View
109
Download
1
Category
Preview:
DESCRIPTION
Curso básico de DNS de CITEL
Citation preview
Fundamentos del Sistema de Nombres de Dominio (DNS)
Security, Stability & Resiliency TeamICANN
Junio de 2014
1
Temas
• Qué son los identificadores de Internet
• Qué es el DNS• DNSSEC• Quién administra el DNS• Cómo puede el DNS ser
abusado o explotado
2
Tema
• Qué son los identificadores de Internet
3
4
Conectándose a una red de área localTodos los dispositivos que se conectan a una red de área local tienen al menos una dirección MAC
Las direcciones MAC son identificadores únicos de 48 bits
Asignadas a cada adaptador de red durante su fabricación
Si no son alteradas, no cambian de una red a otra
Encuentre su dirección MAC
5
Sistema Operativo Método
Dispositivos Windows Ejecute cmd.exe, escriba getmac
Open BSD en Mac OS Xy Linux
Abra Terminal, escriba“ ifconfig en0 | grep ether “ (sin comillas)
iPhone Settings -> General -> Acerca de baje hasta WiFi Address
Android Settings -> About Tablet -> Estadobaje hasta Wi-Fi MAC address
6
Conectándose a una red IP• Todos los dispositivos que se conectan a una
red IP deben tener una dirección IP (Internet Protocol)
• Dos clases de direcciones IP– Clase A o IP versión 4: son típicamente
representadas como números decimales separados por puntos, ej. 192.168.2.1
– Clase AAAA o IP versión 6: son números hexadecimales separados por “:”, ej. fe80::226:bbff:fe11:5b32
Asociando direcciones MAC e IP• Mientras que las direcciones MAC están asociadas al
hardware, las direcciones IP suelen ser asignadas dinámicamente.
• Los dispositivos pueden comunicarse directamente con otros en las redes locales– Para asociar las direcciones MAC y las direcciones IP:
Address Resolution Protocol:
7
_____:~ user$ arp -a? (10.0.0.1) at d2:4a:c7:5e:68:76 on en0 ifscope [ethernet]? (10.0.0.255) at ff:ff:ff:ff:ff:ff on en0 ifscope [ethernet]______:~ user$ arp -a? (10.0.0.1) at d2:4a:c7:5e:68:76 on en0 ifscope [ethernet]? (10.0.0.6) at f1:e5:7f:a1:cd:48 on en0 ifscope [ethernet]? (10.0.0.255) at ff:ff:ff:ff:ff:ff on en0 ifscope [ethernet]
Conectándose a Internet• Los dispositivos deben saber cómo conectarse con
otros por fuera de su red local– Un gateway provee esta información usando el
protocolo DHCP• Los dispositivos usan el gateway para dirigir el tráfico
hacia y desde destinos en el Internet
8
Alguien me ayuda a conectarme a
una red?Hola! Soy tu gateway • Mi dirección es 192.168.4.1• Tu dirección IP es
192.168.4.94• Tu subred es 255.255.252.0
Direcciones IP públicas vs privadas• Los dispositivos o gateways deben tener una
dirección pública única para poder comunicarse con otros hosts por fuera de su red local
• Sin embargo, el router, el ISP o el proveedor móvil pueden asignar direcciones privadas a los dispositivos
9
ICANNGoogleeBayTwitter
Espacio IP de uso privado Espacio IP de uso público
Encuentre su configuración IP local
10
Sistema Operativo Método
Dispositivos Windows Ejecute cmd.exe, escriba ipconfig
BSD en Mac y Linux
Ejecute Terminal, escriba ifconfig
iPhone Settings -> WiFi, luego ID de red inalámbrica
Android Settings -> About Tablet -> Statusluego baje hasta Wi-Fi MAC address
Su dirección IP global?• Google “what is my IP?• Visite http://whatismyip.com
Tema
• Qué es el DNS
11
Qué es el Sistema de Nombres de Dominio
• Una base de datos distribuida usada primordialmente para obtener la dirección IP (192.168.23.1 or fe80::226:bbff:fe11:5b32) asociada a un nombre humanamente memorizable (www.ejemplo.com)
¿Por qué es necesario el DNS? Es imposible recordar tantos octetos de números decimales y
es aún peor recordar números hexadecimales!
