Universal DNSSEC
DNSSEC mejora la confianza y la integridad del protocolo DNS. El DNS, considerado a veces como "las páginas amarillas de Internet", traduce los nombres de dominio en direcciones IP numéricas. Sin embargo, es un protocolo fundamentalmente inseguro. No garantiza automáticamente de dónde provienen los registros DNS, y acepta cualquier dirección que se le proporcione, sin hacer preguntas.
Objetivos de aprendizaje
Después de leer este artículo podrás:
- Más información sobre DNSSEC
- Entender la importancia de DNSSEC
- Descubre cómo Cloudflare facilita la implementación de DNSSEC
Contenido relacionado
¿Quieres saber más?
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Cloudflare ofrece un DNSSEC intuitivo que se configura en minutos.
Regístrate ahora¿Qué es DNSSEC?
El protocolo DNSSEC añade una capa de seguridad a un protocolo que de otro modo sería inseguro, ya que verifica los registros DNS mediante firmas criptográficas. Al comprobar la firma asociada a un registro, los solucionadores de DNS pueden verificar que la información solicitada procede de su servidor de nombres autoritativos y no de un atacante intermediario. Con el DNSSEC, quienes visiten tu dominio tienen la garantía de que verán el contenido de tu sitio web y no el del servidor web de otra persona.
Más información sobre cómo funciona el protocolo DNSSEC.
¿Por qué es importante?
El envenenamiento de caché DNS y la falsificación de respuestas ha sido una vulnerabilidad conocida en la infraestructura global de DNS desde sus inicios, como muestra el ejemplo del conocido ataque Kaminsky. El envenenamiento de caché se produce cuando un atacante engaña a un servidor de nombres DNS para que almacene registros incorrectos. Hasta que caduque la entrada de la caché, ese servidor de nombres devolverá los registros DNS falsos a todos los demás que lo soliciten.
Esta práctica permite a un atacante secuestrar el tráfico que se dirige a tu sitio web. Tus visitantes, en lugar de ser dirigidos a tu sitio web cuando escriben tu dominio en un navegador web, son dirigidos al servidor de otra persona sin ni siquiera saber que algo ha ido mal. Los atacantes pueden utilizar el secuestro de DNS para realizar esquemas de phishing, enviar anuncios no solicitados, monitorizar el tráfico web y bloquear el acceso a dominios específicos.
Si te preocupa la integridad y la reputación de tu sitio web, deberías preocuparte por el protocolo DNSSEC.
Novedad: Universal DNSSEC
El protocolo DNSSEC añade una capa de seguridad a un protocolo que de otro modo sería inseguro, ya que verifica los registros DNS mediante firmas criptográficas. Al comprobar la firma asociada a un registro, los solucionadores de DNS pueden verificar que la información solicitada procede de su servidor de nombres autoritativos y no de un atacante intermediario. Con el DNSSEC, quienes visiten tu dominio tienen la garantía de que verán el contenido de tu sitio web y no el del servidor web de otra persona.
Con Universal DNSSEC, tu propiedad web se beneficiará de:
- Protección contra los ataques de tipo "Man in the middle" al DNS.
- Protección contra la enumeración de zonas DNS.
- Una solución fácil de usar para cumplir con los requisitos TLD de .bank, .trust, y .gov.
DNSSEC evita los ataques de intermediarios estableciendo una cadena de confianza hasta los servidores de nombres DNS raíz. Esta cadena de confianza garantiza que los registros DNS que ha solicitado un visitante no han sido falsificados en ruta.
La implementación única del DNSSEC de Cloudflare aprovecha la criptografía de curva elíptica para evitar que los atacantes recorran tu zona y descubran registros DNS privados.
Los dominios de alto nivel (TLD) como .bank y .trust están diseñados para que transmitan confianza a los visitantes. Esto se consigue exigiendo a los propietarios del dominio que sigan varios protocolos de seguridad, incluido el DNSSEC. Implementar el DNSSEC por tu cuenta puede ser un proceso difícil y propenso a errores. Cloudflare te permite responder a tus necesidades de DNSSEC con solo unos clics.
DNSSEC a escala
Cloudflare protege miles de millones de solicitudes al día con DNSSEC, es decir, cientos de millones de personas a la semana están protegidas del envenenamiento de caché DNS y de los ataques de intermediario.
Universal DNSSEC se ha diseñado a partir de la red de Cloudflare, que ha resistido algunos de los mayores ataques DDoS del mundo. Incluso hemos adoptado precauciones especiales para asegurarnos de que no se abusa de nuestra implementación de DNSSEC para ataques de amplificación de DDoS. Te garantizamos que tus registros DNS se devuelven a los visitantes de forma rápida y eficaz, incluso cuando
tu sitio web está siendo objeto de un ataque.
Cloudflare facilita el protocolo DNSSEC
Universal DNSSEC ya está disponible para todos los sitios web en Cloudflare de forma gratuita. Nos encargamos de hacer todo el trabajo complicado firmando tu zona y gestionando las llaves. Protege tu dominio de las falsificaciones de DNS con solo unos clics. Todo lo que tienes que hacer es activar DNSSEC en tu panel de Cloudflare y añadir un registro DNS a tu registrador.
- Inicia sesión en tu panel de control de Cloudflare y selecciona tu cuenta y dominio.
- Ve a DNS > Configuración.
- Para DNSSEC, haz clic en Habilitar DNSSEC.
- En el cuadro de diálogo tienes acceso a varios valores necesarios para ayudarte a crear un registro DS en tu registrador. Una vez que cierres el cuadro de diálogo, podrás acceder a esta información haciendo clic en el registro DS en la tarjeta DNSSEC .
Una vez que tu registrador publique el registro DS, tu dominio tendrá habilitado DNSSEC. Puedes verificar la configuración de tu DNSSEC con la herramienta de terceros DNSViz. Universal DNSSEC es compatible con todas las demás funciones de seguridad y rendimiento de Cloudflare, como Universal SSL, la CDN global y la optimización automática de contenido web.