SlideShare una empresa de Scribd logo

Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)

Descargar como PPTX, PDF
Alejandro Pisanty
Alejandro Pisanty

Estabilidad, seguridad y robustez (o resiliencia) del DNS: DNS, riesgos, ataques, respuestas. Administración de los riesgos del DNS global por parte de ICANN. Presentación para el Grupo Intersecretarial de Gobernanza de Internet del Gobierno Federal de México.

Tecnología
1 de 12
Estabilidad, seguridad y robustez del DNS global Alejandro Pisanty Facultad de Química, UNAM Sociedad Internet de México, A.C.
Introducción • DNS – Sistema de nombres de dominio – Global, jerárquico, distribuido • Servidores raíz – 13 nominalmente, cientos de instancias por “anycast” – El archivo raíz es muy pequeño – El proceso de actualización de la raíz es sensible • DNS robusto por diseño – Jerárquico y distribuido para este fin – criterios de redundancia de recursos, facilidad de propagación de cambios (aún así, latencias de algunas horas) • El resto del DNS – gTLDs y ccTLDs (registros) – Servidores de nombres en ISPs y organizaciones – Caches en servidores y en computadoras
Tipos de riesgos en el DNS • Riesgo: probabilidad, impacto • Riesgo: vulnerabilidad, explotación • Riesgo: prevención, evasión, transferencia, detección, mitigación, respuesta, continuidad, restauración, contingencia • Riesgos antropogénicos y no antropogénicos • Riesgos accidentales e intencionales • Ataques AL propio DNS – Atentan contra integridad y disponibilidad • Ataques USANDO el DNS – Atentan contra sitios Web, cuentas de correo, dinero en cualquiera de sus formas, usando el DNS • Ataques híbridos (objetivo y origen tanto dentro como fuera del DNS) como “cache poisoning” • Abusos del DNS – Frecuentemente conectados con ecosistema delictivo • NO-ataques: estabilidad ante cambios como DNSSEC, IPv6, gTLDs
Ataques al DNS • Explotación de vulnerabilidades de servidores – “Genéricas” – sistema operativo, servidor Web, etc. – Especializadas – BIND – Objetivos: tomar control; redirigir resolución • Suplantación o MITM (Man in the Middle) – Produce errores en resolución de nombres, dirige a sitios maliciosos – Remedio parcial importante DNSSEC • Negación de servicio – Ejemplo: DDOS sobre .cn, 26 agosto 2013 • Ingeniería social – Permite apoderarse de nombres de dominio suplantando al registrante • Ataques al sistema de registro de nombres (no a la resolución inicialmente) – Negación de servicio – Violación a integridad – Violación a confidencialidad • Riesgos comerciales • Riesgos a privacidad, libertad de expresión y asociación, derechos humanos y civiles • DNS hijacking – otro nombre muy claro
Ataques usando el DNS • Pueden ocurrir a distintos niveles, desde el archivo “hosts” de un dispositivo personal hasta los resolvedores de los registros de TLDs • Redirección de sitios (diversas técnicas) – Web: lleva a sitio falso para fraude o instalación de malware – Correo: permite • redirigir correo electrónico • suplantar remitentes de correo electrónico – Tráfico: permite crear bitácora de tráfico y su posterior explotación • “Cache poisoning” – Afecta el contenido del DNS mediante explotación de una vulnerabilidad – Redirige resoluciones, posiblemente a sitios maliciosos • Ingeniería social: permite TODO, vgr. Apoderarse de servidores DNS y redirigir (caso reciente New York Times, empezó con “spear- phishing”)
Abusos del DNS • Registro para fines especulativos • Registro para fines delictivos • Cybersquatting • Typosquatting • Domain name tasting • Domain name kiting • Fast flux • Domain name hijacking • Phishing • Extorsión
Estabilidad, seguridad, robustez • Estabilidad – Operaciones predecibles, sobre todo resolución de nombres de dominio – Operaciones asociadas: WHOIS, registro, altas/bajas/cambios – Prevención de consecuencias inesperadas • Seguridad – Integridad, autenticación, disponibilidad, no-repudio • Robustez – “resilience” – Capacidad de operar bajo estrés o variaciones extremas de condiciones, y de recuperar capacidad plena
Esferas de control de ICANN • Interna o propia – Su propio staff, servidores a su cargo, infraestructura propia – IANA – SSAC • Intermedia: mediante acuerdos y estructuras – GNSO, ccNSO, RIRs, ALAC/At-Large • Externa – “resto del mundo”
Estructuras formales • SSAC – permanente; asesora al Board • SSR-RT – Review Team, por definición temporal, actuó 2010-2012, entregó informe – Análisis sistémico de la posición de riesgo del DNS y ICANN, nivel estratégico • DSSA – temporal, multi-constituency, actuó 2010-2012 – Diagnóstico de riesgos del DNS, nivel operacional • Board Risk Committee – permantente, atento a riesgo en general • Board DNS SSR Risk Framework Working Group – De mediano plazo • Deptos. de Seguridad de ICANN – seguridad física e informática, especialistas, estrategia y operaciones (staff)
Documentos actuales • SSR-RT report – http://www.icann.org/es/about/aoc-review/ssr/final-report-20jun12- es.pdf (abre un documento PDF) • DSSA report – http://gnso.icann.org/en/issues/dssa/dssa-phase-1-report-15jun12- en.pdf (abre un documento PDF) • SSAC – recomendaciones, cerca de 60 – http://www.icann.org/en/groups/ssac (sitio del SSAC) • Informes por evento – Ejemplo: incidente de “domain name hijacking” de Diigo, http://blog.icann.org/2012/11/what-you-should-learn-from-the-diigo- domain-hijacking-incident/ • Documentos del Board SSR Risk Framework WG – Documento actual http://www.icann.org/en/groups/other/dns-risk- mgmt/draft-final-19aug13-en.pdf

