SlideShare une entreprise Scribd logo

DNSSEC - Generalidades e Introducción

Télécharger en tant que PPTX, PDF
Carlos Martinez Cagnazzo
Carlos Martinez Cagnazzo

Este documento resume los conceptos básicos de DNSSEC. DNSSEC introduce extensiones de seguridad al protocolo DNS para autenticar y verificar la integridad de la información DNS mediante el uso de criptografía de clave pública. DNSSEC agrega nuevos registros como RRSIG, DNSKEY y DS que permiten firmar conjuntos de registros de recursos y establecer una cadena de confianza entre zonas. Esto protege contra envenenamiento de datos DNS y permite validar la autenticidad de la información DNS.

Technologie
1  sur  35
Conceptos generales de DNSSEC 4 de agosto de 2011 Carlos Martínez-Cagnazzo carlos @ lacnic.net 1
DNSSEC • Conceptos de Criptografía • DNSSEC • Donde DNSSEC • Como DNSSEC • Nuevos registros • Cadena de confianza 2
Tutorial DNS Capítulo III CRIPTOGRAFÍA 3
Criptografía • Conceptos importantes de criptografía para DNSSEC  Cifrado de clave pública  Algoritmos de hashing  Firma digital  Cadena de confianza 4
Criptografía (ii) • En general, dos partes necesitan comunicarse de forma privada buscan asegurar algunas propiedades de la comuniación y de los mensajes:  Estar seguras de que nadie más ha podido ver o leer sus mensajes (propiedad de privacidad)  Estar seguras de que nadie ha podido alterar sus mensajes (propiedad de integridad)  Estar seguras de que quien envía los mensajes es quien dice ser (propiedad de autenticidad) 5
Criptografía simétrica [Fuente: Stallings] • E[.] y D[.] son dos funciones respectivamente inversas una de la otra • D[ E [X] ] = X • La clave K es un parámetro adicional que se introduce para facilitar la recuperación frente a intrusiones • Criptografía simétrica • D[ K, E [K, X] ] = X 6
Hashes criptográficos • H es una transformación que cumple  p << n  Dado el algoritmo, n es fijo • Esto implica que existen colisiones • Colisión: Encontrar M1 y M2 tales que H(M1) == H(M2) • Si H() es buena tiene que ser muy difícil encontrarlos • Intuitivamente  Una función de hash es tanto mejor en cuanto el resultado aparece mas “randómico”
Hashes criptográficos (ii) • Algunos algoritmos conocidos: • MD5 • 128 bits • SHA1 / SHA256 • 160 / 256 bits
Criptografía de clave pública • La distribución de claves siempre fue el punto débil de la criptografía tradicional • Interés en buscar alternativas • (Diffie-Hellman ca. 1976) “Criptografía de Clave Pública” • La CCP es un criptosistema con las siguientes propiedades  D[E(P)] = P  D no se puede deducir fácilmente de E  E no puede romperse con un ataque de texto plano elegido 9
Criptografía de clave pública (ii) • Cada entidad genera un par de claves, una será la pública y otra la privada  Kpub, Kpriv  No son independientes entre sí • Dada una está dada la otra • Para transimitir un mensaje “X” de A -> B se calcula:  Y = E [ KpubB, X] • Al recibir, B calcula:  X’ = D[ KprivB, Y] 10
Criptografía de clave pública (iii) • (fuente: Stallings) *** 11
Firma digital • Objetivo de la firma digital:  Establecer pruebas de integridad de documentos digitales • Implementable utilizando criptografía de clave pública 12
Firma digital (ii) • Dado un documento M a ser firmado por A(lice) para ser recibido por B(ob)  A calcula: • Un hash de M, H = Hash[M] • Una firma del mensaje, F = E[ KprivA, H]  A transmite {M, F} hacia B • Al recibir, B calcula:  El hash de M, H’ = Hash[M]  Regenera el hash a partir de la firma H = D[ KpubA, F]  Es H == H’ ?? 13
Firma digital (iii) • Cadenas de confianza  Cada nivel de una jerarquía firma material de la siguiente  La raíz de la jerarquía debe ser considerada especialmente  La validación puede ser • Top down • Up down 14
DNSSEC: MOTIVACIÓN 15
Especificacion del protocolo • Recordamos: formato de paquetes DNS  Header Header • Encabezado del protocolo • Flags (QR, RA, RD,…) Question  Question Section • La pregunta que hacemos al DNS  Tuplas (Name, Type, Class) Answer  Answer Section • RRs que responden la pregunta (si es que hay), también en (N, T, C) Authority  Authority Section • RRs que apuntan a una autoridad (opcional) Additional  Additional Section • RRs que a juicio del DNS pueden ser útiles para quien está preguntando, y que pueden no ser autoritativos
Consultas DNS Otros “resolver” local DNS recursivo servidores local autoritativos
Vectores de ataque en DNS
Vulnerabilidades del protocolo DNS • La información transmitida en DNS puede ser “spoofed”  Entre maestro y esclavo (AXFR)  Entre maestro y sus clientes “resolver” • Actualmente el protocolo DNS no permite validar la información contenida en una respuesta  Vulnerable a las diferentes técnicas de poisoning  Datos envenenados siguen causando problemas por un tiempo (potencialmente grande, TTL) • Tampoco los secundarios tienen manera de autenticar al primario con el que están hablando 19
Introduciendo DNSSEC • Análisis de vulnerabilidades en DNS  RFC 3833: “Threat Analysis of the Domain Name System (DNS)” • DNSSEC:  “DNS Security Extensions”  RFC 4033, 4034, 4035  ~ Marzo 2005 • Aunque DNSSEC viene siendo tratado desde hace mucho mas tiempo en el IETF 20
¿De que nos protege DNSSEC? • DNSSEC nos protegerá de corrupción y del spoofing de datos  Proporciona un mecanismo para poder validar la autenticidad y la integridad de los datos contenidos en una zona DNS • DNSKEY/RRSIG/NSEC  Proporciona un mecanismo para delegar la confianza en ciertas claves públicas (cadena de confianza) • DS  Proporciona un mecanismo para autenticar las transferencias de zona entre primarios y secundarios • TSIG 21
Introducción a DNSSEC • DNSSEC *no* es un nuevo protocolo • Es un conjunto de extensiones al protocolo DNS tal como lo conocemos  Cambios en el “wire protocol” (EDNS0) • Extensión del tamaño máximo de una respuesta UDP de 512 a 4096 bytes  Agregado de nuevos resource records • RRSIG, DNSKEY, DS, NSEC  Agregado de nuevos flags • Checking Disabled (CD) • Authenticated Data (AD) 22
Introducción a DNSSEC (2) • Nuevos RR  RRSIG: Resource Record Signature  DNSKEY: DNS Public Key  DS: Delegation Signer  NSEC: Next Secure • Nuevos Flags:  AD: indica que la respuesta esta autenticada  CD: indica que no se realiza chequeo (deshabilitado) 23
Introducción a DNSSEC (3) • (Repaso) Un resource record en DNS es una tupla de cinco valores  (nombre, clase, tipo, TTL, valor) • El registro:  www.empresa.com. 86400 IN A 200.40.100.141  Esta representado por la tupla: • Nombre (www.empresa.com) • Clase (IN) • Tipo (A) • TTL (86400 segundos) • Valor (200.40.100.141) 24
Introducción a DNSSEC (4)  Resource Record Sets (RRSets) • DNSSEC opera firmando RRSets (no RR individuales) • Un RRSet es un conjunto de resource records que comparten igual:  Clase  Tipo  Nombre  Ejemplo de RRSet (TTL omitido): • www IN A 200.40.241.100 • www IN A 200.40.241.101 25
Introducción a DNSSEC (5) Firma de zona • Se genera un par de claves (publica y su correspondiente privada) para cada zona  El par de claves es propio de cada zona y no del servidor autoritativo  La parte privada se debe mantener bajo custodia • La privada firma los RRSets de la zona  La publica se debe publicar en DNS mediante un registro DNSKEY • La privada permite verificar las firmas de los RRSets  Un RRSet puede tener multiples firmas generadas con diferentes claves 26
