Configurar DNSSec – Windows Server 20120 R2
Configurar DNSSec
DNSSEC es una extensión del protocolo DNS que añade seguridad.
Qué es la zona raíz
El proceso de resolución de Nombres DNS se realiza de la siguiente forma
En el primer lugar que busca es en el primer nivel del servicio de directorio, o la “zona raíz”.
Ejemplo:
Si tomamos www.google.com
zona raíz (o primer nivel) dónde puede encontrar información sobre “.com”.
Una vez que obtiene una respuesta, consulta al servicio de directorio “.com” identificado por la raíz, dónde puede encontrar información sobre .google.com (el segundo nivel)
Consulta al servicio de directorio google.com , cuál es la dirección de www.google.com (el tercer nivel).
Posible ataque a DNS
Un usuario escribe una dirección de su navegador.
La Dirección es única en internet
ICANN se ocupa de coordinar estos identificadores únicos en todo el mundo
DNS se encarga de traducir ese nombre en un número antes de que se pueda establecer la conexión. ejemplo www.google.com —> 10.10.10.3
Existen vulnerabilidades en el DNS que permiten que un atacante fuerce el proceso de buscar una persona o buscar un sitio en Internet utilizando su nombre.
El objetivo del ataque es tomar el control de la sesión para, por ejemplo, enviar al usuario al propio sitio web fraudulento del atacante, con el fin de obtener los datos de la cuenta y la contraseña.
Como funciona DNSSec
Con DNSSEC los clientes podrán obtener informacion autenticada del origen de datos DNS
Permite la integridad de estos datos haciendo que no se pueda modificar sin que lo sepamos.
Las respuestas en DNSSEC son firmadas digitalmente
El cliente DNS comprueba la firma digital para saber si la información recibida es idéntica a la información de los servidores DNS autorizados.
DNSSEC no asegura, la disponibilidad ni tampoco la confidencialidad (las peticiones también se realizan sin cifrar como en DNS).
Este protocolo fue diseñado para evitar ataques típicos como el envenenamiento de caché DNS y ataques de denegación de servicio ya que limita el número de peticiones máximo.
DNSSEC trabaja firmando digitalmente los registros para la búsqueda de DNS mediante criptografía de clave pública como RSA y DSA, además también hacen uso de algoritmos de hashing como SHA-1, SHA256 y SHA512 para proporcionar integridad (que los datos no se hayan modificado durante “el viaje”).
El registro DNSKEY se autentica a través de una cadena de confianza tal que empieza en los DNS raíz.
Para poder navegar por Internet con el protocolo DNSSEC necesitamos utilizar unos servidores DNS que soporten este protocolo, por ejemplo los servidores DNS de Google (los conocidos 8.8.8.8 y 8.8.4.4) .
Autor: Pablo Apolo
Curso: Microsoft MCSE Private Cloud
Centro: Tajamar
Año académico: 2016-2017