Donar
El estado de la seguridad de enrutamiento en los registros DNS Thumbnail
‹ Atrás
MANRS (Mutually Agreed Norms for Routing Security) 25 Agosto 2020

El estado de la seguridad de enrutamiento en los registros DNS

El sistema de nombres de dominios (DNS, por sus siglas en inglés) es un componente importante de Internet, pero no se tuvo en cuenta la seguridad a la hora de diseñarlo. Durante los últimos 20 años más o menos, se ha prestado mucha atención a la mejora de sus aspectos inseguros por naturaleza.

Un ejemplo de ello es la implantación de extensiones de seguridad DNS (DNSSEC, por sus siglas en inglés) que permite la validación criptográfica de los registros DNS, y más recientemente DNS en TLS y DNS en HTTPS, donde se cifran los intercambios de DNS entre huéspedes y resolvedores.

Aun así, el DNS también depende del sistema de enrutamiento global para enviar las solicitudes de DNS desde los resolvedores a los servidores y, a continuación, devolver las respuestas. Por lo tanto, la integridad del sistema de enrutamiento es de suma importancia para garantizar que las transacciones DNS se realicen de forma eficiente al destino correcto. Sin embargo, en la actualidad algunos registros DNS están poniendo en marcha la infraestructura de clave pública de enrutamiento (RPKI, por sus siglas en inglés), un marco de infraestructura de clave pública diseñado para proteger la infraestructura de enrutamiento de Internet, más concretamente el Protocolo de Puerta de Enlace de Frontera (BGP, por sus siglas en inglés).

Una encuesta de 4.138 zonas (formada por 1.201 dominios de nivel superior genéricos (gTLD, por sus siglas en inglés), 308 dominios de nivel superior de código de país (ccTLD, por sus siglas en inglés), 271 zonas de mapeo inverso y 1.780 zonas sub-ccTLD) mostró un total de 6.910 orígenes de ruta para los servidores de nombre que cubren dichas zonas.

Sin embargo, solo un 22 % de estas tenía Autorizaciones de Origen de Ruta (ROA, por sus siglas en inglés) válidas, es decir, un objeto firmado digitalmente que comprueba si el titular de un bloque de direcciones IP ha autorizado a un AS (Sistema Autónomo, por sus siglas en inglés) a crear rutas hacia uno o más prefijos del bloque de direcciones.

Si bien las cifras de las zonas de mapeo inverso (53 %) y zonas ccTLD (34 %) son una muestra de la implantación, son considerablemente bajas en las zonas gTLD (11 %). De hecho, cerca del 40 % de los TLD no utilizan las ROA en absoluto y un 20 % solo las utiliza parcialmente.

Estos resultados se comentan detalladamente en el informe “Un análisis de la implantación de Autorizaciones de Origen de Ruta en los registros DNS” que encontrarás en el sitio web de la iniciativa MANRS. Es importante destacar un aspecto de la seguridad DNS que siempre se ha pasado por alto.

Si te interesa saber más sobre el porqué de la importancia de la seguridad de enrutamiento, también puedes leer el informe de cinco partes Introducción a la seguridad de enrutamiento.

‹ Atrás

Descargo de responsabilidad: Las opiniones expresadas en esta publicación pertenecen al autor y pueden o no reflejar las posiciones oficiales de Internet Society.

Artículos relacionados

Cloudflare lanza el servicio de DNS 1.1.1.1 con privacidad, TLS y más
Cloudflare lanza el servicio de DNS 1.1.1.1 con privacidad, TLS y más
Deploy36012 Abril 2018

Cloudflare lanza el servicio de DNS 1.1.1.1 con privacidad, TLS y más

El lanzamiento del nuevo servicio de resolución de DNS 1.1.1.1 de Cloudflare represente el avance significativo en el area del DNS por...

Privacidad DNS en el nuevo Android 9
Privacidad DNS en el nuevo Android 9
Deploy36021 Agosto 2018

Privacidad DNS en el nuevo Android 9

Recientemente me inscribí en el programa de vista previa para desarrolladores de Android y obtuve la imagen OTA de Android...

Guía general del IETF 101: DNSSEC, DANE, la Seguridad DNS y la Privacidad
Guía general del IETF 101: DNSSEC, DANE, la Seguridad DNS y la Privacidad
Deploy36016 Marzo 2018

Guía general del IETF 101: DNSSEC, DANE, la Seguridad DNS y la Privacidad

¡Está semana en Londres en el mundo de la seguridad y la privacidad del DNS sera bastante loca y muy...

Únase a la conversación con miembros de Internet Society alrededor del mundo