Protocolo de Seguridad DNSSEC en la gestión de los dominios “.es”

Protocolo de Seguridad DNSSEC en la gestión de los dominios “.es”

25/04/2022
Dominios

La identificación de equipos o máquinas en Internet se realiza a través de direcciones IP o mediante nombres que deben ser únicos para que el funcionamiento sea correcto. El sistema DNS (Domain Name System) es el encargado establecer la correspondencia entre nombres (www.ejemplo.es) y direcciones IPs (192.168.2.15). Este procedimiento original no incluía métodos de seguridad, motivo por el cual la Corporación de Internet para la Asignación de Nombres y Números (ICANN por sus siglas en inglés) promueve desde hace años la implantación masiva de un conjunto de extensiones basadas en un cifrado asimétrico conocido como DNSSEC.

 

En este sentido, desde Dominios “.es”, la unidad de Red.es encargada de la gestión del registro de nombres de dominio de Internet bajo el código de país correspondiente a España, lleva tiempo implementado una serie de tecnologías y procedimientos adicionales que redundan en la mejora de la calidad del servicio. Entre estos valores añadidos destaca la puesta en marcha de un Protocolo de Seguridad DNSSEC conforme a las indicaciones establecidas por la comunidad internacional Internet Engineering Task Force (IETF) que recoge un listado detallado de aspectos y consideraciones de tipo técnico.

 

DNSSEC añade integridad y autenticidad al DNS utilizando criptografía. De este modo, se puede verificar que la resolución "nombre de dominio → dirección IP" es legítima y está autorizada por el responsable del nombre de dominio. Además, se verifica no haber sido modificada en el camino.

 

DNSSEC hace uso de la misma relación de autoridad y confianza en la jerarquía actual del DNS. Dominios “.es” debe firmar .ES y obtener la autorización desde la raíz del DNS.

 

DNSSEC Croquis
DNSSEC Croquis

 

¿Cómo se consigue autentificar y mantener la integridad de los datos?

 

DNSSEC utiliza criptografía asimétrica de clave pública de tal manera que, la autoría de lo que se firma con una clave, se puede comprobar con la otra. Por esta razón existe una clave pública por cada dominio que se distribuye (Registros DS) y se publica utilizando DNS (Registro DNSKEY) en la zona del dominio asegurado. Los registros son autentificados comprobando las firmas digitales con las claves públicas distribuidas.

 

¿Qué son las claves KSK y ZSK?

 

En la firma de los registros se utilizan 2 claves: KSK (Key Signing Keys) y ZSK (Zone Signing Keys). La clave KSK es la que se «informará» como DS en la zona padre (para “.es” en la zona raíz). Su función es la de firmar la clave de zona (ZSK) con la que están firmados el resto de los registros del dominio.

 

La clave ZSK es la que firma todos los registros de la zona. Generalmente, la rotación de esta clave es mayor que la de la KSK, entre otras razones por no ser necesario modificar la zona padre cuando se quiera cambiar. Basta con generar una nueva y firmarla con la KSK, únicamente informando los cambios en nuestra zona DNS.

 

Desde el punto de vista técnico no hay diferencias relevantes entre una clave y otra. La diferencia es su uso. Gracias a disponer de 2 claves diferentes cambiar una ZSK usando una KSK está prácticamente automatizado con las herramientas DNSSEC y no requiere de cambios en la zona padre.

 

¿Qué son las extensiones de seguridad?

 

Estas extensiones de seguridad añaden un conjunto de registros y modificaciones del actual protocolo DNS entre los que destacan:

 

  • DNSKEY (DNS Public Key):  Clave pública del DNS
  • RRSIG (Resource Record Signature): Firma digital de un registro.
  • DS (Delegation Signer):  Hash de una DNSKEY
  • NSEC/NSEC3 (Next Secure):  Se utiliza para la denegación de existencia
  • NSEC3PARAM: Parámetros de configuración de NSEC3

 

En cuanto a las modificaciones del protocolo, se incluyen llamadas y peticiones de registros por cada consulta DNS que se realiza, para posibilitar la autenticación de los dominios.

 

¿Qué es la cadena de confianza? 

 

La cadena de confianza consiste en una relación de registros DNSKEY (Claves públicas) y registros DS (Delegation Signer) que permite crear relaciones de confianza entre los dominios.

 

De esta forma se pueda validar cualquier dominio que esté integrado en dicha cadena con una sola clave pública. Para conseguirlo, el registro DS, que es un hash (una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro o archivo) generado a partir de un registro DNSKEY, se publica en el dominio padre. Por ejemplo, si tenemos el dominio miweb.es con su clave asociada, generamos el registro DS de la misma y lo publicamos en el dominio .es, de esta forma podemos autentificar el dominio miweb.es con la clave pública del dominio .es.

 

¿Cómo usuario final qué es necesario para poder protegerme con DNSSEC?

 

Para utilizar la validación de registros en DNSSEC, es necesario disponer de un equipo compatible con este sistema y contratar el servicio con un proveedor de DNS que cuente con un servidor DNS recursivo con la validación activada. 

 

¿Qué ocurre si se consulta un registro DNS y falla la validación DNSSEC?

 

Cuando un servidor recursivo con la validación DNSSEC activada recibe una respuesta del DNS manipulada o falsificada, el cliente que solicitó dicha resolución de nombres no obtiene ningún registro y se le devuelve un código de error (RCODE) SERVFAIL que significa que se ha producido una incidencia contestando a la consulta.

 

Como propietario de un dominio, ¿Qué pasos he de seguir para que el dominio utilice DNSSEC?

 

Para que el dominio esté asegurado con DNSSEC es necesario que los servidores DNS autoritativos de los que se dispone, publiquen el dominio firmado.

 

Actualmente, cada titular de un nombre de dominio en .ES que desee implementar DNSSEC deberá hacerlo en las zonas que controle, creando una clave pública. Esta clave deberá enviarla a Dominios “.es” quién a su vez, firmará esta clave y creará una cadena de confianza desde .ES hacia el nombre de dominio.

 

Más información:

 

 

(*) Esquema ilustrativo extraído de la web del INCIBE.