12
Cómo compro un nombre de dominio?
• Los registros administran los nombres de dominio y la información de registro
• Los registradores y los revendedores administran los servicios de registro• El costo del registro corresponde al uso
del nombre de dominio y su inclusión en el DNS durante uno o más años.
• Algunos registros (e.g., ccTLDs) ofrecen registro directamente al público
13
Registro de dominios 101
• Usuario elige nombre a registrar “ejemplo”
• Usuario pide a registrador verificar su disponibilidad bajo un TLD
• Usuario paga registro para usar el nombre
• Información de registro:– “nombre” + TLD
(administrada en base de datos del registro)
– Contactos, DNS (administrada en el Whois)
– DNS, status(administrada en base de datos de Whois)
14
Qué puedo hacer con un nombre de dominio?
• Asignar nombres amigables a un dispositivo (servidor) que ofrezca (hosts) aplicaciones de Internet:– Web, blog, redes sociales, servidores de archivos, wiki…
• Asociar direcciones IP a esos nombres• Describir los recursos de los hosts del dominio
– Relays de email (MX), name servers (NS), voz (NAPTR) tipos especiales de recursos
– Cualquier servicio puede ser descrito usando records de ubicación de servidores (server location records, SRV)
15
Qué es una zona del DNS?
• Una zona del DNS es una parte del espacio de nombres de dominio– Es un límite de la autoridad del registro– Su administración es delegada de parent a child
• Ejemplo: en “ssac.icann.org”“.” delega la autoridad a “org”
“org” autoriza subdominios {icann, ncfta…}
“org” delega la autoridad a “icann”“icann autoriza subdominios {www, ssac…} “icann” delega la autoridad a “ssac” y “www”
16
Qué es un archivo de zona?• Un archivo de texto
que contiene todos los records de los recursos (resource records o RRs) de la zona
• Los RRs describen los name servers, direcciones IP, hosts, servicios, servidores de email, llaves y firmas criptográficas…
US ASCII-7 letras, dígitos y guiones
17
RRs comunes
18
Start of Authority RR• Source: la zona fue creada acá• Email del administrador
• Número de revisión del • archivo de zona
• Zone transfer timers (secondary)
Time to live• Por cuánto tiempo son • válidos los RRs
Name Server (NS)• IN (Internet)• Nombre del servidor autoritario
Servidor de correo (MX)• IN (Internet) • Nombre del servidor de correo
19
Record de la dirección del name server• NS1 (nombre del name server)• IN (Internet)• A (IPv4) * AAA es IPv6• Dirección IPv4 (192.168.0.1)Record de la dirección del servidor web• www (world wide web)• IN (Internet)• A (IPv4) * • is IPv6• Dirección IPv4 (192.168.0.2)
Record de la dirección del servidor FTP• FTP (file transfer protocol)• IN (Internet)• CNAME= “misma dirección que
www”
RRs comunes
Cómo se accede a los datos de una zona del DNS?
• Las aplicaciones de usuarios y clientes acceden a la información de las zonas usando Users and client applications access DNS zone data using “stub resolvers”– Comandos: dig, nslookup– Funcionalidad incluida en navegadores y aplicaciones
(clientes)• Los stub resolvers usualmente hacen queries a servidores
repetitivos (recursivos)– La resolución de nombres de dominios es un método para
referir a recursos y un proceso iterativo– Los usuarios pueden enviar queries a los servidores
autoritarios pero esta configuración es menos frecuente
20
ping www.acme.com.
Resolución de Nombres de Dominio
pc1.icann.org
21
¿Cuál es la dirección IP de
www.acme.com?
Resolución de Nombres de Dominiopc1 le pregunta al resolutor repetitivo (recursive server) dns1.icann.org la dirección de www.acme.com
ping www.acme.com.pc1.icann.org
dns1.icann.org
22
dns1.icann.org le pregunta al servidor raíz m.root-servers.net la dirección de www.acme.com
¿Cuál es la dirección de www.acme.com?
