Llegamos a ustedes gracias a:



Noticias

Un proyecto de código abierto quiere facilitar la seguridad de DNS

[31/07/2009] Un grupo de desarrolladores ha presentado un software open source que permite a los administradores proteger el sistema de direcciones de Internet frente a los hackers. El software se llama OpenDNSSEC y automatiza muchas tareas asociadas a la implementación de DNSSEC.

OpenDNSSEC es un software basado en código abierto diseñado para facilitar la implementación y gestión de DNSSEC (Domain Name System Security Extensions), que es un conjunto de protocolos que permite a los registros DNS incorporar una firma digital, según John A. Dickinson, consultor involucrado en el proyecto.
Los registros DNS permiten convertir los nombres de los sitios web en direcciones IP, pero el sistema DNS tiene varias fallas debidos a su diseño original que los hackers están aprovechando cada vez más. 
Si alguien sabotea un servidor DNS se puede teclear un sitio web correcto pero terminar en una web fraudulenta, un tipo de ataque denominado "cache poisoning" o envenenamiento de caché. Esta es una de las muchas preocupaciones de los ISP, y otras entidades que promueven el uso de DNSSEC en los servidores DNS.
Con DNSSEC los registros DNS son firmados criptográficamente, y esas firmas son verificadas para asegurar que la información es correcta. Sin embargo, la implementación de DNSSEC no es sencilla, lo que está retrasando su adopción.
Para firmar los registros DNS, DNSSEC usa criptografía de clave pública -es decir, que las firmas se crean usando una clave privada y una pública-. Parte del problema reside en la gestión de las claves, ya que deben ser actualizadas periódicamente para mantener un nivel de seguridad alto, según explica Dickinson.
OpenDNSSEC permite a los administradores crear políticas y automatizar la gestión de claves y firmas de los registros. El proceso actualmente implica mucha intervención manual, que incrementa las posibilidades de error. Este software también tiene una funcionalidad de almacenamiento de claves que permite mantenerlas en un módulo hardware o software, lo cual suministra una capa de protección adicional para evitar que las claves terminen en manos inadecuadas. El software OpenDNSSEC está disponible para su descarga en versión de prueba, por lo que no debe ser utilizado todavía en producción.
A principios de este año muchos dominios de primer nivel, como los terminados en .com, "no estaban criptográficamente firmados, y tampoco los de la zona raíz de DNS. Verisign, registrador del dominio .com, dijo en febrero que implementará DNSSEC en todos los dominios de primer nivel, incluyendo .com, en el 2011. También el gobierno norteamericano se ha comprometido a utilizar DNSSEC para el dominio .gov, igual que los operadores de los dominios de Suecia (.se), Brasil (.br), Puerto Rico (.pr) y Bulgaria (.bg), también están utilizando DNSSEC.
Los expertos de seguridad argumentan que DNSSEC debería utilizarse lo antes posible debido a las vulnerabilidades existentes en DNS. Una de las más preocupantes fue descubierta por el investigador Dan Kaminsky en julio del año pasado. Aunque se han instalado parches temporales, no es una solución válida a largo plazo, ya que simplemente lleva un poco más de tiempo a los hackers saltarse la protección.
CSO, España