DNSSEC

[pic 1]

• ¿Cómo configuramos está funcionalidad?

En Server 16:

• Primero nos dirigiremos a nuestro Administrador de Servidores, clic en Herramientas, elegimos la opción DNS, nos aparecerá el Administrador DNS.
• Tenemos que tener configuradas las zonas de búsqueda directa y las zonas de búsqueda inversa para seguir con el procedimiento. Digamos que tenemos un archivo A de prueba con su dirección IP respectiva, nosotros queremos firmar está zona y haremos que todas nuestras consultas DNS se realicen con unas claves.
• Para esto haremos clic derecho en la zona que queremos firmar, elegimos la opción DNSSEC y después elegimos Firmar Zona
• Nos abre el asistente DNSSEC, daremos clic en Siguiente, después nos aparecerá una ventana en la que podremos realizar la configuración en cualquiera de las 3 opciones:

• La segunda opción es para configurar una nueva zona basándonos en los parámetros de otras zonas.
• La primera opción es para firmar la zona en base a un nuevo conjunto de parámetros para la misma.
• La tercera opción es usar firmas por defecto para la zona, con las firmas y algoritmos sobre ellas, solo haríamos clic en Next, next, no tendremos control sobre ello pero la zona queda firmada.

https://www.youtube.com/watch?v=PmV_uVZPD3A

• ¿Cómo trabaja?

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC), añaden origen de datos, autenticación e integridad de datos al DNS, incluyendo mecanismos para la denegación de existencia de DNS. DNSSEC agrega cuatro nuevos tipos de registros de recursos:

• Firmas de registro de recursos (RRSIG)
• Clave publica de DNS (DNSKEY)
• Firmante de delegación (DS)
• Next Secure (NSEC)

DNSSEC proporciona autenticación mediante la asociación criptográfica que genera firmas digitales con los DNS RRsets. Las firmas digitales se guardan en un nuevo registro de recursos, el registro RRSIG. Lo habitual es que haya una sola clave privada que firmara la zona de datos, pero son posibles varias claves. Algo que cabe recalcar es que la clave que firma los datos de una zona está asociada con la zona en sí y no con los servidores de nombres autorizados de la zona. De lo que DNSSEC se preocupa en sí, es de la seguridad de objetos de datos DNS, no de la seguridad del canal DNS. Una recomendación importante es que no hay que cambiar los servidores nombres mientras la función de DNSSEC este habilitado. Estas extensiones nos ayudan a proteger nuestro dominio contra ataques al servicio de nombres de dominio (DNS) como, por ejemplo: daños al caché.

• ¿Podríamos citar ejemplos?

Digamos que ya está configurado nuestro DNSSEC en nuestro equipo, utilizamos un navegador convencional, lo que sucede es que el navegador que usamos va a comprobar el o los servidores DNS asociados al nombre de dominio, si las firmas digitales que recibe nuestro navegador son iguales con las publicadas en el registro, la solicitud será valida y mostrara el contenido del sitio, pero si las firmas no son iguales con las publicadas en el registro, el sitio no mostrara el contenido, porque este no es accesible.

...