Académique Documents
Professionnel Documents
Culture Documents
Tomado de
Luis Bellido y David Fernndez Dpto. de Ingeniera de Sistemas Telemticos ETSIT - UPM
Contenido
Arquitectura y funcionamiento del DNS Seguridad en DNS ENUM Conclusiones
Extensiones posteriores
Servicios:
Resolucin de nombres (nombre direccin IP) Resolucin de direcciones (direccin IP nombre ) Aliases de sistemas finales (nombre cannico CNAME) Registro de nombres de servidores de correo electrnico y preferencias Di t ib i de carga entre servidores replicados Distribucin d t id li d
Base de datos distribuida, muy escalable
se gestiona de forma descentralizada (delegacin) implementada como una jerarqua de servidores DNS
los servidores DNS almacenan informacin sobre recursos
Elementos
Espacio de nombres de dominio d i i
organizacin jerrquica
Servidores de nombres (NS)
Mensajes DNS Servidor de nombres
BD
mantienen la informacin cada servidor tiene autoridad sobre un id d b subconjunto del espacio de nombres procesan peticiones concurrentemente
Resolvers
Servidor de nombres
BD
Aplicacin Resolver
Servidor de nombres
BD
Resolucin de nombres
Interfaz 1 2
Aplicacin cliente 6
Resolver
4 3
Servidor de nombres
BD
TCP/IP
TCP/IP
Otros DNSs
edu
net mit
org iepi
es
de
uk ac co c&w
conec
Dominio
es
blog
Zona
blog.conectividad.ec
Introduccin a la tecnologa de DNS
Dominio
conectividad.ec
7
Zonas y delegaciones g
Una zona es un lmite . administrativo d i i t ti El administrador de una zona es el responsable de una porcin del espacio de nombres de dominio Se delega autoridad de padres a hijos
org
es
de
uk ac co c&w
agpd
loro greco
Zona
Introduccin a la tecnologa de DNS
Dominio
9
http://www.icann.org
el sistema de servidores DNS raz Se delega responsabilidad por zonas DNS Registry
Hacen pblicos datos de delegacin (NSs) en el DNS y metadatos en bases de datos whois
NIC, autoridad en cada pas para gestin de dominios bajo ese pas
http://www.nic.ec
Lmite administrativo para delegar responsabilidades organizaciones con 1 ms sistemas
10
ccTLD
Registry
Registry
Registry
Registrar
Registrar
Registrar
Registrant
Reseller
Registrant
Registrant
El registro g
Actualiza los datos de zona Actualiza primario
Registry
BD zona
Registrador pide g p modificaciones al registro Actualiza secundarios
Registrar
Registrar
Registrar
Registrant
Introduccin a la tecnologa de DNS 12
RIR
RIR
NIR
ISP/LIR
Assigns to
ISP/LIR
EU (ISP)
EU
EU
13
14
Sobre direcciones IP
Privadas 10 0 0 0 - 10 255 255 255 10.0.0.0 10.255.255.255 172.16.0.0 - 172.31.255.255 192 168 0 0 - 192 168 255 255 192.168.0.0 192.168.255.255 No asignadas: 224-255 127.*.*.* 127 * * * block reservado para local loopback local loopback Tpica 127.0.01 CIDR (Classless
Bloque de ISP Organizacin 0 Organizacin 1 Organizacin 2 ...
InterDomain Routing)
00010111 00010111 00010111 00010111 .. 00010000 00010000 00010010 00010100 00000000 00000000 00000000 00000000 . 200.23.16.0/20 200 23 16 0/20 200.23.16.0/23 200.23.18.0/23 200.23.20.0/23 . 200.23.30.0/23
15
DNS invertido
com
int
net
org
us
es
jp
uk ac co c&w
bbva agpd
loro greco
Whois
Mecanismo para recuperar de un registro metadatos correspondientes a un dominio RFC 954, RFC 1834,
17
18
19
Registros y spammers g p
Proliferacin de registros Algunos con reglas bastantes relajadas Los spammers Pueden registrarse con credenciales falsas Utilizan registros de otros p g pases Conviene no fiarse slo de la informacin del g dominio en registros Buscar informacin sobre la red correspondiente a una direccin IP Este registro es ms estricto. Un ISP no aceptara informacin incompleta o falsa
20
www.dit.upm.es.
