Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)
Upcoming SlideShare
Loading in...5
×
 

Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)

on

  • 1,272 views

Estabilidad, seguridad y robustez (o resiliencia) del DNS: DNS, riesgos, ataques, respuestas. Administración de los riesgos del DNS global por parte de ICANN. Presentación para el Grupo ...

Estabilidad, seguridad y robustez (o resiliencia) del DNS: DNS, riesgos, ataques, respuestas. Administración de los riesgos del DNS global por parte de ICANN. Presentación para el Grupo Intersecretarial de Gobernanza de Internet del Gobierno Federal de México.

Statistics

Views

Total Views
1,272
Views on SlideShare
1,065
Embed Views
207

Actions

Likes
4
Downloads
6
Comments
0

2 Embeds 207

http://rubustus.hol.es 176
https://twitter.com 31

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet) Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet) Presentation Transcript

    • Estabilidad, seguridad y robustez del DNS global Alejandro Pisanty Facultad de Química, UNAM Sociedad Internet de México, A.C.
    • Introducción • DNS – Sistema de nombres de dominio – Global, jerárquico, distribuido • Servidores raíz – 13 nominalmente, cientos de instancias por “anycast” – El archivo raíz es muy pequeño – El proceso de actualización de la raíz es sensible • DNS robusto por diseño – Jerárquico y distribuido para este fin – criterios de redundancia de recursos, facilidad de propagación de cambios (aún así, latencias de algunas horas) • El resto del DNS – gTLDs y ccTLDs (registros) – Servidores de nombres en ISPs y organizaciones – Caches en servidores y en computadoras
    • Tipos de riesgos en el DNS • Riesgo: probabilidad, impacto • Riesgo: vulnerabilidad, explotación • Riesgo: prevención, evasión, transferencia, detección, mitigación, respuesta, continuidad, restauración, contingencia • Riesgos antropogénicos y no antropogénicos • Riesgos accidentales e intencionales • Ataques AL propio DNS – Atentan contra integridad y disponibilidad • Ataques USANDO el DNS – Atentan contra sitios Web, cuentas de correo, dinero en cualquiera de sus formas, usando el DNS • Ataques híbridos (objetivo y origen tanto dentro como fuera del DNS) como “cache poisoning” • Abusos del DNS – Frecuentemente conectados con ecosistema delictivo • NO-ataques: estabilidad ante cambios como DNSSEC, IPv6, gTLDs
    • Ataques al DNS • Explotación de vulnerabilidades de servidores – “Genéricas” – sistema operativo, servidor Web, etc. – Especializadas – BIND – Objetivos: tomar control; redirigir resolución • Suplantación o MITM (Man in the Middle) – Produce errores en resolución de nombres, dirige a sitios maliciosos – Remedio parcial importante DNSSEC • Negación de servicio – Ejemplo: DDOS sobre .cn, 26 agosto 2013 • Ingeniería social – Permite apoderarse de nombres de dominio suplantando al registrante • Ataques al sistema de registro de nombres (no a la resolución inicialmente) – Negación de servicio – Violación a integridad – Violación a confidencialidad • Riesgos comerciales • Riesgos a privacidad, libertad de expresión y asociación, derechos humanos y civiles • DNS hijacking – otro nombre muy claro
    • Ataques usando el DNS • Pueden ocurrir a distintos niveles, desde el archivo “hosts” de un dispositivo personal hasta los resolvedores de los registros de TLDs • Redirección de sitios (diversas técnicas) – Web: lleva a sitio falso para fraude o instalación de malware – Correo: permite • redirigir correo electrónico • suplantar remitentes de correo electrónico – Tráfico: permite crear bitácora de tráfico y su posterior explotación • “Cache poisoning” – Afecta el contenido del DNS mediante explotación de una vulnerabilidad – Redirige resoluciones, posiblemente a sitios maliciosos • Ingeniería social: permite TODO, vgr. Apoderarse de servidores DNS y redirigir (caso reciente New York Times, empezó con “spear- phishing”)
    • Abusos del DNS • Registro para fines especulativos • Registro para fines delictivos • Cybersquatting • Typosquatting • Domain name tasting • Domain name kiting • Fast flux • Domain name hijacking • Phishing • Extorsión
    • Estabilidad, seguridad, robustez • Estabilidad – Operaciones predecibles, sobre todo resolución de nombres de dominio – Operaciones asociadas: WHOIS, registro, altas/bajas/cambios – Prevención de consecuencias inesperadas • Seguridad – Integridad, autenticación, disponibilidad, no-repudio • Robustez – “resilience” – Capacidad de operar bajo estrés o variaciones extremas de condiciones, y de recuperar capacidad plena
    • Esferas de control de ICANN • Interna o propia – Su propio staff, servidores a su cargo, infraestructura propia – IANA – SSAC • Intermedia: mediante acuerdos y estructuras – GNSO, ccNSO, RIRs, ALAC/At-Large • Externa – “resto del mundo”
    • Estructuras formales • SSAC – permanente; asesora al Board • SSR-RT – Review Team, por definición temporal, actuó 2010-2012, entregó informe – Análisis sistémico de la posición de riesgo del DNS y ICANN, nivel estratégico • DSSA – temporal, multi-constituency, actuó 2010-2012 – Diagnóstico de riesgos del DNS, nivel operacional • Board Risk Committee – permantente, atento a riesgo en general • Board DNS SSR Risk Framework Working Group – De mediano plazo • Deptos. de Seguridad de ICANN – seguridad física e informática, especialistas, estrategia y operaciones (staff)
    • Documentos actuales • SSR-RT report – http://www.icann.org/es/about/aoc-review/ssr/final-report-20jun12- es.pdf (abre un documento PDF) • DSSA report – http://gnso.icann.org/en/issues/dssa/dssa-phase-1-report-15jun12- en.pdf (abre un documento PDF) • SSAC – recomendaciones, cerca de 60 – http://www.icann.org/en/groups/ssac (sitio del SSAC) • Informes por evento – Ejemplo: incidente de “domain name hijacking” de Diigo, http://blog.icann.org/2012/11/what-you-should-learn-from-the-diigo- domain-hijacking-incident/ • Documentos del Board SSR Risk Framework WG – Documento actual http://www.icann.org/en/groups/other/dns-risk- mgmt/draft-final-19aug13-en.pdf