Fundamentos del Sistema de Nombres de Dominio (DNS)

Security, Stability & Resiliency TeamICANN

Junio de 2014

1

Temas

• Qué son los identificadores de Internet

• Qué es el DNS• DNSSEC• Quién administra el DNS• Cómo puede el DNS ser

abusado o explotado

2

Tema

• Qué son los identificadores de Internet

3

4

Conectándose a una red de área localTodos los dispositivos que se conectan a una red de área local tienen al menos una dirección MAC

Las direcciones MAC son identificadores únicos de 48 bits

Asignadas a cada adaptador de red durante su fabricación

Si no son alteradas, no cambian de una red a otra

Encuentre su dirección MAC

5

Sistema Operativo Método

Dispositivos Windows Ejecute cmd.exe, escriba getmac

Open BSD en Mac OS Xy Linux

Abra Terminal, escriba“ ifconfig en0 | grep ether “ (sin comillas)

iPhone Settings -> General -> Acerca de baje hasta WiFi Address

Android Settings -> About Tablet -> Estadobaje hasta Wi-Fi MAC address

6

Conectándose a una red IP• Todos los dispositivos que se conectan a una

red IP deben tener una dirección IP (Internet Protocol)

• Dos clases de direcciones IP– Clase A o IP versión 4: son típicamente

representadas como números decimales separados por puntos, ej. 192.168.2.1

– Clase AAAA o IP versión 6: son números hexadecimales separados por “:”, ej. fe80::226:bbff:fe11:5b32

Asociando direcciones MAC e IP• Mientras que las direcciones MAC están asociadas al

hardware, las direcciones IP suelen ser asignadas dinámicamente.

• Los dispositivos pueden comunicarse directamente con otros en las redes locales– Para asociar las direcciones MAC y las direcciones IP:

Address Resolution Protocol:

7

_____:~ user$ arp -a? (10.0.0.1) at d2:4a:c7:5e:68:76 on en0 ifscope [ethernet]? (10.0.0.255) at ff:ff:ff:ff:ff:ff on en0 ifscope [ethernet]______:~ user$ arp -a? (10.0.0.1) at d2:4a:c7:5e:68:76 on en0 ifscope [ethernet]? (10.0.0.6) at f1:e5:7f:a1:cd:48 on en0 ifscope [ethernet]? (10.0.0.255) at ff:ff:ff:ff:ff:ff on en0 ifscope [ethernet]

Conectándose a Internet• Los dispositivos deben saber cómo conectarse con

otros por fuera de su red local– Un gateway provee esta información usando el

protocolo DHCP• Los dispositivos usan el gateway para dirigir el tráfico

hacia y desde destinos en el Internet

8

Alguien me ayuda a conectarme a

una red?Hola! Soy tu gateway • Mi dirección es 192.168.4.1• Tu dirección IP es

192.168.4.94• Tu subred es 255.255.252.0

Direcciones IP públicas vs privadas• Los dispositivos o gateways deben tener una

dirección pública única para poder comunicarse con otros hosts por fuera de su red local

• Sin embargo, el router, el ISP o el proveedor móvil pueden asignar direcciones privadas a los dispositivos

9

ICANNGoogleeBayTwitter

Espacio IP de uso privado Espacio IP de uso público

Encuentre su configuración IP local

10

Sistema Operativo Método

Dispositivos Windows Ejecute cmd.exe, escriba ipconfig

BSD en Mac y Linux

Ejecute Terminal, escriba ifconfig

iPhone Settings -> WiFi, luego ID de red inalámbrica

Android Settings -> About Tablet -> Statusluego baje hasta Wi-Fi MAC address

Su dirección IP global?• Google “what is my IP?• Visite http://whatismyip.com

Tema

• Qué es el DNS

11

Qué es el Sistema de Nombres de Dominio

• Una base de datos distribuida usada primordialmente para obtener la dirección IP (192.168.23.1 or fe80::226:bbff:fe11:5b32) asociada a un nombre humanamente memorizable (www.ejemplo.com)

¿Por qué es necesario el DNS? Es imposible recordar tantos octetos de números decimales y

es aún peor recordar números hexadecimales!

