{"id":2217,"date":"2017-05-08T14:22:24","date_gmt":"2017-05-08T19:22:24","guid":{"rendered":"https:\/\/www.puchunguis.com\/blog\/?p=2217"},"modified":"2017-05-26T14:05:20","modified_gmt":"2017-05-26T19:05:20","slug":"que-es-el-dnssec","status":"publish","type":"post","link":"https:\/\/www.jorgealdana.pro\/blog\/seguridad\/que-es-el-dnssec\/","title":{"rendered":"\u00bfQu\u00e9 es el DNSsec?"},"content":{"rendered":"

Estamos en el 2017 y con cada a\u00f1o que pasa, los ataques de los hackers son cada vez m\u00e1s avanzados, en los \u00faltimos a\u00f1os se han detectado vulnerabilidades en el DNS (documentaci\u00f3n al respecto https:\/\/tools.ietf.org\/html\/rfc3833<\/a> ) que permiten que un hacker suplantar la identidad de un servidor, el objetivo del ataque es simple: tomar el control de la sesi\u00f3n para, por ejemplo, enviar al usuario una copia de un siti real pero ser\u00e1 una web fraudulenta, con el fin de obtener los datos de la cuenta y la contrase\u00f1a.<\/p>\n

Estas vulnerabilidades han aumentado el inter\u00e9s por introducir una tecnolog\u00eda denominada Extensiones de seguridad del DNS (DNSSEC, la sigla en ingl\u00e9s) para proteger este aspecto de la infraestructura de Internet.<\/p>\n

<\/p>\n

\u00bfC\u00f3mo funciona DNSSec?<\/h2>\n

DNSSEC trabaja firmando digitalmente todos los registros de nuestro servidor DNS, esto usando criptograf\u00eda de clave p\u00fablica como RSA y DSA, adem\u00e1s tambi\u00e9n hacen uso de algoritmos de hash como SHA-1, SHA256 y SHA512 para proporcionar integridad (que los datos no se hayan modificado durante la transmisi\u00f3n).<\/p>\n

Las DNSSEC usan un modelo de confianza estricto y esta cadena de confianza se transmite de la zona primaria a la secundaria. Las zonas de niveles superiores (primarias) firman, o avalan, las claves p\u00fablicas de las zonas de niveles inferiores (secundarias). Los servidores de nombres autoritativos de estas diversas zonas pueden ser administrados por \u00abRegistrars\u00bb (como Godaddy, Enom, Namecheap), \u00a0proveedores de servicios de internet – ISP o compa\u00f1\u00edas de alojamiento web.<\/p>\n

\"\"<\/p>\n

\u00bfPorqu\u00e9 es importante?<\/h2>\n

Cuando un usuario final intenta ingresar a mi blog, la resoluci\u00f3n de c\u00f3digo auxiliar del sistema operativo del usuario solicita la direcci\u00f3n IP del sitio web a un servidor de nombres recursivo. Luego de que el servidor solicita este registro, tambi\u00e9n solicita la clave de la DNSSEC asociada a la zona. Esta clave permite que el servidor verifique que el registro de direcci\u00f3n IP recibido es id\u00e9ntico al registro en el servidor de nombres autoritativo<\/strong>.<\/p>\n

Si el servidor de nombres recursivo determina que el servidor de nombres autorizado envi\u00f3 el registro de direcciones y este no fue modificado durante su transmisi\u00f3n, entonces resuelve el nombre de dominio y el usuario puede acceder al sitio. Este proceso se llama validaci\u00f3n. Si el registro de direcciones se ha modificado o no proviene de la fuente especificada, el servidor de nombres recursivo no permite que el usuario llegue a la direcci\u00f3n fraudulenta.<\/p>\n

Gracias a esto se pueden minimizar los ataques de tipo \u00abman in the middle\u00bb.<\/p>\n

\u00bfTiene alg\u00fan costo?<\/h2>\n

Depende de tu proveedor de dominios, pero en general no es as\u00ed.<\/p>\n

\u00bfC\u00f3mo se configura?<\/strong><\/h2>\n

Es muy simple pero no f\u00e1cil, ya que esto depende enteramente de la tecnolog\u00eda que use tu servidor DNS (como Windows o Linux, y el software DNS como named, MaraDNS, BIND, Microsoft DNS etc…) la complejidad de instalaci\u00f3n depender\u00e1 por tanto de la tecnolog\u00eda usada.<\/p>\n

Sin embargo si usas CloudFlare como es mi caso, no tienes que preocuparte por la configuraci\u00f3n ya que tienes \u00a0la opci\u00f3n de habilitarla desde tu panel de manera muy sencilla. Al habilitarla CloudFlare te proveer\u00e1 de los datos necesarios los cuales tendr\u00e1s que pedir o incluir a la configuraci\u00f3n de tu proveedor de dominios.<\/p>\n

\"\"<\/p>\n

De igual forma para cada proveedor de nombres de dominio es distinto el procedimiento, pero casi en todos ellos, es similar el procedimiento y\u00a0te pedir\u00e1n como m\u00ednimo:<\/p>\n