Domain Name Resolution Process
ping www.acme.com.
pc1.icann.org
dns1.icann.org
m.root-servers.net
23
Acá está la lista de servidores de
resolución del .com. Pregúntele a uno de
ellos.
Domain Name Resolution Processm.root-servers.net pide a dns1.icann.org ir a los servidores de resolución del
TLD com. Esta clase de respuesta es considerada una referencia.
ping www.acme.com.
dns1.icann.org
m.root-servers.net
pc1.icann.org
24
¿Cuál es la dirección de www.acme.com?
Domain Name Resolution Processdns1.icann.org le pregunta a un servidor del com, f.gtld-servers.net la dirección de www.acme.com
ping www.acme.com.
m.root-servers.net
f.gtld-servers.net
dns1.icann.org
pc1.icann.org
25
Acá está la lista de servidores de resolución de acme.com.
Pregúntele a uno de ellos.
Domain Name Resolution Processf.gtld-servers.net le pide a dns1.icann.org preguntar a los servidores de resolución de acme.com (referral)
m.root-servers.net
f.gtld-servers.net
ping www.acme.com.
dns1.icann.org
pc1.icann.org
26
¿Cuál es la dirección IP de
www.acme.com?
Domain Name Resolution Processdns1.icann.org pregunta a los servidores de resolución de acme.com, ns1.sanjose.acme.net la dirección de www.acme.com
ping www.acme.com.
m.root-servers.net
f.gtld-servers.net
ns1.sanjose.acme.net
dns1.icann.org
pc1.icann.org
27
Esta es la dirección IP de
www.acme.com
Domain Name Resolution Processns1.sanjose.acme.net le responde a dns1.icann.org con la dirección de www.acme.com
m.root-servers.net
f.gtld-servers.net
ping www.acme.com.
ns1.sanjose.acme.net
dns1.icann.org
pc1.icann.org
28
Esta es la dirección IP de
www.acme.com
Domain Name Resolution Processdns1.icann.org le responde a pc1.icann.org con la dirección de www.acme.com
ping www.acme.com.
m.root-servers.net
f.gtld-servers.net
nsl.sanjose.acme.net
dns1.icann.org
pc1.icann.org
29
icann.orgAAAA 2001:500:88:200::7
¿Qué es caching?• Los resolutores repetitivos
(iterative) pueden guardar en su memoria temporal los records del DNS que reciben de otros servidores de resolución, al procesar queries de sus clientes– Acelera la resolución– Ahorra ancho de banda– Las respuestas son no-
autoritarias (non-authoritative)• ¿Los records guardados en el
cache son eternos?– No. El campo TTL (time to live o
tiempo de vida) determina cuánto tiempo cada record puede ser guardado en el cache
¿Cuál es la dirección IPv6 de
icann.org?
Mi Mac
Mi resolutor local
Servidor de resolución de ICANN (autoritario)
Voy a guardar esta
respuesta
30
Cómo hace mi dispositivo para encontrar un resolutor: DHCP
¿Alguien me ayuda a
conectarme a una red?
Hola! Soy su gateway• Mi dirección es 192.168.4.1• Su dirección IP es
192.168.4.94• Su subred es 255.255.252.0• Envíe sus queries de DNS al
resolutor que está en la dirección 192.168.4.1 (es decir, yo!)
