SlideShare uma empresa Scribd logo

Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)

Transferir como PPTX, PDF
Alejandro Pisanty
Alejandro Pisanty

Estabilidad, seguridad y robustez (o resiliencia) del DNS: DNS, riesgos, ataques, respuestas. Administración de los riesgos del DNS global por parte de ICANN. Presentación para el Grupo Intersecretarial de Gobernanza de Internet del Gobierno Federal de México.

Tecnologia
1 de 12
Estabilidad, seguridad y robustez del DNS global Alejandro Pisanty Facultad de Química, UNAM Sociedad Internet de México, A.C.
Introducción • DNS – Sistema de nombres de dominio – Global, jerárquico, distribuido • Servidores raíz – 13 nominalmente, cientos de instancias por “anycast” – El archivo raíz es muy pequeño – El proceso de actualización de la raíz es sensible • DNS robusto por diseño – Jerárquico y distribuido para este fin – criterios de redundancia de recursos, facilidad de propagación de cambios (aún así, latencias de algunas horas) • El resto del DNS – gTLDs y ccTLDs (registros) – Servidores de nombres en ISPs y organizaciones – Caches en servidores y en computadoras
Tipos de riesgos en el DNS • Riesgo: probabilidad, impacto • Riesgo: vulnerabilidad, explotación • Riesgo: prevención, evasión, transferencia, detección, mitigación, respuesta, continuidad, restauración, contingencia • Riesgos antropogénicos y no antropogénicos • Riesgos accidentales e intencionales • Ataques AL propio DNS – Atentan contra integridad y disponibilidad • Ataques USANDO el DNS – Atentan contra sitios Web, cuentas de correo, dinero en cualquiera de sus formas, usando el DNS • Ataques híbridos (objetivo y origen tanto dentro como fuera del DNS) como “cache poisoning” • Abusos del DNS – Frecuentemente conectados con ecosistema delictivo • NO-ataques: estabilidad ante cambios como DNSSEC, IPv6, gTLDs
Ataques al DNS • Explotación de vulnerabilidades de servidores – “Genéricas” – sistema operativo, servidor Web, etc. – Especializadas – BIND – Objetivos: tomar control; redirigir resolución • Suplantación o MITM (Man in the Middle) – Produce errores en resolución de nombres, dirige a sitios maliciosos – Remedio parcial importante DNSSEC • Negación de servicio – Ejemplo: DDOS sobre .cn, 26 agosto 2013 • Ingeniería social – Permite apoderarse de nombres de dominio suplantando al registrante • Ataques al sistema de registro de nombres (no a la resolución inicialmente) – Negación de servicio – Violación a integridad – Violación a confidencialidad • Riesgos comerciales • Riesgos a privacidad, libertad de expresión y asociación, derechos humanos y civiles • DNS hijacking – otro nombre muy claro
Ataques usando el DNS • Pueden ocurrir a distintos niveles, desde el archivo “hosts” de un dispositivo personal hasta los resolvedores de los registros de TLDs • Redirección de sitios (diversas técnicas) – Web: lleva a sitio falso para fraude o instalación de malware – Correo: permite • redirigir correo electrónico • suplantar remitentes de correo electrónico – Tráfico: permite crear bitácora de tráfico y su posterior explotación • “Cache poisoning” – Afecta el contenido del DNS mediante explotación de una vulnerabilidad – Redirige resoluciones, posiblemente a sitios maliciosos • Ingeniería social: permite TODO, vgr. Apoderarse de servidores DNS y redirigir (caso reciente New York Times, empezó con “spear- phishing”)
Abusos del DNS • Registro para fines especulativos • Registro para fines delictivos • Cybersquatting • Typosquatting • Domain name tasting • Domain name kiting • Fast flux • Domain name hijacking • Phishing • Extorsión
Estabilidad, seguridad, robustez • Estabilidad – Operaciones predecibles, sobre todo resolución de nombres de dominio – Operaciones asociadas: WHOIS, registro, altas/bajas/cambios – Prevención de consecuencias inesperadas • Seguridad – Integridad, autenticación, disponibilidad, no-repudio • Robustez – “resilience” – Capacidad de operar bajo estrés o variaciones extremas de condiciones, y de recuperar capacidad plena
Esferas de control de ICANN • Interna o propia – Su propio staff, servidores a su cargo, infraestructura propia – IANA – SSAC • Intermedia: mediante acuerdos y estructuras – GNSO, ccNSO, RIRs, ALAC/At-Large • Externa – “resto del mundo”
Estructuras formales • SSAC – permanente; asesora al Board • SSR-RT – Review Team, por definición temporal, actuó 2010-2012, entregó informe – Análisis sistémico de la posición de riesgo del DNS y ICANN, nivel estratégico • DSSA – temporal, multi-constituency, actuó 2010-2012 – Diagnóstico de riesgos del DNS, nivel operacional • Board Risk Committee – permantente, atento a riesgo en general • Board DNS SSR Risk Framework Working Group – De mediano plazo • Deptos. de Seguridad de ICANN – seguridad física e informática, especialistas, estrategia y operaciones (staff)
Documentos actuales • SSR-RT report – http://www.icann.org/es/about/aoc-review/ssr/final-report-20jun12- es.pdf (abre un documento PDF) • DSSA report – http://gnso.icann.org/en/issues/dssa/dssa-phase-1-report-15jun12- en.pdf (abre un documento PDF) • SSAC – recomendaciones, cerca de 60 – http://www.icann.org/en/groups/ssac (sitio del SSAC) • Informes por evento – Ejemplo: incidente de “domain name hijacking” de Diigo, http://blog.icann.org/2012/11/what-you-should-learn-from-the-diigo- domain-hijacking-incident/ • Documentos del Board SSR Risk Framework WG – Documento actual http://www.icann.org/en/groups/other/dns-risk- mgmt/draft-final-19aug13-en.pdf