12

Cómo compro un nombre de dominio?

• Los registros administran los nombres de dominio y la información de registro

• Los registradores y los revendedores administran los servicios de registro• El costo del registro corresponde al uso

del nombre de dominio y su inclusión en el DNS durante uno o más años.

• Algunos registros (e.g., ccTLDs) ofrecen registro directamente al público

13

Registro de dominios 101

• Usuario elige nombre a registrar “ejemplo”

• Usuario pide a registrador verificar su disponibilidad bajo un TLD

• Usuario paga registro para usar el nombre

• Información de registro:– “nombre” + TLD

(administrada en base de datos del registro)

– Contactos, DNS (administrada en el Whois)

– DNS, status(administrada en base de datos de Whois)

14

Qué puedo hacer con un nombre de dominio?

• Asignar nombres amigables a un dispositivo (servidor) que ofrezca (hosts) aplicaciones de Internet:– Web, blog, redes sociales, servidores de archivos, wiki…

• Asociar direcciones IP a esos nombres• Describir los recursos de los hosts del dominio

– Relays de email (MX), name servers (NS), voz (NAPTR) tipos especiales de recursos

– Cualquier servicio puede ser descrito usando records de ubicación de servidores (server location records, SRV)

15

Qué es una zona del DNS?

• Una zona del DNS es una parte del espacio de nombres de dominio– Es un límite de la autoridad del registro– Su administración es delegada de parent a child

• Ejemplo: en “ssac.icann.org”“.” delega la autoridad a “org”

“org” autoriza subdominios {icann, ncfta…}

“org” delega la autoridad a “icann”“icann autoriza subdominios {www, ssac…} “icann” delega la autoridad a “ssac” y “www”

16

Qué es un archivo de zona?• Un archivo de texto

que contiene todos los records de los recursos (resource records o RRs) de la zona

• Los RRs describen los name servers, direcciones IP, hosts, servicios, servidores de email, llaves y firmas criptográficas…

US ASCII-7 letras, dígitos y guiones

17

RRs comunes

18

Start of Authority RR• Source: la zona fue creada acá• Email del administrador

• Número de revisión del • archivo de zona

• Zone transfer timers (secondary)

Time to live• Por cuánto tiempo son • válidos los RRs

Name Server (NS)• IN (Internet)• Nombre del servidor autoritario

Servidor de correo (MX)• IN (Internet) • Nombre del servidor de correo

19

Record de la dirección del name server• NS1 (nombre del name server)• IN (Internet)• A (IPv4) * AAA es IPv6• Dirección IPv4 (192.168.0.1)Record de la dirección del servidor web• www (world wide web)• IN (Internet)• A (IPv4) * • is IPv6• Dirección IPv4 (192.168.0.2)

Record de la dirección del servidor FTP• FTP (file transfer protocol)• IN (Internet)• CNAME= “misma dirección que

www”

RRs comunes

Cómo se accede a los datos de una zona del DNS?

• Las aplicaciones de usuarios y clientes acceden a la información de las zonas usando Users and client applications access DNS zone data using “stub resolvers”– Comandos: dig, nslookup– Funcionalidad incluida en navegadores y aplicaciones

(clientes)• Los stub resolvers usualmente hacen queries a servidores

repetitivos (recursivos)– La resolución de nombres de dominios es un método para

referir a recursos y un proceso iterativo– Los usuarios pueden enviar queries a los servidores

autoritarios pero esta configuración es menos frecuente

20

ping www.acme.com.

Resolución de Nombres de Dominio

pc1.icann.org

21

¿Cuál es la dirección IP de

www.acme.com?

Resolución de Nombres de Dominiopc1 le pregunta al resolutor repetitivo (recursive server) dns1.icann.org la dirección de www.acme.com

ping www.acme.com.pc1.icann.org

dns1.icann.org

22

dns1.icann.org le pregunta al servidor raíz m.root-servers.net la dirección de www.acme.com

¿Cuál es la dirección de www.acme.com?