31
Un sitio web, muchos queries de DNS
Para encontrar e interpretar contenido en cnn.com se deben resolver MUCHOS dominios
32
PARA INTERPRETAR EL CONTENIDO QUE USTED VE
AL VISITAR CNN.COM Su navegador
debe resolver todos estos
nombres de dominio
www.cnn.comi.cdn.turner.comz.cdn.turner.comi2.cdn.turner.com
ads.cnn.comtoes.cnn.com
www.adfusion.comcontent.pulse360.com
ad.doubleclick.nets0.2mdn.net
aranet.vo.llnwd.netcontent.dl-rms.com
icompass.insightexpressai.com
33
DNS Security (DNSSEC)• Protege información del DNS contra falsificación• Usa criptografía de llave pública para firmar información
autoritaria de zona– Asegura que el origen de la información es auténtico– Asegura que la información es la misma que que el originador
(autenticado) publicó inicialmente• El modelo (basado en la confianza) también usa
criptografía de llave pública– Zonas de nivel alto firman las zonas de niveles inferiores (el
root firma las zonas de los TLDs, los TLDs firman las zonas de los dominios registrados…)
34
Un autoridad firma la información de la zona con una llave privada
– Las autoridades deben mantener en secreto las llaves privadas
Información del DNS
Información de DNS firmada
+Firmas
digitales
Publicación
Firmada con llave privada
Criptografía de lllave pública en DNSSEC
Servidor autoritario
35
Tiene dudas? Intente “dig +dnssec icann.org”
• La autoridad publica la llave pública para que los usuarios puedan descifrar y
verificar que la información es correcta y vino del lugar correcto
36
Servidor autoritario
Información firmada de
zona
Validación de servidor repetitivo
Validación con llave pública
Criptografía de lllave pública en DNSSEC
Tema
• ¿ Quién administra el DNS?
37
¿Quién es quien en el ecosistema del DNS?
• Los registros administran las bases de datos de los TLDs y generan los archivos de zona de los TLDs
• Los registros son muy diversos:• Grandes compañías, pequeñas
organizaciones sin ánimo de lucro, departmentos en universidades…
• Algunos registros contratan a terceros para el manejo técnico del TLD
38
• Los registros de los gTLDs firman un contrato con ICANN• Tienen que cumplir contrato y
políticas• http
://www.icann.org/en/resources/registries/listing
• CcTLDs no tienen contrato con ICANN• http://www.iana.org/domains/root/
db/
• Participan en desarrollo de políticas de ICANN vía la ccNSO• http://ccnso.icann.org 39
¿Quién es quien en el ecosistema del DNS?
• Los ccTLDS son muy dispares en sus políticas y operaciones• De registros globales a sólo quienes viven en
territorio• Con o sin ánimo de lucro• Operados por gobiernos o por terceros• Desde un solo empleado de medio tiempo hasta
grandes organizaciones
40
¿Quién es quien en el ecosistema del DNS?
Registradores
41
• Empresas que procesan el registro de los nombres de dominio– En el mundo de los gTLDs firman contracto con ICANN (Registrar
Accreditation Agreement o RAA) • https://www.icann.org/resources/pages/approved-with-specs-2013-09-17-en• http://www.icann.org/registrar-reports/accredited-list.html
– Los ccTLDs definen su propio proceso de registro (algunos usan uno similar al de ICANN)
• Existen los modelos de venta al detal (retail) y al por mayor (wholesale) y con o sin revendedores
• El registro de dominios no es la única línea de negocio de los registradores
Operaciones Tercerizadas
42
• Las entidades incluidas en las bases de datos de IANA pueden prestar servicios operacionales:– Registrador– Registro– Servicio de nombre autoritario– Operador técnico (back end) (bases de datos, EPP,
DNS)– Todas las operaciones
¿Quién administra las bases de datos de Whois?
43
• No las administra una única entidad– Son BDs muy distribuidas
• Dos modelos básicos:– Whois delgado (thin)
• El registrador mantiene los points of contact y los name servers• El registro mantiene el nombre del registrador, los name servers, el status
del dominio, fechas de creación, actualización y expiración
– Whois grueso (thick) • Casi la misma información en Whois del registrador está en el Whois del
registro (registrador del dominio, name servers, status del dominio, fechas de creación, actualización y expiración, contactos)
Exactitud y Veracidad -Whois
• El registrante es responsable de su validez
• Los registros de gTLDs y sus registradores deben ofrecer el servicio de Whois
• Los ccTLDs no tienen la obligación• Los registros de los nuevos dominios
deben ofrecer thick Whois• Nuevas obligaciones: formato, validación,
verificación
44
Proveedores repetitivos (recursive providers)
45
• Las operaciones autoritarias (authoritative) son sólo un aspecto de las operaciones del DNS
• Las operaciones recursivas (repetitivas) son muy diversas:– Servidores de DNS de ISPs (tal vez las más comunes) – ISPs
suelen ser revendedores de registro de dominios– Registradores, suelen ofrecer DNS y servicios de hosting para
sus clientes– Servidores corporativos de DNS– Servidores públicos de DNS (Google, Open DNS, otros)– Servidores privados o personales de DNS
• DNS usado para cometer delitos? Claro que sí.
