Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, obtendrá información sobre lo que es el maestro de claves, su rol en las implementaciones de extensiones de seguridad dns (DNSSEC) y cómo administrarlo de forma eficaz.
¿Qué es un maestro de claves DNSSEC?
El maestro de claves genera y administra claves criptográficas para zonas firmadas por DNSSEC, lo que garantiza la integridad y la seguridad de la infraestructura DNS. El rol es fundamental para mantener la seguridad de las zonas DNS, especialmente en entornos que requieren altos niveles de confianza y seguridad.
El maestro de claves es:
- El servidor DNS principal autoritativo responsable de la generación y administración de claves para zonas firmadas por DNSSEC.
- Se selecciona automáticamente como maestro de claves al usar la configuración de firma de zona predeterminada, a menos que se especifique lo contrario.
- Se puede transferir a un servidor DNS diferente que admita la firma DNSSEC en línea, lo que permite flexibilidad en la administración de claves.
- Exclusivo de un servidor DNS por zona, lo que significa que solo un servidor DNS puede servir como maestro de claves para una zona DNS específica en cualquier momento dado.
Este componente es esencial para mantener operaciones DNS seguras en entornos que requieren altos niveles de confianza y seguridad.
Requisitos
El maestro de claves debe cumplir los requisitos específicos para funcionar correctamente.
Para todos los tipos de zonas, el maestro de claves debe ser un servidor principal y autoritativo para la zona que también es capaz de firmar la zona en línea.
Las zonas integradas de Active Directory y las zonas respaldadas por archivos tienen algunas excepciones. Estas excepciones se describen en las secciones siguientes.
Zonas integradas de Active Directory
En una zona integrada de Active Directory donde hay varios servidores DNS principales autoritativos, se pueden realizar las siguientes excepciones:
- Puede transferir el rol maestro de claves a un servidor de nombres autoritativo diferente después de firmar una zona DNS.
- Puede transferir el rol maestro de claves si el patrón de claves actual está en línea. Si la clave maestra actual está sin conexión, también puede transferir el rol como parte de un proceso de recuperación ante desastres.
- Un servidor autoritativo puede ser el maestro de claves para varias zonas.
- Los distintos servidores autoritativos pueden ser el maestro de claves para diferentes zonas.
Zonas respaldadas por archivos
No se puede transferir el rol maestro de claves si una zona está respaldada por archivos, ya que estas zonas solo tienen un servidor DNS principal autoritativo.
Consideraciones de seguridad
Los requisitos de seguridad de la clave maestra dependen del tipo de zona:
Zonas integradas en Active Directory: el maestro de claves es un controlador de dominio y se beneficia de las mismas consideraciones de seguridad mejoradas que se usan para los controladores de dominio.
Zonas respaldadas por archivos: es posible que el maestro de claves no sea un controlador de dominio. En este escenario, tome precauciones de seguridad adicionales para proteger al maestro de claves frente a ataques y proteger el material de clave privada de convertirse en peligro. Por motivos de seguridad, un maestro de claves que no es un controlador de dominio solo debe tener instalado el rol servidor DNS para limitar su superficie expuesta a ataques.
Firma de zona
Al firmar una zona con DNSSEC, el maestro de claves desempeña un papel central en el proceso mediante la generación y administración de las claves de firma criptográfica necesarias para la firma de zona. La firma de zona agrega registros de recursos específicos de DNSSEC a la zona DNS que proporcionan una prueba criptográfica de integridad de datos.
El patrón de claves controla el proceso de firma de forma diferente en función del tipo de zona:
Zonas integradas en Active Directory: las claves de firma privada se replican automáticamente en todos los servidores DNS principales a través de la replicación de Active Directory. Cada maestro de claves firma su propia copia de la zona en memoria para obtener un rendimiento óptimo.
Zonas respaldadas por archivos: la zona firmada se confirma en el disco en el único servidor DNS principal que actúa como maestro de claves. Las claves de firma se almacenan en el almacén de certificados local o en un módulo de seguridad de hardware (HSM) si está configurado.
Para obtener pasos detallados sobre cómo firmar zonas DNS con DNSSEC, consulte Zonas DNS de inicio de sesión de DNSSEC.
Claves de firma
El maestro de claves genera todas las claves para la zona DNS y es responsable de la distribución de claves privadas y la información de firma de zona. El maestro de claves también es responsable de realizar todas las reversiones de clave de firma de zona (ZSK) y clave de firma de claves (KSK) y para sondear zonas secundarias para mantener las delegaciones firmadas up-to-date.
Zonas sin firmar
También puede asignar un maestro de claves a una zona sin firmar. Todas las zonas tienen una configuración de maestro de claves, tanto si están firmadas como si no. Una zona que no está firmada tampoco carece de un maestro de claves. Puede asignar un maestro de claves de antemano mediante PowerShell para prepararse para la firma de zona.
Almacenamiento de claves privadas
Para realizar su rol, el maestro de claves debe tener acceso a la clave privada para una zona firmada por DNSSEC. La clave privada se puede almacenar de varias maneras:
Active Directory: si el maestro de claves es un controlador de dominio, puede almacenar material de clave privada en Active Directory. El uso de Active Directory es la opción más segura y permite una replicación y acceso fáciles por parte de otros servidores DNS del dominio.
Lo mejor para: Entornos en los que DNS está integrado en Active Directory, ya que proporciona una seguridad sólida y un acceso sencillo a las claves privadas.
Almacén de certificados: si el maestro de claves no es un controlador de dominio, puede almacenar material de clave privada en el almacén de certificados local. El uso de un almacén de certificados requiere una administración cuidadosa para asegurarse de que las claves privadas son seguras y accesibles.
Lo mejor para: Grupos de trabajo y entornos independientes en los que debe administrar las claves privadas localmente.
Módulo de seguridad de hardware (HSM): para entornos de alta seguridad, las claves privadas se pueden almacenar en un HSM. Los HSM proporcionan una protección segura frente a riesgos clave, pero requieren una configuración y administración adicionales.
Lo mejor para: Entornos de alta seguridad en los que necesita una protección sólida contra la filtración y el riesgo de claves.
Para obtener más información sobre cómo crear claves de firma, consulte DnsSEC Sign DNS Zones(Zonas DNS de firma de DNSSEC).