Omet navegació

6. Evolució del protocol i seguretat

Els protocols DNS han evolucionat molt gràcies a les noves necessitats provocades per l'increment exponencial de les xarxes. Una de les principals vies en evolució és el DDNS o dinàmic DNS i el DNSSEC o DNS segur.

DDNS

El protocol DDNS (dynamic DNS) permet que les dades del servidor DNS s'actualitzin en temps real. El principal ús és permetre que clients amb adreces IP dinàmiques d'interval puguin disposar d'un nom de domini (a pesar que la seva adreça IP varia d'una sessió a una altra). Un mecanisme consisteix a permetre que els servidors DHCP es comuniquin amb els servidors DNS i els notifiquin les actualitzacions a la base de dades de DNS que cal fer. En funció de les configuracions de xarxa que els servidors DHCP proporcionen als seus clients es fan les actualitzacions al DNS.

DNSSEC

Man in the middle

S'anomena man-in-the-middle aquells equips que es fan passar per altres en una connexió de xarxa. El client creu connectar amb el seu banc, però de fet està connectant amb un "atacant" situat entremig. Aquest atacant rep el trànsit del client i el transfereix al banc, rep la resposta del banc i la passa al client. En aquest procés està en disposició de "manipular" tot aquest trànsit a la seva conveniència.

DNSSEC o Domain Name System Security Extensions (extensions de seguretat per a DNS) són un conjunt d'especificacions de seguretat per permetre una comunicació DNS segura, de manera que el client pugui estar plenament segur que qui li respon les consultes és el seu servidor DNS i no un impostar (el man-in-the-middle). També garanteix la integritat de les dades tant de les consultes com de les respostes i a més a més està dissenyat per prevenir atacs de denegació de servei.

Més informació: https://www.icann.org/resources/pages/dnssec-qaa-2014-01-29-es

Servidors DNS enverinats

Un dels principals problemes del protocol DNS (com de tots els primers protocols d'Internet) és la falta de seguretat. Va ser dissenyat en una època de 'bon rotllo' on es confiava amb els altres integrants de la xarxa. Això avui en dia no és massa sensat.

Imagineu que un atacant aconsegueix el control d'un servidor DNS o aconsegueix fer passar el seu servidor DNS fals com a servidor d'un conjunt d'usuaris. Cada vegada que aquests clients fan una consulta a Internet, per exemple al seu banc (posant el nom de la web), el servidor DNS enverinat proporciona una adreça IP no del banc real sinó d'una web falsa amb la finalitat de...

Cada cop que accedim a una web, un servei, un host, etc. per mitjà del seu nom de domini, confiem que el servidor DNS proporcioni l'adreça IP correcta. Som confiats, eh?

Altres recursos

https://nomoregoogle.com/

https://1.1.1.1