Evita los ataques de suplantación de DNS
Comprobador de DNSSEC:
Comprobador de registros DNSSEC
Utilice esta herramienta para buscar y validar su registro DNSSEC.
Estado de DNSSEC
DNSSEC en el registrador
DNSSEC en los servidores de nombres
Analice DNSSEC de la forma correcta con PowerDMARC
Comprender DNSSEC
DNSSEC (Domain Name System Security Extensions) es una extensión de seguridad que funciona como un sello de autenticidad para los sitios web. Garantiza que cada vez que escriba una dirección web en su navegador (por ejemplo, www.adomainname.com) será redirigido al sitio web correcto en lugar de a uno fraudulento.
No se trata de un único tipo de registro, sino de un conjunto de extensiones que añaden firmas criptográficas a los registros DNS existentes. Esto ayuda a garantizar la autenticidad e integridad de los datos DNS, protegiendo contra diversos ataques como el envenenamiento DNS y la suplantación de identidad.
Estos son los principales tipos de registros DNSSEC:
DNSKEY: Contiene la clave pública utilizada para verificar las firmas digitales de otros registros DNSSEC de la zona.
RRSIG: Contiene la firma digital para un conjunto de registros específico (por ejemplo, A, MX, etc.).
DS: Contiene una versión hash del registro DNSKEY, utilizado para la delegación y el anclaje de confianza.
Al añadir estos tipos de registro a una zona DNS, DNSSEC permite a los resolvers verificar la autenticidad de las respuestas DNS, proporcionando un mayor nivel de seguridad para la resolución de nombres de dominio.
La importancia de configurar DNSSEC
Los riesgos de no utilizar DNSSEC
Riesgo de suplantación de identidad
Los dominios que tienen DNSSEC desactivado son objetivos fáciles de suplantación para los hackers.
Riesgo de ciberataques
Los dominios que tienen DNSSEC desactivado son mucho más vulnerables a ciberataques como la suplantación de DNS y el Man-in-the-middle.
Riesgo de dañar la reputación
Sin DNSSEC, los dominios son propensos a sufrir daños en su reputación y a la desconfianza de los usuarios.
Cómo comprobar el estado de DNSSEC: Paso a Paso
Uso de nuestra herramienta de comprobación de DNSSEC
Puede comprobar fácilmente si DNSSEC está habilitado para su dominio utilizando nuestra herramienta de análisis de DNSSEC. Este proceso de búsqueda de DNSSEC es instantáneo, sin errores y de lo más cómodo con nuestra herramienta, ¡que proporciona resultados precisos en todo momento!
- Introduzca su nombre de dominio (por ejemplo, empresa.com)
- Pulse el botón "Buscar
- Analice los resultados de la validación DNSSEC
Comprobación de DNSSEC con herramientas de línea de comandos
Puede utilizar una herramienta de línea de comandos como Dig para comprobar el estado de DNSSEC, sin embargo, este proceso de búsqueda de DNSSEC es un poco más complicado que el uso de una herramienta automatizada.
- Instala Dig si no está preinstalado en tu sistema operativo
- Abra su símbolo del sistema dig
- Ejecute el siguiente comando:
dig +dnssec +multi - Analice sus resultados
Asegurarse de que DNSSEC funciona correctamente
Interpretación de los resultados de la validación DNSSEC
Resultado: Válido
Explicación: Todo parece funcionar con la configuración DNSSEC, para este dominio. DNSSEC está activado tanto en el registrador como en el servidor de nombres y el dominio está protegido con una firma DNSSEC. Esto indica que todas las peticiones DNS para este dominio están siendo autenticadas con precisión para asegurar que las respuestas son genuinas y fiables.
Resultado: No válido
Explicación: La configuración de DNSSEC para el dominio no funciona correctamente, ya que está desactivada tanto en el registrador como en el servidor de nombres. El dominio carece de una firma DNSSEC para la validación de la autenticidad en las consultas DNS. Se recomienda activar DNSSEC para aumentar la seguridad del sistema DNS del dominio.
Fallos de validación de DNSSEC y soluciones
1. Registros inexistentes o incorrectos
Edición: El registro DS (Delegation Signer) o el registro DNSKEY falta, está mal configurado o contiene errores. Esto provocará la ruptura de la cadena de confianza y, en consecuencia, un fallo de validación de DNSSEC.
Solución: Asegúrese de editar y configurar registros DS y DNSKEY sin errores.
2. DNSSEC no está configurado correctamente
Edición: DNSSEC debe configurarse correctamente tanto en el registrador como en los servidores de nombres. Si no está configurado en ninguno de los dos, la validación DNSSEC fallará y puede causar problemas de resolución DNS para el dominio.
Solución: Compruebe y configure su DNSSEC tanto en el registrador como en los servidores de nombres.
3. Firmas DNSSEC caducadas
Edición: Su firma DNSSEC (RRSIG) ha superado su fecha de caducidad, lo que provoca un fallo de validación.
Solución: Utilice herramientas de software automatizadas para volver a firmar los registros DNS antes de que se cruce la fecha de caducidad.
4. Registros DS no coincidentes
Problema: Los registros DS de la zona padre y la DNSKEY de la zona hija no coincidían, lo que provocaba un fallo de validación de DNSSEC.
Solución: Asegúrese de que los registros DS de ambas zonas coinciden y están alineados.
Consejos adicionales para implantar con éxito DNSSEC
Para una implantación sin problemas, puede tener en cuenta los siguientes consejos adicionales: