0
Estabilidad, seguridad y robustez
del DNS global
Alejandro Pisanty
Facultad de Química, UNAM
Sociedad Internet de México, ...
Introducción
• DNS
– Sistema de nombres de dominio
– Global, jerárquico, distribuido
• Servidores raíz
– 13 nominalmente, ...
Tipos de riesgos en el DNS
• Riesgo: probabilidad, impacto
• Riesgo: vulnerabilidad, explotación
• Riesgo: prevención, eva...
Ataques al DNS
• Explotación de vulnerabilidades de servidores
– “Genéricas” – sistema operativo, servidor Web, etc.
– Esp...
Ataques usando el DNS
• Pueden ocurrir a distintos niveles, desde el archivo “hosts” de un
dispositivo personal hasta los ...
Abusos del DNS
• Registro para fines especulativos
• Registro para fines delictivos
• Cybersquatting
• Typosquatting
• Dom...
Estabilidad, seguridad, robustez
• Estabilidad
– Operaciones predecibles, sobre todo resolución de
nombres de dominio
– Op...
Esferas de control de ICANN
• Interna o propia
– Su propio staff, servidores a su cargo,
infraestructura propia
– IANA
– S...
Estructuras formales
• SSAC – permanente; asesora al Board
• SSR-RT – Review Team, por definición temporal, actuó
2010-201...
Documentos actuales
• SSR-RT report
– http://www.icann.org/es/about/aoc-review/ssr/final-report-20jun12-
es.pdf (abre un d...
Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)
Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)
Upcoming SlideShare
Loading in...5
×

Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)

1,057

Published on

Estabilidad, seguridad y robustez (o resiliencia) del DNS: DNS, riesgos, ataques, respuestas. Administración de los riesgos del DNS global por parte de ICANN. Presentación para el Grupo Intersecretarial de Gobernanza de Internet del Gobierno Federal de México.

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,057
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
12
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Transcript of "Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)"

  1. 1. Estabilidad, seguridad y robustez del DNS global Alejandro Pisanty Facultad de Química, UNAM Sociedad Internet de México, A.C.
  2. 2. Introducción • DNS – Sistema de nombres de dominio – Global, jerárquico, distribuido • Servidores raíz – 13 nominalmente, cientos de instancias por “anycast” – El archivo raíz es muy pequeño – El proceso de actualización de la raíz es sensible • DNS robusto por diseño – Jerárquico y distribuido para este fin – criterios de redundancia de recursos, facilidad de propagación de cambios (aún así, latencias de algunas horas) • El resto del DNS – gTLDs y ccTLDs (registros) – Servidores de nombres en ISPs y organizaciones – Caches en servidores y en computadoras
  3. 3. Tipos de riesgos en el DNS • Riesgo: probabilidad, impacto • Riesgo: vulnerabilidad, explotación • Riesgo: prevención, evasión, transferencia, detección, mitigación, respuesta, continuidad, restauración, contingencia • Riesgos antropogénicos y no antropogénicos • Riesgos accidentales e intencionales • Ataques AL propio DNS – Atentan contra integridad y disponibilidad • Ataques USANDO el DNS – Atentan contra sitios Web, cuentas de correo, dinero en cualquiera de sus formas, usando el DNS • Ataques híbridos (objetivo y origen tanto dentro como fuera del DNS) como “cache poisoning” • Abusos del DNS – Frecuentemente conectados con ecosistema delictivo • NO-ataques: estabilidad ante cambios como DNSSEC, IPv6, gTLDs
  4. 4. Ataques al DNS • Explotación de vulnerabilidades de servidores – “Genéricas” – sistema operativo, servidor Web, etc. – Especializadas – BIND – Objetivos: tomar control; redirigir resolución • Suplantación o MITM (Man in the Middle) – Produce errores en resolución de nombres, dirige a sitios maliciosos – Remedio parcial importante DNSSEC • Negación de servicio – Ejemplo: DDOS sobre .cn, 26 agosto 2013 • Ingeniería social – Permite apoderarse de nombres de dominio suplantando al registrante • Ataques al sistema de registro de nombres (no a la resolución inicialmente) – Negación de servicio – Violación a integridad – Violación a confidencialidad • Riesgos comerciales • Riesgos a privacidad, libertad de expresión y asociación, derechos humanos y civiles • DNS hijacking – otro nombre muy claro
  5. 5. Ataques usando el DNS • Pueden ocurrir a distintos niveles, desde el archivo “hosts” de un dispositivo personal hasta los resolvedores de los registros de TLDs • Redirección de sitios (diversas técnicas) – Web: lleva a sitio falso para fraude o instalación de malware – Correo: permite • redirigir correo electrónico • suplantar remitentes de correo electrónico – Tráfico: permite crear bitácora de tráfico y su posterior explotación • “Cache poisoning” – Afecta el contenido del DNS mediante explotación de una vulnerabilidad – Redirige resoluciones, posiblemente a sitios maliciosos • Ingeniería social: permite TODO, vgr. Apoderarse de servidores DNS y redirigir (caso reciente New York Times, empezó con “spear- phishing”)
  6. 6. Abusos del DNS • Registro para fines especulativos • Registro para fines delictivos • Cybersquatting • Typosquatting • Domain name tasting • Domain name kiting • Fast flux • Domain name hijacking • Phishing • Extorsión
  7. 7. Estabilidad, seguridad, robustez • Estabilidad – Operaciones predecibles, sobre todo resolución de nombres de dominio – Operaciones asociadas: WHOIS, registro, altas/bajas/cambios – Prevención de consecuencias inesperadas • Seguridad – Integridad, autenticación, disponibilidad, no-repudio • Robustez – “resilience” – Capacidad de operar bajo estrés o variaciones extremas de condiciones, y de recuperar capacidad plena
  8. 8. Esferas de control de ICANN • Interna o propia – Su propio staff, servidores a su cargo, infraestructura propia – IANA – SSAC • Intermedia: mediante acuerdos y estructuras – GNSO, ccNSO, RIRs, ALAC/At-Large • Externa – “resto del mundo”
  9. 9. Estructuras formales • SSAC – permanente; asesora al Board • SSR-RT – Review Team, por definición temporal, actuó 2010-2012, entregó informe – Análisis sistémico de la posición de riesgo del DNS y ICANN, nivel estratégico • DSSA – temporal, multi-constituency, actuó 2010-2012 – Diagnóstico de riesgos del DNS, nivel operacional • Board Risk Committee – permantente, atento a riesgo en general • Board DNS SSR Risk Framework Working Group – De mediano plazo • Deptos. de Seguridad de ICANN – seguridad física e informática, especialistas, estrategia y operaciones (staff)
  10. 10. Documentos actuales • SSR-RT report – http://www.icann.org/es/about/aoc-review/ssr/final-report-20jun12- es.pdf (abre un documento PDF) • DSSA report – http://gnso.icann.org/en/issues/dssa/dssa-phase-1-report-15jun12- en.pdf (abre un documento PDF) • SSAC – recomendaciones, cerca de 60 – http://www.icann.org/en/groups/ssac (sitio del SSAC) • Informes por evento – Ejemplo: incidente de “domain name hijacking” de Diigo, http://blog.icann.org/2012/11/what-you-should-learn-from-the-diigo- domain-hijacking-incident/ • Documentos del Board SSR Risk Framework WG – Documento actual http://www.icann.org/en/groups/other/dns-risk- mgmt/draft-final-19aug13-en.pdf
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×