Type, tipo de RR
A MX NS CNAME SOA IP address Mail eXchanger Name Server Canonical Name Start of Authority
7200
IN
138.4.2.61
TTL (time to live), cunto tiempo un RR puede estar en la copia cach antes de ser descartado (en seg ) seg.)
Introduccin a la tecnologa de DNS 21
22
Ejemplos de consultas j p
Herramientas nslookup (plataformas Windows, Unix) >help host [-adlrwv] [-t querytype] [-c class] host [ adlrwv] [ t [ c [server] man host dig @server domain query-type query-class man dig Interfaz Web
http://www.dnsstuff.com
Introduccin a la tecnologa de DNS 23
RRs: SOA y NS
> set q=soa Servidor primario p > agpd.es d agpd.es g origin = ns1.telefonica-data.com Contacto mail addr = dnsadmin.tsai.es serial = 2003120903 refresh = 86400 (1D) retry = 7200 (2H) Parmetros tiempo Versin expire = 2592000 (4w2d) para secundarios minimum ttl = 3600 (1H) agpd.es NS = ns2.telefonica-data.com agpd.es agpd es NS = ineco nic es ineco.nic.es agpd.es NS = ns1.telefonica-data.com ns1.telefonica-data.com 1 l f i d ns2.telefonica-data.com
Servidores DNS
Servidores NS
Responden a consultas y son los almacenes de informacin El rbol se distribuye en zonas y se reparte entre los servidores cada organizacin, departamento, ISP, etc. puede tener un servidor
servidor local
Cada zona disponible en 2 ms servidores servidor maestro (primario) servidores con copias (secundarios)
25
Servidores raz
Conocen a todos los servidores de dominios de primer nivel Reciben consultas de servidores locales que no saben resolver un nombre Hay 13 servidores raz ubicados en di ti t bi d distintos continentes colaboracin voluntaria de las organizaciones
26
Mantenimiento de zonas
Necesidad de sincronizacin entre todos los servidores autoridad de una zona intercambio de actualizaciones Los secundarios comprueban peridicamente si existen actualizaciones obtienen copias (zone transfer) Cmo se detectan cambios? RR SOA
elcorteingles.es origin = dns.elcorteingles.es mail addr = dnsadmin.elcorteingles.es serial = 2007040300 refresh = 1200 (20M) retry = 1200 (20M) expire = 604800 (1W) minimum= 300 (5M)
27
Flujos de datos j
Servidor primario Fichero de zona (master)
Fichero maestro Copias
Servidores secundarios
Resolvers R l
Consultas
Actualizaciones
Caching/forwarder
Introduccin a la tecnologa de DNS 28
Proceso de resolucin
Un resolver debe conocer al menos un servidor local Cada servidor debe conocer al menos un servidor raz y a todos los ser idores de los dominios jerrq icos servidores jerrquicos inferiores Los servidores raz conocen a todos los servidores de dominios de primer nivel El resolver enva una consulta al servidor si el servidor no puede resolver localmente, contacta con otro servidor (consulta recursiva) o devuelve una referencia (consulta iterativa)
29
Proceso de resolucin
Consulta: www.ripe.net A?