Recomendados

Dns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandezDns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandez
Francisco Javier Mejías Fernández
 
Ataque kali
Ataque kaliAtaque kali
Ataque kali
Francisco Javier Mejías Fernández
 
Todo Sobre El Dns
Todo Sobre El DnsTodo Sobre El Dns
Todo Sobre El Dns
Edwin Cusco
 
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Israel Martínez Bermejo
 
Tipos de servidores
Tipos de servidoresTipos de servidores
Tipos de servidores
Lusy Chisag
 
Dns
DnsDns
Dns
naty3318
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
Maricela Poaquiza
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
4v4t4r
 

Recomendados

Dns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandezDns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandez
Francisco Javier Mejías Fernández
 
Ataque kali
Ataque kaliAtaque kali
Ataque kali
Francisco Javier Mejías Fernández
 
Todo Sobre El Dns
Todo Sobre El DnsTodo Sobre El Dns
Todo Sobre El Dns
Edwin Cusco
 
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Israel Martínez Bermejo
 
Tipos de servidores
Tipos de servidoresTipos de servidores
Tipos de servidores
Lusy Chisag
 
Dns
DnsDns
Dns
naty3318
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
Maricela Poaquiza
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
4v4t4r
 
Dns
DnsDns
Dns
Oscar Mauricio
 
Dns
DnsDns
Dns
payaya
 
Asegurar BIND
Asegurar BINDAsegurar BIND
Asegurar BIND
Fernando Parrondo
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
Jose Manuel Acosta
 
Dns “El Backdoor por default”
Dns “El Backdoor por default”Dns “El Backdoor por default”
Dns “El Backdoor por default”
Davis Palomino
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRL
Carlos Martinez Cagnazzo
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFlux
Miquel Tur Mongé
 
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Luz Fiumara
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Alejandro Ramos
 
Dns
DnsDns
Dns
Santiago Tixilema
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidores
Jose Ruiz
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
Nominalia
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
Rockdan
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
xavazquez
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
Taringa!
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios Windows
CZSOTEC
 
Seguridad de Servidores Web
Seguridad de Servidores WebSeguridad de Servidores Web
Seguridad de Servidores Web
Sumdury
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
Jhonny D. Maracay
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
Alejandro Pisanty
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
Alejandro Pisanty
 

Mais conteúdo relacionado

Semelhante a Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidores
Jose Ruiz
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
Rockdan
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
xavazquez
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
Taringa!
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios Windows
CZSOTEC
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 

Semelhante a Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet) (20)

