¿Qué es DNSSEC?
DNSSEC (Extensiones de Seguridad del Sistema de Nombres de Dominio) es un conjunto de extensiones criptográficas a DNS que autenticar respuestas DNS añadiendo firmas digitales a registros, previniendo que atacantes falsifiquen o manipulen datos DNS.Cómo Funciona DNSSEC
Cadena de Confianza:
Zona Raíz (.)
├── Firma: clave de zona .com
│ └── KSK (Clave de Firma de Clave)
│ └── ZSK (Clave de Firma de Zona)
│
Zona TLD (.com)
├── Firma: clave de zona example.com
│ └── Registro DS apunta a KSK hijo
│
Zona de Dominio (example.com)
├── Firma: Todos los registros DNS
│ └── RRSIG (Firma de Conjunto de Registros)
│ └── DNSKEY (Claves públicas)
│
Resolutor valida cadena completa desde raíz
Tipos de Registros DNSSEC
| Registro | Propósito | Descripción |
|---|---|---|
| RRSIG | Firma | Firma criptográfica para cada conjunto de registros |
| DNSKEY | Clave Pública | Claves públicas de firma de zona (KSK y ZSK) |
| DS | Firmante de Delegación | Hash de KSK de zona hijo en zona padre |
| NSEC/NSEC3 | Negación Autenticada | Prueba de que un registro no existe |
Tipos de Claves
| Clave | Propósito | Frecuencia de Rotación |
|---|---|---|
| KSK (Clave de Firma de Clave) | Firma registros DNSKEY | Anualmente o menos |
| ZSK (Clave de Firma de Zona) | Firma todos los otros registros | Mensual a trimestral |
Proceso de Validación DNSSEC
1. Cliente consulta resolutor DNS para registro A de example.com
2. Resolutor obtiene registro A + firma RRSIG
3. Resolutor obtiene DNSKEY para verificar RRSIG
4. Resolutor valida registro DS contra DNSKEY
5. Cadena continúa hasta raíz, verificando cada nivel
6. Si todas las firmas válidas, respuesta autenticada
Amenazas que DNSSEC Previene
| Ataque | Descripción | Protección DNSSEC |
|---|---|---|
| Envenenamiento de Caché | Inyectar registros falsos en caché | Las firmas detectan manipulación |
| Ataque de Intermediario | Interceptar y alterar respuestas | Validación criptográfica falla |
| Suplantación DNS | Devolver direcciones IP falsas | Registros falsificados carecen de firma válida |
Consideraciones de Implementación
- Rendimiento: Respuestas más grandes debido a firmas (~1000-4000 bytes vs ~100 bytes)
- Gestión de claves: Requiere generación, almacenamiento y rotación seguros de claves
- Firma de zona: Debe refirmar zona cuando los registros cambian
- Soporte de resolutor: Los clientes necesitan resolutores que validen DNSSEC
Mejores Prácticas
1. Usa algoritmo 13 o 14: ECDSA proporciona firmas más pequeñas que RSA
2. Automatiza rotación de claves: Usa herramientas como OpenDNSSEC para ciclo de vida de claves
3. Monitorea expiración: Las firmas RRSIG tienen períodos de validez
4. Prueba antes de desplegar: Valida zona con herramientas como dnsviz.net
5. Planifica emergencias: Ten procedimientos de rollover de claves documentados
DNSSEC proporciona protección esencial para integridad DNS, asegurando que los usuarios lleguen a destinos legítimos en lugar de servidores controlados por atacantes.