SlideShare una empresa de Scribd logo

Estabilidad, seguridad y robustez del DNS global

Descargar como PPTX, PDF
Alejandro Pisanty
Alejandro Pisanty

Estabilidad, seguridad y robustez (o resiliencia) del DNS: DNS, riesgos, ataques, respuestas. Administración de los riesgos del DNS global por parte de ICANN. Presentación para el Grupo Intersecretarial de Gobernanza de Internet del Gobierno Federal de México.

Tecnología
1 de 12
Estabilidad, seguridad y robustez del DNS global Alejandro Pisanty Facultad de Química, UNAM Sociedad Internet de México, A.C.
Introducción • DNS – Sistema de nombres de dominio – Global, jerárquico, distribuido • Servidores raíz – 13 nominalmente, cientos de instancias por “anycast” – El archivo raíz es muy pequeño – El proceso de actualización de la raíz es sensible • DNS robusto por diseño – Jerárquico y distribuido para este fin – criterios de redundancia de recursos, facilidad de propagación de cambios (aún así, latencias de algunas horas) • El resto del DNS – gTLDs y ccTLDs (registros) – Servidores de nombres en ISPs y organizaciones – Caches en servidores y en computadoras
Tipos de riesgos en el DNS • Riesgo: probabilidad, impacto • Riesgo: vulnerabilidad, explotación • Riesgo: prevención, evasión, transferencia, detección, mitigación, respuesta, continuidad, restauración, contingencia • Riesgos antropogénicos y no antropogénicos • Riesgos accidentales e intencionales • Ataques AL propio DNS – Atentan contra integridad y disponibilidad • Ataques USANDO el DNS – Atentan contra sitios Web, cuentas de correo, dinero en cualquiera de sus formas, usando el DNS • Ataques híbridos (objetivo y origen tanto dentro como fuera del DNS) como “cache poisoning” • Abusos del DNS – Frecuentemente conectados con ecosistema delictivo • NO-ataques: estabilidad ante cambios como DNSSEC, IPv6, gTLDs
Ataques al DNS • Explotación de vulnerabilidades de servidores – “Genéricas” – sistema operativo, servidor Web, etc. – Especializadas – BIND – Objetivos: tomar control; redirigir resolución • Suplantación o MITM (Man in the Middle) – Produce errores en resolución de nombres, dirige a sitios maliciosos – Remedio parcial importante DNSSEC • Negación de servicio – Ejemplo: DDOS sobre .cn, 26 agosto 2013 • Ingeniería social – Permite apoderarse de nombres de dominio suplantando al registrante • Ataques al sistema de registro de nombres (no a la resolución inicialmente) – Negación de servicio – Violación a integridad – Violación a confidencialidad • Riesgos comerciales • Riesgos a privacidad, libertad de expresión y asociación, derechos humanos y civiles • DNS hijacking – otro nombre muy claro
Ataques usando el DNS • Pueden ocurrir a distintos niveles, desde el archivo “hosts” de un dispositivo personal hasta los resolvedores de los registros de TLDs • Redirección de sitios (diversas técnicas) – Web: lleva a sitio falso para fraude o instalación de malware – Correo: permite • redirigir correo electrónico • suplantar remitentes de correo electrónico – Tráfico: permite crear bitácora de tráfico y su posterior explotación • “Cache poisoning” – Afecta el contenido del DNS mediante explotación de una vulnerabilidad – Redirige resoluciones, posiblemente a sitios maliciosos • Ingeniería social: permite TODO, vgr. Apoderarse de servidores DNS y redirigir (caso reciente New York Times, empezó con “spear- phishing”)
Abusos del DNS • Registro para fines especulativos • Registro para fines delictivos • Cybersquatting • Typosquatting • Domain name tasting • Domain name kiting • Fast flux • Domain name hijacking • Phishing • Extorsión
Estabilidad, seguridad, robustez • Estabilidad – Operaciones predecibles, sobre todo resolución de nombres de dominio – Operaciones asociadas: WHOIS, registro, altas/bajas/cambios – Prevención de consecuencias inesperadas • Seguridad – Integridad, autenticación, disponibilidad, no-repudio • Robustez – “resilience” – Capacidad de operar bajo estrés o variaciones extremas de condiciones, y de recuperar capacidad plena
Esferas de control de ICANN • Interna o propia – Su propio staff, servidores a su cargo, infraestructura propia – IANA – SSAC • Intermedia: mediante acuerdos y estructuras – GNSO, ccNSO, RIRs, ALAC/At-Large • Externa – “resto del mundo”
Estructuras formales • SSAC – permanente; asesora al Board • SSR-RT – Review Team, por definición temporal, actuó 2010-2012, entregó informe – Análisis sistémico de la posición de riesgo del DNS y ICANN, nivel estratégico • DSSA – temporal, multi-constituency, actuó 2010-2012 – Diagnóstico de riesgos del DNS, nivel operacional • Board Risk Committee – permantente, atento a riesgo en general • Board DNS SSR Risk Framework Working Group – De mediano plazo • Deptos. de Seguridad de ICANN – seguridad física e informática, especialistas, estrategia y operaciones (staff)
Documentos actuales • SSR-RT report – http://www.icann.org/es/about/aoc-review/ssr/final-report-20jun12- es.pdf (abre un documento PDF) • DSSA report – http://gnso.icann.org/en/issues/dssa/dssa-phase-1-report-15jun12- en.pdf (abre un documento PDF) • SSAC – recomendaciones, cerca de 60 – http://www.icann.org/en/groups/ssac (sitio del SSAC) • Informes por evento – Ejemplo: incidente de “domain name hijacking” de Diigo, http://blog.icann.org/2012/11/what-you-should-learn-from-the-diigo- domain-hijacking-incident/ • Documentos del Board SSR Risk Framework WG – Documento actual http://www.icann.org/en/groups/other/dns-risk- mgmt/draft-final-19aug13-en.pdf

