Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Extensiones de seguridad del Sistema de nombres de dominio (DNSSEC) es un conjunto de extensiones que aumenta la seguridad del protocolo de Sistema de nombres de dominio (DNS) al habilitar la validación de las respuestas DNS. DNSSEC proporciona entidad de origen, integridad de datos y denegación de existencia autenticada. Con DNSSEC, el protocolo DNS es mucho menos susceptible a determinados tipos de ataque, especialmente ataques de suplantación de identidad de DNS.
Cómo funciona DNSSEC
Las zonas DNS se pueden proteger con DNSSEC mediante un proceso denominado firmado de zona cuando se usa con un servidor DNS autoritativo que admite DNSSEC. La firma de una zona con DNSSEC agrega compatibilidad de validación a una zona sin cambiar el mecanismo básico de una consulta y respuesta DNS.
La validación de las respuestas DNS se produce mediante el uso de firmas digitales que se incluyen con las respuestas DNS. Estas firmas digitales están contenidas en los registros de recursos relacionados con DNSSEC que se generan y se agregan a la zona durante el firmado de zona.
Las principales extensiones de DNSSEC se especifican en las solicitudes de comentarios (RFC) siguientes.
- RFC 4033: "Introducción a la seguridad de DNS y requisitos"
- RFC 4034: "Registros de recursos para las extensiones de seguridad de DNS"
- RFC 4035: "Modificaciones del protocolo para las extensiones de seguridad de DNS"
En la siguiente ilustración se muestra un ejemplo de los registros de recursos DNS en la zona contoso.com antes y después del firmado de zona.
Para más información sobre cada uno de estos registros de recursos, consulte registros de recursos DNSSEC.
Registros de recursos DNSSEC
En la tabla siguiente se muestran los tipos de registro de recursos que se usan con DNSSEC.
| Tipo de registro de recursos | Descripción |
|---|---|
| Firma de registro de recursos (RRSIG) | Las firmas que se generan con DNSSEC están contenidas en registros RRSIG. Cada registro RRSIG se empareja con otro registro de la zona para la que proporciona una firma digital. Cuando un solucionador emite una consulta para un nombre, uno o más registros RRSIG se devuelven como respuesta. |
| Next Secure (NSEC) | Un registro NSEC sirve para demostrar la inexistencia de un nombre DNS. Los registros NSEC evitan ataques de suplantación de identidad (spoofing) que pretenden engañar a un cliente DNS y hacerle creer que no existe un nombre DNS. |
| Next Secure 3 (NSEC3) | NSEC3 es un reemplazo o alternativa a NSEC que impide la consulta exhaustiva de nombres de zona DNS. La consulta exhaustiva de nombres de zona DNS es el proceso de repetir consultas NSEC para recuperar todos los nombres de una zona. Un servidor DNS que ejecuta Windows Server 2012 o un sistema operativo posterior admite NSEC y NSEC3. Una zona puede firmarse con NSEC o con NSEC3, pero no con ambos. |
| Parámetro de Next Secure 3 (NSEC3PARAM) | El registro NSEC3PARAM se usa para determinar los registros de NSEC3 que se deben incluir en las respuestas de los nombres DNS no existentes. |
| Clave DNS (DNSKEY) | Un registro de recursos DNSKEY almacena una clave criptográfica pública que se usa para comprobar una firma. El registro DNSKEY lo usa un servidor DNS durante el proceso de validación. Los registros DNSKEY pueden almacenar claves públicas de una clave de firmas de zona (ZSK) o una clave de firma de clave (KSK). |
| Delegation Signer (DS) | Un registro DS es un tipo de registro DNSSEC se usa para proteger una delegación. Los registros de DS se utilizan para crear cadenas de autenticación para las zonas secundarias. |
Con la excepción del registro DS, todas estas entradas se agregan a una zona automáticamente cuando está firmada con DNSSEC. El registro de DS es un registro especial que puede agregarse manualmente a una zona principal para crear una delegación segura para una zona secundaria. Por ejemplo, la zona contoso.com puede contener un registro DS para secure.contoso.com. Sin embargo, este registro debe o bien crearse en la zona primaria, o bien en una zona secundaria y después propagarse a la zona primaria. El registro DS no se crea automáticamente al firmar una zona.
Los registros NSEC o NSEC3 se agregan automáticamente a una zona durante la firma de zona. No obstante, una zona firmada no puede tener ambos tipos de registros, NSEC y NSEC3. El tipo de registro (NSEC o NSEC3) que se agrega a la zona depende de cómo se configura la firma de zona. En el ejemplo anterior, la zona se firma mediante NSEC3.
Anclajes de veracidad
Los registros de recursos DNSKEY y DS también se conocen como anclajes de veracidad o puntos de confianza. Debe distribuirse un anclaje de confianza a todos los servidores DNS no autoritativos que realizan validaciones de DNSSEC de las respuestas DNS para una zona firmada. Si el servidor DNS se ejecuta en un controlador de dominio, los anclajes de veracidad se almacenan en la partición de directorio de bosque en Servicios de dominio de Active Directory (AD DS) y se pueden replicar en todos los controladores de dominio del bosque. En el caso de servidores DNS independientes, los anclajes de veracidad se almacenan en un archivo denominado TrustAnchors.dns.
Use Windows PowerShell para ver los anclajes de confianza de una zona mediante el comando Get-DnsServerTrustAnchor. Para ver todos los puntos de confianza actuales en un servidor, use el comando de PowerShell Get-DnsServerTrustPoint. Un servidor DNS que ejecuta Windows Server 2012 o un sistema operativo posterior también muestra los anclajes de confianza configurados en el árbol de la consola del Administrador de DNS, en el contenedor Puntos de confianza.
Pasos siguientes
Para obtener más información sobre cómo DNSSEC usa registros de recursos para validar y proteger las respuestas DNS, consulte Validar respuestas DNS.