¿En qué se diferencia DNSSEC del cifrado?

Es una pregunta que escuchamos a menudo: "¿DNSSEC no es lo mismo que DNS cifrado?"

En realidad no. Si bien DNSSEC protege las redes contra ataques de intermediarios, lo hace a través de criptografía de clave pública, que es diferente del cifrado. En otras palabras, DNSSEC proporciona una forma de autenticación, pero no una forma de confidencialidad.

DNSSEC utiliza criptografía de clave pública para "firmar" o autenticar digitalmente las consultas DNS. Cuando DNSSEC está habilitado en un registro de zona, el dispositivo receptor puede comparar la información que recibe con la información original enviada por el servidor autoritativo. Esto se habilita mediante una firma digital que utiliza claves públicas para autenticar los datos.

En DNSSEC, las claves de autenticación están protegidas mediante criptografía, pero los datos en sí no están protegidos. Todavía es posible interceptar y leer el tráfico protegido por DNSSEC. Si los datos se manipulan en algún lugar a lo largo de la ruta de datos y se envían a su destino, el servidor receptor podrá decir que algo anda mal porque las claves públicas no coincidirán.

El cifrado, por otro lado, utiliza criptografía para codificar los datos en sí. El cifrado garantiza la confidencialidad al cambiar lo que vería un atacante si intercepta una consulta en algún lugar a lo largo de la ruta de los datos. Hace que los datos sean ininteligibles a menos que el atacante pueda descifrar la señal mediante una clave de cifrado. Dado que esa clave no se comparte públicamente, el cifrado protege los datos de la manipulación.

ElDNS es uno de los protocolos más antiguos de Internet. Cuando se creó, Internet era un lugar mucho más pequeño donde casi todos se conocían. La seguridad fue una ocurrencia tardía.

Cuando la seguridad de Internet se convirtió en una preocupación, el DNS se usaba tanto que cualquier cambio significativo habría detenido todo el sistema. En lugar de intentar desarrollar un protocolo totalmente cifrado para reemplazar el DNS, se decidió incorporar un mecanismo de autenticación al sistema existente.

DNSSEC fue un compromiso. Hizo posible la autenticación de consultas y datos, aumentando la seguridad del protocolo. Pero lo hizo sin cambiar el sistema subyacente, por lo que Internet podría Continuar creciendo sin necesidad de rediseñar nada. El despliegue de DNSSEC se hizo opcional para que las organizaciones pudieran hacer la transición cuando quisieran.

El envenenamiento de caché de DNS (también conocido como suplantación de identidad de DNS) es una gran razón para desplegar DNSSEC. En un ataque de suplantación de DNS, una respuesta no autenticada se sustituye por la respuesta legítima a una consulta de DNS. Esa respuesta luego se atasca en el caché, continúa devolviendo la respuesta incorrecta y dirigiendo a los usuarios a sitios maliciosos hasta que expira el "tiempo de vida".

DNSSEC protege contra este tipo de ataques mediante la autenticación de las respuestas DNS, lo que garantiza que solo se devuelvan las respuestas correctas. El cifrado puede proteger los datos subyacentes en una conexión DNS, pero no protegería contra un ataque de suplantación de DNS.

Desafortunadamente, solo alrededor del 20 % del tráfico de Internet (enlace externo a ibm.com) se valida a través de DNSSEC. Si bien es un aumento significativo con respecto a hace solo unos años, todavía está muy lejos de donde debería estar. Una combinación de problemas de usabilidad, falta de información y pura pereza explica esa brecha significativa.

NS1 recomienda encarecidamente a todos sus clientes que desplieguen DNSSEC y promueve su uso a través de un proceso de despliegue simple. A diferencia de otros proveedores, NS1 incluso admite DNSSEC como proveedor secundario o como opción de DNS redundante a través de nuestra oferta de DNS dedicado.