La mayoría de los registradores de dominios estadounidenses tienen entre sus planes para el 2011 la implementación del DNSSEC, un estándar emergente. DNSSEC  añade una capa de cifrado al Sistema de Nombres de Dominio. La pregunta es sencilla ¿Deberían esperar a IPV6 o están en el camino correcto?

El despliegue mundial llevado a cabo a mediados de julio de esta tecnología destinada a hacer que Internet sea más seguro fue anunciado como un golpe decisivo contra los delincuentes cibernéticos, pero, según las empresas de monitorización de vulnerabilidades y análisis de ataques, continua habiendo tremendos problemas de seguridad.

DNSSEC protege los datos DNS forjándolos con claves criptográficas públicas por lo que permite bloquear los ataques "man-in-the-middle” mediante la verificación de que el internauta se conecta a un sitio legítimo y no a una web falsa creada – generalmente – con el fin de robar cualquier tipo de información personal.

El problema es que, una gran parte de los ataques de malware, son realizados a través de sitios web perfectamente legítimos que han sido infectados o comprometidos, contra lo cual el sistema DNSSEC es completamente inocuo.

Pero, para ser eficaz, DNSSEC debe aplicarse por completo en la cadena DNS, desde los servidores de nombres raíz, pasando por el ISP y llegando al usuario final.

El primer eslabón en la cadena es el que controlan los registradores de dominios de nivel superior. En este sentido, algunos de estos dominios ya están usando DNSSEC (.uk,. org, .se, .br, .bg o .cz) desde hace unos meses y muchos más son los que se lo están planteando en la actualidad.

A continuación, vienen los PSI’s o ISP’s, es decir, los proveedores de servicios de Internet. Numerosos estudios indican que, en EEUU, la gran mayoría de ISP’s habrán migrado por completo a DNSSEC en  2011. No obstante, muchos de ellos niegan la mayor ya que supondría un incremento de costes que tan solo los grandes están dispuestos a asumir. Por ello, parece que en este segundo nivel, la discusión todavía está encima de la mesa.

Respecto a las empresas y organizaciones, si bien es cierto que la mayor parte de ellas han actualizado hoy en día sus recursos físicos y lógicos, ¿Qué ocurrirá con todas las entidades que aún disponen de servidores soportados por sistemas operativos, enrutadores de red y plataformas diseñadas para trabajar con protocolos que tienen más de 20 años?

Si algo sabemos es que DNSSEC cambia fundamentalmente la manera de comportarse que tienen los protocolos de nuestras redes actuales, por lo que tanto routers como cortafuegos configurados para el viejo modelo podrían colapsarse con grandes paquetes de datos DNSSEC y terminar en un bloqueo permanente. Esto podría ser un gran desastre, porque sin DNS puede hacerse muy poco hoy en día, y encontrar los dispositivos incompatibles en la topología de red de una empresa de mediano tamaño puede ser todo un reto. Por ello, a pesar de que aún no existe una fecha límite para cambiar a DNSSEC, las empresas deberían estudiar la posibilidad de pensar un poco más en sus planes de continuidad de negocio, teniendo en cuenta la disponibilidad como punto de vista principal.

En cuanto al último eslabón de la cadena - los usuarios – decir que para ellos la transición será un asunto relativamente sencillo ya que su ISP y su sistema operativo (salvo los que aún dispongan de Windows 98) harán la mayor parte del trabajo por lo que todo el proceso se llevará adelante de forma transparente.

Pero aún más allá de los problemas de compatibilidad de protocolos, también hay cuestiones “políticas” que hay que superar como quién va a asignar y validar los certificados, es decir, quién va a asumir el rol de autoridad de certificación y/o validación. Esta pregunta aún está en el aire por el momento.

Quizás lo más importante en el posible despliegue de DNSSEC es que podría sentar de una vez por todas las bases para la implantación del protocolo IPv6, que incluye elementos que podrían mejorar drásticamente la seguridad de Internet. A diferencia de IPv4, IPv6 admite la posibilidad de encriptar el tráfico de punto a punto, lo que supone que todo el tráfico de datos de una red vaya encriptado con independencia de la aplicación que se esté usando.

Además, la fuerza motriz principal para la implantación de IPV6 es el – cada vez más cercano - agotamiento de las direcciones IPv4 disponibles. Se han barajado muchas fechas y han sido lanzados al aire los peores presagios acerca del día en el que esto ocurra, pero lo cierto es que aún hoy nada está claro y el intercambio de datos contra servidores DNS que validan y mapean las conexiones sigue estando desprotegido.

Mientras tanto, quizás una apuesta por el sistema DNSSEC no sea del todo descabellada…

Comentarios

Añadir nuevo Buscar

Escribir comentario
Nombre:
Email:	No notificar:Notificar:
Website:
Título:
Código UBB:	-color-aguanegroazulfucsiagrisverdelimamarrónmarinoolivapúrpurarojoplataturquesablancoamarillo -tamaño-minúsculopequeñomedianograndeenorme
	Por favor introduce el código anti-spam que puedes leer en la imagen.

Powered by !JoomlaComment 4.0alpha3

!joomlacomment 4.0 Copyright (C) 2009 Compojoom.com . All rights reserved."