Consulta recursiva
Servidor NS local caching/forwarder www.ripe.net A? i t 192.168.4.15 Resolver Almacena en cach TTL Servidor raz
Protocolo DNS
Id de 16 bits para un par consulta/respuesta Flags: consulta/respuesta, pide recursin, recursin disponible, etc. Tipo de consulta (Qtype: A MX NS SOA A, MX, NS, SOA, PTR, AXFR, ) y otros parmetros RRs de respuesta RRs de otros servidores con autoridad RRs con informacin adicional sobre los RRs de la respuesta o autoridad
Introduccin a la tecnologa de DNS 31
Protocolo DNS
Transporte UDP con carga til de 512 octetos, alternativamente TCP Negociacin posible para ampliar el tamao de la carga til (EDNS0) TSIG permitira autenticacin e integridad salto a salto Retransmisin Ti Timeouts y retransmisin hacia otro servidor t t i i h i t id
32
33
Soporte IPv6 p
RFC3596 define: Un nuevo tipo de RR (AAAA) para la correspondencia de nombre de dominio a direccin IPv6 Un dominio para consultas inversas
IP6.ARPA
Consulta sobre 2001:db8:1:2:3:4:567:89ab b.a.9.8.7.6.5.0.4.0.0.0.3.0.0.0.2.0.0.0.1.0.0.0.8.b.d.1.0.0.2. ip6.arpa ip6 arpa Modificacin de consultas que realizan procesados adicionales para buscar una direccin IPv4 (se aade IPv6)
34
35
36
Seguridad en el DNS
37
Incidentes...
Los ordenadores que manejan las direcciones de Internet sufrieron el lunes 21 de octubre el mayor ataque de su historia. el ataque historia Los servidores raz sufrieron el lunes en sus circuitos lo que se conoce como un ataque distribuido de denegacin de servicio (El Pas, 24/10/2002). Cache corruption on systems running Microsoft DNS Server. The default configuration of this software allows data from malicious or incorrectly configured servers to be cached in the DNS server. This corruption can result in erronous DNS information later being returned to any clients which use this server (CERT Incident Note IN-2001-11). DNS storm, AlterNIC takes over InterNIC traffic. A rival domain name registry to the official Internet registrar, InterNIC, redirected users from "www.internic.net" to its own site by "poisonning" the caches of major name servers around th world. U d the ld Users ended up at " d d t "www.alternic.net" lt i t" after typing in InterNIC's URL (News.com, 14/7/1997).
38
DNS es vulnerable
Las especificaciones originales no incluyen p g y aspectos de seguridad. Filosofa de diseo: datos pblicos la restriccin de acceso a la informacin en el espacio de nombres de DNS no DNS, forma parte del protocolo Algunas versiones d software d servidor Al i de f de id DNS permiten definir control de acceso Solucin: medidas de seguridad + DNSSEC
Introduccin a la tecnologa de DNS 39
Flujos de datos j
Servidor primario Fichero de zona (master)
Fichero maestro Copias
Servidores secundarios
Resolvers R l
Consultas
Actualizaciones
Caching/forwarder
Introduccin a la tecnologa de DNS 40
Vulnerabilidades
Servidor primario Fichero de zona (master)
Fichero maestro Copias
Envenenado E d de cachs
Servidores secundarios
Resolvers R l
Consultas
Actualizaciones
Suplantacin de servidores
Caching/forwarder
41
Vulnerabilidades
Existen mltiples problemas de seguridad documentados en DNS: Ataques contra el software del servidor Fallos en programas, configuracin g g defectuosa Divulgacin de informacin sensible Suplantacin (DNS spoofing) Envenenado de cachs Redirecciones maliciosas Ataques de denegacin de servicio (DoS)
Introduccin a la tecnologa de DNS 42
Con dig
dig @sec1.apnic.net icann.org axfr dig @marianela.tsm.es tsm.es axfr
43
44
Suplantacin de p p primario
Servidor primario Fichero de zona (master)
Fichero maestro Copias
Servidores secundarios
Pero no protege contra posible suplantacin de primario ataque a datos de servidor secundario! Solucin: uso de TSIG
46
Actualizaciones dinmicas
Actualizacin no autorizada!
Actualizaciones
Introduccin a la tecnologa de DNS 47
Defensa
Restringir actualizaciones dinmicas Protege, en parte, contra posible suplantacin de origen de actualizacin
ataque a datos de servidor primario!
Ot alternativa es delegar una nueva zona con el Otra lt ti d l l nombre de dominio al que correspondan las ( ) actualizaciones (confinar una zona)
Introduccin a la tecnologa de DNS 48
Posible man-in-the-middle
Introduccin a la tecnologa de DNS 49
www.banco.com?
