El protoclo DNSSEC es una extensión del protocolo DNS aumentando su seguridad.
El protocolo DNS (Domain Name System) en Internet, se encarga de traducir los nombres de dominio en direcciones IP para realizar
las peticiones al servidor correspondiente. Las peticiones que se realizan a
través de DNS no van cifradas ni tampoco se comprueba que el origen es correcto
ni tampoco su integridad, por lo que cualquier atacante podría modificarlas y
redirigirnos a webs maliciosas.
¿Qué es DNSSEC y cómo funciona?
- Gracias al protocolo DNSSEC los clientes podrán obtener autenticación del origen de datos DNS, además también permite la integridad de estos datos haciendo que no se pueda modificar sin que lo sepamos. Todas las respuestas en DNSSEC son firmadas digitalmente, y el cliente DNS comprueba la firma digital para saber si la información recibida es idéntica a la información de los servidores DNS autorizados. Lo que no asegura DNSSEC es la disponibilidad ni tampoco la confidencialidad (las peticiones también se realizan sin cifrar como en DNS). Este protocolo fue diseñado para evitar ataques típicos como el envenenamiento de caché DNS y ataques de denegación de servicio ya que limita el número de peticiones máximo.
- DNSSEC trabaja firmando digitalmente los registros para la búsqueda de DNS mediante criptografía de clave pública como RSA y DSA, además también hacen uso de algoritmos de hashing como SHA-1, SHA256 y SHA512 para proporcionar integridad (que los datos no se hayan modificado durante “el viaje”). El registro DNSKEY se autentica a través de una cadena de confianza tal que empieza en los DNS raíz.
- Para poder navegar por Internet con el protocolo DNSSEC necesitamos utilizar unos servidores DNS que soporten este protocolo, por ejemplo los servidores DNS de Google (los conocidos 8.8.8.8 y 8.8.4.4) sí soportan el protocolo DNSSEC.
¿Cómo comprobamos si un nombre de dominio es
compatible con DNSSEC?
- En el portal DNSSEC-Validator tenemos una extensión que nos permitirá conocer fácilmente si el dominio soporta DNSSEC. Actualmente esta extensión está disponible para diferentes navegadores web como Mozilla Firefox, Google Chrome y también Internet Explorer.
- Una vez que hemos instalado la extensión, en la parte superior del navegador encontraremos unos iconos que nos indicarán si el dominio que estamos visitando soporta DNSSEC o no. Si por ejemplo entramos en el propio dominio de la herramienta, vemos que efectivamente el dominio sí soporta DNSSEC y que está en uso actualmente.
- La extensión también se encarga de verificar que el certificado digital de la web se corresponde con el registro TLSA, el protocolo DANE se encarga de realizar esta función. Es posible que una web que sí soporta DNSSEC no tenga registro TLSA, por ejemplo en Cloudfare.com ocurre esto.
- Esta extensión también nos informará si la web que estamos visitando no utiliza HTTPS o utiliza una firma digital no válida, entonces la propia extensión nos indicará que podríamos estar en peligro. Si por ejemplo visitamos Google.es, veremos que este dominio no está asegurado con DNSSEC y por tanto tampoco es posible verificar su certificado digital ya que el protocolo DANE necesita obligatoriamente que el dominio esté bajo DNSSEC.
- A continuación se puede ver como la autenticidad del certificado del servidor TLS/SSL no se puede comprobar debido a que no estamos utilizando DNSSEC.
- En la propia extensión tenemos la posibilidad de utilizar un “resolver DNS” para la resolución de nombres de dominio, podremos seleccionar uno específico, usar los del propio sistema operativo o no usarlo.
- En la web de DNSSEC-Validator tienen todos los detalles sobre esta extensión y también sus enlaces para descargarla (https://www.dnssec-validator.cz/ )
- Otro método para saber si una web soporta DNSSEC es entrando en el portal de Verisign, ( http://dnssec-debugger.verisignlabs.com/ )poniendo el nombre del dominio nos indicará qué soporta exactamente.
Más información
Web de desarrolladores de Google (seguridad de DNSSEC) https://developers.google.com/speed/public-dns/docs/security
