DNSSEC en la Plataforma de Edge Computing de Azion

Conoce cómo DNSSEC funciona en la Plataforma de Edge de Azion y cómo puedes habilitarlo para adicionar una capa extra de seguridad a tus sitios web y aplicaciones.

Rafael Rigues - Technical Researcher
DNSSEC en la Plataforma de Edge Computing de Azion

En un artículo anterior, discutimos la importancia del DNS (Domain Name System, sistema de nombres de dominio), una estructura jerárquica que funciona como un “directorio telefónico” de Internet, ya que convierte las direcciones IP de las computadoras conectadas en grupos de caracteres más fáciles de recordar llamados nombres de dominio (y viceversa).

También hablamos sobre DNSSEC (Domain Name System Security Extensions, extensiones de seguridad del sistema de nombres de dominio), un conjunto de extensiones para la especificación DNS original diseñada para dificultar que los delincuentes ejecuten ataques cibernéticos como DNS Spoofing, que pueden dañar a usuarios, sean individuos o empresas.

En este artículo, hablaremos sobre cómo funciona DNSSEC en la Plataforma de Edge Computing de Azion y sobre cómo habilitarlo para agregar una capa adicional de protección para tus sitios web y aplicaciones.

Preguntas frecuentes sobre las DNSSEC

¿Cómo funciona DNSSEC?

En resumen, DNSSEC resuelve uno de los mayores problemas que tenía la especificación DNS original: no había forma de autenticar las respuestas de un servidor. Esto abría la puerta a ataques como DNS Spoofing, donde un agresor puede hacerse pasar por un servidor y enviar una respuesta con datos falsos sobre un dominio, como por ejemplo una dirección IP diferente, redirigiendo el tráfico a los servidores bajo su control.

DNSSEC resuelve esto firmando respuestas de servidores compatibles con una clave criptográfica. Al comparar las firmas, es posible autenticar una respuesta, lo que dificulta que un atacante manipule la información.

Vale la pena mencionar que DNSSEC no implementa cifrado de datos: los datos continúan en texto claro. Una analogía sería un documento firmado ante notario: la firma por sí sola garantiza la autenticidad del documento, pero no hace nada para proteger su contenido.

Este diagrama muestra cómo DNSSEC impide a los atacantes falsificar respuestas de un servidor DNS.
Imagen: Azion Technologies.

¿La Plataforma de Edge Computing de Azion Edge es compatible con DNSSEC?

La Plataforma de Edge Computing de Azion es compatible con la especificación DNSSEC, lo que permite su uso en sitios web y aplicaciones optimizadas con nuestros servicios.

Ten en cuenta que para habilitar DNSSEC tu registro de TLD (Top-Level Domain, dominio de nivel superior) debe soportarlo. Además, tu zona debe estar configurada con registros de recursos relacionados con DNSSEC (ver a continuación) y DNSSEC debe estar habilitado en tu registro de dominio.

¿Cuánto cuesta habilitar DNSSEC?

No hay ningún costo asociado con habilitar y usar DNSSEC en la Plataforma de Edge Computing de Azion. Esta función se proporciona de forma gratuita a los suscriptores de nuestro servicio de Intelligent DNS.

¿Cae el desempeño a causa de DNSSEC?

No. Tanto los datos como las claves criptográficas se pueden almacenar en caché, de modo que el alto desempeño del servicio DNS queda preservado.

¿Qué se necesita para alojar una zona DNSSEC con Azion?

Para habilitar la verificación de firma, DNSSEC requiere la gestión de nuevos registros de recursos (RR), además de los que ya estén en uso:

  • DNSKEY contiene la clave pública que se utilizará en la verificación.
  • DS (Delegation Signer, firmante de delegación) contiene el HASH de un registro DNSKEY. Este registro lo utilizan los servidores DNS recursivos para verificar la autenticidad de la propia DNSKEY.
  • RRSIG contiene la firma digital de un registro.
  • NSEC y NSEC3 permiten la respuesta de inexistencia de un registro consultado conocida como denegación de existencia autenticada, lo que evita que un actor malintencionado falsifique una respuesta de dirección inexistente.

Cada zona DNS tiene un par de claves pública/privada. La clave privada de la zona se usa para firmar datos DNS en la zona y generar firmas digitales en esos datos. Dicha clave privada se mantiene en secreto, mientras que la clave pública está disponible en la propia zona DNS para que cualquiera pueda recuperarla.

Además, Azion te proporcionará la siguiente información para que puedas continuar con la activación de DNSSEC en el encargado de registro responsable de tu dominio:

  • Clave pública (DS).
  • Algoritmo criptográfico utilizado en la generación de claves.
  • Dirección de servidores DNS.

Consulta nuestra documentación para obtener instrucciones detalladas paso a paso sobre cómo alojar una zona DNSSEC directamente en la plataforma Azion.

Recomendaciones generales y consideraciones sobre DNSSEC

  • Antes de habilitar DNSSEC, asegúrate de que sea compatible con el registro de TLD.
  • Te recomendamos que unos días antes del cambio programado reduzcas el TTL (Time To Live, tiempo de vida) de la zona DNS a transferir. También te recomendamos que utilices un TTL de unos minutos en los registros DNSSEC (DS y DNSKEY), para permitir una recuperación rápida en caso de necesidad.
  • Para que las nuevas configuraciones entren en vigencia, se debe esperar una nueva publicación por parte de los responsables del TLD.
  • La propagación efectiva y visibilidad global del cambio pueden demorar algunos días, ya que depende de la actualización del caché de resolvers gestionados por terceros.

Conclusión

Al habilitar DNSSEC en el proceso de resolución de DNS de tu infraestructura, te proteges contra amenazas como la falsificación de DNS.

Para obtener más información sobre cómo los servicios de Azion pueden ayudarte a elevar el nivel de seguridad ofrecido a tus usuarios y a tu organización, comunícate con nuestros expertos.

Suscríbete a nuestro boletín informativo