Soluciones de seguridad para servidores DNS

Sin seguridad propia, los servidores del Sistema de nombres de dominio (DNS) de una serie de organizaciones se han visto en el riesgo repetido de posibilitar una serie de esfuerzos maliciosos que incluyen envenenamiento de caché, redireccionamiento de llamadas telefónicas, ataques de intermediario para robar contraseñas, redireccionamiento de correos electrónicos, ataques de denegación de servicios y más.

Las extensiones de seguridad de los sistemas de nombres de dominio (DNSSEC) aseguran la jerarquía del servidor DNS mediante la firma digital de registros DNS para garantizar que los mensajes recibidos sean los mismos que los enviados.

La seguridad del servidor DNS requiere una fuerte seguridad de claves

DNSSEC esencialmente implementa infraestructuras de clave pública (PKI) para proporcionar un método de comunicación segura entre servidores DNS. Al ser una PKI, DNSSEC requiere de algunos procedimientos nuevos, como la generación, firma y administración de claves. Pero, a pesar de todos los beneficios potenciales de DNSSEC, los beneficios previstos no están garantizados porque los registros de recursos introducidos por DNSSEC se guardan en un archivo no cifrado.

Solo cuando toda la infraestructura de DNSSEC esté total y completamente protegida, las organizaciones podrán comenzar a disfrutar plenamente de los beneficios de DNSSEC. Para hacerlo, necesitan capacidades para hacer lo siguiente:

• Firmas digitales seguras. Los mensajes DNS deben firmarse digitalmente para garantizar la validez de los servicios DNS.
• Control de accesos. Las organizaciones deben asegurarse de que solo los clientes autorizados y el personal interno puedan acceder a aplicaciones y datos confidenciales.
• Mantener la integridad de la aplicación. Todo el código y los procesos de la aplicación relacionados deben estar protegidos para garantizar la integridad y prohibir la ejecución de aplicaciones no autorizadas.
• Amplíe para organizar grandes volúmenes de documentos. Dado que las actualizaciones de DNS son muy frecuentes, las infraestructuras de DNSSEC deben ofrecer el rendimiento y la escalabilidad necesarios para garantizar un procesamiento oportuno en todo momento.

Seguridad del servidor DNS con módulos de seguridad de hardware

Para garantizar la validez de los servicios DNS, DNSSEC emplea criptografía de clave pública para firmar digitalmente los mensajes DNS. Para obtener la seguridad requerida, es vital una protección sólida de las claves de firma privadas. Si las claves y sus correspondientes certificados digitales se ven comprometidos, la cadena de confianza en la jerarquía del DNS se rompe y todo el sistema queda obsoleto. Aquí es donde entran en juego losmódulos de seguridad de hardware (HSM)

Los módulos de seguridad de hardware (HSMs) son sistemas exclusivos que aseguran las claves criptográficas que se encuentran en el corazón de las firmas digitales de forma física y lógica. Los HSMs admiten las siguientes funciones:

• Administración del ciclo de vida, que incluye la generación, distribución, rotación, almacenamiento, anulación y archivo de claves.
• Procesamiento criptográfico, que produce el doble beneficio de aislar y descargar el procesamiento criptográfico de los servidores de aplicaciones.

Al almacenar claves criptográficas en un dispositivo centralizado y reforzado, los HSMs pueden eliminar los riesgos asociados con estos activos alojados en plataformas dispares y poco seguras. Además, esta centralización puede optimizar significativamente la administración de la seguridad.

HSMs de Thales para DNSSEC:

• Apoya sistemas DNSSEC Anchor Trust
• Seguridad clave para la jerarquía de DNS raíz y completa: ZSK y KSK
• El potente motor criptográfico descarga la carga criptográfica del servidor DNS
• La amplia gama de HSMs se adapta a múltiples requisitos de DNSSEC
• API estándar que incluyen PKCS#11, Java, MS CAPI
• Disponibles modelos validados por FIPS y certificados por Common Criteria
• Se integra con las principales plataformas DNS como OpenDNSSEC, BIND 9.7, FreeBSD