WHOIS Mi LACNIC
Su dirección IP es / Your IP address is: 

DNSSEC (FAQ)

¿Qué es DNSSEC?

DNSSEC (DNS Security Extensions) es un conjunto de extensiones al protocolo DNS que permiten validar criptográficamente las respuestas que envían los servidores de DNS.

Esto significa que cuando recibimos una respuesta a una consulta DNS, la misma podrá incluir información adicional que nos permite verificar la validez de la misma.

De esa forma podremos tener salvaguardas adicionales frente a ataques de intercepción (man-in-the-middle) o de envenenamiento de caché (caché poisoning).

Para crear estas salvaguardas los administradores de servidores DNS deben firmar sus zonas. El proceso de firmado inserta información adicional en las zonas junto con los registros normales que permiten que los clientes (es decir quienes consultan el DNS) puedan verificar esas firmas.

Este proceso es similar a otros procedimientos de firma digital en los cuales la verificación de firmas implica seguir una cadena de firmas hasta una raíz o ancla de confianza.

El ancla de confianza de DNSSEC es provista por la zona raíz firmada. La zona raíz de DNS fue firmada en junio de 2010.

DNSSEC no define un nuevo protocolo sino que crea nuevos registros y nuevas banderas dentro del marco de los mensajes existentes de DNS.

¿Por qué es importante desplegar DNSSEC?

No conozco nada sobre DNSSEC, ¿Dónde puedo comenzar?

Existe mucha información libremente disponible sobre DNSSEC en cuanto a documentación y tutoriales.

Solamente por listar algunos podemos mencionar los siguientes:

Introducción a DNSSEC (LACNIC Labs, en español y en inglés).

Tutoriales de Registro.BR (en portugués).

DNSSEC HOWTO (en inglés).

¿Qué necesito para firmar mis zonas?

Se necesita trabajar en dos niveles: por un lado hay que instalar y operar software que soporte el firmado de zonas y por otro se deben definir los procedimientos y políticas de gestión y manejo de claves y firmas.

A nivel de software podemos nombrar los siguientes productos:

  • BIND 9.7 / 9.8
  • OpenDNSSEC
  • Otros

¿Qué necesito para validar respuestas DNS?

A nivel de servidores DNS recursivos es posible comenzar a validar respuestas de DNS hoy mismo. Para ello se deben seguir los pasos especificados por el fabricante del software mismo.

Por ejemplo:

BIND 9.7 y superior:

¿Cuál es el rol de LACNIC en DNSSEC?

LACNIC en su rol de registro regional de direcciones de Internet opera también las zonas de resolución reversa de DNS para el espacio IPv4 e IPv6 de la región.

Este es por ejemplo el caso de las zonas 179.in-addr.arpa o 200.in-addr.arpa entre otras. En estas zonas los miembros de LACNIC instalan registros de delegación (registros NS) que permiten 'unir' el árbol de DNS reverso desde su raíz hasta sus extremos inferiores.

En el caso de DNSSEC los servidores DNS de LACNIC también deben contener otro tipo de registros (registros DS) que son los que permiten crear la cadena de confianza mencionada anteriormente.

¿Qué funcionalidades me da el sistema de registro de LACNIC para DNSSEC?

Los miembros de LACNIC que deseen firmar sus zonas reversas podrán utilizar el sistema de registro de LACNIC para configurar los registros DS correspondientes a sus claves de DNSSEC.

¿Es obligatorio utilizar DNSSEC?

No. Utilizar DNSSEC es una opción de cada operador. Sin embargo, creemos que es importante trabajar en el despliegue de esta tecnología.

Top CHK_LACNIC