Dns
DnsDns
Dns
 
Dns
DnsDns
Dns
 
Asegurar BIND
Asegurar BINDAsegurar BIND
Asegurar BIND
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 
Dns “El Backdoor por default”
Dns “El Backdoor por default”Dns “El Backdoor por default”
Dns “El Backdoor por default”
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRL
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFlux
 
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
 
Dns
DnsDns
Dns
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidores
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios Windows
 
Seguridad de Servidores Web
Seguridad de Servidores WebSeguridad de Servidores Web
Seguridad de Servidores Web
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 

Mais de Alejandro Pisanty

Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
Alejandro Pisanty
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcs
Alejandro Pisanty
 

Mais de Alejandro Pisanty (16)

Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
 
Future Internet Governance? Internet Governance as Piñata
Future Internet Governance? Internet Governance as PiñataFuture Internet Governance? Internet Governance as Piñata
Future Internet Governance? Internet Governance as Piñata
 
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcs
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcs
 
Sociedad y agenda_digital
Sociedad y agenda_digitalSociedad y agenda_digital
Sociedad y agenda_digital
 
Gordian Knots in Mexico IT and Telecommunications Sectors
Gordian Knots in Mexico IT and Telecommunications SectorsGordian Knots in Mexico IT and Telecommunications Sectors
Gordian Knots in Mexico IT and Telecommunications Sectors
 
Politicas Demandas Civiles Sociedad Interconectada
Politicas Demandas Civiles Sociedad InterconectadaPoliticas Demandas Civiles Sociedad Interconectada
Politicas Demandas Civiles Sociedad Interconectada
 
Desde las raíces: Internet y ciudadanía 2.0
Desde las raíces: Internet y ciudadanía 2.0Desde las raíces: Internet y ciudadanía 2.0
Desde las raíces: Internet y ciudadanía 2.0
 
Privacidad Icc
Privacidad IccPrivacidad Icc
Privacidad Icc
 
Multilingüismo en Internet
Multilingüismo en InternetMultilingüismo en Internet
Multilingüismo en Internet
 
Internet ¿para todos? en México
Internet ¿para todos? en MéxicoInternet ¿para todos? en México
Internet ¿para todos? en México
 
Educación a distancia y sociedad de la información
Educación a distancia y sociedad de la informaciónEducación a distancia y sociedad de la información
Educación a distancia y sociedad de la información
 
e-competencias, e-provocaciones
e-competencias, e-provocacionese-competencias, e-provocaciones
e-competencias, e-provocaciones
 
Continuidad, ruptura y coordinación en Educación a Distancia
Continuidad, ruptura y coordinación en Educación a DistanciaContinuidad, ruptura y coordinación en Educación a Distancia
Continuidad, ruptura y coordinación en Educación a Distancia
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 

Último (15)

Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de Internet)

