Configurar DNSSEC para un dominio
Los atacantes a veces llevan el tráfico a puntos de conexión de Internet como servidores web interceptando las consultas DNS y devolviendo sus propias direcciones IP a los servicios de resolución de nombres DNS en lugar de a las direcciones IP reales de esos puntos de conexión. Los usuarios son redirigidos a las direcciones IP proporcionadas por los atacantes en la respuesta fraudulenta como, por ejemplo, sitios web falsos.
Puede proteger su dominio de este tipo de ataque, conocido como suplantación de DNS o ataque "man-in-the-middle", configurando DNSSEC (Extensiones de seguridad del sistema de nombres de dominio), un protocolo para proteger el tráfico DNS.
importante
Amazon Route 53 admite DNSSEC para el registro de dominios y la firma de DNSSEC. Si desea configurar la firma de DNSSEC para un dominio que esté registrado con Route 53, consulte Configuración de la firma de DNSSEC en Amazon Route 53.
Temas
Información general acerca de cómo DNSSEC protege su dominio
Cuando configura DNSSEC para su dominio, un servicio de resolución de nombres DNS establece una cadena de confianza para las respuestas de los servicios de resolución intermedios. La cadena de confianza comienza con la empresa de registro del TLD del dominio (la zona principal del dominio) y termina con los servidores de nombres autorizados en su proveedor del servicio DNS. No todos los solucionadores de DNS admiten DNSSEC. Solo los Resolver que admiten DNSSEC realizan cualquier validación de firma o de autenticidad.
Esta es la manera de configurar DNSSEC para los dominios registrados con Amazon Route 53 a fin de proteger sus hosts de Internet de la suplantación de DNS, en un formato simplificado:
Utilice el método proporcionado por el proveedor del servicio DNS para firmar los registros de su zona alojada con la clave privada de un par de claves asimétricas.
importante
Route 53 admite DNSSEC para el registro de dominios y la firma de DNSSEC. Para obtener más información, consulte Configuración de la firma de DNSSEC en Amazon Route 53.
Proporcione la clave pública del par de claves a su registrador del dominio y especifique el algoritmo que se utilizó para generar el par de claves. El registrador del dominio reenvía la clave pública y el algoritmo a la empresa de registro del dominio de nivel superior (TLD).
Para obtener información sobre cómo realizar este paso para dominios que haya registrado con Route 53, consulte Añadir claves públicas para un dominio.
Después de configurar DNSSEC, así es cómo debe proteger su dominio de la suplantación de DNS:
Envíe una consulta DNS, por ejemplo, navegando a un sitio web o enviando un mensaje de correo electrónico.
La solicitud se redirige a una servicio de resolución de nombres DNS. Los servicios de resolución de nombres son responsables de devolver el valor adecuado a los clientes en función de la solicitud, por ejemplo, la dirección IP del host que ejecuta un servidor web o un servidor de correo electrónico.
-
Si la dirección IP está almacenada en la caché del servicio de resolución de nombres DNS porque alguien ya ha enviado la misma consulta de DNS y el servicio ya ha obtenido el valor, el servicio de resolución devuelve la dirección IP al cliente que presentó la solicitud. El cliente utiliza entonces la dirección IP para tener acceso al host.
Si la dirección IP no está almacenada en la caché del servicio de resolución de nombres DNS, el servicio envía una solicitud a la zona principal de su dominio, en la empresa de registro del TLD, que proporciona dos valores:
El registro DS (Delegation Signer), que es una clave pública que se corresponde con la clave privada que se usó para firmar el registro.
Las direcciones IP de los servidores de nombres autorizados de su dominio.
El servicio de resolución de nombres DNS envía la solicitud original a otro servicio DNS. Si ese servicio no tiene la dirección IP, repite el proceso hasta que un servicio de resolución de nombres envíe la solicitud a un servidor de nombres de su proveedor del servicio DNS. El servidor de nombres devuelve dos valores:
El registro del dominio, como example.com. Normalmente este conjunto contiene la dirección IP de un host.
La firma del registro, que creó al configurar DNSSEC.
El solucionador de DNS utiliza la clave pública que proporcionó al registrador de dominio, y que el registrador reenvió a la empresa de registro del TLD para realizar lo siguiente:
Establecer una cadena de confianza.
Verificar que la respuesta firmada del proveedor del servicio DNS es legítima y no se ha reemplazado por una respuesta falsa de un atacante.
Si la respuesta es auténtica, el servicio de resolución de nombres devuelve el valor al cliente que presentó la solicitud.
Si la respuesta no se puede verificar, el servicio de resolución de nombres devuelve un error al usuario.
