DNS

Introduccin a la Tecnologa del d l DNS
Tomado de
Luis Bellido y David Fernndez Dpto. de Ingeniera de Sistemas Telemticos ETSIT - UPM
Contenido
Arquitectura y funcionamiento del DNS Seguridad en DNS ENUM Conclusiones
Introduccin a la tecnologa de DNS
Domain Name System (DNS) y ( )

RFC 1034 y RFC 1035 (Nov. 1987)
Extensiones posteriores
Servicios:
Resolucin de nombres (nombre direccin IP) Resolucin de direcciones (direccin IP nombre ) Aliases de sistemas finales (nombre cannico CNAME) Registro de nombres de servidores de correo electrnico y preferencias Di t ib i de carga entre servidores replicados Distribucin d t id li d
Base de datos distribuida, muy escalable
se gestiona de forma descentralizada (delegacin) implementada como una jerarqua de servidores DNS
los servidores DNS almacenan informacin sobre recursos
registros RR (resource records) y RRset por zonas

Introduccin a la tecnologa de DNS 3
Estimacin de nombres de dominio
Elementos
Espacio de nombres de dominio d i i
organizacin jerrquica
Servidores de nombres (NS)
Mensajes DNS Servidor de nombres
BD
mantienen la informacin cada servidor tiene autoridad sobre un id d b subconjunto del espacio de nombres procesan peticiones concurrentemente
Resolvers
Servidor de nombres
BD
Aplicacin Resolver
Servidor de nombres
BD
Realizan peticiones a los servidores ante consultas de las aplicaciones cliente
Resolucin de nombres
Interfaz 1 2
Aplicacin cliente 6
Resolver
4 3
Servidor de nombres
BD
Hacia aplicacin servidor ...
TCP/IP
TCP/IP
Otros DNSs
Espacio de nombres DNS p

.
Zona
ec
com sun att
edu
net mit
org iepi
es
de
uk ac co c&w
conec
Dominio
es
blog
Zona
blog.conectividad.ec
Dominio
conectividad.ec
7
TLD (top level domains) ( p )

Generic TLD (gTLD) .COM, .NET, .EDU and .ORG .GOV gobierno USA .MIL militar USA .INT organizaciones internacionales (itu.int, nato.int) Country Code TLD (ccTLD) cdigos de pases ISO-3166 12 TLD adicionales .AERO, .BIZ, .CAT, .COOP, .INFO, .JOBS, .MOBI, .MUSEUM, .NAME, .PRO, .TEL, .TRAVEL
Zonas y delegaciones g
Una zona es un lmite . administrativo d i i t ti El administrador de una zona es el responsable de una porcin del espacio de nombres de dominio Se delega autoridad de padres a hijos
org
es
de
uk ac co c&w
agpd
upm dit etsit
loro greco
Zona
Dominio
9
Administracin de nombres (I) ()

ICANN (Internet Corporation for Assigned Names and Numbers) coordina: la gestin de nombres de primer nivel, as como direcciones IP y otros identificadores utilizados en protocolos (ej: puertos)
http://www.icann.org
el sistema de servidores DNS raz Se delega responsabilidad por zonas DNS Registry
Hacen pblicos datos de delegacin (NSs) en el DNS y metadatos en bases de datos whois
NIC, autoridad en cada pas para gestin de dominios bajo ese pas
http://www.nic.ec
Lmite administrativo para delegar responsabilidades organizaciones con 1 ms sistemas
10
Administracin de nombres (II) ( )

ICANN gTLD
Authorize Delegate
ccTLD
Organizacin que mantiene el registro y publica la zona Agentes registradores intermediarios
Registry
Registry
Registry
Registrar
Registrar
Registrar
Registrant
Reseller
Registrant
Organizacin responsable de un dominio (usuario final)
Registrant
Agentes g registradores intermediarios

11
El registro g
Actualiza los datos de zona Actualiza primario
Registry
BD zona
Registrador pide g p modificaciones al registro Actualiza secundarios
Registrar
Registrar
Registrar
Usuario nuevo o actualiza datos
Registrant
Asignacin de direcciones en Internet (I)