DNS
DNS
www.malos.com (x.y.z.w)
x.y.z.w
www.banco.com
10
bueno
Introduccin a la tecnologa de DNS 50
Red segura
Red no segura
52
DMZ Firewall
Internet
53
54
DNSSEC
Autenticacin del origen es quien dice ser Integridad (contenido) no ha sido manipulado Autorizacin comprobar derechos de acceso Confidencialidad (contenido) nadie ms escucha No repudio
DNSSEC
Implementaciones
56
57
Basado en algoritmos de clave compartida Utiliza HMAC-MD5: funcin one-way hash que genera resmenes (di (digest) d 128 bit partiendo d t) de bits ti d de una clave de 128 bits (recomendado) Se firma el mensaje DNS completo y otros campos adicionales:
Fecha y hora, para evitar ataques de tipo replay (necesario sincronizar relojes: NTP)
Introduccin a la tecnologa de DNS 58
};
Creacin de claves: utilidad dnskeygen o dnssec-keygen de BIND La clave debe estar BIEN protegida!!
Introduccin a la tecnologa de DNS 59
Ejemplo TSIG j p
AXFR ? 192.168.4.1
AXFR TSIG AXFR
verifica!
TSIG
verifica! ifi !
KEY:
F23fv..
KEY: KEY
F23fv..
SOA TSIG
SOA
SOA
TSIG
Master ejemplo.com
60
DNSSEC
Integridad y autenticacin mediante firmas de RRsets con claves privadas Para verificar la firma (RRSIG) se usan claves ( ) pblicas (DNSKEY) Cada subzona firma los RRsets de la zona con su clave privada
La autenticidad de su DNSKEY se establece mediante la firma de esa clave por la zona jerrquica superior
Idealmente, slo la clave pblica de la raz tendra que distribuirse manualmente manualmente
61
Firmando RRsets
RRset Genera resumen de RR (funcin hash) resumen de RR clave privada de zona A RRSIG de RR por A
RRset RRSIG
Introduccin a la tecnologa de DNS
62
compara
descifra resumen de RR
Autoridad A t id d de certificacin
certificado de A
B consulta
63
es. El servidor local verifica la cadena de firmas (SIGs) partiendo de la clave pblica del servidor raz que posee
com.
ejemplo.com. j l x.ejemplo.com. ?
x.ejemplo.com.
64
Servidor Remoto
Peticin del registro A de host.example.com Redireccin hacia el servidor de example com example.com
Servidor Raiz
Servidor de example.com
65
Servidor Local
Servidor Remoto
Peticin del registro A de x.ejemplo.com Redireccin hacia el servidor de ejemplo.com Peticin del registro A de x.ejemplo.com Registro A de x.ejemplo.com + firma (SIG) por ejemplo.com + ejemplo.com KEY + SIG por com Peticin de KEY de .com KEY de .com + firma (SIG) por servidor raz
Servidor Raz
Servidor de ejemplo.com
El servidor local verifica la cadena de firmas (SIGs) partiendo de la clave pblica del servidor raz que posee
Registro A de x.ejemplo.com j p
66
67
$ORIGIN 39.171.199.in-addr.arpa. 39.171.199.in@ 14400 IN SOA test.netsec.tislabs.com. lewis.tislabs.com. ( 1999033101 3H 15M 1W 4H ) NS buddy netsec tislabs com buddy.netsec.tislabs.com. NS active.netsec.tislabs.com. NS test.netsec.tislabs.com. TXT "Reverse map zone, signed" 1 PTR buddy.netsec.tislabs.com. 2 PTR test.netsec.tislabs.com. 3 PTR active.netsec.tislabs.com.
68
70
71
Prestaciones DNSSEC
El uso de DNSSEC tiene una influencia importante sobre las prestaciones del DNS debido a:
Mayor tamao de las bases de datos (en ficheros y en memoria ocupada por los servidores) Mayor tamao de los paquetes de respuesta (contienen registros DNSKEY y RRSIG) i t
Pueden llegar a provocar el uso de TCP en vez de UDP!
