Las DNS de Google ahora soportan DNSSEC

Escrito por Rubén Velasco
Redes
1

Hace aproximadamente 3 años, Google lanzó un servicio público de DNS para hacer de internet un lugar más rápido y seguro.

Mucha gente se ha aferrado a dichas DNS debido a que son más fáciles de recordar que las del ISP contratado (8.8.8.8 y 8.8.4.4), son más estables y en muchos casos ofrecen un tiempo de respuesta menor. En cuanto a seguridad, Google acaba de mejorar su servicio de DNS añadiendo soporte para DNSSEC.

¿Qué es DNSSEC?

El “Domain Name System Security Extensions (DNSSEC)” es una suite desarrollada por las especificaciones de “Internet Engineering Task Force (IETF)” para obtener cierto tipo de información proporcionada por el DNS que se utiliza en Protocolo de Internet (IP). Se trata de un conjunto de extensiones DNS que proporcionan a los clientes DNS autenticación del origen de datos de DNS, la negación autenticada de la existencia y la integridad de datos, pero no disponibilidad o confidencialidad.

Un servidor de DNS normal no incluye seguridad. Un servidor que incluya DNSSEC aumenta considerablemente esta seguridad y mantiene una total compatibilidad con la plataforma anterior, por lo que su funcionamiento es transparente.

DNSSEC fue diseñado para proteger a los DNS falsificados, por ejemplo, los creados por un método de “DNS cache poisoning”. Todas las respuestas en DNSSEC son firmadas digitalmente. Al comprobar la firma digital, somos capaces de comprobar si la información es idéntica a la información en el servidor DNS autorizado. Si la protección de las direcciones IP es la preocupación principal de muchos usuarios, DNSSEC puede proteger otra información como por ejemplo certificados de cifrado de propósito general almacenadas en registro.

El principal inconveniente de DNSSEC es que no garantiza la confidencialidad de los datos. En particular, todas las respuestas de DNSSEC se autentican, pero no se cifran, no protege directamente contra los ataques DDoS, aunque indirectamente proporciona algún beneficio.

Podemos comprobar el estado de DNSSEC gracias DNSSEC Validator, un plugin del navegador Mozilla Firefox que permite comprobar la existencia y validez de los registros DNSSEC de un nombre de dominio en la ventana del navegador. El resultado de la comprobación se muestra con brotes de colores y textos directamente en la barra de direcciones de la página. Podemos descargarlo e instalarlo desde su web oficial. También podemos comprobarlo desde una web analizadora, por ejemplo, DNSSEC Analyzer.

La introducción de DNSSEC en dicho servicio de Google es sin duda una buena noticia para todos los usuarios que utilizan dicho servicio.