DNSSEC (FAQ)

Qu es DNSSEC?

DNSSEC (DNS Security Extensions) es un conjunto de extensiones al protocolo DNS que permiten validar criptogrficamente las respuestas que envan los servidores de DNS.

Esto significa que cuando recibimos una respuesta a una consulta DNS, la misma podr incluir informacin adicional que nos permite verificar la validez de la misma.

De esa forma podremos tener salvaguardas adicionales frente a ataques de intercepcin (man-in-the-middle) o de envenenamiento de cach (cach poisoning).

Para crear estas salvaguardas los administradores de servidores DNS deben firmar sus zonas. El proceso de firmado inserta informacin adicional en las zonas junto con los registros normales que permiten que los clientes (es decir quienes consultan el DNS) puedan verificar esas firmas.

Este proceso es similar a otros procedimientos de firma digital en los cuales la verificacin de firmas implica seguir una cadena de firmas hasta una raz o ancla de confianza.

El ancla de confianza de DNSSEC es provista por la zona raz firmada. La zona raz de DNS fue firmada en junio de 2010.

DNSSEC no define un nuevo protocolo sino que crea nuevos registros y nuevas banderas dentro del marco de los mensajes existentes de DNS.

Por qu es importante desplegar DNSSEC?
No conozco nada sobre DNSSEC, Dnde puedo comenzar?

Existe mucha informacin libremente disponible sobre DNSSEC en cuanto a documentacin y tutoriales.

Solamente por listar algunos podemos mencionar los siguientes:

Introduccin a DNSSEC (LACNIC Labs, en espaol y en ingls).

Tutoriales de Registro.BR (en portugus).

DNSSEC HOWTO (en ingls).

Qu necesito para firmar mis zonas?

Se necesita trabajar en dos niveles: por un lado hay que instalar y operar software que soporte el firmado de zonas y por otro se deben definir los procedimientos y polticas de gestin y manejo de claves y firmas.

A nivel de software podemos nombrar los siguientes productos:

  • BIND 9.7 / 9.8
  • OpenDNSSEC
  • Otros
Qu necesito para validar respuestas DNS?

A nivel de servidores DNS recursivos es posible comenzar a validar respuestas de DNS hoy mismo. Para ello se deben seguir los pasos especificados por el fabricante del software mismo.

Por ejemplo:

BIND 9.7 y superior:

Cul es el rol de LACNIC en DNSSEC?

LACNIC en su rol de registro regional de direcciones de Internet opera tambin las zonas de resolucin reversa de DNS para el espacio IPv4 e IPv6 de la regin.

Este es por ejemplo el caso de las zonas 179.in-addr.arpa o 200.in-addr.arpa entre otras. En estas zonas los miembros de LACNIC instalan registros de delegacin (registros NS) que permiten 'unir' el rbol de DNS reverso desde su raz hasta sus extremos inferiores.

En el caso de DNSSEC los servidores DNS de LACNIC tambin deben contener otro tipo de registros (registros DS) que son los que permiten crear la cadena de confianza mencionada anteriormente.

Qu funcionalidades me da el sistema de registro de LACNIC para DNSSEC?

Los miembros de LACNIC que deseen firmar sus zonas reversas podrn utilizar el sistema de registro de LACNIC para configurar los registros DS correspondientes a sus claves de DNSSEC.

Es obligatorio utilizar DNSSEC?

No. Utilizar DNSSEC es una opcin de cada operador. Sin embargo, creemos que es importante trabajar en el despliegue de esta tecnologa.

CHK_LACNIC