To Sec or Not To Sec DNS Question

Transcripción

1 XII Jornadas STIC CCN-CERT Ciberseguridad, hacia una respuesta y disuasión efectivas To Sec or Not To Sec DNS Question

2 Raúl Siles Mónica Salas

3 Quién está haciendo uso de DNSSEC? Firmado de zona Validación

4 Índice DNSSEC - Por qué y qué? Arquitectura de DNSSEC Firmado de zona en DNSSEC Resolución de nombres y validación en DNSSEC Estado de implantación de DNSSEC Argumentos desfavorables para la implantación de DNSSEC Argumentos favorables para la implantación de DNSSEC Despliegue de DNSSEC completado: Y ahora Conclusiones Referencias

5 DNSSEC- Por qué y qué?

6 Sin DNS no existiría la Internet de hoy en día

7 Por qué DNSSEC? Suplantación de DNS (MitM): ARP, BGP, alter, etc. Ataques sobre DNS Envenenamiento de caché DNS (Kaminsky) DNS cache poisoning DNS spoofing Servidor DNS

8 Qué es DNSSEC? DNSSEC - Por qué y qué? (2/2) Extensiones de seguridad del protocolo DNS para proporcionar mecanismos de verificación de: Integridad de la respuesta à no ha sido alterada desde el origen Autenticidad de la respuesta à procede del servidor legítimo Autenticidad de respuestas negativas à recursos inexistentes en la zona No proporciona cifrado del servicio DNS Firma digital mediante un esquema de clave pública (PKI): Se firman los recursos de la zona y se incorporan estas firmas como un registro más de la respuesta DNS En todos los niveles de la jerarquía DNS por encima de la zona Cadena de confianza desde la zona raíz (root) à anclaje de confianza

9 Arquitectura de DNSSEC

10 Firmado de zona Arquitectura de DNSSEC DS de la zona Hash (KSK (pública)) Servidor DNS autoritativo de la zona padre Servidor DNS autoritativo de una zona (auto firmado) ZSK = Zone Signing Key KSK = Key Signing Key DS = Delegation Signer

11 Ejemplo de zona firmada con DNSSEC DNSViz (

12 Proceso iterativo de resolución de nombres en DNSSEC

13 Cadena de confianza (con la zona padre) Validación de recursos mediante DNSSEC Autenticidad de la KSK en base al registro DS del padre à procede del servidor autoritativo de la zona Clave de firma de zona (ZSK) Autenticidad de la ZSK à pertenece al servidor autoritativo de la zona Integridad de los recursos servidos Recurso DNS solicitado Autenticidad del recurso à lo ha firmado el servidor autoritativo Integridad del recurso à no ha sido alterado desde el origen

14 Validación del recurso en DNSSEC Zona raíz (1/3) Raíz

15 Validación del recurso en DNSSEC TLD (2/3)

16 Validación del recurso en DNSSEC Zona (3/3)

17 Servidor DNS recursivo (DNS resolver) Servidores DNS autoritativos: - Servidor DNS raíz - Servidor DNS gtld o cctld - Servidor DNS de zona Raíz [privado] TLD Cliente DNS (Stub resolver) Servidor DNS de reenvío (DNS forwarder) [público] Servidor DNS autoritativo (DNS server) Zona

18

19 Servidor DNS recursivo (DNS resolver) Servidores DNS autoritativos: - Servidor DNS raíz - Servidor DNS gtld o cctld - Servidor DNS de zona Raíz [privado] TLD Cliente DNS (Stub resolver) Servidor DNS de reenvío (DNS forwarder) [público] DNSSEC Servidor DNS autoritativo (DNS server) Zona

20

21 Estado de implantación de DNSSEC

22 Estado de implantación de DNSSEC NTLDStats (

23 Estado de implantación de DNSSEC en los dominios más relevantes Fortune 1000 (NIST) 3% de las empresas de Fortune 1000 firman sus dominios principales Industria: dominios.com.net.org

24 Estado de implantación de DNSSEC: cctlds Fuente: Internet Society (

25 Estado de implantación de DNSSEC: TLDs (gtlds y cctlds) TLD DNSSEC Report ( :02:23) 1535 TLDs in the root zone in total 1400 TLDs signed (91%) Including.com,.org,.net,.edu (gtlds) 1391 TLDs have trust anchors published as DS records in the root zone 0 TLDs have trust anchors published in the ISC DLV Repository Fuente: ICANN (

