Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) es un conjunto de extensiones que agregan seguridad al protocolo sistema de nombres de dominio (DNS) al permitir que se validen las respuestas DNS. DNSSEC proporciona entidad de origen, integridad de datos y denegación de existencia autenticada. Con DNSSEC, el protocolo DNS es mucho menos susceptible a determinados tipos de ataque, especialmente ataques de suplantación de identidad de DNS.
Cómo funciona DNSSEC
Las zonas DNS se pueden proteger con DNSSEC mediante un proceso denominado firma de zona cuando se usa con un servidor DNS autoritativo que admite DNSSEC. La firma de una zona con DNSSEC agrega compatibilidad de validación a una zona sin cambiar el mecanismo básico de una consulta y respuesta DNS.
La validación de respuestas DNS se produce mediante firmas digitales incluidas con respuestas DNS. Estas firmas digitales se incluyen en los registros de recursos relacionados con DNSSEC que se generan y se agregan a la zona durante la firma de zona.
Las extensiones DNSSEC principales se especifican en la siguiente solicitud de comentarios (RFC).
- RFC 4033: "Introducción a la seguridad de DNS y requisitos"
- RFC 4034: "Registros de recursos para las extensiones de seguridad de DNS"
- RFC 4035: "Modificaciones del protocolo para las extensiones de seguridad de DNS"
En la ilustración siguiente se muestra un ejemplo de los registros de recursos DNS de la zona contoso.com antes y después de la firma de zona.
Para obtener más información sobre cada uno de estos registros de recursos, consulte Registros de recursos DNSSEC.
Registros de recursos DNSSEC
En la tabla siguiente se muestran los tipos de registro de recursos que se usan con DNSSEC.
| Tipo de registro de recursos | Descripción |
|---|---|
| Firma de registro de recursos (RRSIG) | Las firmas generadas con DNSSEC se incluyen en los registros RRSIG. Cada registro RRSIG coincide con otro registro de la zona para la que proporciona una firma digital. Cuando un solucionador emite una consulta para un nombre, se devuelven uno o varios registros RRSIG en la respuesta. |
| Next Secure (NSEC) | Un registro NSEC se utiliza para demostrar la inexistencia de un nombre DNS. Los registros NSEC impiden ataques de suplantación de identidad destinados a engañar a un cliente DNS para creer que no existe un nombre DNS. |
| Next Secure 3 (NSEC3) | NSEC3 es un reemplazo o alternativa a NSEC que impide la caminata de zona. La consulta exhaustiva de nombres de zona DNS es el proceso de repetir consultas NSEC para recuperar todos los nombres de una zona. Un servidor DNS que ejecute Windows Server 2012 o versiones posteriores admite NSEC y NSEC3. Una zona puede firmarse con NSEC o con NSEC3, pero no con ambos. |
| Parámetro de Next Secure 3 (NSEC3PARAM) | El registro NSEC3PARAM se usa para determinar qué registros NSEC3 se van a incluir en las respuestas para nombres DNS inexistentes. |
| Clave DNS (DNSKEY) | Un registro de recursos DNSKEY almacena una clave criptográfica pública que se usa para comprobar una firma. El registro DNSKEY lo usa un servidor DNS durante el proceso de validación. Los registros DNSKEY pueden almacenar claves públicas para una clave de firma de zona (ZSK) o una clave de firma de claves (KSK). |
| Firmante de delegación (DS) | Un registro DS es un tipo de registro DNSSEC que se usa para proteger una delegación. Los registros de DS se utilizan para crear cadenas de autenticación para las zonas secundarias. |
Excepto para el registro DS, todos estos registros se agregan a una zona automáticamente cuando se firma con DNSSEC. El registro de DS es un registro especial que puede agregarse manualmente a una zona principal para crear una delegación segura para una zona secundaria. Por ejemplo, la zona contoso.com puede contener un registro DS para secure.contoso.com. Sin embargo, este registro debe o bien crearse en la zona primaria, o bien en una zona secundaria y después propagarse a la zona primaria. El registro DS no se crea automáticamente al firmar una zona.
Los registros NSEC o NSEC3 se agregan automáticamente a una zona durante la firma de zona. No obstante, una zona firmada no puede tener ambos tipos de registros, NSEC y NSEC3. El tipo de registro (NSEC o NSEC3) agregado a la zona depende de cómo se configura la firma de zona. En el ejemplo anterior, la zona está firmada con NSEC3.
Anclajes de veracidad
Los registros de recursos DNSKEY y DS también se denominan anclajes de confianza o puntos de confianza. Un delimitador de confianza debe distribuirse a todos los servidores DNS no autenticados que realizan la validación DNSSEC de respuestas DNS para una zona firmada. Si el servidor DNS se ejecuta en un controlador de dominio, las anclas de confianza se almacenan en la partición de directorio del bosque en Active Directory Domain Services (AD DS) y pueden replicarse en todos los controladores de dominio del bosque. En los servidores DNS independientes, los delimitadores de confianza se almacenan en un archivo denominado TrustAnchors.dns.
Use Windows PowerShell para ver los anclajes de confianza de una zona mediante el comando Get-DnsServerTrustAnchor . Para ver todos los puntos de confianza actuales en un servidor, use el comando Get-DnsServerTrustPoint de PowerShell. Un servidor DNS que ejecuta Windows Server 2012 o un sistema operativo posterior también muestra anclajes de confianza configurados en el árbol de consola del Administrador DNS en el contenedor Puntos de confianza .
Pasos siguientes
Para más información sobre cómo DNSSEC usa registros de recursos para validar y proteger las respuestas DNS, consulte Validación de respuestas DNS.