Contact Us
Banner de encabezamiento

Seguridad del sistema de nombres de dominio (DNS)

Ícono de seguridad de DNS

Sin seguridad inherente, los servidores del DNS (sistema de nombres de dominio) en un host de organizaciones se van visto en peligro en forma repetida por habilitar un host de intentos maliciosos, incluida la intoxicación de caché (inyectando datos incorrectos o fraudulentos en el caché de un servidor de nombre, que luego sirve a los usuarios), el redireccionamiento de llamadas, los ataques de tipo man-in-the-middle para robar contraseñas, el reenrutamiento de correos electrónico, el rechazo de ataques de servicio y más.

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) aseguran la jerarquía de servidores DNS firmando digitalmente los registros DNS a fin de garantizar que los mensajes recibidos coincidan con los mensajes enviados.

Mediante la instalación de DNSSEC, las organizaciones pueden:

  • Fortalecer la seguridad. La seguridad de DNS puede ayudar a proteger contra la intoxicación de caché, el redireccionamiento de llamadas, los ataques de tipo man-in-the-middle y más.

  • Garantizar el cumplimiento. DNSSEC puede ayudar a abordar ICANN, NSEC y otras disposiciones y directrices.

  • Reducir los costos. Al salvaguardar contra una gama de amenazas basadas en la red, las organizaciones pueden reducir el tiempo y los costos relacionados con la mitigación de amenazas y los análisis de peritaje y reparación posteriores a los ataques.


Sin una seguridad sólida, la seguridad de DNS puede estar en peligro

Ícono verde de clave criptográfica

DNSSEC implementa esencialmente infraestructuras de clave pública (PKI) para proporcionar un método de comunicación segura entre servidores del sistema de nombres de dominio (DNS). Como PKI, DNSSEC requiere algunos procedimientos nuevos como la generación de claves, firma y administración de claves. Pero, para todos los beneficios potenciales de DNSSEC, las ganancias pretendidas no están garantizadas ya que los registros de recursos que presenta DNSSEC se guardan en un archivo no cifrado.

Solamente cuando toda la infraestructura DNSSEC está asegurada de manera total e integral, las organizaciones pueden comenzar a disfrutar completamente los beneficios de DNSSEC. Para esto, necesitan capacidades que realicen lo siguiente:

  • Asegurar las firmas digitales. Los mensajes DNS deben estar firmados digitalmente a fin de garantizar la validez de los servicios DNS.

  • Controlar el acceso. Las organizaciones deben garantizar que solo los clientes autorizados y el personal interno tengan acceso a datos y aplicaciones confidenciales.

  • Mantener la integridad de las aplicaciones. Todos los procesos y códigos de aplicaciones relacionados deben asegurarse a fin de garantizar la integridad y prohibir la ejecución no autorizada de aplicaciones.

  • Escalar para acomodar el procesamiento de grandes volúmenes. Debido a que las actualizaciones de DNS son muy frecuentes, las infraestructuras DNSSEC deben proporcionar el rendimiento y la escalabilidad necesarios para garantizar el procesamiento oportuno en todo momento.

View Módulos de seguridad de hardware Biblioteca de recursos

Seguridad de DNS con módulos de seguridad en hardware

Ícono de módulo de seguridad de hardware

Para garantizar la validez de los servicios DNS, DNSSEC emplea criptografía de clave pública para firmar digitalmente los mensajes DNS. Para llevar a cabo la seguridad necesaria, resulta vital la protección sólida de claves de firma pública. Si las claves y los certificados digitales correspondientes están en peligro, se rompe la cadena de confianza de la jerarquía DNS, volviendo obsoleto todo el sistema. Aquí entran en juego los módulos de seguridad de hardware (HSM).

Los HSM son sistemas dedicados que aseguran física y lógicamente las claves criptográficas y procesos de cifrado que se encuentran en el núcleo de las firmas digitales. Los HSM admiten las siguientes funciones:

  • Administración del ciclo de vida, incluida la generación de claves, distribución, rotación, almacenamiento, finalización y archivo.

  • Procesamiento criptográfico, que produce beneficios dobles al aislar y descargar el procesamiento criptográfico desde servidores de aplicaciones.

Al almacenar claves criptográficas en un dispositivo centralizado y protegido, los HSM pueden eliminar los riesgos asociados con la conservación de estos activos en plataformas mal aseguradas e independientes. Además, esta centralización puede agilizar notablemente la administración de seguridad.

Seguridad de DNS con diagrama de HSM de SafeNet


[Diagrama] Vea cómo funciona: Seguridad de DNS con HSM de SafeNet

HSM de SafeNet para DNSSEC:

  • Admite los sistemas de ancla de confianza (Anchor Trust) DNSSEC

  • Seguridad de claves para la raíz y la jerarquía completa DNS: ZSK y KSK

  • Potente motor criptográfico que transfiere la carga del servidor DNS

  • Extenso arreglo de HSM que corresponde con los múltiples requisitos de DNSSEC

  • Las API estándar incluyen a PKCS#11, Java, MS CAPI

  • Modelos disponibles validados por FIPS y certificados por criterio común

  • Se integra con plataformas DNS líderes como OpenDNSSEC, BIND 9.7, FreeBSD

Vea detalles del producto HSM

Solicite más información


View Cómo Comprar Biblioteca de recursos

Utilice este formulario para ponerse en contacto con ventas.

Americas
Teléfono: 866-251-4269
Complete esta corta forma
EMEA
Teléfono: +44-01276-608000
Complete esta corta forma
APAC
Teléfono: 866-251-4269
Complete esta corta forma

Ventas Federal E.E.U.U. tipo 1
Teléfono: 443-327-1235
Complete esta corta forma

Direcciones de las oficinas
Encuentre un socio
Solicite Preguntas? Ver información de contacto aquí.
View Descripción general Biblioteca de recursos
DNS Hierarchy
CTA HSM Critical Risk Mgmt WP