26 Estado de implantación de DNSSEC en España (.es) Evolución de TLDs de segundo nivel bajo.es TOTAL DOMINIOS.es TOTAL DOMINIOS.es con DNSSEC /1/2014 3/1/2015 6/1/2015 9/1/ /1/2015 3/1/2016 6/1/2016 9/1/ /1/2016 3/1/2017 6/1/2017 9/1/ /1/2017 3/1/2018 6/1/2018 9/1/ /1/2014 4/1/2015 8/1/ /1/2015 4/1/2016 8/1/ /1/2016 4/1/2017 8/1/ /1/2017 4/1/2018 8/1/ /1/2018 < 1% zonas firmadas en "es" Top 5 registrars (46%) à 2,3% DNSSEC 39 / 102 registrars ofrecen DNSSEC (38%) Top 5 DNSSEC registrars à 95% DNSSEC Agradecimientos: José Eleuterio López Sánchez (Red.es) 22/11/2018

27 Cuál es entonces el interés actual en DNSSEC?

28 Estado de implantación de la validación de DNSSEC Usuarios con resolvers DNS que validan mediante DNSSEC: 15%

29 Estado de implantación de la validación de DNSSEC: España Europa: 17,63% ( España: 6,5-9%

30 Argumentos desfavorables para la implantación de DNSSEC

31 Complejidad de DNSSEC Actores Operador de DNS (propietario o tercero) CDNs y servicios DNS "en la nube" (Agente) Registrador Registro (TLDs) Relaciones de confianza: registros DS Complejidad técnica de DNSSEC Firmado de zona Gestión y renovación de claves Gestión y renovación de algoritmos criptográficos

32

33 Argumentos favorables para la implantación de DNSSEC

34 Simplificando DNSSEC (1/2) Actores Gestión automática y sencilla, y/o por defecto, de la firma de la zona en (agentes) registradores (ej. ".es") y operadores de DNS (ej. Cloudflare) Sin coste adicional Relaciones de confianza: registros CDS y CDNSKEY (Child ) RFC 8078: Managing DS Records from the Parent via CDS/CDNSKEY Complejidad técnica de DNSSEC DNS resolver recursivo Servidor DNS autoritativo

35 Simplificando DNSSEC (2/2) DNS resolver recursivo DNSSEC soportado en las implementaciones de resolvers recursivos Habilitado con las opciones por defecto Diversos resolvers públicos reconocidos ofrecen soporte de DNSSEC Servidor DNS autoritativo Variedad de software servidor DNS y herramientas de código abierto para automatizar en gran parte la gestión, operación y troubleshooting del entorno: claves, firmado on-line de registros, renovación de trust-anchors dnssec-* (Bind 9), OpenDNSSEC ( Knot, PowerDNS

36 SIDN (.nl) Iniciativas para aumentar la adopción de DNSSEC EU (.eu) Ayer: DNSSEC Obligatorio para los dominios.gov US FISMA ( 80%) Incentivos económicos (para los distintos actores), ROI, posicionamiento de negocio

37

38 Imaginemos que ya os hemos convencido y todos tenemos implantado DNSSEC

39

40 1 de abril de 2018

41 Servidor DNS recursivo (DNS resolver) Servidores DNS autoritativos: - Servidor DNS raíz - Servidor DNS gtld o cctld - Servidor DNS de zona Raíz [privado] TLD Cliente DNS (Stub resolver) Servidor DNS de reenvío (DNS forwarder) [público] DNSSEC Servidor DNS autoritativo (DNS server) Zona

42 Probando (o one.one.one.one) con el resolver DNS local Por HTTP(S) muestra el interfaz web del router, pero resuelve bien todas las peticiones DNS Qué tiene que ver esto con DNSSEC? DNSSEC es compatible con DNS: Dos mundos conviviendo juntos

43 Servidor DNS recursivo (DNS resolver) Servidores DNS autoritativos: - Servidor DNS raíz - Servidor DNS gtld o cctld - Servidor DNS de zona Raíz [privado] TLD Cliente DNS (Stub resolver) Servidor DNS de reenvío (DNS forwarder) La última milla [público] DNSSEC Servidor DNS autoritativo (DNS server) Zona

