DNSSEC (2): adopción, implementación y buenas prácticas

Tarsis.net, 24 de mayo de 2024

Crédito imagen: Google Deepmind

Aunque DNSSEC ofrece una capa crítica de protección para uno de los servicios más fundamentales de Internet, su adopción está siendo lenta y se enfrenta a una serie de desafíos.

En el artículo anterior veíamos cuáles son los principios de DNSSEC y qué problemas de seguridad soluciona. Aparentemente sus ventajas deberían inducir a muchas organizaciones a considerar su adopción como una prioridad pero, ¿cómo está siendo la adopción de estas extensiones de seguridad?

Adopción de DNSSEC

Según estadísticas recientes, aproximadamente el 30% de los dominios de nivel superior (TLD) a nivel mundial han implementado DNSSEC. Sin embargo, la adopción entre los dominios individuales sigue siendo relativamente baja, con menos del 5% de todos los dominios registrados que han habilitado DNSSEC.

• Geográficamente Europa es la región que más ha avanzado en la implementación de DNSSEC. Países Bajos y Suecia, los países más avanzados, muestran un porcentaje de adopción en torno al 50%.
• Norteamérica es la segunda área con una mayor tasa de adopción, pero a una considerable distancia, porque su porcentaje de dominios que utilizan esta tecnología desciende al 20%
• Asia es una región con una tasa de adopción muy irregular, que está más avanzada en Japón, pero mucho menos en China e India.
• Finalmente, Sudamérica dispone de menos de un 5% de sus dominios protegidos con DNSSEC.

Según datos de 2014, los últimos disponibles en INCIBE, y exclusivamente sobre los dominios .ES (que no son todos los que se utilizan en España), el porcentaje de adopción en España sería inferior al 1%. No obstante estas cifras deben considerarse como desfasadas, dado que en aquel año eran muy pocos los proveedores de registro de dominios .ES que soportaban DNSSEC.

Según datos proporcionados por APNIC, la adopción actual en España sería de un 22,75% de las zonas .ES. Ya es triste que estadísticas sobre adopción de tecnología en España nos tengan que llegar desde Asia-Pacífico.

En cuanto a los sectores más avanzados en dotarse de un DNS más seguro, son las administraciones públicas, los operadores de telecomunicaciones, las empresas que utilizan comercio electrónico y las universidades los que encabezan la lista.

Aunque en España parece que eso esté aún por ocurrir:

$ delv ucm.es
; unsigned answer
$ delv upm.es
; unsigned answer
$ delv ub.es
; unsigned answer
$ delv upc.es
; unsigned answer
$ delv movistar.es
; unsigned answer
$ delv telefonica.es
; unsigned answer
$ delv vodafone.es
; unsigned answer
$ delv orange.es
; unsigned answer
$ delv masmovil.es
; unsigned answer
$ delv jazztel.es
; unsigned answer
$ delv yoigo.es
; unsigned answer
$ delv dominios.es
; unsigned answer
$ delv red.es
; unsigned answer
$ delv bbva.es
; unsigned answer
$ delv bancosantander.es
; unsigned answer
$ delv bankinter.es
; unsigned answer
$ delv caixabank.es
; fully validated
caixabank.es.		300	IN	RRSIG	A 5 2 300 20240530015817 20240524015443 38946 caixabank.es. DEb4UpFXCU+wHcuMmt6CsdNeLwZRAUrCFPPexZecPx9TIdmMrtrmMt3n x/p7qM62eCoUG6NfWOXu3ueeAAicDvuEPvKUmsJp39K+Owp6fAc78wdy IK2P8FzUa+/mAVa2IKaKxd8NopMfGkGq5lip6mQw4j61PS9s1d/hhVpO Ehc=

¡Uau! Esto es fantástico, teniendo en cuenta cuántas jornadas, seminarios y ruedas de prensa dan hoy en día instituciones oficiales, bancos, universidades y operadores de telecomunicaciones para pontificar sobre ciberseguridad: aparece un personaje muy serio y concienciado, con aire muy profesional, mirando reprobadoramente a los asistentes como si no hubieran hecho sus deberes. Para partirse. Y enhorabuena a Caixabank, por tener clara la importancia que su infraestructura Internet tiene para sus clientes.