ICANN
Allocates to
RIR
RIR
Regional Internet Registries (RIR) ARIN RIPE APNIC LACNIC AFRINIC

Source: Paul Wilson, APNIC
NIR
National Internet Registries g (APNIC region) Local Internet Registries (ISPs)
ISP/LIR
Assigns to
ISP/LIR
EU (ISP)
EU
EU
End Users (Organizations)
13
Asignacin de direcciones en Internet (II)

ICANN coordina ICANN delega rangos de direcciones a los RIR: APNIC (Asia-Pacific Network Information Centre) ARIN (American Registry for Internet Numbers) LACNIC (Latin-American and Caribbean IP Address Registry) RIPE NCC (Rseaux IP Europens) AfriNIC (African Regional Internet Registry) Los RIR asignan directamente rangos a ISPs o usuarios finales (organizaciones) ( g ) En el caso de APNIC se hace a travs de los registros nacionales (NIR) Los RIR son tambin registros (registry)
14
Sobre direcciones IP
Privadas 10 0 0 0 - 10 255 255 255 10.0.0.0 10.255.255.255 172.16.0.0 - 172.31.255.255 192 168 0 0 - 192 168 255 255 192.168.0.0 192.168.255.255 No asignadas: 224-255 127.*.*.* 127 * * * block reservado para local loopback local loopback Tpica 127.0.01 CIDR (Classless
Bloque de ISP Organizacin 0 Organizacin 1 Organizacin 2 ...
InterDomain Routing)
00010111 00010111 00010111 00010111 .. 00010000 00010000 00010010 00010100 00000000 00000000 00000000 00000000 . 200.23.16.0/20 200 23 16 0/20 200.23.16.0/23 200.23.18.0/23 200.23.20.0/23 . 200.23.30.0/23
11001000 11001000 11001000 11001000
Organizacin 7 11001000 00010111 00011110 00000000
15
DNS invertido
com
arpa inin-addr 138 4 2 10
int
net
org
us
es
jp
uk ac co c&w
bbva agpd
upm dit etsit
loro greco
Nombre de dominio: 10.2.4.138.in-addr.arpa 10.2.4.138.inIntroduccin a la tecnologa de DNS 16
Whois
Mecanismo para recuperar de un registro metadatos correspondientes a un dominio RFC 954, RFC 1834,
No especifica formato de datos

El interfaz y los resultados de consultas whois son diferentes dependiendo del registro Las bases de datos whois de RIRs informan sobre IPs, ASNs, puntos de contacto, organizaciones, etc. whois apnic net whois ripe net whois.apnic.net, whois.ripe.net, whois.arin.net, whois.lacnic.net Tambin: fwhois user[@<whois.server>]
whois -h <whois.server> user
17
18
19
Registros y spammers g p
Proliferacin de registros Algunos con reglas bastantes relajadas Los spammers Pueden registrarse con credenciales falsas Utilizan registros de otros p g pases Conviene no fiarse slo de la informacin del g dominio en registros Buscar informacin sobre la red correspondiente a una direccin IP Este registro es ms estricto. Un ISP no aceptara informacin incompleta o falsa
20
Registros de recursos ( ) g (RR)

RR <Name TTL Class Type yp Value>
www.dit.upm.es.
Type, tipo de RR
A MX NS CNAME SOA IP address Mail eXchanger Name Server Canonical Name Start of Authority
7200
IN
138.4.2.61
Value, depende del tipo de RR

A MX NS CNAME SOA Direccin IP Preferencia+servidor Nombre de servidor Nombre de dominio Varios campos
TTL (time to live), cunto tiempo un RR puede estar en la copia cach antes de ser descartado (en seg ) seg.)
Tipos de Registros DNS p g

