementación de seguridad de DNS giran en torno a la compatibilidad con sistemas más antiguos. Los protocolos implementados deben ser universales y, por lo tanto, entendidos por todas las computadoras, servidores y clientes que utilizan Internet. Sin embargo, dado que DNSSEC se implementa a través de extensiones de software para el DNS, surgieron algunas dificultades para actualizar los sistemas antiguos de manera adecuada a fin de admitir los nuevos métodos. Aún así, la implementación de los métodos DNSSEC comenzó a nivel raíz a finales de 2009 y principios de 2010, y muchos sistemas operativos modernos están equipados con extensiones de seguridad DNS.