DNSSEC (Español)

Esta traducción de DNSSEC fue revisada el 2019-11-06. Si existen cambios puede actualizarla o avisar al equipo de traducción.

Del artículo de Wikipedia sobre DNSSEC:

Las extensiones de seguridad para el sistema de nombres de dominio (siglas en inglés «DNSSEC») son un conjunto de especificaciones del grupo de trabajo de ingeniería de Internet (siglas en inglés, «IETF») para proteger cierto tipo de información proporcionada por el sistema de nombres de dominio (siglas en inglés «DNS») que se utiliza en el Protocolo de Internet (siglas en inglés «IP»). Se trata de un conjunto de extensiones para los DNS que proporcionan a los clientes DNS (o resolvers) la autenticación del origen de los datos del DNS, la denegación autenticada de la existencia e integridad de los datos, pero no su disponibilidad ni confidencialidad.

Validación básica de DNSSEC

Nota: Se requiere una configuración adicional para que las búsquedas de DNS se realicen a través de DNSSEC por defecto. Consulte #Instalar un servidor de resolución de validación de DNSSEC y #Activar DNSSEC en un software específico.

Instalación

La herramienta drill se puede utilizar para la validación básica de DNSSEC. Para utilizar drill, instale el paquete ldns.

Para otras herramientas disponibles vea Domain name resolution#Lookup utilities.

Consulta con validación de DNSSEC

Luego, para consultar la validación con DNSSEC, utilice el parámetro -D:

$ drill -D ejemplo.com

Comprobación

Como prueba, utilice los siguientes dominios, añadiendo el parámetro -T, que rastreará desde los servidores base hasta el dominio que se está resolviendo:

$ drill -DT sigfail.verteiltesysteme.net

El resultado debe terminar con las siguientes líneas, lo que indica que la firma DNSSEC es falsa:

[B] sigfail.verteiltesysteme.net.       60      IN      A       134.91.78.139
;; Error: Bogus DNSSEC signature
;;[S] self sig OK; [B] bogus; [T] trusted

Ahora, para probar una firma confiable:

$ drill -DT sigok.verteiltesysteme.net

El resultado debe terminar con las siguientes líneas, lo que indica que la firma es de confianza:

[T] sigok.verteiltesysteme.net. 60      IN      A       134.91.78.139
;;[S] self sig OK; [B] bogus; [T] trusted

Instalar un servidor de resolución de validación de DNSSEC

Para utilizar DNSSEC en todo el sistema, puede usar un servicio de resolución que sea capaz de validar registros DNSSEC, de modo que todas las búsquedas de DNS pasen por dicho servicio de resolución. Consulte Domain name resolution#DNS servers para conocer las opciones disponibles. Tenga en cuenta que cada una requiere opciones específicas para activar su función de validación DNSSEC.

Si intenta visitar un sitio con una dirección IP falsa (spoofed), el sistema de resolución de validación le impedirá recibir los datos del DNS no válidos y su navegador (u otra aplicación) recibirá el aviso de que no existe dicho servidor. Dado que todas las búsquedas de DNS pasarán por el sistema de resolución de validación, no necesitará un software que tenga compatibilidad con DNSSEC incorporada al usar esta opción.

Activar DNSSEC en un software específico

Si elige no #Instalar un servidor de resolución de validación de DNSSEC, necesitará utilizar un software que tenga incorporado soporte de DNSSEC para aprovechar sus funciones. A menudo, esto significa que deberá parchear el software usted mismo. Puede encontrar una lista de varias aplicaciones parcheadas aquí. Además, algunos navegadores web tienen extensiones o complementos que se pueden instalar para implementar DNSSEC sin parchear el programa.

Véase también

DNSSEC Resolver Test — prueba simple para ver si tiene DNSSEC implementado en su equipo.
DNSSEC-Tools
DNSSEC Visualizer — herramienta para visualizar el estado de una zona DNS.
Red Hat: Securing DNS Traffic with DNSSEC — artículo completo sobre la implementación de DNSSEC con unbound. Tenga en cuenta que algunas herramientas son específicas de Red Hat y no se encuentran en Arch Linux.
Wikipedia:Domain Name System Security Extensions