¿Por qué es lenta la adopción de DNSSEC?

Hay varios factores que hacen que un elemento de seguridad tan fundamental en las transacciones que tienen lugar en Internet esté tan lejos de la conciencia de lo importante y de lo urgente de los responsables:

• El DNS está básicamente ubicado en las catacumbas de Internet. Para muchos usuarios, y también para muchos administradores de servicios, es poco más que una dirección IP que se configura en el ordenador personal o incluso en un servidor o, a lo más, una colección de registros que dejan de interesar en el momento en que las cosas funcionan.
• DNSSEC requiere entender los mecanismos de criptografía asimétrica que forman parte de sus principios. No son conceptos excesivamente elaborados, ni requieren un doctorado en criptografía, pero su implementación puede suponer un reto y una complicación que nos distrae de la urgencia diaria, así que se convierten en una molestia postergada hasta el momento en que ya no se pueda dejar para más tarde.
• No todos los dominios de primer nivel (TLD), proveedores de registro de dominios y servidores de DNS tienen soporte para DNSSEC. Hace falta investigar las posibilidades técnicas a nuestro alcance y los proveedores en los que confiamos para poder dar el paso a DNSSEC.
• Una implementación incorrecta de DNSSEC nos puede dejar con una falsa confianza de seguridad. Esto significa que nuestro DNS debe ser bien configurado y auditado de tanto en tanto para tener la garantía de que es todo lo seguro que puede ser.

En general, el coste de implementación es el factor menos relevante para su adopción y mantenimiento. Siempre se puede trabajar con alguien familiarizado con esta tecnología tanto para su configuración como para su monitorización periódica.

Pasos para adoptar DNSSEC

En primer lugar siempre hay que hacer una evaluación del punto de partida y del punto de llegada: dónde estamos y dónde queremos llegar.

• ¿Disponemos ya de DNSSEC? Si es que sí, ¿está funcionando con garantías?
• ¿Nuestro dominio de primer nivel (TLD) tiene soporte para DNSSEC? Hay una buena probabilidad de que sea así.
• ¿Nuestro proveedor de DNS tiene soporte para DNSSEC? o, si nosotros administramos nuestro propio servicio de DNS, ¿nuestro servidor de DNS soporta DNSSEC y cuál es la documentación de ese servidor al respecto? Si no es así, tendremos que hacer cambios.
• ¿Disponemos de personal capacitado para la implementación de DNSSEC? Si no disponemos de él, no se preocupe, porque nosotros podemos ayudarle en colaboración con su propio personal, y no le vamos a desequilibrar el presupuesto.

Una vez que conozcamos perfectamente nuestras coordenadas de partida, y sabiendo que nuestro punto de llegada es un servidor de DNS fiable, estable y bien asegurado por DNSSEC, sólo nos queda poner en marcha las acciones necesarias:

• Revisar nuestra zona de DNS para dejarla perfectamente alineada con nuestros servicios actuales.
• Generar las claves (pública y privada) que servirán de soporte criptográfico a nuestras operaciones de DNS.
• Activar DNSSEC en nuestro dominio.
• Activar DNSSEC en nuestro servidor de DNS.
• Publicar los registros correspondientes en nuestro servidor de DNS.
• Publicar los registros correspondientes en nuestro dominio.
• Realizar todas las pruebas necesarias para validar la nueva instalación.
• Auditar el funcionamiento de DNS/DNSSEC periódicamente para detectar cualquier problema o degradación del servicio.

Y, como toda actividad técnica, nuestras operaciones sobre esta nueva instalación deben estar comprometidas con una serie de buenas prácticas:

• Custodia de la clave privada y sus procedimientos.
• Renovación periódica de las claves, para mejorar su seguridad.
• Monitorización continuada del servicio.

No era tan difícil, ¿no? Si cuenta con el personal y/o el asesoramiento adecuado, puede hacer pasar sus servicios Internet al siguiente nivel de seguridad. No lo dude, porque tarde o temprano va a tener que hacerlo, y siempre será mejor no esperar a haber recibido un susto.

¿Quiere que hablemos sobre DNSSEC para su dominio? No hay ningún compromiso. Póngase en contacto con nosotros y charlemos tranquilamente sobre ello. Estaremos encantados de recibir noticias suyas.