Recomendados

Dns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandezDns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandezFrancisco Javier Mejías Fernández
 
Ataque kali
Ataque kaliAtaque kali
Ataque kaliFrancisco Javier Mejías Fernández
 
Todo Sobre El Dns
Todo Sobre El DnsTodo Sobre El Dns
Todo Sobre El DnsEdwin Cusco
 
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...Israel Martínez Bermejo
 
Tipos de servidores
Tipos de servidoresTipos de servidores
Tipos de servidoresLusy Chisag
 
Dns
DnsDns
Dnsnaty3318
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquizaMaricela Poaquiza
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 20104v4t4r
 

Recomendados

Dns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandezDns fco javier_mejias_fernandez
Dns fco javier_mejias_fernandezFrancisco Javier Mejías Fernández
 
Ataque kali
Ataque kaliAtaque kali
Ataque kaliFrancisco Javier Mejías Fernández
 
Todo Sobre El Dns
Todo Sobre El DnsTodo Sobre El Dns
Todo Sobre El DnsEdwin Cusco
 
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...
Virtualizacion de servidores con VMware vSphere 5.5. (Proyecto Fin de Curso) ...Israel Martínez Bermejo
 
Tipos de servidores
Tipos de servidoresTipos de servidores
Tipos de servidoresLusy Chisag
 
Dns
DnsDns
Dnsnaty3318
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquizaMaricela Poaquiza
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 20104v4t4r
 
Dns
DnsDns
DnsOscar Mauricio
 
Dns
DnsDns
Dnspayaya
 
Asegurar BIND
Asegurar BINDAsegurar BIND
Asegurar BINDFernando Parrondo
 
Hardening windows
Hardening windowsHardening windows
Hardening windowsJose Manuel Acosta
 
Dns “El Backdoor por default”
Dns “El Backdoor por default”Dns “El Backdoor por default”
Dns “El Backdoor por default”Davis Palomino
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLCarlos Martinez Cagnazzo
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFluxMiquel Tur Mongé
 
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Luz Fiumara
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
 
Dns
DnsDns
DnsSantiago Tixilema
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidoresJose Ruiz
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores DedicadosNominalia
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0Rockdan
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testxavazquez
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas Taringa!
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsCZSOTEC
 
Seguridad de Servidores Web
Seguridad de Servidores WebSeguridad de Servidores Web
Seguridad de Servidores WebSumdury
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfAlejandro Pisanty
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfAlejandro Pisanty
 

Más contenido relacionado

Similar a Estabilidad, seguridad y robustez del DNS global

Dns “El Backdoor por default”
Dns “El Backdoor por default”Dns “El Backdoor por default”
Dns “El Backdoor por default”Davis Palomino
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLCarlos Martinez Cagnazzo
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFluxMiquel Tur Mongé
 
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Luz Fiumara
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidoresJose Ruiz
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores DedicadosNominalia
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0Rockdan
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testxavazquez
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas Taringa!
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsCZSOTEC
 
Seguridad de Servidores Web
Seguridad de Servidores WebSeguridad de Servidores Web
Seguridad de Servidores WebSumdury
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 

Similar a Estabilidad, seguridad y robustez del DNS global (20)

Dns
DnsDns
Dns
 
Dns
DnsDns
Dns
 
Asegurar BIND
Asegurar BINDAsegurar BIND
Asegurar BIND
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 
Dns “El Backdoor por default”
Dns “El Backdoor por default”Dns “El Backdoor por default”
Dns “El Backdoor por default”
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRL
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFlux
 
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
 
Dns
DnsDns
Dns
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidores
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios Windows
 
Seguridad de Servidores Web
Seguridad de Servidores WebSeguridad de Servidores Web
Seguridad de Servidores Web
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 

Más de Alejandro Pisanty

Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfAlejandro Pisanty
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfAlejandro Pisanty
 
Future Internet Governance? Internet Governance as Piñata
Future Internet Governance? Internet Governance as PiñataFuture Internet Governance? Internet Governance as Piñata
Future Internet Governance? Internet Governance as PiñataAlejandro Pisanty
 
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...Alejandro Pisanty
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsAlejandro Pisanty
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsAlejandro Pisanty
 
Gordian Knots in Mexico IT and Telecommunications Sectors
Gordian Knots in Mexico IT and Telecommunications SectorsGordian Knots in Mexico IT and Telecommunications Sectors
Gordian Knots in Mexico IT and Telecommunications SectorsAlejandro Pisanty
 
Politicas Demandas Civiles Sociedad Interconectada
Politicas Demandas Civiles Sociedad InterconectadaPoliticas Demandas Civiles Sociedad Interconectada
Politicas Demandas Civiles Sociedad InterconectadaAlejandro Pisanty
 
Desde las raíces: Internet y ciudadanía 2.0
Desde las raíces: Internet y ciudadanía 2.0Desde las raíces: Internet y ciudadanía 2.0
Desde las raíces: Internet y ciudadanía 2.0Alejandro Pisanty
 
Internet ¿para todos? en México
Internet ¿para todos? en MéxicoInternet ¿para todos? en México
Internet ¿para todos? en MéxicoAlejandro Pisanty
 
Educación a distancia y sociedad de la información
Educación a distancia y sociedad de la informaciónEducación a distancia y sociedad de la información
Educación a distancia y sociedad de la informaciónAlejandro Pisanty
 
e-competencias, e-provocaciones
e-competencias, e-provocacionese-competencias, e-provocaciones
e-competencias, e-provocacionesAlejandro Pisanty
 
Continuidad, ruptura y coordinación en Educación a Distancia
Continuidad, ruptura y coordinación en Educación a DistanciaContinuidad, ruptura y coordinación en Educación a Distancia
Continuidad, ruptura y coordinación en Educación a DistanciaAlejandro Pisanty
 

Más de Alejandro Pisanty (16)

Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
 
Scale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdfScale and effectiveness_internet_governance.pdf
Scale and effectiveness_internet_governance.pdf
 
