Resumen del trabajo sobre DNSSEC

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Resumen del trabajo sobre DNSSEC"

Asunción Serrano Acosta
hace 8 años
Vistas:

1 Resumen del trabajo sobre Contenido Definición Seguridad basada en cifrado Cadenas de confianza Confianzas Islas de confianza Conclusiones proporciona confianza en las respuestas de DNS No hay alternativa a largo plazo La gestión de es diferente a la gestión de DNS Es necesario hacerlo...5

- Conclusiones...5 2.1. - proporciona confianza en las respuestas de DNS...5 2.2. - No hay alternativa a largo plazo.

2 Definición responde a Domain Name System Security Extensions. es una extensión del protocolo DNS (RFCs 1034 y 1035) y es definido en varias especificaciones por la Internet Engineering Task Force (IETF). En primer lugar, vamos a comentar lo que no es. no es una panacea de seguridad. No es una defensa sólida para parar todas las formas de ataque contra los servidores DNS. no es una implementación que realice cifrado de datos DNS. es una especificación de una extensión de DNS a través de la definición de nuevos registros de recursos DNS que pueden ser utilizados por los clientes DNS para validar la autenticidad de una respuesta. La integridad de los datos de la respuesta DNS, donde la respuesta indica que no hay dominio o que el tipo de recurso existe o no, también se puede autenticar. En otras palabras, si un atacante intenta crear una respuesta DNS en la que ha alterado la respuesta original de alguna manera, mediante se debe ser capaz de detectar esta acción, que la respuesta ha sido alterada y que la respuesta no corresponde a la información del DNS autorizado para dicha zona. En otras palabras, se destina a proteger a los clientes de una posible falsificación de datos DNS. Esta protección no elimina la posibilidad de inyectar datos falsos en una operación de resolución de DNS, pero añade información adicional a las respuestas DNS para permitir a un cliente comprobar que la respuesta es auténtica y completa. En reconocimiento de la urgente necesidad de una mayor seguridad para el actual sistema de nombres de dominio de Internet y el sistema de direcciones, las entidades que gestionan el sistema de nombres desean seguir adelante con la implementación de tanto en la zona raíz como en el resto de dominios. Desde el 15 de Julio de 2010 a las 2050 UTC, entró en producción la primera zona firmada con el serial SOA Para facilitar un despliegue rápido de la manera mas segura, es necesario coordinar el proceso de implementación con el proceso de gestión de la zona raíz existente y el resto de zonas secundarias, reduciendo al mínimo la introducción de nuevas medidas y cambios de responsabilidades entre las partes involucradas Seguridad basada en cifrado La seguridad que proporciona esta basada en la firma de información usando algoritmos de cifrado criptográficos de clave publica/privada, esto significa que la información es cifrada con la clave privada y validada con la clave publica, tal y como lo realizan los procesos de cifrado de clave publica/privada. es implementado en una zona o nivel dentro de la estructura del DNS, y es la zona completa la que es firmada con los certificados digitales. Una característica importante de es que el proceso de firma es realizado offline y seria imposible realizar el proceso de firma digital en tiempo real. Por lo tanto firma las zonas en el proceso de implementación del servicio antes de ponerlo en funcionamiento, con lo que las zonas firmadas son almacenadas y tiene que ser servidas por un servidor DNS que soporte. Al proporcionar estas zonas firmadas, ofrece respuestas autenticadas a las consultas DNS recibidas. Un servidor de almacenamiento de cache de nombres de dominio o incluso un cliente puede validar las respuestas recibidas por el servidor DNS, comprobando la firma de la respuesta recibida contra la clave publica apropiada. Es importante tener en cuenta que no proporciona confidencialidad. sólo demuestra que una respuesta es correcta.

no es una panacea de seguridad. No es una defensa sólida para parar todas las formas de ataque contra los servidores DNS. no es una implementación que realice cifrado de datos DNS.

3 1.3. Cadenas de confianza DNS delega la responsabilidad de los subdominios. Por ejemplo: la responsabilidad del titular del dominio de nivel superior.es delegada hacia el dominio de segundo nivel uclm.es. Esto se hace añadiendo una entrada NS (Servidor de Nombres) en la zona.es, que apunta a los servidores de nombres de uclm.es. De una manera similar a como se realiza la delegación de dominio, también es posible delegar la responsabilidad de la firma de los dominios. El titular de un dominio puede delegar la firma de un subdominio, expresando la confianza en la clave que se utiliza para firmar el subdominio. Esta práctica crea cadenas de confianza y la ventaja de estas cadenas de confianza es que el validador no tiene que confiar en cada clave pública de cada subdominio. Todo lo que tiene que hacer es confiar en la clave de la parte superior de la cadena de confianza y cada vez que necesite validar una respuesta DNS, todo lo que tiene que hacer es comprobar la cadena de confianza desde la parte superior hasta que llega al subdominio.

El titular de un dominio puede delegar la firma de un subdominio, expresando la confianza en la clave que se utiliza para firmar el subdominio.

