Vulnerabilidades en los Servidores de Nombre (DNS) y su Solución mediante Certificación Digital USB / UCAB
Servicios de Seguridad Confidencialidad: Ocultamiento de información sensible (privacidad) Integridad: Detectar alteraciones en el contenido de los mensajes Autentificación: Verificar la identidad del usuario o maquina No repudio: Evitar rechazo por emisión de mensaje Control de acceso: Evitar la intrusión de atacantes hacia puntos sensibles Disponibilidad: Asegurar permanencia del servicio
Identificación en el Modelo de Redes de Datos Aplicación Transporte Red Acceso al medio Física Independencia de capas Direccionamiento explícito Dominio en Aplicación Puerto lógico en Transporte IP en Red MacAddress en Acceso al medio Puerto físico en Física Standard de facto en RFC Modelo cliente/servidor
Servidores de Nombres DNS: Domain Name Server Traduce dominio a número IP (RFC1034) ya que tener, por ejemplo, yudith@159.90.16.6 no es conveniente sino yudith@ldc.usb.ve Inicialmente se usaba un archivo de host local que con el crecimiento de Internet resultó inadecuado Hay aproximadamente 200 dominios de nivel superior: Especialidad: org, com, edu, gov, mil, net,... País: fr, nl, jp, uk, de, mx, au, uy,... Nuevos: Nov/2000 --- biz, name, pro, museum,... El dominio es independiente de la localidad geográfica Debe solicitarse autorización al dominio superior para evitar repeticiones. Si ha visto acaparamiento de nombres :-(
Registro de Recursos en el DNS nombre TTL clase tipo valor nombre: Dominio TTL: 86400 un día, 60 un minuto clase: IN tipo: A -- es para colocar el IP NS -- es el servidor de nombre de nivel superior PTR -- nombre de la máquina (búsqueda inversa)... Se usan servidores primarios y secundarios La búsqueda es recursiva Cada servidor DNS tiene un caché para optimización y con tiempo de vencimiento
Amenazas al DNS El intruso intercepta todo el trafico entre A y B colocando la información fraudulenta (es dificil ) Falsificación del IP de un dominio => suplantación de identidad Atacando el cache del DNS 1 2 DNS 1. Solicita IP 2. DNS entrega IP 3. Accede al sitio 4. Respuesta del servidor 1 2 DNS falsificado A 3 B A 3 I 4 4
Características de DNSsec Para evitar falsificación de registros del DNS envenenando el caché se usan ID de consultas aleatorios sin embargo hay otros pbs DNSsec ofrece los servicios de: Prueba de donde se originaron los datos Distribución de la clave pública Autentificación de solicitudes El mecanismo principal es firmando y no es necesario la confidencialidad porque toda la informacion es pública Los nuevos registros se agrupan en RRSets firmados para ser verificados por los receptores de las solicitudes KEY: clave pública, algoritmo y protocolo de transmisión SIGN: firma de todos los registros del RRSet con fecha de validez La clave privada está en un medio de almacenamiento removible y los registros están prefirmados por rapidez y seguridad de la clave privada
Administracion de Claves Públicas Las claves públicas están en los registros KEY (firmado por el DNS de orden superior) que pueden ser enviados via IPsec a los solicitantes Todos los clientes además tienen preconfiguradas las claves públicas de los DNS de orden superior Existen propuestas para que el DNSsec maneje certificados digitales (registro CERT) y pueda substituir a la infraestructura PKI!!!
DNS Seguro (DNSsec) Para evitar falsificación de registros del DNS (en particular el IP) o también conocido como caché envenenado Para obtener el número de secuencia, crea un dominio www.intruso.com en el DNS a atacar El intruso ahora pide el IP de un subdominio del recién registrado (así conoce los números de secuencia) Rápidamente pide al DNS, el IP del dominio a falsificar (el DNS atacado se lo pregunta al DNS de nivel superior) Ahora sabiendo los números de secuencia y haciéndose pasar por el dominio superior, propone un IP falso del dominio a falsificar La respuesta real del DNS de orden superior es rechazada por no estar pendiente