Recomendados

Dns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandezDns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandez
Francisco Javier Mejías Fernández
 
Ataque kali
Ataque kaliAtaque kali
Ataque kali
Francisco Javier Mejías Fernández
 
Todo Sobre El Dns
Todo Sobre El DnsTodo Sobre El Dns
Todo Sobre El Dns
Edwin Cusco
 
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Israel Martínez Bermejo
 
Tipos de servidores
Tipos de servidoresTipos de servidores
Tipos de servidores
Lusy Chisag
 
Dns
DnsDns
Dns
naty3318
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
Maricela Poaquiza
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
4v4t4r
 

Recomendados

Dns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandezDns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandez
Francisco Javier Mejías Fernández
 
Ataque kali
Ataque kaliAtaque kali
Ataque kali
Francisco Javier Mejías Fernández
 
Todo Sobre El Dns
Todo Sobre El DnsTodo Sobre El Dns
Todo Sobre El Dns
Edwin Cusco
 
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Israel Martínez Bermejo
 
Tipos de servidores
Tipos de servidoresTipos de servidores
Tipos de servidores
Lusy Chisag
 
Dns
DnsDns
Dns
naty3318
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
Maricela Poaquiza
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
4v4t4r
 
Dns
DnsDns
Dns
Oscar Mauricio
 
Dns
DnsDns
Dns
payaya
 
Asegurar BIND
Asegurar BINDAsegurar BIND
Asegurar BIND
Fernando Parrondo
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
Jose Manuel Acosta
 
Dns “El Backdoor por default”
Dns “El Backdoor por default”Dns “El Backdoor por default”
Dns “El Backdoor por default”
Davis Palomino
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRL
Carlos Martinez Cagnazzo
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFlux
Miquel Tur Mongé
 
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Luz Fiumara
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Alejandro Ramos
 
Dns
DnsDns
Dns
Santiago Tixilema
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidores
Jose Ruiz
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
Nominalia
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
Rockdan
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
xavazquez
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
Taringa!
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios Windows
CZSOTEC
 
Seguridad de Servidores Web
Seguridad de Servidores WebSeguridad de Servidores Web
Seguridad de Servidores Web
Sumdury
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
Jhonny D. Maracay
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
Alejandro Pisanty
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
Alejandro Pisanty
 

Más contenido relacionado

Similar a Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidores
Jose Ruiz
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
Rockdan
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
xavazquez
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
Taringa!
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios Windows
CZSOTEC
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 

Similar a Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet) (20)

Dns
DnsDns
Dns
 
Dns
DnsDns
Dns
 
Asegurar BIND
Asegurar BINDAsegurar BIND
Asegurar BIND
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 
Dns “El Backdoor por default”
Dns “El Backdoor por default”Dns “El Backdoor por default”
Dns “El Backdoor por default”
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRL
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFlux
 
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
 
Dns
DnsDns
Dns
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidores
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios Windows
 
Seguridad de Servidores Web
Seguridad de Servidores WebSeguridad de Servidores Web
Seguridad de Servidores Web
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 

Más de Alejandro Pisanty

Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
Alejandro Pisanty
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcs
Alejandro Pisanty
 