Capacidad de computacin necesaria para verificar las firmas y validar las claves
Necesaria en servidores de nombres locales y resolvers
72
Resumen DNSSEC
Ventajas: Aade integridad y autenticacin al DNS clsico Desventajas: Disminuye las prestaciones debido al: Mayor tamao de los ficheros M Mayor t tamao d l mensajes de los j Consultas adicionales para obtener claves Uso frecuente de TCP en vez de UDP Mayores retardos (validacin de datos) y ( ) Muy complejo construir la cadena de confianza
Introduccin a la tecnologa de DNS 73
ENUM
Asociando nmeros E.164 con URIs mediante el DNS
74
Motivacin ENUM
Surge inicialmente como una solucin de interoperabilidad entre redes basadas en E.164 y redes IP A
RTC
Num. E.164
Red IP
GW
B
Dir. IP Di IP, URI
Los usuarios mantienen mltiples identificadores: e-mail, telfono, mvil, www, fax, etc Problemas: P bl Cmo armonizar todos los servicios e identificadores? Cmo permitir que los usuarios definan sus p p q preferencias a la hora de recibir llamadas?
75
76
Para conocer los servicios asociados a un nmero E 164: E.164: Peticin al DNS de registros NAPTR del dominio asociado al nmero E.164 Ej: dig t di -t naptr 0.0.7.5.9.4.5.1.9.4.3.e164.arpa t 0 0 7 5 9 4 5 1 9 4 3 164 Cada dgito se convierte en una zona en trminos de DNS y se organiza la jerarqua de delegacin siguiendo el plan de numeracin E.164: Un servidor por p p pas ( (country code) y ) Delegacin por reas geogrficas o proveedores
77
Jerarqua ENUM q
RIPE-NCC
Tier 0 e164.arpa
Servidores Nacionales
Tier 1 4.3.e164.arpa
Tier 1 .e164.arpa
$ORIGIN 4.3.e164.arpa. 9.9.9 IN NS proveedor1.es.
Proveedores P d
Tier 2
9.9.9.4.3.e164.arpa
$ORIGIN 6.5.4.3.2.1.9.9.9.4.3.e164.arpa. IN NAPTR 10 10 "u" E2U+sip" "!^.*$!sip:usuario@proveedor1.es!" . IN NAPTR 102 10 "u" E2U+mailto" "!^.*$!mailto:usuario@proveedor1.es!" . IN NAPTR 102 10 "u" E2U+tel" "!^.*$!tel:+34999123456!" .
sip.att.com
78
El Registro NAPTR g
Definido en RFC3403
Nmero E164 Identificador de zona ENUM Cdigo de pas
Fichero de Zona
$ORIGIN 6.5.4.3.2.1.1.9.4.3.e164.arpa. IN NAPTR 10 10 "u" "E2U+sip" "!^.*$!sip:david@dit.upm.es!" .
Orden ENUM se implementa mediante registros NAPTR
Expression Regular (Regex) se aplica sobre el nmero E.164 para obtener el URI correspondiente (utiliza f formato estndar Posix)
79
3.1.4.6.8.0.6.1.2.7.9.4.e164.arpa. 86233 IN NAPTR 10 30 "u" "E2U+SIP p p \; p "!^.*!sip:+497216086413@i72mn35.ipv6.tm.uka.de\;user=phone!" . 3.1.4.6.8.0.6.1.2.7.9.4.e164.arpa. 86233 IN NAPTR 10 10 "u" "E2U+tel" "!^.*!tel:+497216086413!" . 3.1.4.6.8.0.6.1.2.7.9.4.e164.arpa. 86233 IN NAPTR 10 20 "u" "E2U+SIP" "!^.*!sip:+497216086413@sip.1und1.de\;user=phone!" .
