¿Qué es la seguridad del DNS?

Las extensiones de seguridad del sistema de nombres de dominio (DNS) (DNSSEC) son un medio para proteger Internet y sus usuarios de posibles ataques que pueden desactivar o obstaculizar el acceso a los servicios de nombres esenciales en Internet. Las extensiones de seguridad crean una forma para que los servidores DNS continúen proporcionando sus funciones de traducción de direcciones de protocolo de Internet (IP), pero con la disposición adicional de que los servidores DNS se autentican entre sí al crear una serie de relaciones de confianza. A través de las extensiones, los datos compartidos entre los servidores DNS también logran un nivel de integridad que normalmente es difícil para el protocolo existente por el cual se transfieren los datos.

originalmente, el DNS se creó como una distribución pública no garantizada de los nombres y sus direcciones IP relacionadas. Sin embargo, a medida que Internet creció, una serie de problemas desarrollados relacionados con la seguridad de DNS, la privacidad y la integridad de los datos DNS. Con respecto a los problemas de privacidad, el problema fue manejado desde el principio por la Certa de COnfiguración de los servidores DNS. Aún así, es posible que un servidor DNS sea sometido a varios tipos diferentes de ataques, como la denegación distribuida de servicio (DDoS) y los ataques de desbordamiento del búfer, lo que puede afectar cualquier tipo de servidor. Sin embargo, específico del DNS, es el problema de alguna fuente externa envenenando los datos al introducir información falsa.

DNSSEC fue desarrollado por el Grupo de Tarea de Ingeniería de Internet (IETF) y se detalló en varios documentos de solicitudes de comentarios (RFC), 4033 a 4035. Estos documentos describen la seguridad del DNS como lograble mediante el uso de técnicas de autenticación clave de la clave pública. Para aliviar el procesamiento en los servidores DNS, solo se utilizan las técnicas de autenticación y no el cifrado.

La forma en que funciona DNSSEC es a través de la creación de relaciones de confianza entre los diferentes niveles de la jerarquía DNS. En el nivel superior, el dominio raíz del DNS es ESTAGolpeado como el intermediario primario entre los dominios inferiores, como .com, .org, etc. Los subdominios luego miran al dominio raíz, actuando como lo que se llama un tercero de confianza, para validar la credibilidad de los demás para que puedan compartir datos DNS precisos entre sí.

Un problema que aparece como resultado de los métodos descritos en el RFCS se llama enumeración de zona. Se hace posible que una fuente externa aprenda la identidad de cada computadora nombrada en una red. Se desarrollaron cierta controversia con la seguridad del DNS y el problema de la enumeración de la zona debido al hecho de que a pesar de que el DNS no estaba originalmente diseñado para la privacidad, varias obligaciones legales y gubernamentales requieren que los datos sigan siendo privados. Un protocolo adicional, descrito en RFC 5155, describe un medio para implementar registros de recursos adicionales en el DNS que puede aliviar el problema, aunque no eliminarlo por completo.

Otros problemas con la implementación de la seguridad DNS giran en torno a Compatibility con sistemas más antiguos. Los protocolos implementados deben ser universales y, por lo tanto, entendidos por todas las computadoras, servidores y clientes por igual, que están utilizando Internet. Sin embargo, dado que DNSSEC se implementa mediante extensiones de software a la DNS, sin embargo, surgieron algunas dificultades para obtener sistemas más antiguos actualizados adecuadamente para soportar los nuevos métodos. Aún así, la implementación de los métodos DNSSEC comenzó a nivel de raíz a fines de 2009 y principios de 2010, y muchos sistemas operativos de computadora modernos están equipados con las extensiones de seguridad DNS.