El protocolo de seguridad DNS gana impulso

Los tecnólogos que abogan por una mejor seguridad para el sistema de nombres de dominio (DNS) han predicho con frecuencia que la tecnología se implementará en los próximos dos a cinco años. El hecho de que estas predicciones se hayan cumplido durante una década y media se ha convertido en una broma interna en la industria.





Los defensores finalmente pueden tener su día. El lunes, la empresa que gestiona los registros .com y .net, VeriSign , anunciará su estrategia para probar e implementar de forma incremental DNS Security (DNSSEC) para el primer trimestre de 2011 para los dos dominios de nivel superior. El Corporación de Internet para la Asignación de Nombres y Números (ICANN), la organización que coordina entre los propietarios de la infraestructura de Internet, ya anunció que pondrá en marcha el proceso creando la clave de nivel superior para verificar los nombres de dominio el 1 de diciembre.

Los dos pasos fundamentales dan a DNSSEC un impulso muy necesario, dice Joe Waldron, director de gestión de productos de VeriSign.

Creo que estamos en un punto de inflexión, dice. Entre ahora y entre 12 y 18 meses a partir de ahora, verá una cantidad significativa de adopción en los registros, registradores, proveedores de servicios de Internet y titulares de nombres de dominio.



El sistema de nombres de dominio es la base sobre la que se construye Internet. Los servidores DNS traducen nombres de dominio fáciles de entender, como technologyreview.com, en direcciones numéricas de Internet que utilizan las computadoras y los dispositivos de red para comunicarse entre sí. DNSSEC agrega datos a los registros del dominio, insertando información criptográfica que se puede usar para verificar que una dirección es un destino válido para un dominio.

Sin embargo, debido a que DNSSEC requiere cambios en los servidores y el software que administra los componentes fundamentales de Internet, las empresas y organizaciones se han resistido a adoptarlo.

Hubo mucha preocupación, por ejemplo, a fines de la década de 1990 por los ataques de envenenamiento de caché, dijo Dan Kaminsky, director de pruebas de penetración de IOActive , una empresa de servicios de seguridad con sede en Seattle. Mucha gente dijo que teníamos que hacer algo al respecto, pero no hicimos nada.



Además, la gestión de las claves criptográficas necesarias para validar las entradas en el sistema de nombres de dominio es complicada. La clave de cada dominio debe ser validada o firmada por otra clave más arriba en la cadena de confianza. Los dominios Dot-com serán validados por la clave que VeriSign está implementando. Esto, a su vez, será validado por la clave de firma de claves DNS. ICANN, con el Departamento de Comercio de EE. UU. Y VeriSign, administrará la clave maestra.

Es probable que Kaminsky haya agregado algo de ímpetu al movimiento hacia DNSSEC. En 2008, un error grave encontrado por el investigador impulsó a la industria a trabajar en conjunto para implementar una solución alternativa para mejorar la seguridad del DNS. La vulnerabilidad permitió a un atacante falsificar las entradas de DNS para que una persona que navegaba por Internet creyera, por ejemplo, que iba a su banco, pero en realidad estaba dando su nombre de usuario y contraseña a los ladrones de datos. La industria se unió para implementar parches; sin embargo, fueron una medida provisional, no una solución real.

Si bien se han propuesto otros métodos para proteger el sistema de nombres de dominio, ninguno ha recibido la atención y las pruebas que ha tenido DNSSEC. Kaminsky creía en la necesidad de DNSSEC. En 2009, se convirtió en un evangelista, hablando con cualquiera que quisiera escucharlo en un intento de acelerar la adopción de DNSSEC.



Kaminsky hizo que la gente se diera cuenta de que hay muchas fallas en el DNS en las que no habían pensado antes, dice Keith Mitchell, director de ingeniería de Internet Systems Consortium, una organización sin fines de lucro que desarrolla el software DNS más popular, conocido como Berkeley Internet. Nombre Daemon o BIND. Y DNSSEC es prácticamente el único juego en la ciudad para resolver estos problemas.

Con la creación de la clave de firma de claves el 1 de diciembre, ICANN establecerá las bases de la infraestructura DNSSEC. Los mantenedores de los dominios de nivel superior podrán firmar otros dominios de los que sean responsables. La creación de la clave maestra simplifica la gestión de servidores DNS seguros y establece el comienzo de una jerarquía de confianza.

Esta es una pieza crítica del rompecabezas que faltaba desde hace algún tiempo, dice Mitchell. Hasta ahora, no ha habido banquero de confianza en la raíz, lo que ha sido un problema.



VeriSign no es el primero en implementar DNSSEC en un dominio de nivel superior. Suecia implementó la tecnología de seguridad, firmando la clave de zona .se en 2005. A principios de este año, el Registro de Interés Público firmó la clave de zona para .org.

VeriSign planea tomar la implementación de DNSSEC con lentitud, comenzando con pequeños proyectos piloto, ayudando a los registradores e ISP a probar sus implementaciones y pasando rápidamente a implementaciones más ambiciosas, dice la compañía. La clave, sin embargo, es no romper ninguna aplicación en Internet, dice Waldron.

Queremos asegurarnos de que los registradores hagan lo que tienen que hacer para que el servicio esté disponible para sus clientes, dice. Casi todos los componentes de la infraestructura de Internet se ven afectados por la implementación de DNSSEC. Así que no querrás apresurarte. Minimizar las incidencias es una prioridad.

esconder