cuestiones de seguridad en el dns - rediris · primero lo fácil tsig es un mecanismo de secreto...
TRANSCRIPT
![Page 1: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/1.jpg)
Cuestiones de seguridad en el DNS
João DamasInternet Systems Consortium
1
![Page 2: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/2.jpg)
AgendaProtocolo
TSIG/GSS-TSIG
DNSSEC
Operación
Ataques al DNS
Ataques usando el DNS
2
![Page 3: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/3.jpg)
Seguridad en elprotocolo
Antes todo el mundo se podía fiar de todo...
...después la vida se complicó
3
3
![Page 4: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/4.jpg)
Cambios
TSIG/GSS-TSIG
DNSSEC(bis)
4
4
![Page 5: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/5.jpg)
Primero lo fácil
TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si
Permite controlar quien puede acceder al servidor para preguntas de DNS
5
5
![Page 6: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/6.jpg)
TSIG/GSS-TSIG
Sencillo, eficaz, pero un latazo si hay muchos servidores involucrados
se usa frecuentemente entre servidores de la misma zona
configuración manual, secreto compartido
6
6
![Page 7: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/7.jpg)
TSIG/GSS-TSIG
TKEY permite una cierta automatización pero requiere una relación establecida anteriormente
GSS-TSIG es la aplicación de GSS-API (General Security Service) al TSIG
7
7
![Page 8: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/8.jpg)
GSS-TSIG
Generalmente se usa Kerberos como sistema de autenticación local sobre el que se construye después el intercambio de las claves para TSIG
Este mecanismo es fundamental para el funcionamiento de MS Active Directory
8
8
![Page 9: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/9.jpg)
DNSSECAsegurar, criptográficamente, la fiabilidad de las respuestas de DNS
Historia de un desastre
1997: RFC 2065
1999: RFC 2535
Sólidos desde el punto de vista formal pero...
9
9
![Page 10: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/10.jpg)
DNSSEC
...se les olvidó hablar con la gente que administra zonas de DNS.
No se podía implementar en zonas con más de unas pocas delegaciones por el exceso de tráfico administrativo que implicaba
10
10
![Page 11: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/11.jpg)
Una nueva esperanza
Con ayuda de varias personas y pruebas de lo que haría falta para operar DNS con DNSSEC, en particular usando la zona .nl, se modificó el estándar
11
11
![Page 12: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/12.jpg)
DNSSECbis
RFC 4033/4034/4035
12
12
![Page 13: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/13.jpg)
DNSSECbis
13
13
![Page 14: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/14.jpg)
DNSSECbis
Pareja de ClavesKSK
13
13
![Page 15: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/15.jpg)
DNSSECbisPareja de Claves
ZSK
Pareja de ClavesKSK
13
13
![Page 16: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/16.jpg)
DNSSECbisPareja de Claves
ZSK
Pareja de ClavesKSK
Clave pública
13
13
![Page 17: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/17.jpg)
DNSSECbisPareja de Claves
ZSK
Pareja de ClavesKSK
DNSKEY RR - ZSK
DNSKEY RR - KSK
DS RR para la sub-zona
Clave pública
13
13
![Page 18: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/18.jpg)
DNSSECbisPareja de Claves
ZSK
Pareja de ClavesKSK
DNSKEY RR - ZSK
DNSKEY RR - KSK
DS RR para la sub-zona
Clave pública
DNSKEY RR - ZSK
DNSKEY RR - KSK
Sub-zona
13
13
![Page 19: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/19.jpg)
DNSSECbisPareja de Claves
ZSK
Pareja de ClavesKSK
DNSKEY RR - ZSK
DNSKEY RR - KSK
DS RR para la sub-zona
Clave pública
DNSKEY RR - ZSK
DNSKEY RR - KSK
Sub-zona
13
13
![Page 20: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/20.jpg)
DNSSECbisPareja de Claves
ZSK
Pareja de ClavesKSK
DNSKEY RR - ZSK
DNSKEY RR - KSK
DS RR para la sub-zona
Clave pública
DNSKEY RR - ZSK
DNSKEY RR - KSK
Sub-zona