Internos Authority: NS SOA NS, SOA, Lista nombres de Servidores de Nombres y Start Of Authority/zona. DNSSEC: DS DNSKEY, RRSIG NSEC DS, DNSKEY RRSIG, Usados para DNSSEC Meta types: OPT, TSIG, TKEY, SIG(0) M t Types: No se almacenan en las zonas DNS se usan Meta T N l l slo en la transferencia de informacin Indirectos: CNAME, DNAME Ali Aliases Terminales: Registros de direcciones: A, AAAA, Informativos: TXT, HINFO, KEY, SSHFP infomacin para las aplicaciones , , , , , , No terminales: MX, SRV, PTR, KX, A6, NAPTR, AFSDB contienen nombres de dominio que pueden provocar peticiones adicionales.
22
Ejemplos de consultas j p
Herramientas nslookup (plataformas Windows, Unix) >help host [-adlrwv] [-t querytype] [-c class] host [ adlrwv] [ t [ c [server] man host dig @server domain query-type query-class man dig Interfaz Web
http://www.dnsstuff.com
RRs: SOA y NS
> set q=soa Servidor primario p > agpd.es d agpd.es g origin = ns1.telefonica-data.com Contacto mail addr = dnsadmin.tsai.es serial = 2003120903 refresh = 86400 (1D) retry = 7200 (2H) Parmetros tiempo Versin expire = 2592000 (4w2d) para secundarios minimum ttl = 3600 (1H) agpd.es NS = ns2.telefonica-data.com agpd.es agpd es NS = ineco nic es ineco.nic.es agpd.es NS = ns1.telefonica-data.com ns1.telefonica-data.com 1 l f i d ns2.telefonica-data.com
Servidores DNS
A = 194 224 52 36 194.224.52.36 A = 194.224.52.37

24
Servidores NS
Responden a consultas y son los almacenes de informacin El rbol se distribuye en zonas y se reparte entre los servidores cada organizacin, departamento, ISP, etc. puede tener un servidor
servidor local
Cada zona disponible en 2 ms servidores servidor maestro (primario) servidores con copias (secundarios)
Transferencias de zona de acuerdo a parmetros en SOA p

con autoridad sobre los datos (authoritative) Cmo se divide en zonas? Cortes en nodos donde una organizacin quiere tomar control de un subrbol
25
Servidores raz
Conocen a todos los servidores de dominios de primer nivel Reciben consultas de servidores locales que no saben resolver un nombre Hay 13 servidores raz ubicados en di ti t bi d distintos continentes colaboracin voluntaria de las organizaciones
26
Mantenimiento de zonas
Necesidad de sincronizacin entre todos los servidores autoridad de una zona intercambio de actualizaciones Los secundarios comprueban peridicamente si existen actualizaciones obtienen copias (zone transfer) Cmo se detectan cambios? RR SOA
elcorteingles.es origin = dns.elcorteingles.es mail addr = dnsadmin.elcorteingles.es serial = 2007040300 refresh = 1200 (20M) retry = 1200 (20M) expire = 604800 (1W) minimum= 300 (5M)
27
Flujos de datos j
Servidor primario Fichero de zona (master)
Fichero maestro Copias
Servidores secundarios
Actualizaciones dinmicas Consultas entre servidores
Resolvers R l
Consultas
Actualizaciones
Caching/forwarder
Proceso de resolucin
Un resolver debe conocer al menos un servidor local Cada servidor debe conocer al menos un servidor raz y a todos los ser idores de los dominios jerrq icos servidores jerrquicos inferiores Los servidores raz conocen a todos los servidores de dominios de primer nivel El resolver enva una consulta al servidor si el servidor no puede resolver localmente, contacta con otro servidor (consulta recursiva) o devuelve una referencia (consulta iterativa)
29
Proceso de resolucin
Consulta: www.ripe.net A?
Consulta recursiva
Servidor NS local caching/forwarder www.ripe.net A? i t 192.168.4.15 Resolver Almacena en cach TTL Servidor raz
X.gtld servers.net X.gtld-servers.net

Servidor NS de .net t
ns-pri.ripe.net ns-pri ripe net Consulta iterativa

Servidor NS de ripe.net ripe net

30
Protocolo DNS
Id de 16 bits para un par consulta/respuesta Flags: consulta/respuesta, pide recursin, recursin disponible, etc. Tipo de consulta (Qtype: A MX NS SOA A, MX, NS, SOA, PTR, AXFR, ) y otros parmetros RRs de respuesta RRs de otros servidores con autoridad RRs con informacin adicional sobre los RRs de la respuesta o autoridad
Protocolo DNS
Transporte UDP con carga til de 512 octetos, alternativamente TCP Negociacin posible para ampliar el tamao de la carga til (EDNS0) TSIG permitira autenticacin e integridad salto a salto Retransmisin Ti Timeouts y retransmisin hacia otro servidor t t i i h i t id
32
Software de servidores DNS