Introducción a DNSSEC (6) • La firma digital de un RRSet se devuelve en forma de un registro RRSIG que es parte de la respuesta • Ejemplo: ~ carlosm$ dig +dnssec www.nic.se ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1 ;; ANSWER SECTION: www.nic.se. 60 IN A 212.247.7.218 www.nic.se. 60 IN RRSIG A 5 3 60 20101021132001 20101011132001 23369 nic.se. HeeUZ5h5iExK5uU1SuNRIf2Dbmh2/aWV8FkjmzixUzTAVrHv39PfmfnG DHdHoZxoz85hqqYiWb+t9EZh5+iqxQk8AxRDic9Nn6WxifOoWeS+IUKQ rVyqXf1NtkZvu1A325vwa8obtbeVGVkhqg6bDIjKYeHixjlQ4cRoFcEW Izk= ;; AUTHORITY SECTION: nic.se. 2974 IN NS ns3.nic.se. nic.se. 2974 IN NS ns2.nic.se. nic.se. 2974 IN NS ns.nic.se. nic.se. 3600 IN RRSIG NS 5 2 3600 20101021132001 20101011132001 23369 nic.se. GSzAUC3SC3D0G/iesCOPnVux8WkQx1dGbw491RatXz53b7SY0pQuyT1W eb063Z62rtX7etynNcJwpKlYTG9FeMbDceD9af3KzTJHxq6B+Tpmmxyk FoKAVaV0cHTcGUXSObFquGr5/03G79C/YHJmXw0bHun5ER5yrOtOLegU IAU= 27
Cadena de confianza • ¿Como puede un cliente verificar un RRSet de una cierta zona?  Hace una consulta por el DNSKEY correspondiente  Realiza los calculos correspondientes y los compara con el RRSIG • Si coinciden, la firma verifica, de lo contrario, no • Pero ¿como se puede confiar en la DNSKEY si sale de la misma zona que queremos verificar?  Necesitamos verificar la cadena de confianza 28
Cadena de confianza (ii) • Registro DS “Delegation Signature”  Los registros DS “firman” claves de zonas hijas  De esta forma uno puede verificar el DNSKEY de una zona buscando un registro DS en la zona padre • El registro DS contiene un hash de la una clave pública  Es decir, del contenido de un registro DNSKEY • Los registors DS en la zona padre están firmados con la(s) claves de esa zona • Para completar la cadena de confianza tiene que estar firmada la raíz del DNS 29
Cadena de confianza (iii) • Pero ¿que pasa con la zona raíz?  La zona raíz no tiene “padre” a quien ir a pedirle un registro DS  La raíz del DNS esta firmada desde julio de 2010 • [ http://www.root-dnssec.org ]  El registro DS para “.” se puede obtener fuera de banda • [ http://data.iana.org/root-anchors/root-anchors.xml ] • . IN DS 49AAC11D7B6F6446702E54A1607371607A1A41855200F D2CE1CDDE32F24E8FB5 30
Introducción a DNSSEC (9) Firma de la raíz • ¿Cómo se verifica la autenticidad del root trust-anchor? • El TA de la zona raíz se publica fuera de banda, por ello la validación debe ser diferente  Se puede bajar por HTTP/HTTPS  Se puede verificar por otros mecanismos (certificados, firmas PGP)  Similar a lo que pasa con la zona raíz misma, se debe cargar manualmente 31
Introducción a DNSSEC (10) Negación de existencia • Respuestas con “NXDOMAIN”  Niegan la existencia de un nombre  Son respuestas “cacheables” a pesar de ser negativas • ¿Como firmar la no-existencia?  Necesito tener un RRSet para firmar • Recordar que en DNSSEC lo que se firma siempre son RRSets  Técnicas propuestas: • NSEC • NSEC3 32
Consideraciones finales DNSSEC vs PKI • DNSSEC no implementa una PKI sobre DNS  Si bien es cierto que se parece  • ¿Por qué no?  Los procedimientos de gestión de claves están basados en políticas locales • No hay “certificate authority” • Si todo un dominio y subdominios están bajo una administración única, entonces si se puede aplicar mas estrictamente un conjunto de políticas  No hay CRL (“Certificate Revocation List”) 34
Procedimiento básico de firma de zona • Generación de un par de claves  Incluir el DNSKEY creado en la zona  Si lo hacemos con BIND esto dispara: • El ordenamiento de la zona • Inserción de los registros RRSIG • Generación de registros DS  Recordar que van en el padre 36
¿Preguntas? 37