44 DoH: DNS over HTTPS y DoT: DNS over TLS

45 Servicios DNS recursivos públicos Cloudflare: ( ) DNSSEC, DoT, DoH, DNSCrypt Resolvers DNS públicos DNS over TLS (DoT, TCP/853) TLS 1.2 & 1.3 (cloudflare-dns.com) DNS over HTTPS (DoH, TCP/443) TLS 1.2 & 1.3 ( HTTP/2 over TCP using UDP wireformat / JSON Google: ( ) DNSSEC, DoT, DoH, DNSCrypt Quad9 (IBM et.al.): ( ) DNSSEC, DoT, DoH, DNSCrypt Verisign: ( ) DNSSEC OpenDNS (Cisco): DNSCrypt

46 Servidor DNS recursivo (DNS resolver) Validación DNSSEC Servidores DNS autoritativos: - Servidor DNS raíz - Servidor DNS gtld o cctld - Servidor DNS de zona Raíz [privado] Proxy DNS transparente TLD Cliente DNS (Stub resolver) Validación DNSSEC Servidor DNS de reenvío (DNS forwarder) La última milla [público] Validación DNSSEC DNSSEC Servidor DNS autoritativo (DNS server) Zona

47 Conclusiones

48 Solo hemos abierto la Caja de Pandora

49 XII Jornadas STIC CCN-CERT "Ciberseguridad, hacia una respuesta y disuasión efectivas" Conclusiones

50 KSK2010 (19036) --> KSK2017 (20326) - RFC 5011 Eventos relevantes en DNSSEC durante 2018 Renovación de la KSK de la zona raíz (Oct 11, 2018) En Oct 11, 2017, 6-8% de los resolvers sólo confiaban en la KSK antigua (RFC8145) La primera renovación de la KSK raíz desde su generación en "Measuring the KSK Roll" (Sep 2018) & "Analyzing the KSK roll" (Oct 2018) ICANN 63 (Barcelona): Oct 20-25, 2018 DNSSEC Workshop

51 Confianza en la validación de las respuestas de DNSSEC Validación DNSSEC Validación DNSSEC Registros DNS auténticos TLS DoT, DoH, DNSCrypt, etc. DNSSEC

52 DNSSEC, DoT, DoH +

53 Quién se plantea hacer uso de DNSSEC? Firmado de zona Validación

54 El refranero español El que DNSSEC quiere, algo le cuesta El que DNSSEC implanta, sus ataques espanta

55 Mónica Salas Raúl Siles

56 Referencias

57 Guías DNSSEC / DNS Estudio del estado de DNSSEC en España Oct Guía de implantación y buenas prácticas de DNSSEC Oct CCN-STIC-664 Passive DNS Ago passive-dns-dl/file.html CCN-STIC-663 Seguridad en DNS (BIND) Abr seguridad-en-dns-bind/file.html Guia de Seguridad en servicios DNS Abr

58 (Cloudflare) Referencias "Announcing : the fastest, privacy-first consumer DNS service" (April 1, 2018) "Fixing reachability to , GLOBALLY!" (Apr 2018) DNS over TLS (DoT) DNS (Queries) over HTTPS (DoH) "DNSEC: An Introduction" (Oct 2014)

59 APNIC Lab "Why DNSSEC deployment remains so low" (Dec 2017) "Bringing DNS security and privacy to the end user" (Feb 2018) Referencias "Sunrise DNS over TLS, sunset DNSSEC?" & "DNSSEC and DNS over TLS" (Aug 2018) "DOH! DNS over HTTPS explained" (Oct 2018)

60 More RFCs "DNS Query Name Minimisation to Improve Privacy" (Mar 2016) "CHAIN Query Requests in DNS" (Jun 2016) "DNSSEC Roadblock Avoidance" (Nov 2016) "DNS over Datagram Transport Layer Security (DTLS)" (Feb 2017) "Aggressive Use of DNSSEC-Validated Cache" (Jul 2017) "Usage Profiles for DNS over TLS and DNS over DTLS" (Mar 2018) DANE: DNS-Based Authentication of Named Entities Referencias

61 Herramientas ( :-) DNSSEC analyzer (Verisign) DNS Viz (Sandia & Verisign) Connection Information Public DNS resolvers performance DNS Leak Referencias

62 Preguntas? Muchas gracias!

63 XII Jornadas STIC CCN-CERT Ciberseguridad, hacia una respuesta y disuasión efectivas s info@ccn-cert.cni.es ccn@cni.es organismo.certificacion@cni.es Websites oc.ccn.cni.es Síguenos en