Este lunes habrán transcurrido dos décadas desde que Jon Postel y Paul Mockapetris, de la Universidad del Sur de California, desarrollaron un sistema automático para nombrar ordenadores. Este sistema ha permanecido casi sin cambios desde entonces y es el que nos permite, por ejemplo, poner www.libertaddigital.com en la barra de direcciones de nuestro navegador, en lugar de usar 212.85.33.47, que es su dirección real, su número IP. El sistema DNS (Domain Name System) hace las funciones de guía telefónica para Internet, pero una guía distribuida entre muchos de los ordenadores conectados a la red, porque los servidores DNS se envían entre sí los datos, de modo que esa información se propaga automáticamente por la red. Cada dominio tiene asociados dos servidores DNS "oficiales", que son los que garantizan tener el número correcto correspondiente al nombre de dominio. Cuando un ordenador necesita saber ese dato, su petición circula por los diversos servidores hasta llegar a uno de estos dos, que será el encargado oficial de contestarles. Es una base de datos distribuida entre miles de ordenadores que funciona más o menos como si toda estuviese en el mismo.
Este sistema ha funcionado de forma relativamente correcta durante este tiempo, pero representa uno de los mayores problemas de seguridad de la red de redes. Los datos que asocian nombres con su número IP circulan por la red sin ser encriptados, lo que hace relativamente sencillo interceptarlos y sustituirlos por información falsa. Esto puede hacerse para redirigir y robar el correo electrónico ajeno, asumir la personalidad de otro en la red o sustituir páginas web (imaginen la gracia que haría a los lectores de www.izquierda-unida.es si dicho nombre devolviera nuestro número IP en lugar del original).
También es un servicio más vulnerable que la mayoría a los ataques DOS (ataques por denegación de servicio), que consisten en inundar de peticiones a los servidores hasta que queden tan saturados que no puedan responder a peticiones honestas. Y lo más peligroso es que los servidores DNS, cuando no se saben el número al que corresponde un nombre de dominio, se lo preguntan a uno de los trece servidores raíz, que son los que saben quien puede contestarles correctamente. Un ataque DOS organizado contra estas máquinas puede dejar Internet convertido en un caos, como ya se intentó, sin éxito, en octubre de 2002.
Estos problemas, y otros muchos, son los que se intentan resolver por medio del nuevo DNSSEC, que lleva una década desarrollándose y al que aún parece quedarle bastante para usarse en Internet. Y es que resulta mucho más fácil crear algo que funcione que lograr que ese algo esté a prueba de la mala fe.
Daniel Rodríguez Herrera es editor de Programación en castellano
En Tecnociencia
0
comentarios
Servicios
- Radarbot
- Libro