Recommandé

Servicio de Nombramiento
Servicio de NombramientoServicio de Nombramiento
Servicio de Nombramiento
Jorge Guerra
 
Implementaciones de Serv. Nombramiento
Implementaciones de Serv. NombramientoImplementaciones de Serv. Nombramiento
Implementaciones de Serv. Nombramiento
Jorge Guerra
 
11 dns windows_asoitsonp
11 dns windows_asoitsonp11 dns windows_asoitsonp
11 dns windows_asoitsonp
OpenCourseWare México
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRL
Carlos Martinez Cagnazzo
 
Seguridad
SeguridadSeguridad
Seguridad
1 2d
 
Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”
Yeni ChT
 
Capa de Aplicacion - Redes de Computadoras
Capa de Aplicacion - Redes de ComputadorasCapa de Aplicacion - Redes de Computadoras
Capa de Aplicacion - Redes de Computadoras
Jesus Jimenez
 
DnsSec
DnsSecDnsSec
DnsSec
Chema Alonso
 

Recommandé

Servicio de Nombramiento
Servicio de NombramientoServicio de Nombramiento
Servicio de Nombramiento
Jorge Guerra
 
Implementaciones de Serv. Nombramiento
Implementaciones de Serv. NombramientoImplementaciones de Serv. Nombramiento
Implementaciones de Serv. Nombramiento
Jorge Guerra
 
11 dns windows_asoitsonp
11 dns windows_asoitsonp11 dns windows_asoitsonp
11 dns windows_asoitsonp
OpenCourseWare México
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRL
Carlos Martinez Cagnazzo
 
Seguridad
SeguridadSeguridad
Seguridad
1 2d
 
Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”
Yeni ChT
 
Capa de Aplicacion - Redes de Computadoras
Capa de Aplicacion - Redes de ComputadorasCapa de Aplicacion - Redes de Computadoras
Capa de Aplicacion - Redes de Computadoras
Jesus Jimenez
 
DnsSec
DnsSecDnsSec
DnsSec
Chema Alonso
 
Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tables
Amanda Sofia
 
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Universidad Nacional de Loja
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
3calabera
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
jlezcano1210
 
Desafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecDesafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssec
MEDUCA
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Oscar Gonzalez
 
Capitulo1 generalidades
Capitulo1 generalidadesCapitulo1 generalidades
Capitulo1 generalidades
rooooo
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
Juan Carlos Rubio Pineda
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
Rockdan
 
Seguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosSeguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelolleros
Angel Olleros Consultoría
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
Paco Orozco
 
Generalidades de Epidemiología y Conceptos básicos.
Generalidades de Epidemiología y Conceptos básicos.Generalidades de Epidemiología y Conceptos básicos.
Generalidades de Epidemiología y Conceptos básicos.
Leon Vargas
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad Perimetral
Francisco Medina
 
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
miguel911
 
Ids ips detection
Ids ips detectionIds ips detection
Ids ips detection
Tensor
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
Esteban Saavedra
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de Seguridad
Miguel A. Amutio
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
Dns “El Backdoor por default”
Dns “El Backdoor por default”Dns “El Backdoor por default”
Dns “El Backdoor por default”
Davis Palomino
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
Maricela Poaquiza
 
Configuracion del servidor dns en linux
Configuracion del servidor dns en linuxConfiguracion del servidor dns en linux
Configuracion del servidor dns en linux
Carlos Antonio Leal Saballos
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1
Sergim
 

Contenu connexe

En vedette

Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tables
Amanda Sofia
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
jlezcano1210
 
Capitulo1 generalidades
Capitulo1 generalidadesCapitulo1 generalidades
Capitulo1 generalidades
rooooo
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
Rockdan
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
Esteban Saavedra
 

En vedette (17)

Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tables
 
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Desafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecDesafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssec
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
 
Capitulo1 generalidades
Capitulo1 generalidadesCapitulo1 generalidades
Capitulo1 generalidades
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
 
Seguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosSeguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelolleros
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
 
Generalidades de Epidemiología y Conceptos básicos.
Generalidades de Epidemiología y Conceptos básicos.Generalidades de Epidemiología y Conceptos básicos.
Generalidades de Epidemiología y Conceptos básicos.
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad Perimetral
 
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
 
Ids ips detection
Ids ips detectionIds ips detection
Ids ips detection
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de Seguridad
 

Similaire à DNSSEC - Generalidades e Introducción

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1
Sergim
 
Instalación dns
Instalación dnsInstalación dns
Instalación dns
RastaAliria
 
Instalación dns
Instalación dnsInstalación dns
Instalación dns
K-te Muñoz
 
Active directory
Active directoryActive directory
Active directory
Erii Amaya
 
Dns anita vaca
Dns anita vacaDns anita vaca
Dns anita vaca
Anita Vaca
 
Interconexion de redes
Interconexion de redesInterconexion de redes
Interconexion de redes
Kary Gomez
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
Taringa!
 

