¿Qué es DNSSEC?

0

DNSSEC hace referencia a Domain Name System Security Extensions (Extensiones de seguridad pra el Sistema de resolución de nombres de dominio). Es un conjunto de especificaciones de la IETF, cuyo objetivo es asegurar ciertos tipos de información proporcionada por los DNS (sistema de resolución de nombres de dominio) para su empleo en redes IP (protocolo de Internet).

DNSSEC

Se trata de un conjunto de extensiones para DNS que proporcionan autenticación de origen para los datos DNS de los clientes, además de denegación de existencia autentificada o integridad de datos. Queda fuera, sin embargo, algún factor como pueda ser la certificación de disponibilidad o confidencialidad.

¿Por qué DNSSEC?

Surgió a raíz de la necesidad de un sistema de seguridad, pues la tecnología #DNS no incluía ningún tipo de seguridad en su planteamiento inicial. Este sistema pronto se probó vulnerable. Como sabréis, si un atacante secuestra el sistema de Resolución de Nombres de Dominio, puede redirigir el tráfico de la víctima hacia webs infectadas o suplantadas, entre otras cosas. La normativa RFC 3833 intentó, por tanto, añadir algo de seguridad sin afectar a la compatibilidad con sistemas antiguos.

Cometido de DNSSEC

Esta tecnología fue diseñada con el objetivo de proteger a las aplicaciones –y también a los sistemas de caché aparejados a ellas- ante los intentos de manipular sus datos DNS. Ciertos ataques, como el DNS poisoning (envenenamiento de DNS) alteran sus registros y podrían derivar el tráfico hacia un sitio web manipulado sin que el usuario/navegador tenga constancia de ello.

Para ello, todas las respuestas de las zonas que están bajo el paraguas DNSSEC llevan una firma digital inequívoca. Mediante la comprobación de esta firma, un sistema de resolución DNS es capaz de saber si la información en el destino es idéntica (original y completa) a la información publicada por el dueño de la zona, además de ser ofrecida en un servidor de DNS autorizado.

¿Qué protege DNSSEC?

Mediante la monitorización de las direcciones IP de los usuarios, esta tecnología puede proteger cualquier dato correspondiente al sistema DNS, entre ellos:

  • Registros de texto (TXT)
  • Registros de email (MX)

Puede hacerse funcionar de forma simultánea con otros sistemas que publican referencias a certificados criptográficos guardados en DNS, como:

  • Certificate Records
  • Huellas digitales SSH
  • Claves públicas IPSEC
  • Marcas de confianza TLS
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR