El 5 de Setiembre, durante las charlas que Arturo Servín (@the_real_r2d2) de LACNIC impartió el en auditorio del MEIC, tocó un tema que es de suma importancia para mejorar la seguiridad del Internet: DNSSEC (Domain Name System Security) también conocido como Extensiones de seguridad del DNS, que  es un conjunto de técnicas y protocolos definidos por la IETF con el objetivo de brindar seguridad a una pieza crítica de la infraestructura de Internet como es el Sistema de Nombres de Dominio o DNS.

Acerca de los DNS

Para contactar a otra persona a través de Internet, se utilizan direcciones llamadas dominios. Estos dominios deben ser únicos para que las computadoras sepan cómo encontrarse entre sí. La organización que se encarga de coordinar que estos identificadores sean únicos en todo el mundo es la ICANN. Al escribir un nombre, un sistema debe traducir ese nombre en un número antes de que se pueda establecer la conexión. Ese sistema se denomina Sistema de nombres de dominio (DNS) y traduce nombres como www.mundo-tech.co.cc en números, denominados direcciones IP (sigla que corresponde a Protocolo de Internet).

En resumen, los DNS proveen esta asociación entre el nombre de un sitio web y la IP que corresponde al hospedaje en donde se encuentra la información. Las computadoras utilizan las IP para comunicarse, pero los humanos usamos los dominios que resultan más intuitivos y fáciles de recordar.

El Problema

Cuando se ingresa una dirección en el navegador, la computadora realiza una serie de solicitudes a los servidores de dominios para determinar cuál es el IP correspondiente a esta dirección. Los servidores de nombres le enviarán de regreso una IP indicándole hacia dónde debe conectarse. El problema consiste en que hay métodos con los cuales (por error o por fraude) un servidor puede interponerse en el camino y enviar de regreso un dato falso sobre la IP a la cual corresponde el dominio solicitado.

En estos casos, todas las solicitudes que pasen por este servidor erróneo o fraudulento serán desviadas hacia un camino equivocado. De esta manera, por ejemplo, alguien mal intencionado podría mostrar una página web falsa a todos los que deseen ingresar al dominio de su banco, y de esta manera robar información sensible como usuarios, claves o números de cuenta que los visitantes digitan sin saber que no se encuentran en el sitio real sino en una falsificación.

La Función de DNSSEC

DNSSEC es una tecnología que se ha desarrollado, entre otras cosas, para brindar protección contra este tipo de ataques mediante la firma digital de los datos a fin de tener la seguridad de que son válidos. Es importante destacar que este método no cifra los datos, tan solo certifica la validez de la dirección del sitio que se visita. La implementación de la DNSSEC asegura que el usuario final se conecte al sitio web real que corresponde a un nombre de dominio en particular.

Cuando se utiliza DNSSEC, el sistema valida los datos de regreso (únicamente lo que corresponde a la resolución del dominio) con la firma digital. De forma se puede tener certeza que el sistema de DNS no ha enviado una IP equivocada y la computadora puede establecer la comunicación con el hosting confiadamente.

Para una descripción completa de este sistema de seguridad, incluyendo el tema de los niveles y la firma de la raíz, se recomienda revisar los siguientes artículos:

– http://www.labs.lacnic.net/drupal/dnssec-intro-pdf

– http://www.icann.org/es/announcements/dnssec-qaa-09oct08-es.htm (enlace no disponible)

– http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-2/dnssec.html

Actualizado el 19 de Agosto de 2015