Domain Name Resolution Process

ping www.acme.com.

pc1.icann.org

dns1.icann.org

m.root-servers.net

23

Acá está la lista de servidores de

resolución del .com. Pregúntele a uno de

ellos.

Domain Name Resolution Processm.root-servers.net pide a dns1.icann.org ir a los servidores de resolución del

TLD com. Esta clase de respuesta es considerada una referencia.

ping www.acme.com.

dns1.icann.org

m.root-servers.net

pc1.icann.org

24

¿Cuál es la dirección de www.acme.com?

Domain Name Resolution Processdns1.icann.org le pregunta a un servidor del com, f.gtld-servers.net la dirección de www.acme.com

ping www.acme.com.

m.root-servers.net

f.gtld-servers.net

dns1.icann.org

pc1.icann.org

25

Acá está la lista de servidores de resolución de acme.com.

Pregúntele a uno de ellos.

Domain Name Resolution Processf.gtld-servers.net le pide a dns1.icann.org preguntar a los servidores de resolución de acme.com (referral)

m.root-servers.net

f.gtld-servers.net

ping www.acme.com.

dns1.icann.org

pc1.icann.org

26

¿Cuál es la dirección IP de

www.acme.com?

Domain Name Resolution Processdns1.icann.org pregunta a los servidores de resolución de acme.com, ns1.sanjose.acme.net la dirección de www.acme.com

ping www.acme.com.

m.root-servers.net

f.gtld-servers.net

ns1.sanjose.acme.net

dns1.icann.org

pc1.icann.org

27

Esta es la dirección IP de

www.acme.com

Domain Name Resolution Processns1.sanjose.acme.net le responde a dns1.icann.org con la dirección de www.acme.com

m.root-servers.net

f.gtld-servers.net

ping www.acme.com.

ns1.sanjose.acme.net

dns1.icann.org

pc1.icann.org

28

Esta es la dirección IP de

www.acme.com

Domain Name Resolution Processdns1.icann.org le responde a pc1.icann.org con la dirección de www.acme.com

ping www.acme.com.

m.root-servers.net

f.gtld-servers.net

nsl.sanjose.acme.net

dns1.icann.org

pc1.icann.org

29

icann.orgAAAA 2001:500:88:200::7

¿Qué es caching?• Los resolutores repetitivos

(iterative) pueden guardar en su memoria temporal los records del DNS que reciben de otros servidores de resolución, al procesar queries de sus clientes– Acelera la resolución– Ahorra ancho de banda– Las respuestas son no-

autoritarias (non-authoritative)• ¿Los records guardados en el

cache son eternos?– No. El campo TTL (time to live o

tiempo de vida) determina cuánto tiempo cada record puede ser guardado en el cache

¿Cuál es la dirección IPv6 de

icann.org?

Mi Mac

Mi resolutor local

Servidor de resolución de ICANN (autoritario)

Voy a guardar esta

respuesta

30

Cómo hace mi dispositivo para encontrar un resolutor: DHCP

¿Alguien me ayuda a

conectarme a una red?

Hola! Soy su gateway• Mi dirección es 192.168.4.1• Su dirección IP es

192.168.4.94• Su subred es 255.255.252.0• Envíe sus queries de DNS al

resolutor que está en la dirección 192.168.4.1 (es decir, yo!)

31

Un sitio web, muchos queries de DNS

Para encontrar e interpretar contenido en cnn.com se deben resolver MUCHOS dominios

32

PARA INTERPRETAR EL CONTENIDO QUE USTED VE

AL VISITAR CNN.COM Su navegador

debe resolver todos estos

nombres de dominio

www.cnn.comi.cdn.turner.comz.cdn.turner.comi2.cdn.turner.com

ads.cnn.comtoes.cnn.com

www.adfusion.comcontent.pulse360.com

ad.doubleclick.nets0.2mdn.net

aranet.vo.llnwd.netcontent.dl-rms.com

icompass.insightexpressai.com

33

DNS Security (DNSSEC)• Protege información del DNS contra falsificación• Usa criptografía de llave pública para firmar información

autoritaria de zona– Asegura que el origen de la información es auténtico– Asegura que la información es la misma que que el originador

