Servicio DNSSEC

Proteja su dominio contra el «cache poisoning»

¿Qué es DNSSEC?

Un servidor DNS sirve para obtener la dirección IP correspondiente a un dominio (una URL en el caso de un sitio web). Su mecánica se asemeja a la de un directorio telefónico. Los navegadores necesitan la dirección IP para poder conectarse al servidor web responsable de la página que el usuario desea visitar porque la dirección IP identifica de forma única a cada máquina conectada a internet, igual que un número de teléfono. Es un eslabón discreto pero fundamental para la seguridad en internet.

En los últimos años, los piratas informáticos han perfeccionado los métodos de «envenenamiento» de los servidores DNS, lo que les permite desviar el tráfico hacia sus propios servidores (phishing, etc.) falsificando las respuestas del DNS.

Activar DNSSEC

¿Necesita ayuda para configurar una zona DNSSEC en su servidor dedicado?

Consultar la guía

¿Para qué sirve un DNS?

El usuario introduce la dirección www.ovh.es en su navegador de internet, que envía una petición al servidor DNS. Este devuelve la dirección IP correspondiente: 213.186.33.34.

Una vez que el navegador conoce la dirección IP del servidor que aloja la web www.ovh.es, envía una petición a dicha dirección IP, que devuelve el contenido de la página.

El peligro: «cache poisoning»

Un pirata informático puede aprovechar un fallo de seguridad en el servidor DNS para lograr introducirse en el servidor y cambiar la dirección que corresponde a www.ovh.es por la IP de un servidor suyo: 203.0.113.78.

Cuando un usuario introduce la dirección www.ovh.es, su navegador se dirige al servidor DNS para obtener la dirección IP correspondiente. El DNS infectado devuelve la dirección introducida por el hacker: 203.0.113.78.

El navegador utiliza esa dirección IP para obtener el contenido del sitio web. El servidor pirata le muestra una página semejante a www.ovh.es para, por ejemplo, conseguir sus datos personales («phishing»).

¿Para qué sirve DNSSEC?

DNSSEC permite asegurar la autenticidad de la respuesta DNS. Así, cuando el navegador envía una petición, la respuesta incluye una clave de autentificación que indica que la IP devuelta es correcta.

De ese modo, cuando el usuario recibe una IP validada por DNSSEC, sabe que está accediendo al sitio web correcto.

Si un pirata informático intenta modificar la tabla que contiene el servidor DNS protegido con DNSSEC, este deniega la petición, ya que la información enviada no está firmada.