Cuando DNSSEC se implementa mediante software, los atacantes pueden acceder a claves de firma y comprometer el DNS.

El sistema de nombres de dominio (DNS) es la libreta de direcciones de Internet: asocia nombres de sitio web con direcciones IP. Pero la alteración de consultas web puede desviar a usuarios o servicios hacia direcciones IP falsas. De este modo, sus peticiones se enrutan hacia servidores ilegítimos con el propósito de robar datos. Como se respuesta a esta amenaza se han creado las extensiones de seguridad para el sistema de nombres de dominio (Domain Name System Security Extensions, DNSSEC). El mecanismo DNSSEC utiliza firmas digitales para autenticar a los servidores y verificar la integridad de las respuestas DNS.

Ilustración DNSSEC

    Desafíos

    Riesgos asociados con DNSSEC

    • Los atacantes que acceden a su DNS pueden desviar clientes a otro sitio y engañarles para que proporcionen información privada.
    • Cuando DNSSEC se implementa mediante software, los atacantes pueden acceder a claves de firma y comprometer el DNS.

    Soluciones

    DNSSEC: Confíe en las soluciones HSM de nShield

    Con los productos y servicios Entrust puede desplegar un proceso DNSSEC para proteger su negocio y la información de sus clientes sin perder rendimiento. Con los HSM nShield, dominios de nivel superior (TLD), registradores, registros y empresas protegen procesos de firma de importancia crítica. Por ejemplo, los que validan la integridad de las respuestas DNSSEC en Internet y protegen el DNS contra ataques "cache poisoning" y "man in the middle". Las ventajas de seguridad de las soluciones Entrust son demostrables y auditables. Dichas soluciones permiten generar y almacenar claves de firma para proteger la integridad de la validación DNSSEC.

    Beneficios

    Beneficios de los HSM Entrust nShield

    • Garantice la integridad del proceso de validación DNSSEC con HSM certificados de forma independiente (FIPS 140-2 Nivel 3 y Criterios Comunes EAL4 +).
    • Mantenga un entorno hardware a prueba de manipulaciones. Proteja sus claves con un mecanismo auditable, incluso después de archivarlas.
    • Separe funciones mediante controles de acceso para cumplir normativas y combatir la amenaza de "superusuarios".
    • Garantice la alta disponibilidad del servidor DNS con almacenamiento de claves ilimitado, copia de seguridad, recuperación segura y aceleración criptográfica.

    Recursos

    Folletos sobre la solución: Protección de claves de firma para despliegues DNSSEC

    Con los HSM nShield, dominios de nivel superior (TLD), registradores, registros y empresas protegen procesos de firma de importancia crítica. Por ejemplo, los que validan la integridad de las respuestas DNSSEC en Internet y protegen el DNS contra ataques "cache poisoning" y "man in the middle". Descargue el folleto para más información sobre la solución.