Qué es DNSSEC y por qué es importante para su sitio web
DNSSEC es una extensión de seguridad del DNS diseñada para reducir los ataques dirigidos a la falsificación de direcciones IP. En pocas palabras, aumenta la seguridad de la autenticación del DNS mediante el uso de firmas digitales basadas en la criptografía de clave pública.
La tecnología DNSSEC se utiliza para validar dos aspectos importantes del DNS:
- Autenticidad de la fuente de datos. El resolvedor utiliza la criptografía para rastrear todos los datos entrantes y determinar su procedencia.
- Integridad de los datos. Si los datos han sido alterados de alguna manera, el resolver lo detectará y responderá con un error.
Así, la implantación generalizada de la tecnología DNSSEC permite una protección seria en Internet. Actualmente, los operadores de red tienen que hacerlo manualmente. Los operadores de red en sus resolutores recursivos, y los propietarios de los dominios por su cuenta.
¿Cuáles son las ventajas de utilizar DNSSEC?
La necesidad de implementar la extensión se debe a que el protocolo DNS en sí mismo no tiene seguridad. En la década de 1980, cuando se desarrolló por primera vez, la seguridad no era una prioridad, por lo que no se proporciona la capacidad de autenticar las respuestas de un servidor DNS autoritativo. Todo lo que puede hacer el resolver es comprobar la dirección IP para verificar su autenticidad. Esto no es suficiente en la realidad de hoy, ya que las técnicas modernas de falsificación son bastante capaces de falsificar y suplantar la dirección IP de origen.
Los ciberdelincuentes explotan esta vulnerabilidad haciéndose pasar por un servidor autorizado, lo que les permite redirigir a los usuarios a sitios potencialmente maliciosos con contenido ilegal y prohibido. DNSSEC también ayuda a proteger el servidor de los ataques de suplantación de identidad y de daño a la caché.
Qué necesita para conectarse a Internet con el protocolo DNSSEC
Es fácil configurar la protección del dominio mediante la extensión del protocolo DNSSEC. Para ello hay que:
- Añadir registros de recursos DNS que estén asociados a DNSSEC.
- Publicar los registros de recursos DNS para el dominio.
En el caso de Google Domains, es bastante rápido y sencillo. Tienes que acceder a su cuenta, seleccionar el dominio deseado e ir a través del menú a la sección con DNS. Aquí tiene que activar el conjunto DNSSEC en la parte inferior. Después de esto, la zona recibirá automáticamente una firma, y después de un día los cambios tendrán efecto.
Para el resto de servidores de nombres de dominio, el algoritmo puede ser diferente, por lo que le recomendamos que se ponga en contacto con su proveedor de servicios con esta pregunta. Gracias por su atención.