DNSSEC (Español)
Del artículo de Wikipedia sobre DNSSEC:
- Las extensiones de seguridad para el sistema de nombres de dominio (siglas en inglés «DNSSEC») son un conjunto de especificaciones del grupo de trabajo de ingeniería de Internet (siglas en inglés, «IETF») para proteger cierto tipo de información proporcionada por el sistema de nombres de dominio (siglas en inglés «DNS») que se utiliza en el Protocolo de Internet (siglas en inglés «IP»). Se trata de un conjunto de extensiones para los DNS que proporcionan a los clientes DNS (o resolvers) la autenticación del origen de los datos del DNS, la denegación autenticada de la existencia e integridad de los datos, pero no su disponibilidad ni confidencialidad.
Validación básica de DNSSEC
Instalación
La herramienta drill se puede utilizar para la validación básica de DNSSEC. Para utilizar drill, instale el paquete ldns.
Para otras herramientas disponibles vea Domain name resolution#Lookup utilities.
Consulta con validación de DNSSEC
Luego, para consultar la validación con DNSSEC, utilice el parámetro -D
:
$ drill -D ejemplo.com
Comprobación
Como prueba, utilice los siguientes dominios, añadiendo el parámetro -T
, que rastreará desde los servidores base hasta el dominio que se está resolviendo:
$ drill -DT sigfail.verteiltesysteme.net
El resultado debe terminar con las siguientes líneas, lo que indica que la firma DNSSEC es falsa:
[B] sigfail.verteiltesysteme.net. 60 IN A 134.91.78.139 ;; Error: Bogus DNSSEC signature ;;[S] self sig OK; [B] bogus; [T] trusted
Ahora, para probar una firma confiable:
$ drill -DT sigok.verteiltesysteme.net
El resultado debe terminar con las siguientes líneas, lo que indica que la firma es de confianza:
[T] sigok.verteiltesysteme.net. 60 IN A 134.91.78.139 ;;[S] self sig OK; [B] bogus; [T] trusted
Instalar un servidor de resolución de validación de DNSSEC
Para utilizar DNSSEC en todo el sistema, puede usar un servicio de resolución que sea capaz de validar registros DNSSEC, de modo que todas las búsquedas de DNS pasen por dicho servicio de resolución. Consulte Domain name resolution#DNS servers para conocer las opciones disponibles. Tenga en cuenta que cada una requiere opciones específicas para activar su función de validación DNSSEC.
Si intenta visitar un sitio con una dirección IP falsa (spoofed), el sistema de resolución de validación le impedirá recibir los datos del DNS no válidos y su navegador (u otra aplicación) recibirá el aviso de que no existe dicho servidor. Dado que todas las búsquedas de DNS pasarán por el sistema de resolución de validación, no necesitará un software que tenga compatibilidad con DNSSEC incorporada al usar esta opción.
Activar DNSSEC en un software específico
Si elige no #Instalar un servidor de resolución de validación de DNSSEC, necesitará utilizar un software que tenga incorporado soporte de DNSSEC para aprovechar sus funciones. A menudo, esto significa que deberá parchear el software usted mismo. Puede encontrar una lista de varias aplicaciones parcheadas aquí. Además, algunos navegadores web tienen extensiones o complementos que se pueden instalar para implementar DNSSEC sin parchear el programa.
Véase también
- DNSSEC Resolver Test — prueba simple para ver si tiene DNSSEC implementado en su equipo.
- DNSSEC-Tools
- DNSSEC Visualizer — herramienta para visualizar el estado de una zona DNS.
- RedHat: Securing DNS Traffic with DNSSEC — artículo completo sobre la implementación de DNSSEC con unbound. Tenga en cuenta que algunas herramientas son específicas de RedHat y no se encuentran en Arch Linux.
- Wikipedia:Domain Name System Security Extensions