Utilizamos los servidores DNS todos los días. Es uno de los fundamentos básicos de internet, y según nuestro criterio es la base de datos más importante. Pero también son los fundamentos de la confianza y seguridad del internet actual. Al final nos traduce de un nombre a una dirección, y si la dirección fuese incorrecta tendríamos un gran problema.
Para poder entender este problema y poder conocer mejor el cambio de claves, necesitamos diversos conocimientos que vamos a recordar. Necesitamos saber qué es un servidor DNS, cómo funciona y cómo nos afecta su seguridad. Por suerte mucha gente conoce cómo se cambian. Mucha gente utiliza los de Google o Cloudflare ya que se dice que funcionan mejor.
¿Qué es DNS?
Si nos comparamos con el mundo analógico serían las Páginas Amarillas, el clásico listín telefónico que estaba en todas las casas. Y al final lo mismo sucede en el mundo de internet, cuando queremos ir a infseg.com necesitamos conocer dónde está. Para ello el sistema de nombres de dominio (DNS) se encargará de ello.
Funciona de la siguiente forma, cuando le decimos a nuestro navegador una dirección, por ejemplo infseg.com, el va a preguntar por infseg.com.. Hay que fijarse en el punto final, por lo tanto la búsqueda sería la siguiente: . → com → infseg. Al final es la resolución de un arbol, el punto (.) representa a los servidores raíz. Estos son la base de todo, conocen la dirección de los servidores de dominio de nivel superior (TLD). Los servidores DNS de cada TLD conoce lo que está por debajo. Existen caso de servidores DNS de algún TLD que tiene zonas delegadas. Y por último iría al DNS del dominio.
Aunque si todos usasemos estos servidores existirían diversos problemas. Para los servidores raíz lo vamos a ver en el siguiente capítulo. Para todo lo demás se suelen utilizar servidores DNS de diversas empresas, que se encargan de obtener la dirección esperada. Además estos servidores almacenan la información para ser más eficientes y eliminar carga a los demás servidores.
¿Dónde están los servidores DNS raíz?
Los servidores raíz son 13, cada uno de ellos tiene una IP fija y está gestionado por una empresa en concreto. Los servidores fueron nombrados con letras desde al ‘A’ hasta la ‘M’. Aunque en el mundo real existen muchas instancias de cada uno de estos servidores, según el mada de root-servers.org hay 1469 instancias en global. Esto limita los problemas de denegación de servicio y protege para que internet siga siendo “libre”.
El problema vendría si alguno de estos servidores tiene un valor incorrecto y éste llega al cliente. Para ello tenemos DNSSEC. Aunque existen más métodos de protección para el usuario final, muchos de estos hacen que se necesiten servidores más grandes. Las otras soluciones son: DNS over TLS o DNS over HTTPS.
¿Qué es el protocolo DNSSEC?
El protocolo DNSSEC es una forma de confirmar la integridad del dato que llega al usuario final. Partiendo del servidor raíz hasta llegar al servidor necesario. Cada uno de los pasos utilizar la clave del anterior para asegurarse que la cadena de información llega de forma íntegra. Pero claro, si pensamos en ello nos surgue un problema: ¿quien certifica que la clave del servidor raíz es correcta?
Y aquí llega el problema con su solución. Los certificados de los servidores raíz son esenciales para que todo lo que tenemos sea seguro. Se podría decir que es el eslabón más débil, pero esto se soluciona asegurándose que el cambio de claves se hace de forma segura.
Cómo funciona el cambio de claves.
El cambio de claves es una proceso largo, documentado, auditado y con mucha seguridad. Este proceso además es público y existe la posibilidad de poder acudir a verlo. También se retransmite en directo, quedando almacenado.
El objetivo de este artículo es entender un poco el porqué del cambio de claves y cómo funciona, si alguna persona está interesada en un estudio en profundidad recomendamos ir a Stackscale o a Clouflare.
Simplificando todo el proceso comenzamos en una sala con en una zona segura con dos cajas fuertes en su interior. En la primera encontraremos cajas de seguridad con unas llaves especiales. En la segunda caja fuerte está el hardware necesario para poder realizar el cambio de claves.
Para realizar el proceso es necesario acceder a tres de las cajas de la primera caja fuerte. De las personas que tiene acceso a esas cajas tres estarán presentes de forma obligatoria durante la ceremonia. Además estarán presente las personas encargadas de abrir las cajas fuertes, una para cada caja fuerte.
Así mismo, en todo momento habrá siempre más de dos personas revisando lo que sucede, y además se estará grabando en vídeo mostrando a cámara todo.
Con la información de las tres cajas de seguridad y el hardware se procede a realizar el proceso del cambio de clave. Una vez firmada la nueva clave se confirma con una entidad externa. La nueva clave actualiza a las anteriores y se acabaría el proceso. Ahora hay que volver a dejar todo en su sitio y firmar las actas por todos los integrantes. Éstas también son públicas y se pueden ver en la propia página de los cambios de clave de IANA.
Conclusiones
Los servidores DNS siguen siendo la base de todo el internet conocido. Es necesario que sigan manteniéndose seguros, y se siga trabajando en diversas mejoras. Al final todos dependemos de los servidores raíz y de diversos servidores DNS que nos dan servicio. Recomendamos que revisen que su servidor DNS tengan DNSSEC disponible y funcionando para proteger a sus clientes.
Si quieren más información del funcionamiento de DNSSEC recomendamos un artículo de INCIBE.