El estado de la seguridad de enrutamiento en los registros DNS Thumbnail
‹ Atrás
MANRS (Mutually Agreed Norms for Routing Security) 25 agosto 2020

El estado de la seguridad de enrutamiento en los registros DNS

April Froncek
Por April FroncekSenior Editor, Content

El sistema de nombres de dominios (DNS, por sus siglas en inglés) es un componente importante de Internet, pero no se tuvo en cuenta la seguridad a la hora de diseñarlo. Durante los últimos 20 años más o menos, se ha prestado mucha atención a la mejora de sus aspectos inseguros por naturaleza.

Un ejemplo de ello es la implantación de extensiones de seguridad DNS (DNSSEC, por sus siglas en inglés) que permite la validación criptográfica de los registros DNS, y más recientemente DNS en TLS y DNS en HTTPS, donde se cifran los intercambios de DNS entre huéspedes y resolvedores.

Aun así, el DNS también depende del sistema de enrutamiento global para enviar las solicitudes de DNS desde los resolvedores a los servidores y, a continuación, devolver las respuestas. Por lo tanto, la integridad del sistema de enrutamiento es de suma importancia para garantizar que las transacciones DNS se realicen de forma eficiente al destino correcto. Sin embargo, en la actualidad algunos registros DNS están poniendo en marcha la infraestructura de clave pública de enrutamiento (RPKI, por sus siglas en inglés), un marco de infraestructura de clave pública diseñado para proteger la infraestructura de enrutamiento de Internet, más concretamente el Protocolo de Puerta de Enlace de Frontera (BGP, por sus siglas en inglés).

Una encuesta de 4.138 zonas (formada por 1.201 dominios de nivel superior genéricos (gTLD, por sus siglas en inglés), 308 dominios de nivel superior de código de país (ccTLD, por sus siglas en inglés), 271 zonas de mapeo inverso y 1.780 zonas sub-ccTLD) mostró un total de 6.910 orígenes de ruta para los servidores de nombre que cubren dichas zonas.

Sin embargo, solo un 22 % de estas tenía Autorizaciones de Origen de Ruta (ROA, por sus siglas en inglés) válidas, es decir, un objeto firmado digitalmente que comprueba si el titular de un bloque de direcciones IP ha autorizado a un AS (Sistema Autónomo, por sus siglas en inglés) a crear rutas hacia uno o más prefijos del bloque de direcciones.

Si bien las cifras de las zonas de mapeo inverso (53 %) y zonas ccTLD (34 %) son una muestra de la implantación, son considerablemente bajas en las zonas gTLD (11 %). De hecho, cerca del 40 % de los TLD no utilizan las ROA en absoluto y un 20 % solo las utiliza parcialmente.

Estos resultados se comentan detalladamente en el informe «Un análisis de la implantación de Autorizaciones de Origen de Ruta en los registros DNS» que encontrarás en el sitio web de la iniciativa MANRS. Es importante destacar un aspecto de la seguridad DNS que siempre se ha pasado por alto.

Si te interesa saber más sobre el porqué de la importancia de la seguridad de enrutamiento, también puedes leer el informe de cinco partes Introducción a la seguridad de enrutamiento.

‹ Atrás

Descargo de responsabilidad: Las opiniones expresadas en esta publicación pertenecen al autor y pueden o no reflejar las posiciones oficiales de Internet Society.

Artículos relacionados

Fortalecimiento de Internet 15 julio 2021

La encriptación: Una herramienta para construir una Internet confiable

En Internet Society estamos comprometidos con la construcción de una Internet más grande y más fuerte. Para asegurarnos de...

Fortalecimiento de Internet 9 junio 2021

Enfrentarse a la intrusión europea en el cifrado

A finales de 2020, cuando Portugal se preparaba para asumir la presidencia rotatoria del Consejo de la Unión Europea...

Cifrado 1 junio 2021

¿Cómo afectan las leyes de vigilancia a la economía?

Internet Society encargó a un equipo de investigadores independientes que evaluara el impacto económico de la TOLA. Este equipo,...

Únase a la conversación con miembros de Internet Society alrededor del mundo