13
13
![Page 21: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/21.jpg)
DNSSECbisPareja de Claves
ZSK
Pareja de ClavesKSK
DNSKEY RR - ZSK
DNSKEY RR - KSK
DS RR para la sub-zona
Clave pública
DNSKEY RR - ZSK
DNSKEY RR - KSK
Sub-zona
Ancla
13
13
![Page 22: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/22.jpg)
DNSSECbis$ dig @ns.c-l-i.net c-l-i.net. soa +dnssec
; <<>> DiG 9.4.0a5 <<>> @ns.c-l-i.net c-l-i.net. soa +dnssec;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42850;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 5
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096;; QUESTION SECTION:;c-l-i.net. IN SOA
;; ANSWER SECTION:c-l-i.net. 172800 IN SOA ns.c-l-i.net. hostmaster.c-l-i.net. 2006102701 43200 7200 1209600 7200c-l-i.net. 172800 IN RRSIG SOA 5 2 172800 20061126144710 20061027144710 40259 c-l-i.net. bW2beSgoUSQGa0JfOmxY4utH03O0FKBbULetDHK/XtEwvjLZ6uQ6wf+Y UxRRvuIxf5+u+fzvl3OTssgfrZNx6+MT0QftfFJKA/UqN6mgn4ak3MKG Xz3W0yX6Z5QJi01O9x2gj4UGKVvG6gHWuPtLVi8OSSHYc+lZPKObX451 wzE=
;; AUTHORITY SECTION:c-l-i.net. 172800 IN NS ns.c-l-i.net.c-l-i.net. 172800 IN NS borg.c-l-i.net.c-l-i.net. 172800 IN RRSIG NS 5 2 172800 20061126144710 20061027144710 40259 c-l-i.net. RJ+s8eoVU1JAYP3f6KX/3lq2irfKNvJ6mFzCIkoFPtBzKFf9BFvfNCKb QWoK351XcYvABo9UvRiyEmlCgxYOISVLshcd40KrzTbU2Q2yJAv0ZSsG 3jz2029WyHfQNn+Uptm2++jdbRRTDs1GbkNRivmnCz8E4VkUoy9VLWPW 6qc=
;; ADDITIONAL SECTION:ns.c-l-i.net. 172800 IN A 204.152.186.152borg.c-l-i.net. 172800 IN A 192.16.192.99ns.c-l-i.net. 172800 IN RRSIG A 5 3 172800 20061126144710 20061027144710 40259 c-l-i.net. rP7/oxORWmLr01t9Sfqaj7PcJdW4d+TU0BLe7mG+4/xqdgaCowOvtqsK 8DdsCPEH4E8gM2iYaQ8aO9eCXhrbqvRWy5dhMGj2lFl7elXd2cexJuNR fp5GNS/QeSMLNV30MgCoI/KB7m2nDXciE1i0Ted1YkaAt/XeimYUwrhM Dec=borg.c-l-i.net. 172800 IN RRSIG A 5 3 172800 20061126144710 20061027144710 40259 c-l-i.net. VUlHap6CySvPDJJ29CM75pN+raPZgNyRWifG0JxLVfklvgARV+sW7kQX Xwd6HrCYurZZGtPdFfkplcFKA16wNFCz0X1tFGgj25VjEivoQTTcvS1y nW9r7rq7VILZKkSi1HGY31uPKdo6+A12ILcp1aPm0AirxG3pfJytwXOj Emk=
14
14
![Page 23: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/23.jpg)
DNSSECbis
Prueba de no existencia
Registros NSEC
Decriben intervalos entre dos nombres consecutivos en la zona
15
15
![Page 24: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/24.jpg)
DNSSECbis
implica que la zona tiene que estar ordenada
lleva información sobre que tipo de registros existen o no en ese espacio
16
16
![Page 25: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/25.jpg)
DNSSECbis
Permite “caminar por la zona”
Algunos TLDs perciben esto como un problema de privacidad
el problema real está en el whois, no en el DNS
Desarrollo de NSEC3 y “online signing”
17
17
![Page 26: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/26.jpg)
El problema de las anclas
Todo este árbol necesita un sitio donde anclar su raíz
Tener una raíz firmada va a tardar un rato
Como esto era de esperar, se define el concepto de islas de seguridad, cada una con un punto de entrada
18
18
![Page 27: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/27.jpg)
Islas de seguridad
Permite uso de DNSSEC a falta de que esté el árbol completo
Permite claves para ciertas partes del árbol
Es tedioso si hay muchas islas
mantener al día las claves
19
19
![Page 28: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/28.jpg)
DLV
Domain Lookaside Validation
Funciona con BIND
Especificación pública pero no un RFC
Código RR asignado por la IANA
Configuración local de cada servidor
20
20
![Page 29: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/29.jpg)
DLVAlgoritmo
búsqueda según el modelo de DNSSEC estándar (anclas)
cuando se detecta una zona con información de DNSSEC, sí todo falla, se busca en la zona dlv.isc.org
la búsqueda es de más a menos específico, lo demás es igual
21
21
![Page 30: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/30.jpg)
DLV
22
22
![Page 31: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/31.jpg)
DLVRaíz (.)
