Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

324

DNSSEC: internet es hoy un poquito más seguro

Esta noche ha tenido lugar la firma de la zona raíz del sistema DNS, por lo que DNSSEC ha entrado en producción. En otras palabras, a partir de ahora es posible comprobar que las respuestas DNS son auténticas y no han sido alteradas deliberadamente por un atacante.

El sistema de resolución de nombres DNS se encarga de traducir las direcciones de internet (bandaancha.eu) a sus correspondientes direcciones IP (89.248.106.100). Hace tiempo quedó demostrado que era vulnerable a determinados ataques como DNS poisoning, por lo que un atacante podría modificar la dirección IP asociada a la web de un banco, por ejemplo, para hacerse con nuestros datos. Con la entrada en funcionamiento del sistema DNSSEC, es posible verificar la integridad de los datos recibidos, de forma que se eviten este tipo de ataques.

Aunque es un paso importante, la firma de la zona raíz no nos asegura inmediatamente, ya que ahora tendrán que dar el salto cada uno de los dominios de primer nivel (de momento están activos algunos como .cz o .cat), los de segundo, etc.

Más en Root DNSSEC e IANA DNSSEC.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
    • Con dig, por ejemplo. Los servidores de Google soportan…

      Con dig, por ejemplo. Los servidores de Google soportan DNSSEC aunque no lo validan por el momento, pero para verlo en acción nos vale:

      dig +dnssec @8.8.8.8 www.nic.cat

    • BocaDePez BocaDePez
      6

      Supongo que las herramientas típicas de resolución de nombres…

      Supongo que las herramientas típicas de resolución de nombres (como nslookup o dig) se irán adaptando poco a poco al nuevo protocolo.

      No me he puesto a investigar cómo funciona. Supongo que será parecido a los certificados de las páginas HTTPS seguras, donde hay un conjunto finito de autoridades de certificación en las que se confía ciegamente (como van cambiando es por lo que a veces esa actualización aparece en Windows Update).

      Espero que en DNS sean más serios y exista solo una única autoridad de certificación.

      • BocaDePez BocaDePez
        6

        ¿Porque es más seruio que haya una única autoridad de…

        ¿Porque es más seruio que haya una única autoridad de certificación?

1