81
Aplicaciones ENUM p
Uso de ENUM para encaminar llamadas
Servidor DNS
2 3 4
Servidor SIP
1
RTC
Num. E.164
Red IP
GW
B
tel:+34911234567 sip:david@dit.upm.es
1 2 3 4
Consulta SIP sobre sip:david@dit.upm.es Respuesta SIP: direccin IP del destino o de otro servidor SIP
Introduccin a la tecnologa de DNS 82
83
Resumen ENUM
Ventajas: Identificadores E 164: E.164: globalmente nicos compatibles con terminales telefnicos p familiares para los usuarios DNS: infraestructura madura y disponible fcil delegacin y buenas prestaciones Soporta p p portabilidad Muy flexible Desventajas: Privacidad (depende de contexto: pblico privado pblico, privado, proveedor) Despliegue de servidores (nueva jerarqua) Dificultades administrativas, polticas y comerciales
84
Estado ENUM
Especificaciones tcnicas finalizadas Esfuerzo actual dedicado a la organizacin administrativa del servicio Colaboracin con ITU T IP T l C l b i ITU-T: IP-Telecoms Interworking Workshop I t ki W k h (Numbering, Naming, Addressing and Routing) Importante actividades en USA y Europa para organizar el servicio ENUM ha sido adoptado por 3GPP como mtodo de resolucin de direcciones E.164 a URLs de SIP en el subsistema multimedia (MM) de UMTS Incertidumbres:
Prestaciones Seguridad Polticas nacionales Aceptacin por parte de usuarios (killer app)
85
Incertidumbres ENUM
Performance
Levels of acceptable delay not well understood among diverse services Record TTLs and caching requirements uncertain Special requirements for server placement and performance may be required
Security
Authentication for creating and altering Level 1 records an issue Authentication for accessing Level 2 and 3 records an issue
86
87
Bibliografa ENUM g
RFC 2916 E 164 number and DNS 2916: E.164 b d RFC 2915: The Naming Authority Pointer (NAPTR) DNS Resource Record Grupo de Trabajo Telephone Number Mapping (ENUM) de IETF. http://www.ietf.org/html.charters/enum-charter.html p g ENUM FAQ. Richard Shockey. http://www.ngi.org/enum/pub/DRAFT-SHOCKEY-enum-faq01.TXT 01 TXT ENUM Reference Material. http://www.ngi.org/enum/ ENUMWORLD. P ENUMWORLD Proyecto Piloto de Telcordia y VeriSign. t Pil t d T l di V iSi http://www.enumworld.com
88
Bibliografa g
CERT Coordination Center, http://www.cert.org/ DNS and BIND. Paul Albitz, Cricket Liu. 4th ed. http://www.oreilly.com/catalog/dns4/ Recursos generales DNS, http://www.dns.net/dnsrd/ DNS Seguro, http://www.dnssec.net/ RFC 2535: Domain Name System Security Extensions. Mar. 1999 RFC 2845: Secret Key Transaction Authentication for DNS (TSIG). May. 2000 BIND, http://www.isc.org/bind.html RFC 3833: Threat Analysis of the Domain Name System (DNS). ( S) Ago. 2004
89
Referencias y bibliografa g
Generales DNS and BIND. Paul Albitz, Cricket Liu. Ed. OReilly, 5th ed., 2006. Computer Networking. J. F. Kurose, K. W. Ross. Addison Wesley, 3 ed., 2005. Computer Networks, A. S. Tanenbaum. 4th ed., Prentice-Hall, 2003. Archivo de RFCs, http://www.rfc-editor.org/rfcsearch.html ICANN (Internet Corporation for Assigned Names and Numbers) http://www icann org/ Numbers), http://www.icann.org/ Localizar informacin sobre dominios Internic, Internet Network Information Center, http://www.internic.net ES-NIC, http://www.nic.es Localizar informacin sobre direcciones IP www.ripe.net, www.arin.net, www.apnic.net, www.lacnic.net IANA, Internet Assigned Numbers Authority, http://www.iana.org/ Nmeros de Sistemas Autnomos http://www iana org/assignments/as-numbers Autnomos, http://www.iana.org/assignments/as numbers Internet Software Consortium, http://www.isc.org/ DNS Resources Directory, http://www.dns.net/ Pgina de servidores raz, http://www.root-servers.org Consultas DNS y otras h C lt t herramientas til con i t f W b i t tiles interfaz Web http://www.dnsstuff.com Base de datos basada en DNS con direcciones de servidores de correo que envan spam http://www.declude.com/Articles.asp?ID=97 p p
90