¿Que es DNSSEC y para que sirve?

Leo en IDG que la entidad que gestiona el dominio .org ha decidido activar el protocolo DNSSEC, con lo que todos los dominios terminados en .org (por ejemplo, teleobjetivo.org), también podrán activar este sistema de seguridad.

Las páginas web y las direcciones email se identifican mediante nombres, pero en Internet los servidores se identifican mediante direcciones IP; para la conversión de uno a otro se utiliza el protocolo DNS, que consiste básicamente en enviar una consulta pidiendo la dirección IP que corresponde a un determinado nombre. El proceso para convertir un nombre en una dirección IP es el siguiente:

  • Nuestro ordenador envía la consulta al servidor/servidores DNS que tiene configurados; normalmente, son los servidores de nuestro proveedor de acceso a Internet.
  • El servidor DNS al que enviamos la pregunta extrae la raiz del nombre pedido, que para "teleobjetivo.org" sería "org", y pregunta a los servidores raiz (una lista de servidores conocida y que se configura de forma estática en todos los servidores DNS) que servidores DNS gestionan  el ".org", que los servidores raiz responderán con una lista de direcciones IP.
  • El servidor DNS envía a los servidores de los dominios ".org" una consulta pidiendo la dirección IP del servidor DNS que gestiona el dominio "teleobjetivo.org".
  • El servidor DNS envía al servidor que gestiona "teleobjetivo.org" una consulta pidiendo la dirección IP que corresponde al nombre "teleobjetivo.org".
  • El servidor DNS envía a nuestro ordenador la respuesta a la pregunta inicial.

Dicho con otras palabras, el sistema funciona de forma jerárquica; dentro de cada nivel hay unos servidores DNS que proporcionan las direcciones de los servidores del siguiente nivel, y así hasta llegar al servidor que proporciona la dirección que corresponde a un determinado nombre.

Como vemos, el proceso es largo y con muchas consultas intermedias; esto significa que el DNS puede ser atacado por muchos puntos diferentes; por ejemplo, un pirata podría interceptar las consultas a los servidores que gestionan el ".org" y devolver respuestas falsas, lo que le permitiría desviar a los visitantes de teleobjetivo.org a una web falsa.

Esta posibilidad es algo mas que una hipótesis; sin ir mas lejos, el año pasado un investigador descubrió un grave agujero de seguridad que permitía interceptar y falsificar las respuestas de los servidores DNS de una forma muy sencilla.

Esta situación hace necesario incorporar algún esquema de seguridad en el protocolo DNS, y ahí es donde entra DNSSEC.

DNSSEC permite firmar electrónicamente las consultas DNS, con lo que se certifica su autenticidad, impidiendo así que un pirata que consiga interceptar las comunicaciones pueda falsear los resultados.

DNSSEC, al ser una extensión de DNS, también funciona de forma jerárquica; es decir, para que un determinado servidor pueda firmar consultas, es preciso que el servidor de nivel superior también las firme. Eso quiere decir que, para poder firmar yo las peticiones a teleobjetivo.org, necesito que los administradores del ".org" también firmen.

Y esto es exactamente lo que han hecho; desde ayer, el .org tiene activo el DNSSEC, con lo que todos los poseedores de un dominio con esta terminación podrán añadir la seguridad. Eso si, de momento el sistema es experimental así que solo estará disponible para unos pocos dominios de prueba; en unos meses se abrirá a todo el mundo.

Related Posts Plugin for WordPress, Blogger...
Widget By Best Accounting Services