Missing or misconfigured DNSSEC

DNSSEC ausente o mal configurado

Risk: medium

Descripción

DNSSEC agrega firmas criptográficas a los registros DNS existentes, permitiendo a los resolutores verificar la autenticidad e integridad de las respuestas DNS. Cuando DNSSEC está ausente o mal configurado, puede provocar:

1. Falta de autenticación de origen para los datos DNS
2. Incapacidad para garantizar la integridad de los datos de las respuestas DNS
3. Mayor susceptibilidad a los ataques de intermediario (man-in-the-middle)
4. Potencial de redirección maliciosa del tráfico de red

La ausencia o mala configuración de DNSSEC puede tener consecuencias significativas. Los atacantes pueden obtener la capacidad de interceptar y manipular consultas DNS, redirigiendo potencialmente a los usuarios a sitios web fraudulentos que imitan servicios legítimos. Esto puede dar lugar a diversas actividades maliciosas, incluido el robo de credenciales, la distribución de malware o la interrupción del servicio. Además, si ocurren tales ataques o se dan a conocer, puede resultar en una pérdida de confianza en los servicios en línea del dominio, dañando potencialmente la reputación de la organización y la confianza del usuario.

Recomendación

Para solucionar el problema, asegúrese de hacer lo siguiente:

1. Implementar DNSSEC: Habilite DNSSEC en todos los servidores DNS autoritativos para el dominio, asegúrese de probar su implementación a fondo.

2. Configurar los registros DNSSEC correctamente:

3. Generar y publicar registros DNSKEY
4. Crear y firmar registros RRSIG para todos los conjuntos de registros DNS

5. Publicar registros DS en la zona principal

6. Gestión de claves:

7. Implementar un proceso seguro de gestión de claves
8. Rotar regularmente las claves DNSSEC (ZSK y KSK)

9. Actualizar los registros DS con la zona principal después de las rotaciones de claves

10. Validación y monitoreo:

11. Usar herramientas de validación DNSSEC en línea para verificar la implementación correcta

12. Configurar el monitoreo de problemas relacionados con DNSSEC y las fechas de vencimiento

13. Infraestructura DNS:

14. Asegurarse de que todos los servidores DNS admitan DNSSEC

15. Configurar resolutores recursivos para realizar la validación DNSSEC

16. Revisión y actualización:

17. Revisar regularmente la configuración DNSSEC para las mejores prácticas
18. Mantener el software DNS y las herramientas DNSSEC actualizadas

Enlaces

• Demonstrate DNSSEC in a Test Lab (Microsoft Learn)
• How DNSSEC Works (CloudFlare)
• DNSSEC explained
• feedbackDNS Security Extensions (DNSSEC) overview (Google Cloud)

Estándares

• SOC2_CONTROLS:
  • CC_6_1
  • CC_6_6
  • CC_6_7
  • CC_7_1
• GDPR:
  • ART_32
• CCPA:
  • CCPA_1798_150
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213