Si la empresa de registro del TLD del dominio no tiene la clave pública del dominio, el servicio de resolución de nombres responde a la consulta DNS con la respuesta que obtuvo del proveedor del servicio DNS.
Requisitos previos y valores máximos para configurar DNSSEC para un dominio
Para configurar DNSSEC para un dominio, el dominio y el proveedor del servicio DNS deben cumplir los siguientes requisitos previos:
La empresa de registro del TLD debe admitir DNSSEC. Para determinar si la empresa de registro de su TLD admite DNSSEC, consulte Dominios que puede registrar con Amazon Route 53.
El proveedor del servicio DNS del dominio debe admitir DNSSEC.
importante
Route 53 admite DNSSEC para el registro de dominios y la firma de DNSSEC. Para obtener más información, consulte Configuración de la firma de DNSSEC en Amazon Route 53.
Debe configurar DNSSEC con el proveedor del servicio DNS de su dominio antes de agregar las claves públicas del dominio a Route 53.
El número de claves públicas que se pueden añadir a un dominio depende del TLD del dominio:
Dominios .com y .net: hasta 13 claves
Todos los demás dominios: hasta cuatro claves
Añadir claves públicas para un dominio
Cuando rota las claves o habilita DNSSEC para un dominio, realiza el siguiente procedimiento después de configurar DNSSEC con el proveedor del servicio DNS del dominio.
Para añadir claves públicas para un dominio
Si aún no ha configurado DNSSEC con su proveedor del servicio DNS, utilice el método proporcionado por su proveedor del servicio para configurar DNSSEC.
Inicie sesión en la AWS Management Console y abra la consola de Route 53 en https://console.aws.amazon.com/route53/
. En el panel de navegación, elija Registered domains.
Elija el nombre del dominio para el que desea añadir claves.
En la pestaña Claves de DNSSEC, elija Agregar clave.
Especifique los siguientes valores:
- Tipo de clave
Elija si desea cargar una clave de firma de claves (KSK) o una clave de firma de zonas (ZSK).
- Algoritmo
Elija el algoritmo que utilizó para firmar los registros de la zona alojada.
- Clave pública
Especifique la clave pública del par de claves asimétricas que utilizó para configurar DNSSEC con su proveedor del servicio DNS.
Tenga en cuenta lo siguiente:
Especifique la clave pública, no el resumen.
Debe especificar la clave en base 64.
Elija Añadir.
nota
Solo puede añadir las claves públicas de una en una. Si necesita agregar más claves, espere hasta que reciba un correo electrónico de confirmación de Route 53.
Cuando Route 53 recibe una respuesta de la empresa de registro, enviamos un correo electrónico al contacto del registrante del dominio. El correo electrónico confirma que la clave pública se ha añadido al dominio en la empresa de registro o explica por qué no se pudo agregar la clave.
Eliminar claves públicas de un dominio
Cuando rota las claves o deshabilita DNSSEC para el dominio, elimina las claves públicas usando el siguiente procedimiento antes de deshabilitar DNSSEC con el proveedor del servicio DNS. Tenga en cuenta lo siguiente:
Si rota las claves públicas, le recomendamos que espere hasta tres días después de añadir las nuevas claves públicas para eliminar las claves públicas antiguas.
Si deshabilita DNSSEC, elimine primero las claves públicas del dominio. Le recomendamos que espere hasta tres días antes de deshabilitar DNSSEC con el servicio DNS del dominio.
importante
Si DNSSEC está habilitado para el dominio y deshabilita DNSSEC con el servicio DNS, los servicios de resolución de nombres DNS que admiten DNSSEC devolverán un error SERVFAIL
a los clientes y los clientes no podrán tener acceso a los puntos de conexión asociados al dominio.
Para eliminar claves públicas de un dominio
Inicie sesión en la AWS Management Console y abra la consola de Route 53 en https://console.aws.amazon.com/route53/
. En el panel de navegación, elija Registered domains.
Elija el nombre del dominio del que desea eliminar las claves.
En la pestaña de Claves de DNSSEC elija el botón de radio situado junto a la clave que desea eliminar y, a continuación, elija Eliminar clave.
En el cuadro de diálogo Eliminar la clave de DNSSEC, escriba eliminar en el cuadro de texto para confirmar que desea eliminar la clave y, a continuación, elija Eliminar.
nota
Solo puede eliminar las claves públicas de una en una. Si necesita eliminar más claves, espere hasta que reciba un email de confirmación de Amazon Route 53.
Cuando Route 53 recibe una respuesta de la empresa de registro, enviamos un correo electrónico al contacto del registrante del dominio. El correo electrónico confirma que la clave pública se ha eliminado del dominio en la empresa de registro o explica por qué no se pudo eliminar la clave.