Future Internet Governance? Internet Governance as Piñata
Future Internet Governance? Internet Governance as PiñataFuture Internet Governance? Internet Governance as Piñata
Future Internet Governance? Internet Governance as Piñata
 
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
Propiedad intelectual, acceso abierto, acceso a la información, rankings y el...
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcs
 
Gobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcsGobernanza internet subsistemas_e_incentivos_amcs
Gobernanza internet subsistemas_e_incentivos_amcs
 
Sociedad y agenda_digital
Sociedad y agenda_digitalSociedad y agenda_digital
Sociedad y agenda_digital
 
Gordian Knots in Mexico IT and Telecommunications Sectors
Gordian Knots in Mexico IT and Telecommunications SectorsGordian Knots in Mexico IT and Telecommunications Sectors
Gordian Knots in Mexico IT and Telecommunications Sectors
 
Politicas Demandas Civiles Sociedad Interconectada
Politicas Demandas Civiles Sociedad InterconectadaPoliticas Demandas Civiles Sociedad Interconectada
Politicas Demandas Civiles Sociedad Interconectada
 
Desde las raíces: Internet y ciudadanía 2.0
Desde las raíces: Internet y ciudadanía 2.0Desde las raíces: Internet y ciudadanía 2.0
Desde las raíces: Internet y ciudadanía 2.0
 
Privacidad Icc
Privacidad IccPrivacidad Icc
Privacidad Icc
 
Multilingüismo en Internet
Multilingüismo en InternetMultilingüismo en Internet
Multilingüismo en Internet
 
Internet ¿para todos? en México
Internet ¿para todos? en MéxicoInternet ¿para todos? en México
Internet ¿para todos? en México
 
Educación a distancia y sociedad de la información
Educación a distancia y sociedad de la informaciónEducación a distancia y sociedad de la información
Educación a distancia y sociedad de la información
 
e-competencias, e-provocaciones
e-competencias, e-provocacionese-competencias, e-provocaciones
e-competencias, e-provocaciones
 
Continuidad, ruptura y coordinación en Educación a Distancia
Continuidad, ruptura y coordinación en Educación a DistanciaContinuidad, ruptura y coordinación en Educación a Distancia
Continuidad, ruptura y coordinación en Educación a Distancia
 

Último

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Último (16)

