Universal DNSSEC

DNSSEC mejora la confianza y la integridad del protocolo DNS. El DNS, considerado a veces como la "guía telefónica de Internet", traduce los nombres de dominio en direcciones IP numéricas. Sin embargo, es un protocolo fundamentalmente inseguro. No garantiza automáticamente de dónde provienen los registros DNS, y acepta cualquier dirección que se le proporcione, sin hacer preguntas.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Más información sobre qué es DNSSEC
  • Comprende la importancia de DNSSEC
  • Más información sobre cómo Cloudflare facilita la implementación de DNSSEC

Copiar el enlace del artículo

Cloudflare ofrece un DNSSEC intuitivo que se configura en minutos.

Regístrate ahora

¿Qué es DNSSEC?

El protocolo DNSSEC agrega una capa de seguridad a un protocolo que de otro modo sería inseguro, ya que verifica los registros DNS mediante firmas criptográficas. Al comprobar la firma asociada a un registro, las resoluciones de DNS pueden verificar que la información solicitada proviene de su servidor de nombres autoritativo y no de un ataque de intermediario. Con el DNSSEC, quienes visitan tu dominio tienen la garantía de ver el contenido de tu sitio web y no el servidor web de otra persona.Más información sobre cómo funciona el protocolo DNSSEC.

¿Por qué es importante?

El envenenamiento de caché de DNS y la falsificación de respuestas ha sido una vulnerabilidad conocida en la infraestructura global de DNS desde sus inicios, por ejemplo el conocido ataque Kaminsky. El envenenamiento de caché se produce cuando un atacante engaña a un servidor de nombres DNS para que almacene registros incorrectos. Hasta que caduque la entrada de la caché , ese servidor de nombres devolverá los registros DNS falsos a todos los demás que lo soliciten.

Esta práctica permite a un atacante secuestrar el tráfico que se dirige a tu sitio web. Tus visitantes, en lugar de ser dirigidos a tu sitio web cuando escriben tu dominio en un navegador web, son dirigidos al servidor de otra persona sin siquiera saber que algo ha salido mal. Los atacantes pueden utilizar el secuestro de DNS para ejecutar esquemas de phishing, enviar anuncios no solicitados, monitorizar el tráfico web y bloquear el acceso a dominios específicos.

Si te preocupa la integridad y la reputación de tu sitio web, deberías preocuparte por el protocolo DNSSEC.

Novedad: Universal DNSSEC

El protocolo DNSSEC agrega una capa de seguridad a un protocolo que de otro modo sería inseguro, ya que verifica los registros DNS mediante firmas criptográficas. Al comprobar la firma asociada a un registro, las resoluciones de DNS pueden verificar que la información solicitada proviene de su servidor de nombres autoritativo y no de un ataque de intermediario. Con el DNSSEC, quienes visitan tu dominio tienen la garantía de ver el contenido de tu sitio web y no el servidor web de otra persona.

Con Universal DNSSEC, tu propiedad web se beneficiará de lo siguiente:

  • Protección contra los ataques de tipo "Man in the middle" al DNS.
  • Protección contra la enumeración de zonas DNS.
  • Una solución fácil de usar para cumplir con los requisitos TLD de .bank, .trust, y .gov.

DNSSEC evita los ataques de tipo "Man in the middle" estableciendo una cadena de confianza hasta los servidores de nombres DNS raíz. Esta cadena de confianza garantiza que los registros DNS que ha solicitado un visitante no han sido falsificados en el trayecto.

La implementación única del DNSSEC de Cloudflare aprovecha la elliptic curve cryptography para evitar que los atacantes recorran tu zona y descubran registros DNS privados.

Los TLD como .bank y .trust están diseñados para que transmitan confianza a los visitantes. Esto se consigue exigiendo a los propietarios del dominio que sigan varios protocolos de seguridad, incluido el DNSSEC. Implementar el DNSSEC por tu cuenta puede ser un proceso difícil y propenso a errores. Cloudflare te permite responder a tus necesidades de DNSSEC con solo unos clics.

DNSSEC a escala

Cloudflare protege miles de millones de solicitudes al día con DNSSEC, es decir, cientos de millones de personas a la semana están protegidas del envenenamiento de caché DNS y de los ataques de tipo "Man in the middle".

Universal DNSSEC funciona en la red de Cloudflare, que ha resistido algunos de los mayores ataques DDoS del mundo. Hemos incluso adoptado precauciones especiales para asegurarnos de que no se abusa de nuestra implementación de DNSSEC para ataques de amplificación de DDoS. Te garantizamos que tus registros DNS se devuelven a los visitantes de forma rápida y eficaz, incluso cuando tu sitio web está siendo objeto de un ataque.

Cloudflare ayudó a Montecito Bank & Trust a proteger su dominio y a cumplir con los requisitos de la extensión .bank. Lee el caso práctico para obtener más información.

Cloudflare facilita el protocolo DNSSEC

Universal DNSSEC ya está disponible para todos los sitios web en Cloudflare de forma gratuita. Nos encargamos de hacer todo el trabajo complicado firmando tu zona y gestionando las claves. Protege tu dominio de las falsificaciones de DNS con solo unos clics. Todo lo que tienes que hacer es activar DNSSEC en tu panel de Cloudflare y agrear un registro DNS a tu registrador.

  1. Inicia sesión en tu panel de control de Cloudflare y selecciona tu cuenta y dominio.
  2. Ve a DNS > Configuración.
  3. Para DNSSEC, haz clic en Habilitar DNSSEC.
  4. Desde el cuadro de diálogo, puedes acceder a varios valores necesarios para crear un registro DS en tu registrador. Una vez que cierres el cuadro de diálogo, podrás acceder a esta información haciendo clic en Registro DS en la tarjeta DNSSEC.
enabling-dnssec

Una vez que tu registrador publique el registro DS, tu dominio tendrá habilitado DNSSEC. Puedes verificar la configuración de tu DNSSEC con la herramienta de terceros DNSViz. Universal DNSSEC es compatible con todas las demás funciones de seguridad y rendimiento de Cloudflare, como Universal SSL, la CDN global y la optimización automática de contenido web.