Seguridad de DNS

En la cima de la jerarquía del Sistema de nombres de dominio (DNS) se encuentran los clústeres de servidores que mantienen los datos de la zona raíz. Aplicaciones web como eCommerce, SaaS, redes sociales e incluso el correo electrónico dependen del DNS. Infortunadamente, el DNS contiene los nombres desprotegidos y vulnerables de los servidores de copia caché, que son fácil presa de los hackers para secuestrar el tráfico web que contiene datos confidenciales.

La comunidad desarrolladora de DNS recomienda como solución las Extensiones de seguridad del sistema de nombres de dominio (DNSSEC), las cuales usan firmas digitales y cifrado de claves públicas para permitir a los servidores web verificar los nombres de dominio de sus sitios web y las direcciones IP correspondientes. Las zonas raíz de DNS están en la necesidad urgente de ser firmadas digitalmente, ya que la demora en hacerlo es perjudicial para la integridad ininterrumpida de la Internet, eCommerce y aplicaciones web. Firmar las zonas configuraría en efecto los nombres de los servidores de copia caché para tomar en cuenta la seguridad.

Los módulos de seguridad en hardware (HSM) de SafeNet cumplen los exigentes requisitos de resistencia y disponibilidad necesarios para asegurar la integridad del espacio de los nombres de dominio. Los HSM son sistemas dedicados que aseguran física y lógicamente las claves criptográficas y procesos de cifrado que se encuentran en el núcleo de las firmas digitales. Los HSM aseguran al servidor DNS de manera que la generación de claves, el almacenamiento de las claves privadas y la firma de las zonas se ejecuta en un servidor DNS que físicamente tiene un acceso restringido solamente al personal esencial.

Administración de claves de SafeNet para la seguridad de DNS

• Apoya los sistemas de inicio de cadena (Anchor Trust) DNSSEC
• Seguridad de las claves para la raíz y la jerarquía completa DNS - ZSK y KSK
• Potente motor criptográfico que transfiere la carga del servidor DNS
• Extenso arreglo de HSM que corresponde con los múltiples requisitos de DNSSEC
• Las API estándar incluyen a PKCS#11, Java, MS CAPI
• Modelos disponibles validados por FIPS y certificados por criterio común
• Se integra con plataformas DNS líderes como OpenDNSSEC, BIND 9.7, FreeBSD

• HSM de propósito general, embebido
• HSM de propósito general, conectado a la red