El software de referencia es BIND (Berkeley Internet Name Domain) Programa servidor named, se ejecuta en g , j segundo plano escuchando el puerto 53 (UDP, TCP) Biblioteca resolver, oculta la distribucin a los usuarios; es parte del SO ; p Microsoft DNS (1999) Otros servidores comerciales generalmente comerciales, basados en BIND, para distintas plataformas Herramientas de gestin para servidores BIND
33
Soporte IPv6 p
RFC3596 define: Un nuevo tipo de RR (AAAA) para la correspondencia de nombre de dominio a direccin IPv6 Un dominio para consultas inversas
IP6.ARPA
Consulta sobre 2001:db8:1:2:3:4:567:89ab b.a.9.8.7.6.5.0.4.0.0.0.3.0.0.0.2.0.0.0.1.0.0.0.8.b.d.1.0.0.2. ip6.arpa ip6 arpa Modificacin de consultas que realizan procesados adicionales para buscar una direccin IPv4 (se aade IPv6)
consultas NS, SRV, MX

La versin IP utilizada para la consulta es independiente de la versin de protocolo de los RRs cinco servidores raz ya tienen direccin IPv6 asignada
34
Nombres de dominio internacionales

IDN (Internationalized Domain Names) definido en RFC 3490 representacin d etiquetas d nombre no-ASCII en t i de ti t de b ASCII formato ASCII codificacin ACE: ASCII Compatible Encoding solucin orientada a las aplicaciones los nombres en DNS siguen siendo ASCII las aplicaciones (p. ej., navegadores) deben realizar la conversin Ejemplo: www.ee.es ACE www.xn--ee-zja.es Cuestiones: qu nombre se utiliza en la comunicacin aplicacin cliente y servidor? qu nombre se le presenta al usuario en pantalla?
35
Algunos p g problemas de DNS

Tamao de paquete UDP: 512 para DNS estndar, 4K para EDNS0 t d 4K+ Posible problema con RRSets demasiado grandes Delegaciones Padres e hijos sincronizados sobre los nombres de los servidores Secundarios actualizados con los primarios. posibles problemas: permisos, bloqueo del protocolo de transferencia, sincronizacin de relojes transferencia relojes, renumerado del SOA Integridad de los datos g Envenenado de cachs Software antiguo o con errores Porcentaje pequeo
36
Seguridad en el DNS
37
Incidentes...
Los ordenadores que manejan las direcciones de Internet sufrieron el lunes 21 de octubre el mayor ataque de su historia. el ataque historia Los servidores raz sufrieron el lunes en sus circuitos lo que se conoce como un ataque distribuido de denegacin de servicio (El Pas, 24/10/2002). Cache corruption on systems running Microsoft DNS Server. The default configuration of this software allows data from malicious or incorrectly configured servers to be cached in the DNS server. This corruption can result in erronous DNS information later being returned to any clients which use this server (CERT Incident Note IN-2001-11). DNS storm, AlterNIC takes over InterNIC traffic. A rival domain name registry to the official Internet registrar, InterNIC, redirected users from "www.internic.net" to its own site by "poisonning" the caches of major name servers around th world. U d the ld Users ended up at " d d t "www.alternic.net" lt i t" after typing in InterNIC's URL (News.com, 14/7/1997).
38
DNS es vulnerable
Las especificaciones originales no incluyen p g y aspectos de seguridad. Filosofa de diseo: datos pblicos la restriccin de acceso a la informacin en el espacio de nombres de DNS no DNS, forma parte del protocolo Algunas versiones d software d servidor Al i de f de id DNS permiten definir control de acceso Solucin: medidas de seguridad + DNSSEC
Flujos de datos j
Resolvers R l
Consultas
Actualizaciones
Caching/forwarder
Vulnerabilidades
Envenenado E d de cachs
Resolvers R l
Consultas
Actualizaciones
Suplantacin de servidores
Caching/forwarder
41
Vulnerabilidades
Existen mltiples problemas de seguridad documentados en DNS: Ataques contra el software del servidor Fallos en programas, configuracin g g defectuosa Divulgacin de informacin sensible Suplantacin (DNS spoofing) Envenenado de cachs Redirecciones maliciosas Ataques de denegacin de servicio (DoS)
Divulgacin de informacin sensible g

