Configurar DNSSec

DNSSEC es una extensión del protocolo DNS que añade seguridad.

 

Qué es la zona raíz

El proceso de resolución de Nombres DNS se realiza de la siguiente forma

En el primer lugar que busca es en el primer nivel del servicio de directorio, o la “zona raíz”.

Ejemplo:

Si tomamos www.google.com

zona raíz (o primer nivel) dónde puede encontrar información sobre “.com”.

Una vez que obtiene una respuesta, consulta al servicio de directorio “.com” identificado por la raíz, dónde puede encontrar información sobre .google.com (el segundo nivel)

Consulta al servicio de directorio google.com , cuál es la dirección de www.google.com (el tercer nivel).

 

Posible ataque a DNS

Un usuario escribe una dirección de su navegador.

La Dirección es única en internet

ICANN se ocupa de coordinar estos identificadores únicos en todo el mundo

DNS se encarga de traducir ese nombre en un número antes de que se pueda establecer la conexión.    ejemplo     www.google.com —>  10.10.10.3

Existen vulnerabilidades en el DNS que permiten que un atacante fuerce el proceso de buscar una persona o buscar un sitio en Internet utilizando su nombre.

El objetivo del ataque es tomar el control de la sesión para, por ejemplo, enviar al usuario al propio sitio web fraudulento del atacante, con el fin de obtener los datos de la cuenta y la contraseña.

 

Como funciona DNSSec

Con DNSSEC los clientes podrán obtener informacion autenticada del origen de datos DNS

Permite la integridad de estos datos haciendo que no se pueda modificar sin que lo sepamos.

Las respuestas en DNSSEC son firmadas digitalmente

El cliente DNS comprueba la firma digital para saber si la información recibida es idéntica a la información de los servidores DNS autorizados.

DNSSEC no asegura, la disponibilidad ni tampoco la confidencialidad (las peticiones también se realizan sin cifrar como en DNS).

Este protocolo fue diseñado para evitar ataques típicos como el envenenamiento de caché DNS y ataques de denegación de servicio ya que limita el número de peticiones máximo.

DNSSEC trabaja firmando digitalmente los registros para la búsqueda de DNS mediante criptografía de clave pública como RSA y DSA, además también hacen uso de algoritmos de hashing como SHA-1, SHA256 y SHA512 para proporcionar integridad (que los datos no se hayan modificado durante “el viaje”).

El registro DNSKEY se autentica a través de una cadena de confianza tal que empieza en los DNS raíz.

Para poder navegar por Internet con el protocolo DNSSEC necesitamos utilizar unos servidores DNS que soporten este protocolo, por ejemplo los servidores DNS de Google (los conocidos 8.8.8.8 y 8.8.4.4) .

 

 

ImageDNSSec

 

 

 

Autor: Pablo Apolo

Curso: Microsoft MCSE Private Cloud

Centro: Tajamar

Año académico: 2016-2017