El sistema de nombres de dominio (protocolo DNS), uno de los protocolos fundamentales de Internet, funciona sobre los protocolos de la capa de transporte TCP y UDP, por lo que no lleva ningún tipo de cifrado ni autenticación punto a punto. Ahora han publicado el RFC 8094 donde DNS puede trabajar sobre el protocolo DTLS.

En febrero de este año 2017 han publicado el RFC 8094 con la especificación experimental del protocolo DNS sobre DTLS. Este RFC es fruto del trabajo conjunto del DNS PRIVate Exchange Working Group y el IETF, donde han desarrollado mecanismos para proporcionar confidencialidad a las transacciones de DNS, ideal para evitar que gobiernos puedan ser capaces de leer las peticiones DNS que hagamos a un determinado servidor.

Las consultas y respuestas DNS normalmente se intercambian por Internet sin cifrar, tal y como os hemos comentado anteriormente. Esto hace que la supervisión por parte de gobiernos o ISP sea muy fácil. Gracias a este RFC 8094 podremos utilizar DNS usando el protocolo seguro DTLS para cifrar tanto las consultas como las respuestas, entre los clientes y servidores DNS.

¿Qué es el protocolo Datagram Transport Layer Security DTLS?

Podríamos decir que es el protocolo DTLS (Datagram TLS) es como el protocolo UDP pero en su versión segura, de hecho, DTLS está basado en el protocolo TLS (Transport Layer Security) que es el protocolo TCP pero en su versión segura.

DTLS está diseñado para proporcionar garantías de seguridad similares a TLS, pero DTLS es más adecuado para el transporte de consultas y respuestas DNS debido a que el transporte de los datagramas es bastante más rápido. DTLS nos permite baja latencia, alta velocidad de transferencia de datos y tolerancia a la pérdida de comunicación, sin embargo, DTLS no proporciona fiabilidad ni tampoco transporte en orden de los datos, tal y como ocurre con el protocolo UDP.

Si en lugar de utilizar DNS sobre DTLS lo utilizáramos sobre TLS 1.2, veríamos que las consultas DNS serían mucho más lentas, ya que es necesario primero establecer una comunicación 3-handshake con el servidor DNS y posteriormente realizar la consulta

Gracias a DTLS, no es necesario establecer una conexión tan completa, por este motivo es tan rápida. No obstante, es posible que pronto veamos DNS sobre TLS 1.3 ya que se reducen muchísimo los tiempos de establecimiento de la conexión

Podéis ver todas las características técnicas y cómo está diseñado DNS sobre el protocolo DTLS en el RFC 8094. Os recomendamos visitar nuestro curso online de redes donde encontraréis teoría básica sobre los principales protocolos de Internet.

Si estás interesado en la seguridad del protocolo DNS, os recomendamos visitar el siguiente artículo donde hablamos sobre DNSSEC y cómo comprobar si diferentes dominios lo soportan:

Debemos recordar que para poder utilizar DNSSEC, deberemos utilizar un servidor DNS que soporte dicho protocolo, por ejemplo los DNS de Google lo soportan desde 2013:

Os recomendamos visitar la web oficial de DNSCrypt, un protocolo que podremos implementar en nuestros servidores para que los clientes se conecten de manera segura y evitar DNS Spoofing.