Protección contra registros de delegación colgantes en Route 53

Con Route 53, un cliente puede crear una zona alojada, como example.com, para alojar sus registros DNS. Cada zona alojada incluye un “conjunto de delegación”, que es un conjunto de cuatro servidores de nombres que un cliente puede usar para configurar los registros NS en el dominio principal. Estos registros NS se pueden denominar “registros NS de delegación” o “registros de delegación”.

Para que la zona alojada de Route 53 example.com adquiera autoridad, el propietario legítimo del dominio example.com debe configurar los registros de delegación en su dominio principal “.com” a través del registrador de dominios. En los casos en que un cliente pierde el acceso a los cuatro servidores de nombres configurados en el dominio principal, por ejemplo, porque se elimina la zona alojada asociada, se corre el riesgo de que un atacante pueda aprovecharlos. Esto se conoce como riesgo de “registros de delegación colgantes”.

Route 53 protege contra el riesgo de registros de delegación colgantes en caso de que se elimine una zona alojada. Tras la eliminación, si está en proceso la creación de una nueva zona alojada con el mismo nombre de dominio, Route 53 comprobará si los registros de delegación que apuntan a la zona alojada eliminada siguen presentes en el dominio principal. Si lo están, Route 53 evitará que se asignen servidores de nombres superpuestos. Este escenario 1 se muestra en los siguientes ejemplos.

Sin embargo, existen otros riesgos en materia de registros de delegación colgantes, contra los que Route 53 no puede protegerse, como se detalla en los escenarios 2 y 3 de los siguientes ejemplos. Para protegerse contra este conjunto más amplio de riesgos, asegúrese de que los registros NS principales coincidan con la delegación establecida para la zona alojada de Route 53. Puede encontrar el conjunto de delegación de una zona alojada a través de la consola de Route 53 o AWS CLI. Para obtener más información, consulte Descripción de registros o get-hosted-zone.

Además, la habilitación de la firma de DNSSEC para una zona alojada de Route 53 puede servir como otra capa de protección más allá de las prácticas recomendadas mencionadas con anterioridad. El DNSSEC autentica que las respuestas de DNS provienen de la fuente autorizada, lo que protege contra el riesgo de forma eficaz. Para obtener más información, consulte Configuración de la firma de DNSSEC en Amazon Route 53.

Ejemplos

En los siguientes ejemplos, asumimos que tiene un dominio example.com y su dominio secundario, child.example.com. Explicaremos cómo, en varios escenarios, se pueden crear registros de delegación colgantes, cómo Route 53 protege su dominio contra el abuso y cómo mitigar de manera eficaz los riesgos asociados a los registros de delegación colgantes.

Escenario 1:

En la zona alojada principal, se crean child.example.com con cuatro servidores de nombres: <ns1>, <ns2>, <ns3> y <ns4>. La delegación se configura correctamente en la zona alojada example.com y se crean registros NS de delegación para child.example.com con cuatro servidores de nombres: <ns1>, <ns2>, <ns3> y <ns4>. Cuando la zona alojada child.example.com se elimina sin eliminar los registros NS de delegación en example.com, Route 53 protege a child.example.com contra el riesgo de que se produzcan registros de delegación colgantes, ya que impide que <ns1>, <ns2>, <ns3> y <ns4> se asignen a zonas alojadas recién creadas con el mismo nombre de dominio.

Escenario 2:

Similar al escenario 1, pero esta vez se eliminan la zona alojada secundaria y los registros NS de delegación en la zona alojada example.com. Sin embargo, se vuelven a agregar los registros NS de delegación <ns1>, <ns2>, <ns3> y <ns4> sin crear una zona alojada secundaria. Aquí, <ns1>, <ns2>, <ns3> y <ns4> son registros de delegación colgantes porque Route 53 elimina la retención, que impedía que <ns1>, <ns2>, <ns3> y <ns4> se asignaran y ahora permitirá que las zonas alojadas recién creadas utilicen los servidores de nombres mencionados con anterioridad. Para mitigar el riesgo, elimine <ns1>, <ns2>, <ns3> y <ns4> de los registros de delegación y vuelva a agregarlos solo una vez que se haya creado la zona alojada secundaria.

Situación 3:

En este escenario, se crea un conjunto de delegación reutilizable de Route 53 con servidores de nombres <ns1>, <ns2>, <ns3> y <ns4>. A continuación, delega el dominio example.com a estos servidores de nombres en el dominio principal .com. Sin embargo, aún no se ha creado la zona alojada para example.com en el conjunto de delegación reutilizable. Aquí, <ns1>, <ns2>, <ns3> y <ns4> son registros de delegación colgantes. Para mitigar el riesgo, cree la zona alojada mediante el conjunto de delegación reutilizable con servidores de nombres <ns1>, <ns2>, <ns3> y <ns4>.