(autenticado) publicó inicialmente• El modelo (basado en la confianza) también usa

criptografía de llave pública– Zonas de nivel alto firman las zonas de niveles inferiores (el

root firma las zonas de los TLDs, los TLDs firman las zonas de los dominios registrados…)

34

Un autoridad firma la información de la zona con una llave privada

– Las autoridades deben mantener en secreto las llaves privadas

Información del DNS

Información de DNS firmada

+Firmas

digitales

Publicación

Firmada con llave privada

Criptografía de lllave pública en DNSSEC

Servidor autoritario

35

Tiene dudas? Intente “dig +dnssec icann.org”

• La autoridad publica la llave pública para que los usuarios puedan descifrar y

verificar que la información es correcta y vino del lugar correcto

36

Servidor autoritario

Información firmada de

zona

Validación de servidor repetitivo

Validación con llave pública

Criptografía de lllave pública en DNSSEC

Tema

• ¿ Quién administra el DNS?

37

¿Quién es quien en el ecosistema del DNS?

• Los registros administran las bases de datos de los TLDs y generan los archivos de zona de los TLDs

• Los registros son muy diversos:• Grandes compañías, pequeñas

organizaciones sin ánimo de lucro, departmentos en universidades…

• Algunos registros contratan a terceros para el manejo técnico del TLD

38

• Los registros de los gTLDs firman un contrato con ICANN• Tienen que cumplir contrato y

políticas• http

://www.icann.org/en/resources/registries/listing

• CcTLDs no tienen contrato con ICANN• http://www.iana.org/domains/root/

db/

• Participan en desarrollo de políticas de ICANN vía la ccNSO• http://ccnso.icann.org 39

¿Quién es quien en el ecosistema del DNS?

• Los ccTLDS son muy dispares en sus políticas y operaciones• De registros globales a sólo quienes viven en

territorio• Con o sin ánimo de lucro• Operados por gobiernos o por terceros• Desde un solo empleado de medio tiempo hasta

grandes organizaciones

40

¿Quién es quien en el ecosistema del DNS?

Registradores

41

• Empresas que procesan el registro de los nombres de dominio– En el mundo de los gTLDs firman contracto con ICANN (Registrar

Accreditation Agreement o RAA) • https://www.icann.org/resources/pages/approved-with-specs-2013-09-17-en• http://www.icann.org/registrar-reports/accredited-list.html

– Los ccTLDs definen su propio proceso de registro (algunos usan uno similar al de ICANN)

• Existen los modelos de venta al detal (retail) y al por mayor (wholesale) y con o sin revendedores

• El registro de dominios no es la única línea de negocio de los registradores

Operaciones Tercerizadas

42

• Las entidades incluidas en las bases de datos de IANA pueden prestar servicios operacionales:– Registrador– Registro– Servicio de nombre autoritario– Operador técnico (back end) (bases de datos, EPP,

DNS)– Todas las operaciones

¿Quién administra las bases de datos de Whois?

43

• No las administra una única entidad– Son BDs muy distribuidas

• Dos modelos básicos:– Whois delgado (thin)

• El registrador mantiene los points of contact y los name servers• El registro mantiene el nombre del registrador, los name servers, el status

del dominio, fechas de creación, actualización y expiración

– Whois grueso (thick) • Casi la misma información en Whois del registrador está en el Whois del

registro (registrador del dominio, name servers, status del dominio, fechas de creación, actualización y expiración, contactos)

Exactitud y Veracidad -Whois

• El registrante es responsable de su validez

• Los registros de gTLDs y sus registradores deben ofrecer el servicio de Whois

• Los ccTLDs no tienen la obligación• Los registros de los nuevos dominios

deben ofrecer thick Whois• Nuevas obligaciones: formato, validación,

verificación

44

Proveedores repetitivos (recursive providers)

45

• Las operaciones autoritarias (authoritative) son sólo un aspecto de las operaciones del DNS

• Las operaciones recursivas (repetitivas) son muy diversas:– Servidores de DNS de ISPs (tal vez las más comunes) – ISPs

suelen ser revendedores de registro de dominios– Registradores, suelen ofrecer DNS y servicios de hosting para

sus clientes– Servidores corporativos de DNS– Servidores públicos de DNS (Google, Open DNS, otros)– Servidores privados o personales de DNS

• DNS usado para cometer delitos? Claro que sí.