Más de Alejandro Pisanty (16)

Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
 
Future Internet Governance? Internet Governance as Piñata
Future Internet Governance? Internet Governance as PiñataFuture Internet Governance? Internet Governance as Piñata
Future Internet Governance? Internet Governance as Piñata
 
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcs
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcs
 
Sociedad y agenda_digital
Sociedad y agenda_digitalSociedad y agenda_digital
Sociedad y agenda_digital
 
Gordian Knots in Mexico IT and Telecommunications Sectors
Gordian Knots in Mexico IT and Telecommunications SectorsGordian Knots in Mexico IT and Telecommunications Sectors
Gordian Knots in Mexico IT and Telecommunications Sectors
 
Politicas Demandas Civiles Sociedad Interconectada
Politicas Demandas Civiles Sociedad InterconectadaPoliticas Demandas Civiles Sociedad Interconectada
Politicas Demandas Civiles Sociedad Interconectada
 
Desde las raíces: Internet y ciudadanía 2.0
Desde las raíces: Internet y ciudadanía 2.0Desde las raíces: Internet y ciudadanía 2.0
Desde las raíces: Internet y ciudadanía 2.0
 
Privacidad Icc
Privacidad IccPrivacidad Icc
Privacidad Icc
 
Multilingüismo en Internet
Multilingüismo en InternetMultilingüismo en Internet
Multilingüismo en Internet
 
Internet ¿para todos? en México
Internet ¿para todos? en MéxicoInternet ¿para todos? en México
Internet ¿para todos? en México
 
Educación a distancia y sociedad de la información
Educación a distancia y sociedad de la informaciónEducación a distancia y sociedad de la información
Educación a distancia y sociedad de la información
 
e-competencias, e-provocaciones
e-competencias, e-provocacionese-competencias, e-provocaciones
e-competencias, e-provocaciones
 
Continuidad, ruptura y coordinación en Educación a Distancia
Continuidad, ruptura y coordinación en Educación a DistanciaContinuidad, ruptura y coordinación en Educación a Distancia
Continuidad, ruptura y coordinación en Educación a Distancia
 

Último

Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación Latinoamerica
EdwinGarca59
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la información
Universidad de Sonora
 
editorial de informática de los sueños.docx
editorial de informática de los sueños.docxeditorial de informática de los sueños.docx
editorial de informática de los sueños.docx
ssusere34b451
 

Último (20)

Tipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de DatosTipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de Datos
 
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUALJORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
 
Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación Latinoamerica
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024
 
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptxTipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la información
 
Desarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - EstradaDesarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - Estrada
 
herramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaherramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el tema
 
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfRedes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
 
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiCVelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
 
el uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptxel uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptx
 
Electricidad Libro compendio de temas estudiados.docx
Electricidad Libro compendio de temas estudiados.docxElectricidad Libro compendio de temas estudiados.docx
Electricidad Libro compendio de temas estudiados.docx
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
 
editorial de informática de los sueños.docx
editorial de informática de los sueños.docxeditorial de informática de los sueños.docx
editorial de informática de los sueños.docx
 
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
 
Introduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptxIntroduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptx
 
Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .
 
avancestecnologicossigloveintiunoprofetengohambreayuda
avancestecnologicossigloveintiunoprofetengohambreayudaavancestecnologicossigloveintiunoprofetengohambreayuda
avancestecnologicossigloveintiunoprofetengohambreayuda
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptx
 

Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)

