Como configurar DNSSEC

 

www.onlinetis.com

Para configurar DNSSEC, necesitas seguir una serie de pasos que varían ligeramente dependiendo de si eres el propietario de un dominio o un operador de servidor de nombres. En general, el proceso implica habilitar DNSSEC en tu servidor DNS, generar las claves necesarias y luego registrar la información de delegación segura (DS) en el registrador de dominios.

Para el Propietario de un Dominio

  1. Habilitar DNSSEC en tu Proveedor de Alojamiento o Registrador:

    • La forma más sencilla de activar DNSSEC es a través del panel de control de tu proveedor de alojamiento web o registrador de dominios. Muchos proveedores ofrecen una opción simple de "activar DNSSEC" que se encarga de todo el proceso por ti.

    • Si tu proveedor no ofrece esta opción automática, te pedirá que ingreses los registros de DS (Delegation of Signing).

  2. Obtener los Registros de DS:

    • Si estás gestionando tu propio servidor DNS, necesitarás obtener los registros de DS de tu servidor de nombres. Un registro de DS contiene el nombre de dominio, el algoritmo de clave de firma de clave (KSK), el tipo de resumen de la clave pública (Digest Type) y el resumen de la clave pública (Digest).

  3. Registrar los Registros de DS:

    • Inicia sesión en la cuenta de tu registrador de dominios (donde compraste el nombre de dominio).

    • Busca la sección de configuración de DNS o "DNSSEC".

    • Introduce los registros de DS que obtuviste.

    • Guarda los cambios.

Para un Operador de Servidor de Nombres

  1. Generar Claves DNSSEC:

    • Necesitas generar dos tipos de claves: la Clave de Firma de Clave (KSK) y la Clave de Firma de Zona (ZSK).

    • La KSK firma la clave ZSK y es la que se publica al registrador de dominios.

    • La ZSK firma los registros de la zona DNS (A, MX, CNAME, etc.).

    • Puedes usar herramientas como dnssec-keygen de BIND para generarlas:

      • dnssec-keygen -a ECDSAP256SHA256 -b 256 -n ZONE example.com (para la ZSK)

      • dnssec-keygen -f KSK -a ECDSAP256SHA256 -b 256 -n ZONE example.com (para la KSK)

  2. Firmar la Zona:

    • Usa una herramienta como dnssec-signzone para firmar tu zona DNS. Este comando tomará tu archivo de zona y las claves generadas para crear un nuevo archivo de zona firmado que incluye los registros RRSIG (Resource Record Signature) y NSEC/NSEC3.

    • dnssec-signzone -o example.com -k Kexample.com.+013+55667 example.com.db Kexample.com.+013+12345

  3. Configurar el Servidor DNS:

    • Asegúrate de que tu servidor de nombres (como BIND) esté configurado para servir la zona firmada.

    • La configuración del servidor debe incluir los registros DS y las claves en la zona.

  4. Publicar los Registros de DS:

    • Con el servidor configurado, debes obtener el registro de DS a partir de la KSK.

    • dnssec-dsfromkey Kexample.com.+013+55667

    • Este comando generará el registro DS que debes proporcionar al registrador de dominios para que lo publique en el dominio padre (.com, .net, etc.).

¿Qué sucede con la configuración de DNSSEC?

Cuando activas DNSSEC, se establece una cadena de confianza desde la raíz del DNS hasta tu dominio.

  1. Registrador: Tú, como propietario, subes el registro DS de tu KSK al registrador. El registrador a su vez sube ese registro a la zona padre (ej. .com).

  2. Servidor de Nombres Raíz: La zona .com tiene un registro DS que apunta a la zona .com.es, y así sucesivamente, hasta llegar a tu dominio.

  3. Resolución de DNS: Cuando un usuario intenta acceder a tu sitio web, un resolvedor DNS con validación DNSSEC (como el de Google, 8.8.8.8) verifica las firmas digitales en cada paso de la cadena. Si alguna firma no coincide, la validación falla y el resolvedor no entrega la dirección IP, protegiendo al usuario contra ataques de envenenamiento de caché.

Es importante recordar que DNSSEC es una capa de seguridad adicional que protege la integridad de los datos de DNS, no la confidencialidad. No protege contra ataques DDoS o ataques a la capa de aplicación (como ataques de inyección SQL).

Location: España

Entradas populares de este blog

Ciberseguridad y hacking con Whatweb

Imagen
www.onlinetis.com WhatWeb es una herramienta de código abierto para realizar fingerprinting o huella digital de sitios web . Su principal función es identificar las tecnologías, aplicaciones, servidores y otras configuraciones que se utilizan en una página web. Es muy popular en el ámbito de la ciberseguridad, especialmente en la fase de reconocimiento de una auditoría de seguridad o un test de penetración. ¿Cómo funciona WhatWeb? WhatWeb opera analizando una página web en busca de "firmas" o patrones que revelan la tecnología subyacente. En lugar de ser un escáner de vulnerabilidades completo, se centra en la recopilación de información. Para ello, examina diversos elementos del sitio web, incluyendo: Encabezados HTTP : Analiza las respuestas del servidor para identificar el tipo de servidor web (como Apache o Nginx), el lenguaje de programación (PHP, ASP.NET), o la versión. Código HTML y JavaScript : Busca cadenas de texto, nombres de archivos, comentarios o scripts especí...
LEER MAS »

Como robar contraseñas haciendo un phishing web

Imagen
  www.onlinetis.com Evilginx es una herramienta de phishing de tipo man-in-the-middle (MitM) diseñada para interceptar y robar credenciales de usuario, incluyendo las de sitios web que utilizan autenticación de doble factor (2FA). Su principal objetivo es engañar a las víctimas para que introduzcan sus credenciales en un sitio web falso que parece legítimo. ¿Cómo funciona Evilginx? Evilginx actúa como un proxy inverso. Esto significa que se coloca entre la víctima y el sitio web real que la víctima intenta visitar. Aquí te explicamos los pasos clave de su funcionamiento: Atracción de la víctima : El atacante envía un enlace a la víctima que la dirige al sitio de phishing, el cual está alojado en el servidor donde se ejecuta Evilginx. El dominio de este sitio suele ser muy similar al del sitio web real para no levantar sospechas. Proxy inverso : Cuando la víctima accede al sitio de phishing, Evilginx no solo le presenta una copia idéntica del sitio web real, sino que también red...
LEER MAS »

Arsenal software hacking NFC

Imagen
  www.onlinetis.com Arsenal software hacking NFC Kali Linux incluye varias herramientas especializadas para la auditoría y "hacking" de redes y dispositivos NFC. Estas herramientas están diseñadas para interactuar con las etiquetas y tarjetas NFC para realizar análisis de seguridad, como leer, escribir o clonar datos. Herramientas principales libnfc : Es la biblioteca fundamental que proporciona las funciones básicas para interactuar con dispositivos NFC. Es la base para muchas otras herramientas. Permite listar, leer y escribir en tags NFC. Los comandos más comunes son: nfc-list : Lista los dispositivos y tarjetas NFC conectados. nfc-mfclassic : Utilidad para leer y escribir en tarjetas MIFARE Classic , que son comunes en sistemas de transporte y control de acceso. nfc-mfultralight : Similar al anterior, pero para tarjetas MIFARE Ultralight . mfoc (Mifare Offline Cracker) : Esta es una herramienta crucial para el "hacking" de tarjetas MIFARE Classic. Explota una vu...
LEER MAS »