4 1.4. Confianzas Necesitamos tener un punto de partida para realizar la comprobación de la cadena de confianza cuando se quiere validar una respuesta de DNS. Normalmente, la cadena de confianza comienza en la raíz del sistema de nombres de dominio. Desde el 15 de Julio de 2010 la zona raíz implementa con lo que es posible comenzar esta cadena de confianza desde la raíz. Otra cuestión es que no puede haber lagunas en un cadena de confianza; fue diseñado expresamente para ser desplegado de manera que la cadena de confianza puede y debe iniciarse y terminarse en cualquier punto de la rama. Esto significa que un cliente tendrá que decidir en qué cadenas de confianza que va a confiar. Una vez que se ha decidido esto, es necesario confiar explícitamente en las claves públicas que forman la raíz de estas cadenas de confianza. Estos son llamados coloquialmente "anclas de confianza" o puntos de entrada de seguridad. Por ejemplo: si el dominio de nivel superior.es no está firmado pero uclm.es si y todos los subdominios a continuación también están firmados, un ancla de confianza para una respuesta sería la clave pública utilizada para firmar la zona uclm.es. Actualmente sólo un pequeño numero de dominios de primer nivel ofrecen soporte y un gran número de administradores de dominios de nivel superior han anunciado que van a implementar en el futuro Islas de confianza Debido a que algunas zonas raíz no están aun firmadas, cualquier dominio en la actualidad que quiera desplegar formara una isla de confianza. La gran desventaja de esta situación es que es difícil decidir en quién confiar, es decir, en que islas. Se tendrá que negociar alguna forma de establecer una confianza.

Desde el 15 de Julio de 2010 la zona raíz implementa con lo que es posible comenzar esta cadena de confianza desde la raíz.

5 Como puede pasar algún tiempo antes de que las zonas raíz se firmen, debido al modelo de implementación que existe actualmente es posible encontrar islas de confianza estableciendo "archipiélagos" de confianza. Un archipiélago sería una entidad externa a las anclas de confianza para un grupo de islas en que los resolvedores puedan decidir en confiar y por lo tanto confiar en todas las islas que forman parte del archipiélago. Existe un mecanismo para lograr esto, llamado Look-a-side Validation (DLV). 2. Conclusiones 2.1. proporciona confianza en las respuestas de DNS DNS tiene problemas de seguridad importantes por culpa del diseño. resuelve estos problemas al aumentar la confianza en la autenticidad de la información de dominio, la suplantación de identidad es mucho más difícil y el envenenamiento de caché ya no es una amenaza cuando se implementa. La implementación de debería efectuarse de manera escalonada y planificada en cualquier organización, pero el establecimiento de una implementación segura de DNS es fundamental para el desarrollo futuro y supervivencia del negocio a largo plazo No hay alternativa a largo plazo No hay muchas mas alternativas a, al menos no a largo plazo. Actualmente los problemas de seguridad se solucionan mediante parches, pero esa es una batalla que muy probablemente se perderá a largo plazo, simplemente porque la seguridad no era uno de los criterios de diseño cuando se desarrollo DNS. Aunque existen algunas alternativas, ninguna ofrece una solución frente al problema real de verificar la autenticidad de las respuestas DNS. Esto significa que, si bien es la solución más compleja, no hay otra opción a largo plazo La gestión de es diferente a la gestión de DNS Se requieren diferentes habilidades y conocimientos para administrar, esto puede requerir algunos cambios en el diseño de nuestro DNS y podrá exigir a los administradores adquirir nuevas habilidades. Pero también hay que indicar que es cada cada día más fácil de administrar, nuevos dispositivos y aplicaciones están comenzando a aparecer en el mercado (incluidas las iniciativas de código abierto como Open). También nuevas herramientas están madurando rápidamente, lo que facilita la automatización de muchas de las tareas más difíciles de Es necesario hacerlo Para hacer que Internet o una organización sea más segura, debe ser adoptada por todo el mundo. Por lo tanto, las organizaciones deben empezar a implementarlo. La Implementación de permitirá a una organización asegurar su propio dominio, y validar los datos DNS de los demás.

Un archipiélago sería una entidad externa a las anclas de confianza para un grupo de islas en que los resolvedores puedan decidir en confiar y por lo tanto confiar en todas las islas que forman parte

Documentos relacionados

Informàtica i Comunicacions Plaça Prnt. Tarradellas, 11 17600 FIGUERES (Girona) Tel. 902 88 92 67 Fax 972 671 962 www.cesigrup.es

Informàtica i Comunicacions Plaça Prnt. Tarradellas, 11 17600 FIGUERES (Girona) Tel. 902 88 92 67 Fax 972 671 962 www.cesigrup.es DNS (Domain Name System)...2 La estructura... 2 Servidores DNS e Internet... 3 Dominios... 3 Servidores de nombres... 3 Servidores de nombres Principal y Secundario... 4 Los archivos del DNS... 4 Registro