  • 1. Estabilidad, seguridad y robustez del DNS global Alejandro Pisanty Facultad de Química, UNAM Sociedad Internet de México, A.C.
  • 2.
  • 3.
  • 4. Introducción • DNS – Sistema de nombres de dominio – Global, jerárquico, distribuido • Servidores raíz – 13 nominalmente, cientos de instancias por “anycast” – El archivo raíz es muy pequeño – El proceso de actualización de la raíz es sensible • DNS robusto por diseño – Jerárquico y distribuido para este fin – criterios de redundancia de recursos, facilidad de propagación de cambios (aún así, latencias de algunas horas) • El resto del DNS – gTLDs y ccTLDs (registros) – Servidores de nombres en ISPs y organizaciones – Caches en servidores y en computadoras
  • 5. Tipos de riesgos en el DNS • Riesgo: probabilidad, impacto • Riesgo: vulnerabilidad, explotación • Riesgo: prevención, evasión, transferencia, detección, mitigación, respuesta, continuidad, restauración, contingencia • Riesgos antropogénicos y no antropogénicos • Riesgos accidentales e intencionales • Ataques AL propio DNS – Atentan contra integridad y disponibilidad • Ataques USANDO el DNS – Atentan contra sitios Web, cuentas de correo, dinero en cualquiera de sus formas, usando el DNS • Ataques híbridos (objetivo y origen tanto dentro como fuera del DNS) como “cache poisoning” • Abusos del DNS – Frecuentemente conectados con ecosistema delictivo • NO-ataques: estabilidad ante cambios como DNSSEC, IPv6, gTLDs
  • 6. Ataques al DNS • Explotación de vulnerabilidades de servidores – “Genéricas” – sistema operativo, servidor Web, etc. – Especializadas – BIND – Objetivos: tomar control; redirigir resolución • Suplantación o MITM (Man in the Middle) – Produce errores en resolución de nombres, dirige a sitios maliciosos – Remedio parcial importante DNSSEC • Negación de servicio – Ejemplo: DDOS sobre .cn, 26 agosto 2013 • Ingeniería social – Permite apoderarse de nombres de dominio suplantando al registrante • Ataques al sistema de registro de nombres (no a la resolución inicialmente) – Negación de servicio – Violación a integridad – Violación a confidencialidad • Riesgos comerciales • Riesgos a privacidad, libertad de expresión y asociación, derechos humanos y civiles • DNS hijacking – otro nombre muy claro
  • 7. Ataques usando el DNS • Pueden ocurrir a distintos niveles, desde el archivo “hosts” de un dispositivo personal hasta los resolvedores de los registros de TLDs • Redirección de sitios (diversas técnicas) – Web: lleva a sitio falso para fraude o instalación de malware – Correo: permite • redirigir correo electrónico • suplantar remitentes de correo electrónico – Tráfico: permite crear bitácora de tráfico y su posterior explotación • “Cache poisoning” – Afecta el contenido del DNS mediante explotación de una vulnerabilidad – Redirige resoluciones, posiblemente a sitios maliciosos • Ingeniería social: permite TODO, vgr. Apoderarse de servidores DNS y redirigir (caso reciente New York Times, empezó con “spear- phishing”)
  • 8. Abusos del DNS • Registro para fines especulativos • Registro para fines delictivos • Cybersquatting • Typosquatting • Domain name tasting • Domain name kiting • Fast flux • Domain name hijacking • Phishing • Extorsión
  • 9. Estabilidad, seguridad, robustez • Estabilidad – Operaciones predecibles, sobre todo resolución de nombres de dominio – Operaciones asociadas: WHOIS, registro, altas/bajas/cambios – Prevención de consecuencias inesperadas • Seguridad – Integridad, autenticación, disponibilidad, no-repudio • Robustez – “resilience” – Capacidad de operar bajo estrés o variaciones extremas de condiciones, y de recuperar capacidad plena
  • 10. Esferas de control de ICANN • Interna o propia – Su propio staff, servidores a su cargo, infraestructura propia – IANA – SSAC • Intermedia: mediante acuerdos y estructuras – GNSO, ccNSO, RIRs, ALAC/At-Large • Externa – “resto del mundo”
  • 11. Estructuras formales • SSAC – permanente; asesora al Board • SSR-RT – Review Team, por definición temporal, actuó 2010-2012, entregó informe – Análisis sistémico de la posición de riesgo del DNS y ICANN, nivel estratégico • DSSA – temporal, multi-constituency, actuó 2010-2012 – Diagnóstico de riesgos del DNS, nivel operacional • Board Risk Committee – permantente, atento a riesgo en general • Board DNS SSR Risk Framework Working Group – De mediano plazo • Deptos. de Seguridad de ICANN – seguridad física e informática, especialistas, estrategia y operaciones (staff)
  • 12. Documentos actuales • SSR-RT report – http://www.icann.org/es/about/aoc-review/ssr/final-report-20jun12- es.pdf (abre un documento PDF) • DSSA report – http://gnso.icann.org/en/issues/dssa/dssa-phase-1-report-15jun12- en.pdf (abre un documento PDF) • SSAC – recomendaciones, cerca de 60 – http://www.icann.org/en/groups/ssac (sitio del SSAC) • Informes por evento – Ejemplo: incidente de “domain name hijacking” de Diigo, http://blog.icann.org/2012/11/what-you-should-learn-from-the-diigo- domain-hijacking-incident/ • Documentos del Board SSR Risk Framework WG – Documento actual http://www.icann.org/en/groups/other/dns-risk- mgmt/draft-final-19aug13-en.pdf