  • 1. Estabilidad, seguridad y robustez del DNS global Alejandro Pisanty Facultad de Química, UNAM Sociedad Internet de México, A.C.
  • 2.
  • 3.
  • 4. Introducción • DNS – Sistema de nombres de dominio – Global, jerárquico, distribuido • Servidores raíz – 13 nominalmente, cientos de instancias por “anycast” – El archivo raíz es muy pequeño – El proceso de actualización de la raíz es sensible • DNS robusto por diseño – Jerárquico y distribuido para este fin – criterios de redundancia de recursos, facilidad de propagación de cambios (aún así, latencias de algunas horas) • El resto del DNS – gTLDs y ccTLDs (registros) – Servidores de nombres en ISPs y organizaciones – Caches en servidores y en computadoras
  • 5. Tipos de riesgos en el DNS • Riesgo: probabilidad, impacto • Riesgo: vulnerabilidad, explotación • Riesgo: prevención, evasión, transferencia, detección, mitigación, respuesta, continuidad, restauración, contingencia • Riesgos antropogénicos y no antropogénicos • Riesgos accidentales e intencionales • Ataques AL propio DNS – Atentan contra integridad y disponibilidad • Ataques USANDO el DNS – Atentan contra sitios Web, cuentas de correo, dinero en cualquiera de sus formas, usando el DNS • Ataques híbridos (objetivo y origen tanto dentro como fuera del DNS) como “cache poisoning” • Abusos del DNS – Frecuentemente conectados con ecosistema delictivo • NO-ataques: estabilidad ante cambios como DNSSEC, IPv6, gTLDs
  • 6. Ataques al DNS • Explotación de vulnerabilidades de servidores – “Genéricas” – sistema operativo, servidor Web, etc. – Especializadas – BIND – Objetivos: tomar control; redirigir resolución • Suplantación o MITM (Man in the Middle) – Produce errores en resolución de nombres, dirige a sitios maliciosos – Remedio parcial importante DNSSEC • Negación de servicio – Ejemplo: DDOS sobre .cn, 26 agosto 2013 • Ingeniería social – Permite apoderarse de nombres de dominio suplantando al registrante • Ataques al sistema de registro de nombres (no a la resolución inicialmente) – Negación de servicio – Violación a integridad – Violación a confidencialidad • Riesgos comerciales • Riesgos a privacidad, libertad de expresión y asociación, derechos humanos y civiles • DNS hijacking – otro nombre muy claro
  • 7. Ataques usando el DNS • Pueden ocurrir a distintos niveles, desde el archivo “hosts” de un dispositivo personal hasta los resolvedores de los registros de TLDs • Redirección de sitios (diversas técnicas) – Web: lleva a sitio falso para fraude o instalación de malware – Correo: permite • redirigir correo electrónico • suplantar remitentes de correo electrónico – Tráfico: permite crear bitácora de tráfico y su posterior explotación • “Cache poisoning” – Afecta el contenido del DNS mediante explotación de una vulnerabilidad – Redirige resoluciones, posiblemente a sitios maliciosos • Ingeniería social: permite TODO, vgr. Apoderarse de servidores DNS y redirigir (caso reciente New York Times, empezó con “spear- phishing”)
  • 8. Abusos del DNS • Registro para fines especulativos • Registro para fines delictivos • Cybersquatting • Typosquatting • Domain name tasting • Domain name kiting • Fast flux • Domain name hijacking • Phishing • Extorsión
  • 9. Estabilidad, seguridad, robustez • Estabilidad – Operaciones predecibles, sobre todo resolución de nombres de dominio – Operaciones asociadas: WHOIS, registro, altas/bajas/cambios – Prevención de consecuencias inesperadas • Seguridad – Integridad, autenticación, disponibilidad, no-repudio • Robustez – “resilience” – Capacidad de operar bajo estrés o variaciones extremas de condiciones, y de recuperar capacidad plena
  • 10. Esferas de control de ICANN • Interna o propia – Su propio staff, servidores a su cargo, infraestructura propia – IANA – SSAC • Intermedia: mediante acuerdos y estructuras – GNSO, ccNSO, RIRs, ALAC/At-Large • Externa – “resto del mundo”
  • 11. Estructuras formales • SSAC – permanente; asesora al Board • SSR-RT – Review Team, por definición temporal, actuó 2010-2012, entregó informe – Análisis sistémico de la posición de riesgo del DNS y ICANN, nivel estratégico • DSSA – temporal, multi-constituency, actuó 2010-2012 – Diagnóstico de riesgos del DNS, nivel operacional • Board Risk Committee – permantente, atento a riesgo en general • Board DNS SSR Risk Framework Working Group – De mediano plazo • Deptos. de Seguridad de ICANN – seguridad física e informática, especialistas, estrategia y operaciones (staff)
  • 12. Documentos actuales • SSR-RT report – http://www.icann.org/es/about/aoc-review/ssr/final-report-20jun12- es.pdf (abre un documento PDF) • DSSA report – http://gnso.icann.org/en/issues/dssa/dssa-phase-1-report-15jun12- en.pdf (abre un documento PDF) • SSAC – recomendaciones, cerca de 60 – http://www.icann.org/en/groups/ssac (sitio del SSAC) • Informes por evento – Ejemplo: incidente de “domain name hijacking” de Diigo, http://blog.icann.org/2012/11/what-you-should-learn-from-the-diigo- domain-hijacking-incident/ • Documentos del Board SSR Risk Framework WG – Documento actual http://www.icann.org/en/groups/other/dns-risk- mgmt/draft-final-19aug13-en.pdf