Similaire à DNSSEC - Generalidades e Introducción (20)

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Dns “El Backdoor por default”
Dns “El Backdoor por default”Dns “El Backdoor por default”
Dns “El Backdoor por default”
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
 
Configuracion del servidor dns en linux
Configuracion del servidor dns en linuxConfiguracion del servidor dns en linux
Configuracion del servidor dns en linux
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1
 
ION Costa Rica - Introduction to DNSSEC
ION Costa Rica - Introduction to DNSSECION Costa Rica - Introduction to DNSSEC
ION Costa Rica - Introduction to DNSSEC
 
Unidad 2: Sistema de nombres de dominio (DNS)
Unidad 2: Sistema de nombres de dominio (DNS)Unidad 2: Sistema de nombres de dominio (DNS)
Unidad 2: Sistema de nombres de dominio (DNS)
 
Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanish
 
Presentacion HTTP/HTTPS/DNS
Presentacion HTTP/HTTPS/DNSPresentacion HTTP/HTTPS/DNS
Presentacion HTTP/HTTPS/DNS
 
Dns en linux debían squeeze 6
Dns en linux debían squeeze 6Dns en linux debían squeeze 6
Dns en linux debían squeeze 6
 
Instalación dns
Instalación dnsInstalación dns
Instalación dns
 
Instalación dns
Instalación dnsInstalación dns
Instalación dns
 
DNS
DNSDNS
DNS
 
Active directory
Active directoryActive directory
Active directory
 
Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4
 
Dns anita vaca
Dns anita vacaDns anita vaca
Dns anita vaca
 
Interconexion de redes
Interconexion de redesInterconexion de redes
Interconexion de redes
 
Luis Delgado - XMPP, algo más que chat [RootedCON 2012]
Luis Delgado - XMPP, algo más que chat [RootedCON 2012]Luis Delgado - XMPP, algo más que chat [RootedCON 2012]
Luis Delgado - XMPP, algo más que chat [RootedCON 2012]
 
Guia de seguridad en servicios DNS (INTECO)
Guia de seguridad en servicios DNS (INTECO)Guia de seguridad en servicios DNS (INTECO)
Guia de seguridad en servicios DNS (INTECO)
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
 

Plus de Carlos Martinez Cagnazzo

Plus de Carlos Martinez Cagnazzo (20)

Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4
 
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUIC
 
RPKI en America Latina y el Caribe
RPKI en America Latina y el CaribeRPKI en America Latina y el Caribe
RPKI en America Latina y el Caribe
 
The End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersThe End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident Responders
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017
 
Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28
 
IPv6 Routing Table Prefix Size Analysis
IPv6 Routing Table Prefix Size AnalysisIPv6 Routing Table Prefix Size Analysis
IPv6 Routing Table Prefix Size Analysis
 
An Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECAn Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSEC
 
Internet of Things en el Dia de Internet
Internet of Things en el Dia de InternetInternet of Things en el Dia de Internet
Internet of Things en el Dia de Internet
 
Monitoreo de Red para Peering
Monitoreo de Red para PeeringMonitoreo de Red para Peering
Monitoreo de Red para Peering
 
An IPv6 Primer
An IPv6 PrimerAn IPv6 Primer
An IPv6 Primer
 
Introduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de InternetIntroduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de Internet
 
Enabling IPv6 Services Transparently
Enabling IPv6 Services TransparentlyEnabling IPv6 Services Transparently
Enabling IPv6 Services Transparently
 
LACNOG - Logging in the Post-IPv4 World
LACNOG - Logging in the Post-IPv4 WorldLACNOG - Logging in the Post-IPv4 World
LACNOG - Logging in the Post-IPv4 World
 
Seguridad de la Información para Traductores
Seguridad de la Información para TraductoresSeguridad de la Información para Traductores
Seguridad de la Información para Traductores
 
An Overview of DNSSEC
An Overview of DNSSECAn Overview of DNSSEC
An Overview of DNSSEC
 
An Overview of RPKI
An Overview of RPKIAn Overview of RPKI
An Overview of RPKI
 
IPv6 Transition Considerations for ISPs
IPv6 Transition Considerations for ISPsIPv6 Transition Considerations for ISPs
IPv6 Transition Considerations for ISPs
 
Una introduccion a IPv6
Una introduccion a IPv6Una introduccion a IPv6
Una introduccion a IPv6
 
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoNAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
 

Dernier

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Dernier (10)

EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 

DNSSEC - Generalidades e Introducción

  • 1. Conceptos generales de DNSSEC 4 de agosto de 2011 Carlos Martínez-Cagnazzo carlos @ lacnic.net 1
  • 2. DNSSEC • Conceptos de Criptografía • DNSSEC • Donde DNSSEC • Como DNSSEC • Nuevos registros • Cadena de confianza 2
  • 3. Tutorial DNS Capítulo III CRIPTOGRAFÍA 3
  • 4. Criptografía • Conceptos importantes de criptografía para DNSSEC  Cifrado de clave pública  Algoritmos de hashing  Firma digital  Cadena de confianza 4
  • 5. Criptografía (ii) • En general, dos partes necesitan comunicarse de forma privada buscan asegurar algunas propiedades de la comuniación y de los mensajes:  Estar seguras de que nadie más ha podido ver o leer sus mensajes (propiedad de privacidad)  Estar seguras de que nadie ha podido alterar sus mensajes (propiedad de integridad)  Estar seguras de que quien envía los mensajes es quien dice ser (propiedad de autenticidad) 5
  • 6. Criptografía simétrica [Fuente: Stallings] • E[.] y D[.] son dos funciones respectivamente inversas una de la otra • D[ E [X] ] = X • La clave K es un parámetro adicional que se introduce para facilitar la recuperación frente a intrusiones • Criptografía simétrica • D[ K, E [K, X] ] = X 6
  • 7. Hashes criptográficos • H es una transformación que cumple  p << n  Dado el algoritmo, n es fijo • Esto implica que existen colisiones • Colisión: Encontrar M1 y M2 tales que H(M1) == H(M2) • Si H() es buena tiene que ser muy difícil encontrarlos • Intuitivamente  Una función de hash es tanto mejor en cuanto el resultado aparece mas “randómico”
  • 8. Hashes criptográficos (ii) • Algunos algoritmos conocidos: • MD5 • 128 bits • SHA1 / SHA256 • 160 / 256 bits
  • 9. Criptografía de clave pública • La distribución de claves siempre fue el punto débil de la criptografía tradicional • Interés en buscar alternativas • (Diffie-Hellman ca. 1976) “Criptografía de Clave Pública” • La CCP es un criptosistema con las siguientes propiedades  D[E(P)] = P  D no se puede deducir fácilmente de E  E no puede romperse con un ataque de texto plano elegido 9
  • 10. Criptografía de clave pública (ii) • Cada entidad genera un par de claves, una será la pública y otra la privada  Kpub, Kpriv  No son independientes entre sí • Dada una está dada la otra • Para transimitir un mensaje “X” de A -> B se calcula:  Y = E [ KpubB, X] • Al recibir, B calcula:  X’ = D[ KprivB, Y] 10
  • 11. Criptografía de clave pública (iii) • (fuente: Stallings) *** 11
  • 12. Firma digital • Objetivo de la firma digital:  Establecer pruebas de integridad de documentos digitales • Implementable utilizando criptografía de clave pública 12
  • 13. Firma digital (ii) • Dado un documento M a ser firmado por A(lice) para ser recibido por B(ob)  A calcula: • Un hash de M, H = Hash[M] • Una firma del mensaje, F = E[ KprivA, H]  A transmite {M, F} hacia B • Al recibir, B calcula:  El hash de M, H’ = Hash[M]  Regenera el hash a partir de la firma H = D[ KpubA, F]  Es H == H’ ?? 13
  • 14. Firma digital (iii) • Cadenas de confianza  Cada nivel de una jerarquía firma material de la siguiente  La raíz de la jerarquía debe ser considerada especialmente  La validación puede ser • Top down • Up down 14
  • 16. Especificacion del protocolo • Recordamos: formato de paquetes DNS  Header Header • Encabezado del protocolo • Flags (QR, RA, RD,…) Question  Question Section • La pregunta que hacemos al DNS  Tuplas (Name, Type, Class) Answer  Answer Section • RRs que responden la pregunta (si es que hay), también en (N, T, C) Authority  Authority Section • RRs que apuntan a una autoridad (opcional) Additional  Additional Section • RRs que a juicio del DNS pueden ser útiles para quien está preguntando, y que pueden no ser autoritativos
  • 17. Consultas DNS Otros “resolver” local DNS recursivo servidores local autoritativos
  • 19. Vulnerabilidades del protocolo DNS • La información transmitida en DNS puede ser “spoofed”  Entre maestro y esclavo (AXFR)  Entre maestro y sus clientes “resolver” • Actualmente el protocolo DNS no permite validar la información contenida en una respuesta  Vulnerable a las diferentes técnicas de poisoning  Datos envenenados siguen causando problemas por un tiempo (potencialmente grande, TTL) • Tampoco los secundarios tienen manera de autenticar al primario con el que están hablando 19
  • 20. Introduciendo DNSSEC • Análisis de vulnerabilidades en DNS  RFC 3833: “Threat Analysis of the Domain Name System (DNS)” • DNSSEC:  “DNS Security Extensions”  RFC 4033, 4034, 4035  ~ Marzo 2005 • Aunque DNSSEC viene siendo tratado desde hace mucho mas tiempo en el IETF 20
  • 21. ¿De que nos protege DNSSEC? • DNSSEC nos protegerá de corrupción y del spoofing de datos  Proporciona un mecanismo para poder validar la autenticidad y la integridad de los datos contenidos en una zona DNS • DNSKEY/RRSIG/NSEC  Proporciona un mecanismo para delegar la confianza en ciertas claves públicas (cadena de confianza) • DS  Proporciona un mecanismo para autenticar las transferencias de zona entre primarios y secundarios • TSIG 21