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

Estabilidad, seguridad y robustez del DNS global

  • 1. Estabilidad, seguridad y robustez del DNS global Alejandro Pisanty Facultad de Química, UNAM Sociedad Internet de México, A.C.
  • 2.
  • 3.
  • 4. Introducción • DNS – Sistema de nombres de dominio – Global, jerárquico, distribuido • Servidores raíz – 13 nominalmente, cientos de instancias por “anycast” – El archivo raíz es muy pequeño – El proceso de actualización de la raíz es sensible • DNS robusto por diseño – Jerárquico y distribuido para este fin – criterios de redundancia de recursos, facilidad de propagación de cambios (aún así, latencias de algunas horas) • El resto del DNS – gTLDs y ccTLDs (registros) – Servidores de nombres en ISPs y organizaciones – Caches en servidores y en computadoras
  • 5. Tipos de riesgos en el DNS • Riesgo: probabilidad, impacto • Riesgo: vulnerabilidad, explotación • Riesgo: prevención, evasión, transferencia, detección, mitigación, respuesta, continuidad, restauración, contingencia • Riesgos antropogénicos y no antropogénicos • Riesgos accidentales e intencionales • Ataques AL propio DNS – Atentan contra integridad y disponibilidad • Ataques USANDO el DNS – Atentan contra sitios Web, cuentas de correo, dinero en cualquiera de sus formas, usando el DNS • Ataques híbridos (objetivo y origen tanto dentro como fuera del DNS) como “cache poisoning” • Abusos del DNS – Frecuentemente conectados con ecosistema delictivo • NO-ataques: estabilidad ante cambios como DNSSEC, IPv6, gTLDs
  • 6. Ataques al DNS • Explotación de vulnerabilidades de servidores – “Genéricas” – sistema operativo, servidor Web, etc. – Especializadas – BIND – Objetivos: tomar control; redirigir resolución • Suplantación o MITM (Man in the Middle) – Produce errores en resolución de nombres, dirige a sitios maliciosos – Remedio parcial importante DNSSEC • Negación de servicio – Ejemplo: DDOS sobre .cn, 26 agosto 2013 • Ingeniería social – Permite apoderarse de nombres de dominio suplantando al registrante • Ataques al sistema de registro de nombres (no a la resolución inicialmente) – Negación de servicio – Violación a integridad – Violación a confidencialidad • Riesgos comerciales • Riesgos a privacidad, libertad de expresión y asociación, derechos humanos y civiles • DNS hijacking – otro nombre muy claro
  • 7. Ataques usando el DNS • Pueden ocurrir a distintos niveles, desde el archivo “hosts” de un dispositivo personal hasta los resolvedores de los registros de TLDs • Redirección de sitios (diversas técnicas) – Web: lleva a sitio falso para fraude o instalación de malware – Correo: permite • redirigir correo electrónico • suplantar remitentes de correo electrónico – Tráfico: permite crear bitácora de tráfico y su posterior explotación • “Cache poisoning” – Afecta el contenido del DNS mediante explotación de una vulnerabilidad – Redirige resoluciones, posiblemente a sitios maliciosos • Ingeniería social: permite TODO, vgr. Apoderarse de servidores DNS y redirigir (caso reciente New York Times, empezó con “spear- phishing”)
  • 8. Abusos del DNS • Registro para fines especulativos • Registro para fines delictivos • Cybersquatting • Typosquatting • Domain name tasting • Domain name kiting • Fast flux • Domain name hijacking • Phishing • Extorsión
  • 9. Estabilidad, seguridad, robustez • Estabilidad – Operaciones predecibles, sobre todo resolución de nombres de dominio – Operaciones asociadas: WHOIS, registro, altas/bajas/cambios – Prevención de consecuencias inesperadas • Seguridad – Integridad, autenticación, disponibilidad, no-repudio • Robustez – “resilience” – Capacidad de operar bajo estrés o variaciones extremas de condiciones, y de recuperar capacidad plena
  • 10. Esferas de control de ICANN • Interna o propia – Su propio staff, servidores a su cargo, infraestructura propia – IANA – SSAC • Intermedia: mediante acuerdos y estructuras – GNSO, ccNSO, RIRs, ALAC/At-Large • Externa – “resto del mundo”
  • 11. Estructuras formales • SSAC – permanente; asesora al Board • SSR-RT – Review Team, por definición temporal, actuó 2010-2012, entregó informe – Análisis sistémico de la posición de riesgo del DNS y ICANN, nivel estratégico • DSSA – temporal, multi-constituency, actuó 2010-2012 – Diagnóstico de riesgos del DNS, nivel operacional • Board Risk Committee – permantente, atento a riesgo en general • Board DNS SSR Risk Framework Working Group – De mediano plazo • Deptos. de Seguridad de ICANN – seguridad física e informática, especialistas, estrategia y operaciones (staff)
  • 12. Documentos actuales • SSR-RT report – http://www.icann.org/es/about/aoc-review/ssr/final-report-20jun12- es.pdf (abre un documento PDF) • DSSA report – http://gnso.icann.org/en/issues/dssa/dssa-phase-1-report-15jun12- en.pdf (abre un documento PDF) • SSAC – recomendaciones, cerca de 60 – http://www.icann.org/en/groups/ssac (sitio del SSAC) • Informes por evento – Ejemplo: incidente de “domain name hijacking” de Diigo, http://blog.icann.org/2012/11/what-you-should-learn-from-the-diigo- domain-hijacking-incident/ • Documentos del Board SSR Risk Framework WG – Documento actual http://www.icann.org/en/groups/other/dns-risk- mgmt/draft-final-19aug13-en.pdf