¿Y la privacidad?Los contratos de

ICANN con los registros y los registradores

establecen que la información de

registro debe ser ofrecida al público

a través del servicio de Whois

Privacidad

Accesibilidad

Anonimidad

Exactitud

Re

tos

de

Po

lítica

Los ccTLDs definen sus propias políticas

Un asunto de política nada sencillo• Para los gTLDs, la política sobre Whois es un

asunto de consenso entre todas las partes interesadas– ¿Debe la información ser reservada?– ¿Debe ser accesible con orden de un juez?– ¿Deben distinguirse los registros comerciales de los

personales? – ¿Debe haber mayor exactitud?– ¿Y los servicios de intermediario o privacidad?

Photo by robynejayflickr.com/creative commons

Y hablando de… RAA 2013!

Áreas Principales• Contacto para casos de abuso para policías y el

público• Especificación sobre servicios de privacidad e

intermediarios, futuro programa de acreditación• Registradores deben entregar más información a

ICANN al ser acreditados• Decisiones judiciales sobre violación de marcas son

causa para terminación• DNSSEC e IPv6

Y hablando de… RAA 2013!

Áreas Principales• Exactitud de Whois (validación, verificación,

formato)• Herramientas:

• Violación de marcas y provisión de información engañosa en la renovación del RAA: terminación

• Incumplimiento material: 3 veces en 12 meses: suspensión

Tema

• ¿Puede el DNS ser abusado?

50

¿Cómo puede ser atacado el DNS?Attack Description

Envenenamiento del caché

Hacer que un resolver agregue records falsos de DNS en su memoria cache

Ataque en cliente de usuario

Uso de malware para modificar información del DNS en el dispositivo del usuario, archivo /etc/hosts (ejemplo: DNSChanger)

Ataque DDoS Ataque de agotamiento de recursos en el que miles de dispositivos envían solicitudes a un servidor de DNS víctima

Ataque de amplificación (reflexión)

Miles de dispositivos envían solicitudes que provocan una respuesta de mayor tamaño, falsificando la dirección de un name server víctima e inundándolo con respuestas de DNS pesadas

Ataques contra vulnerabilidades

Ataque contra vulnerabilidades en el software de servidores de DNS, que lo hacen fallar o comportarse en una forma no prevista

Wildcards *.ejemplo.com responde con 3600 IN MX 10 host1.example.com.

51

Abuso de los servicios de registro de nombresTipo de abuso DescripciónRobo de dominios Robar un dominio a un registrante legítimo o

al tenedor de una cuentaCybersquatting Registro de términos visualmente similares a

marcas registradas (pay per click advertising, phish, malware)

Front running Uso de información privilegiada para registrar un dominio antes de que el legítimo cliente lo haga

Drop catching Registro de dominios un instante después de que son borrados tras su expiración

Suplantación de registrador

Ataque de phishing en el que el atacante pretende ser un registrador

52

No hay una ‘autoridad última’ en el DNS

53

La resolución de asuntos relacionados con el DNS involucra a múltiples partes

– Registro (base de datos de IANA)– Registrador (Whois del registro e icann.org)– Registrante (Whois registro/registrante)– Proveedor de hosting para el dominio– Cualquier tercero que opere un resolutor

(resolver)– compliance@icann.org– En caso de duda, escríbanos y buscaremos

contactarlo con la persona correcta

Resumen

• Internet usa varios sistemas identificadores• El DNS nos permite usar nombres en lugar de números

– El DNS es una base de datos crítica para Internet

• El DNS es abierto y, por tanto, es sujeto de abuso– Es una base de datos pública, con información proveída y

ofrecida por miles de autoridades individuales• El registro de nombres también es susceptible de ser abusado• Mantener la seguridad y la estabilidad del DNS y de los

servicios de registro es un elemento importante de la misión de ICANN

54

Preguntas?

56