  • 22. Introducción a DNSSEC • DNSSEC *no* es un nuevo protocolo • Es un conjunto de extensiones al protocolo DNS tal como lo conocemos  Cambios en el “wire protocol” (EDNS0) • Extensión del tamaño máximo de una respuesta UDP de 512 a 4096 bytes  Agregado de nuevos resource records • RRSIG, DNSKEY, DS, NSEC  Agregado de nuevos flags • Checking Disabled (CD) • Authenticated Data (AD) 22
  • 23. Introducción a DNSSEC (2) • Nuevos RR  RRSIG: Resource Record Signature  DNSKEY: DNS Public Key  DS: Delegation Signer  NSEC: Next Secure • Nuevos Flags:  AD: indica que la respuesta esta autenticada  CD: indica que no se realiza chequeo (deshabilitado) 23
  • 24. Introducción a DNSSEC (3) • (Repaso) Un resource record en DNS es una tupla de cinco valores  (nombre, clase, tipo, TTL, valor) • El registro:  www.empresa.com. 86400 IN A 200.40.100.141  Esta representado por la tupla: • Nombre (www.empresa.com) • Clase (IN) • Tipo (A) • TTL (86400 segundos) • Valor (200.40.100.141) 24
  • 25. Introducción a DNSSEC (4)  Resource Record Sets (RRSets) • DNSSEC opera firmando RRSets (no RR individuales) • Un RRSet es un conjunto de resource records que comparten igual:  Clase  Tipo  Nombre  Ejemplo de RRSet (TTL omitido): • www IN A 200.40.241.100 • www IN A 200.40.241.101 25
  • 26. Introducción a DNSSEC (5) Firma de zona • Se genera un par de claves (publica y su correspondiente privada) para cada zona  El par de claves es propio de cada zona y no del servidor autoritativo  La parte privada se debe mantener bajo custodia • La privada firma los RRSets de la zona  La publica se debe publicar en DNS mediante un registro DNSKEY • La privada permite verificar las firmas de los RRSets  Un RRSet puede tener multiples firmas generadas con diferentes claves 26
  • 27. Introducción a DNSSEC (6) • La firma digital de un RRSet se devuelve en forma de un registro RRSIG que es parte de la respuesta • Ejemplo: ~ carlosm$ dig +dnssec www.nic.se ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1 ;; ANSWER SECTION: www.nic.se. 60 IN A 212.247.7.218 www.nic.se. 60 IN RRSIG A 5 3 60 20101021132001 20101011132001 23369 nic.se. HeeUZ5h5iExK5uU1SuNRIf2Dbmh2/aWV8FkjmzixUzTAVrHv39PfmfnG DHdHoZxoz85hqqYiWb+t9EZh5+iqxQk8AxRDic9Nn6WxifOoWeS+IUKQ rVyqXf1NtkZvu1A325vwa8obtbeVGVkhqg6bDIjKYeHixjlQ4cRoFcEW Izk= ;; AUTHORITY SECTION: nic.se. 2974 IN NS ns3.nic.se. nic.se. 2974 IN NS ns2.nic.se. nic.se. 2974 IN NS ns.nic.se. nic.se. 3600 IN RRSIG NS 5 2 3600 20101021132001 20101011132001 23369 nic.se. GSzAUC3SC3D0G/iesCOPnVux8WkQx1dGbw491RatXz53b7SY0pQuyT1W eb063Z62rtX7etynNcJwpKlYTG9FeMbDceD9af3KzTJHxq6B+Tpmmxyk FoKAVaV0cHTcGUXSObFquGr5/03G79C/YHJmXw0bHun5ER5yrOtOLegU IAU= 27
  • 28. Cadena de confianza • ¿Como puede un cliente verificar un RRSet de una cierta zona?  Hace una consulta por el DNSKEY correspondiente  Realiza los calculos correspondientes y los compara con el RRSIG • Si coinciden, la firma verifica, de lo contrario, no • Pero ¿como se puede confiar en la DNSKEY si sale de la misma zona que queremos verificar?  Necesitamos verificar la cadena de confianza 28
  • 29. Cadena de confianza (ii) • Registro DS “Delegation Signature”  Los registros DS “firman” claves de zonas hijas  De esta forma uno puede verificar el DNSKEY de una zona buscando un registro DS en la zona padre • El registro DS contiene un hash de la una clave pública  Es decir, del contenido de un registro DNSKEY • Los registors DS en la zona padre están firmados con la(s) claves de esa zona • Para completar la cadena de confianza tiene que estar firmada la raíz del DNS 29
  • 30. Cadena de confianza (iii) • Pero ¿que pasa con la zona raíz?  La zona raíz no tiene “padre” a quien ir a pedirle un registro DS  La raíz del DNS esta firmada desde julio de 2010 • [ http://www.root-dnssec.org ]  El registro DS para “.” se puede obtener fuera de banda • [ http://data.iana.org/root-anchors/root-anchors.xml ] • . IN DS 49AAC11D7B6F6446702E54A1607371607A1A41855200F D2CE1CDDE32F24E8FB5 30
  • 31. Introducción a DNSSEC (9) Firma de la raíz • ¿Cómo se verifica la autenticidad del root trust-anchor? • El TA de la zona raíz se publica fuera de banda, por ello la validación debe ser diferente  Se puede bajar por HTTP/HTTPS  Se puede verificar por otros mecanismos (certificados, firmas PGP)  Similar a lo que pasa con la zona raíz misma, se debe cargar manualmente 31
  • 32. Introducción a DNSSEC (10) Negación de existencia • Respuestas con “NXDOMAIN”  Niegan la existencia de un nombre  Son respuestas “cacheables” a pesar de ser negativas • ¿Como firmar la no-existencia?  Necesito tener un RRSet para firmar • Recordar que en DNSSEC lo que se firma siempre son RRSets  Técnicas propuestas: • NSEC • NSEC3 32
  • 33. Consideraciones finales DNSSEC vs PKI • DNSSEC no implementa una PKI sobre DNS  Si bien es cierto que se parece  • ¿Por qué no?  Los procedimientos de gestión de claves están basados en políticas locales • No hay “certificate authority” • Si todo un dominio y subdominios están bajo una administración única, entonces si se puede aplicar mas estrictamente un conjunto de políticas  No hay CRL (“Certificate Revocation List”) 34
  • 34. Procedimiento básico de firma de zona • Generación de un par de claves  Incluir el DNSKEY creado en la zona  Si lo hacemos con BIND esto dispara: • El ordenamiento de la zona • Inserción de los registros RRSIG • Generación de registros DS  Recordar que van en el padre 36

