Muchos conoceréis lo que es un DNS, pero hoy hablaremos de DNSSEC. Para los que no sepan que es un DNS, de forma sencilla lo podemos asociar a una agenda telefónica, al igual que la agenda de nuestro móvil cuando buscamos el teléfono de ese amigo llamado Angel, nos devuelve o nos marca una secuencia de números. El DNS es el que se encarga de que cuando tecleamos tecnocrática.net, nos devuelve una dirección IP (por ejemplo, la 1.2.3.4) que básicamente también es una secuencia de números.
Los principios de Internet y el DNS
El DNS es uno de los pilares de Internet, puesto que sería físicamente imposible recordar todas las direcciones IP asociadas a cada uno de los nombres de dominio. Esto lo realiza el DNS.
En un principio en la red no se usaba este servicio, y en ocasiones los ordenadores almacenaban en un fichero de texto los nombres y las IP de los ordenadores más habituales, pero a medida que fue creciendo el uso de Internet, fue necesario usar el DNS para averiguar la IP de cada uno de ellos.
En estos principios, como en todos los protocolos y servicios de Internet el funcionamiento era muy sencillo y se basaba más en la funcionalidad que en la seguridad. Pero al igual que ha ocurrido con otros protocolos, como los del servicio de correo, ha sido necesario dotarles de determinadas medidas de seguridad.
El DNS al almacenar las bases de datos de forma distribuida es susceptible de posibles ataques de suplantación, esto significa que alguien podría modificar los registros y hacer que cuando se vaya a buscar por ejemplo tecnocrática.net en lugar de responder con el valor correcto (1.2.3.4) el DNS devuelva un valor (5.6.7.8).
La seguridad ante todo, DNSSEC
Para evitar esto se elaboró la normativa de DNSSEC (DNS Security Extensions) que añade esta capa de seguridad permitiendo comprobar la integridad y la autenticidad de los registros DNS. Estas normativas están bajo las normas de unas cuantas RFC (RFC 2535, RFC 4033, RFC 4044, etc
Para ello se usa un sistema de certificados basados en sistemas criptográficos asimétricos de clave pública.
El sistema de cifrado está basado en al igual que otros muchos en dos claves, una pública y una privada.
El proveedor firma digitalmente los registros DNS del dominio en cuestión y mediante la comprobación de firmas se puede saber si el resultado de la petición es cierto y los registros no han sido modificados.
Cuando un usuario realiza una petición de búsqueda de un dominio que cuenta con DNSSEC, se envía la información necesaria (IP del dominio asociado, o del registro que se está consultando) de la búsqueda, pero además se envían varias firmas asociadas a los diferentes servidores DNS que se han consultado.
Si al comprobar las firmas, están coinciden, se puede considerar que el resultado obtenido es correcto, y que el dominio o registro que buscamos está asociado a la IP que se nos devuelve.
Si por el contrario las firmas no coinciden, se considera que el resultado carece de legitimidad al romperse la cadena de confianza, y por lo tanto la consulta será inválida.
Esto impide que por ejemplo puedan suplantar nuestra identidad a través de la suplantación de nuestros registros DNS, y que los visitantes por lo tanto puedan ser redirigidos a un sitio malicioso de cualquier tipo que simule ser nuestro servidor a fin de inyectar malware o recopilar credenciales de acceso de los usuarios.
Por eso es muy importante activar el DNSSEC en todos nuestros dominios de cara a evitar suplantaciones de identidad de nuestros servicios
¿Puedo activar DNSSEC en mis dominios de Tecnocrática?
La respuesta es un si tajante, todos los dominios alojados en servidores de DNS de Tecnocrática, bien a través de Neodigit o de Virtualname, tienen la posibilidad de activar el DNSSEC, tan solo accediendo a la sección de DNS del panel de control correspondiente, acceder al dominio en cuestión, y en la parte superior, veremos la opción de “Activar DNSSEC” o bien la opción de “Ver DNSSEC” en el caso de que ya lo tengamos activado previamente.
Una vez activado el DNSSEC, el botón pasa a tener el valor de Ver DNSSEC
Como se puede ver el Panel de Control de los servicios de Tecnocrática, se encarga de todo el proceso, siendo de esta forma muy sencillo de usar.
¿Cómo puedo comprobar si mi dominio tiene activado DNSSEC?
Hay varios servicios web que nos permiten comprobar el estado de DNSSEC y si está activado para nuestro dominio, uno de ellos es el de Verisign (https://dnssec-analyzer.verisignlabs.com). El otro es Dnsviz https://dnsviz.net
Deja una respuesta