Extensiones de seguridad DNS (DNSSEC)

Las Extensiones de seguridad DNS (DNSSEC) son un conjunto de estándares del Grupo de trabajo de ingeniería de Internet (IETF) creados para abordar las vulnerabilidades en el Sistema de nombres de dominio (DNS) y protegerlo de las amenazas en línea. El propósito de DNSSEC es aumentar la seguridad de Internet en su conjunto al abordar las debilidades de seguridad del DNS. Esencialmente, DNSSEC agrega autenticación a DNS para hacer que el sistema sea más seguro.  

El sistema de nombres de dominio gestiona la navegación por Internet localizando nombres de dominio y asignándolos a direcciones IP. El DNS, como se diseñó originalmente, no tiene forma de determinar si los datos del nombre de dominio provienen del propietario autorizado del dominio o si han sido falsificados. Esta debilidad de seguridad deja al sistema vulnerable a una serie de ataques, como el envenenamiento de la caché de DNS, por ejemplo. 

En un ataque de envenenamiento de caché de DNS, un intruso reemplaza una dirección IP válida almacenada en caché en una tabla DNS con una dirección no autorizada. Las solicitudes de la dirección válida se redirigen en consecuencia, y el malware, como un gusano, software espía o secuestrador del navegador, puede descargarse en la computadora del usuario desde la ubicación no autorizada. DNSSEC emplea claves criptográficas y firmas digitales para garantizar que los datos de búsqueda sean correctos y que las conexiones sean a servidores legítimos.

Los elementos centrales de DNSSEC se especificaron en tres solicitudes de comentarios del IETF publicadas en marzo de 2005: RFC 4033 - Introducción y requisitos de seguridad de DNS, RFC 4034 - Registros de recursos para las extensiones de seguridad de DNS y RFC 4035 - Modificaciones de protocolo para las extensiones de seguridad de DNS.

La implementación de DNSSEC es algo compleja y voluntaria. Como resultado, la adopción ha sido lenta. En los Estados Unidos, el gobierno federal ha ordenado la implementación de DNSSEC para las redes gubernamentales. El Instituto Nacional de Estándares y Tecnología (NIST) y la Administración de Servicios Generales (GSA) han implementado los estándares dentro del dominio dot.gov de nivel superior. Sin embargo, la mayoría de las agencias individuales aún tienen que cumplir con el mandato para los dominios de segundo nivel.

DNSSEC se ofrece como un servicio gestionado; Algunos proveedores también ofrecen dispositivos DNSSEC que automatizan el proceso.