Notes de l'éditeur

  1. Observarque en el caso de la criptografíasimétrica la distribución de la clave tienequenecesariamentehacersepor un canal aseguradoporotrosmedios, yaque el compromiso de la mismaocasionaque se pierdatoda la seguridad en el esquema de comunicación.
  2. En los esquemas de firma digital se invierten un poco los roles de claves publicas y privadas.Imaginemos un mensaje M a quien Alice (quetienesu par de claves (Pa, Sa) quieregeneraruna firma F. Queremosque Bob (par de claves (Pb, Sb) ) puedaverificar la firma F. Para generar la firma, Alice tomasu clave privada y calcula F = E[Sa, M]Observarqueesdiferente a cuando se envíanmensajescifrados entre Alice y BobAlice transmiteentonces a Bob el par [M, F]Al recibir, Bob calcula F’ = D[Pa, M]Si F == F’ == M podemosdecirque:La firma del documentofuegeneradapor Alice, yaque solo ellaconocesu clave privada y porello solo ellapuedehabercifrado el mensaje eon esa claveEl documento no ha sidoalterado, yaqueademás la firma desencriptada coincide con el mensajeDebido a que el esquemaplanteado de estamanerautiliza el doble de recursosque el mensaje sin firmar (yaquetransmite el mensaje y una version cifrada del mismo en el mismomedio), en general lo que se haceesfirmar de la mismamanera un HASH del mensaje.
  3. El objetivo del cálculo del hash essimplemente el no tenerquetransmitirtodo el mensaje dos veces (unacifrado y otra en plano).Observarque hay involucrados dos algoritmos, uno de cifrado de PK y otro de Hashing.