¿Y la privacidad?Los contratos de
ICANN con los registros y los registradores
establecen que la información de
registro debe ser ofrecida al público
a través del servicio de Whois
Privacidad
Accesibilidad
Anonimidad
Exactitud
Re
tos
de
Po
lítica
Los ccTLDs definen sus propias políticas
Un asunto de política nada sencillo• Para los gTLDs, la política sobre Whois es un
asunto de consenso entre todas las partes interesadas– ¿Debe la información ser reservada?– ¿Debe ser accesible con orden de un juez?– ¿Deben distinguirse los registros comerciales de los
personales? – ¿Debe haber mayor exactitud?– ¿Y los servicios de intermediario o privacidad?
Photo by robynejayflickr.com/creative commons
Y hablando de… RAA 2013!
Áreas Principales• Contacto para casos de abuso para policías y el
público• Especificación sobre servicios de privacidad e
intermediarios, futuro programa de acreditación• Registradores deben entregar más información a
ICANN al ser acreditados• Decisiones judiciales sobre violación de marcas son
causa para terminación• DNSSEC e IPv6
Y hablando de… RAA 2013!
Áreas Principales• Exactitud de Whois (validación, verificación,
formato)• Herramientas:
• Violación de marcas y provisión de información engañosa en la renovación del RAA: terminación
• Incumplimiento material: 3 veces en 12 meses: suspensión
Tema
• ¿Puede el DNS ser abusado?
50
¿Cómo puede ser atacado el DNS?Attack Description
Envenenamiento del caché
Hacer que un resolver agregue records falsos de DNS en su memoria cache
Ataque en cliente de usuario
Uso de malware para modificar información del DNS en el dispositivo del usuario, archivo /etc/hosts (ejemplo: DNSChanger)
Ataque DDoS Ataque de agotamiento de recursos en el que miles de dispositivos envían solicitudes a un servidor de DNS víctima
Ataque de amplificación (reflexión)
Miles de dispositivos envían solicitudes que provocan una respuesta de mayor tamaño, falsificando la dirección de un name server víctima e inundándolo con respuestas de DNS pesadas
Ataques contra vulnerabilidades
Ataque contra vulnerabilidades en el software de servidores de DNS, que lo hacen fallar o comportarse en una forma no prevista
Wildcards *.ejemplo.com responde con 3600 IN MX 10 host1.example.com.
51
Abuso de los servicios de registro de nombresTipo de abuso DescripciónRobo de dominios Robar un dominio a un registrante legítimo o
al tenedor de una cuentaCybersquatting Registro de términos visualmente similares a
marcas registradas (pay per click advertising, phish, malware)
Front running Uso de información privilegiada para registrar un dominio antes de que el legítimo cliente lo haga
Drop catching Registro de dominios un instante después de que son borrados tras su expiración
Suplantación de registrador
Ataque de phishing en el que el atacante pretende ser un registrador
52
No hay una ‘autoridad última’ en el DNS
53
La resolución de asuntos relacionados con el DNS involucra a múltiples partes
– Registro (base de datos de IANA)– Registrador (Whois del registro e icann.org)– Registrante (Whois registro/registrante)– Proveedor de hosting para el dominio– Cualquier tercero que opere un resolutor
(resolver)– compliance@icann.org– En caso de duda, escríbanos y buscaremos
contactarlo con la persona correcta
Resumen
• Internet usa varios sistemas identificadores• El DNS nos permite usar nombres en lugar de números
– El DNS es una base de datos crítica para Internet
• El DNS es abierto y, por tanto, es sujeto de abuso– Es una base de datos pública, con información proveída y
ofrecida por miles de autoridades individuales• El registro de nombres también es susceptible de ser abusado• Mantener la seguridad y la estabilidad del DNS y de los
servicios de registro es un elemento importante de la misión de ICANN
54
Preguntas?
56
Recommended