22
22
![Page 32: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/32.jpg)
DLVRaíz (.)
.se
22
22
![Page 33: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/33.jpg)
DLVRaíz (.)
Ancla .se
22
22
![Page 34: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/34.jpg)
DLVRaíz (.)
Ancla .se
rfc.se
22
22
![Page 38: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/38.jpg)
DLVRaíz (.) Raíz (.)
Ancla .se
rfc.se
www.rfc.se
.com
example.com
22
22
![Page 39: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/39.jpg)
DLVRaíz (.) Raíz (.)
Ancla .se
rfc.se
www.rfc.se
.com
example.com
example.com.dlv.isc.org
22
22
![Page 40: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/40.jpg)
DLVRaíz (.) Raíz (.)
Ancla .se
rfc.se
www.rfc.se
.com
example.com
example.com.dlv.isc.org
www.example.com
22
22
![Page 41: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/41.jpg)
Operación
Todo esto es muy bonito pero el DNS es más que solamente el protocolo
ataques, abuso, configuración
23
23
![Page 42: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/42.jpg)
Software y configuración
Diversidad de software
BIND, en especial BIND 9
NSD, para servidores autoritarios
Nominum
PowerDNS
etc...
24
24
![Page 43: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/43.jpg)
Software y configuración
Esconderse no ayuda
options {
version “Esto no es un BIND”
};
fpdns (http://www.rfc.se/fpdns/) te sacará los colores :)
25
25
![Page 44: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/44.jpg)
Software y configuración
Usar los menores privilegios posibles
Usar chroot
Mantener el software actualizado
suscribirse a las listas del software elegido
Preferir Open Source
26
26
![Page 45: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/45.jpg)
Software y configuración
Generación de la zona
Permisos para alterar datos en la zona
Verificación del proceso de generación de la zona
Acuerdos de operación con servidores secundarios
27
27
![Page 46: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/46.jpg)
Ataques al DNS
Tradicionalmente se había intentado contaminar caches de servidores con información falsa
Famoso caso de Kashpurev con alternic
Todavía son posibles técnicas similares aunque cada vez es más difícil
28
28
![Page 47: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/47.jpg)
Ataques al DNS
Ahora se estilan más los ataques a lo bruto
usando botnets para ahogar a los proveedores con tráfico
El uso de firewalls resulta perjudicial
29
29
![Page 48: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/48.jpg)
Ataques al DNS
se requieren métodos de coordinación entre ISPs y proveedores.
Ej. OARC (http://oarc.isc.org)
Cada vez más son ataques con fines de extorsión o con ánimo de tirar el sistema.
30
30
![Page 49: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/49.jpg)
Ataques usando DNS
DNS usa fundamentalmente UDP para transporte.
No hay un concepto de sesión
Interacciones cortas
aunque hay otros protocolos que usan UDP, DNS es más fácil de usar.
31
31
![Page 50: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/50.jpg)
Ataques usando DNS
Ataques de reflexión-amplificación
Falsifica la dirección IP de origen en el paquete de UDP
Se mandan varios paquetes de este estilo a servidores recurrentes abiertos, que dan servicio a cualquiera
32
32
![Page 51: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/51.jpg)
Ataques usando DNS
Las respuestas convergen sobre la dirección IP falsificada, que es la víctima.
Si se llena el cache de los servidores con respuestas grandes, se consiguen factores de amplificación bastante grandes.
Difíciles de contrarrestar, ahogan las conexiones, no los servidores.
33
33
![Page 52: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/52.jpg)
Ataques usando DNS
Ver draft internet draft-ietf-dnsop-reflectors-are-evil-02.txt
No dar servicio a toda la Internet, solo a los clientes propiosFiltrar tráfico con direcciones de origen que no pertenecen a la propia red (BCP 38 y BCP 84), uRPF, etc
34
34
![Page 53: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/53.jpg)
ResumenDNSSEC
Ha sido una aventura
El protocolo está listo
El software está listo
hay mecanismos para usarlo ya
Evolución de los ataques
35
35
![Page 54: Cuestiones de seguridad en el DNS - RedIRIS · Primero lo fácil TSIG es un mecanismo de secreto compartido para identificar a dos servidores de DNS entre si Permite controlar quien](https://reader033.vdocuments.mx/reader033/viewer/2022042017/5e7558d0304763724b7c4007/html5/thumbnails/54.jpg)
! Gracias
Preguntas
36
36