DNSSEC (FAQ)

DNSSEC (DNS Security Extensions) es un conjunto de extensiones al protocolo DNS que permiten validar criptográficamente las respuestas que envían los servidores de DNS.

Esto significa que cuando recibimos una respuesta a una consulta DNS, la misma podrá incluir información adicional que nos permite verificar la validez de la misma.

De esa forma podremos tener salvaguardas adicionales frente a ataques de intercepción (man-in-the-middle) o de envenenamiento de caché (caché poisoning).

Para crear estas salvaguardas los administradores de servidores DNS deben firmar sus zonas. El proceso de firmado inserta información adicional en las zonas junto con los registros normales que permiten que los clientes (es decir quienes consultan el DNS) puedan verificar esas firmas.

Este proceso es similar a otros procedimientos de firma digital en los cuales la verificación de firmas implica seguir una cadena de firmas hasta una raíz o ancla de confianza.

El ancla de confianza de DNSSEC es provista por la zona raíz firmada. La zona raíz de DNS fue firmada en junio de 2010.

DNSSEC no define un nuevo protocolo sino que crea nuevos registros y nuevas banderas dentro del marco de los mensajes existentes de DNS.

El protocolo DNS es una pieza crítica en el funcionamiento de toda la Internet. De hecho, es difícil imaginar la Internet con la escala que tiene actualmente sin un mecanismo eficiente y escalable de resolución de nombres.

El protocolo DNS fue definido originalmente en 1983 (RFCs 882 y 883) y desde ese entonces no ha sufrido grandes cambios. Las nuevas funcionalidades han venidas asociadas a extensiones y nuevos tipos de registros.

Debido a que fue concebido cuando Internet todavía estaba limitada mayormente al ambiente académico, el protocolo DNS adolece de algunas debilidades estructurales que lo hacen vulnerable a ciertos tipos de ataques.

Entre estos ataques es de notar el conocido como 'Bug de Kaminsky' que fue noticia en 2008 y que hizo necesarias urgentes actualizaciones de software en todos los servidores DNS.

Reemplazar todos los servidores DNS de Internet es impensable, pero gracias a su extensibilidad fue posible definir las extensiones de DNSSEC que permiten solventar estas debilidades sin forzar a un reemplazo inmediato de todos los servidores.

El despliegue de DNSSEC es gradual a medida que los diferentes operadores van firmando zonas.

Existe mucha información libremente disponible sobre DNSSEC en cuanto a documentación y tutoriales.

Solamente por listar algunos podemos mencionar los siguientes:

Introducción a DNSSEC (LACNIC Labs, en español y en inglés).

Tutoriales de Registro.BR (en portugués).

DNSSEC HOWTO (en inglés).

Se necesita trabajar en dos niveles: por un lado hay que instalar y operar software que soporte el firmado de zonas y por otro se deben definir los procedimientos y políticas de gestión y manejo de claves y firmas.

A nivel de software podemos nombrar los siguientes productos:

• BIND 9.7 / 9.8
• OpenDNSSEC
• Otros

A nivel de servidores DNS recursivos es posible comenzar a validar respuestas de DNS hoy mismo. Para ello se deben seguir los pasos especificados por el fabricante del software mismo.

Por ejemplo:

BIND 9.7 y superior:

• https://dnssec.surfnet.nl/?p=402
• http://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers
• Unbound: https://dnssec.surfnet.nl/?p=212

LACNIC en su rol de registro regional de direcciones de Internet opera también las zonas de resolución reversa de DNS para el espacio IPv4 e IPv6 de la región.

Este es por ejemplo el caso de las zonas 179.in-addr.arpa o 200.in-addr.arpa entre otras. En estas zonas los miembros de LACNIC instalan registros de delegación (registros NS) que permiten 'unir' el árbol de DNS reverso desde su raíz hasta sus extremos inferiores.

En el caso de DNSSEC los servidores DNS de LACNIC también deben contener otro tipo de registros (registros DS) que son los que permiten crear la cadena de confianza mencionada anteriormente.

Los miembros de LACNIC que deseen firmar sus zonas reversas podrán utilizar el sistema de registro de LACNIC para configurar los registros DS correspondientes a sus claves de DNSSEC.

No. Utilizar DNSSEC es una opción de cada operador. Sin embargo, creemos que es importante trabajar en el despliegue de esta tecnología.