La operacin de transferencia de zona (axfr) permite la actualizacin de los secundarios mediante d t li i d l d i di t descarga d de informacin de zona desde el servidor primario. Pero la lista de una zona permite identificar objetivos (servidores de correo, DNS, mquinas no protegidas, ) axfr sobre zona es (!!) ( ) Con nslookup
nslookup server sec1.apnic.net ls d icann.org >> datos_zona
Con dig
dig @sec1.apnic.net icann.org axfr dig @marianela.tsm.es tsm.es axfr
43
Divulgacin de informacin sensible. Defensa

Tcnicas de prevencin: T i d i Restringir transferencias de zona (desde primario y todos los secundarios) Configurar el servidor Filtrar el trfico TCP/53 Evita transferencias de zona, pero permite las consultas (que usan UDP) Usar una configuracin de servidores Split-Horizont Split-Horizont DNS
44
Suplantacin de p p primario
Datos falsos de zona!
Ataque a servidor secundario

Suplantacin de p p primario. Defensa

Restringir transferencias de zona
Opcin allow-transfer de BIND
zone ejemplo.com { type master; file db.ejemplo.com; allow-transfer {192.168.4.25; }; {192 168 4 25; };
Pero no protege contra posible suplantacin de primario ataque a datos de servidor secundario! Solucin: uso de TSIG
46
Suplantacin de origen de actualizacin p g

Fichero maestro
Actualizaciones dinmicas
Actualizacin no autorizada!
Actualizaciones
Defensa
Restringir actualizaciones dinmicas Protege, en parte, contra posible suplantacin de origen de actualizacin
ataque a datos de servidor primario!
Prohibirlas si no son estrictamente necesarias En caso de utilizarlas restringir utilizarlas,

a direcciones individuales usar TSIG
Si se restringe a direcciones, la entrada de la red corporativa debe utilizar mecanismos anti-spoofing

en el router frontera en el bastin
Ot alternativa es delegar una nueva zona con el Otra lt ti d l l nombre de dominio al que correspondan las ( ) actualizaciones (confinar una zona)
Envenenado de cachs (data spoofing) ( p g)

Ataques muy conocidos y analizados
datos maliciosos aadidos en los mensajes de respuesta (additional records) que se almacenan en la cach de la vctima consultas-respuestas falsificadas respuestas falsificadas
Consecuencias: Redireccin de trfico web

a un sitio con cierta propaganda a un banco falso para capturar passwords a un sitio con informacin manipulada
Posible man-in-the-middle
Ejemplo ataque: Envenenado de cachs j p q

DNS Atacado
2 1 7 4 6 8
www.banco.com? almacena en cache www.banco.com=x.y.z.w
almacena QueryID# x.malos.com?
www.banco.com?
DNS
DNS
www.malos.com (x.y.z.w)
x.y.z.w
www.banco.com
10
bueno
Proteccin contra envenenado de cachs

Evitar que un servidor resuelva consultas q recursivas Pero s debe hacerlo para resolvers! Si un servidor acepta consultas recursivas puede reenviar consultas a un servidor malicioso y recibir informacin contaminada Si no acepta consultas recursivas slo recursivas, devuelve referencias (NSs) los servidores raz siempre devuelven referencias
Escenarios de administracin de servidores (i)

Coexistencia de DNS con firewalls
Servidor DNS Servidor DNS Servidor DNS 2 1 Firewall 4 3 4
Red segura
Red no segura
52
Escenarios de administracin de servidores (ii)

Dominios internos y externos (Split-Horizont DNS) (Split Horizont
Intranet Servidor DNS interno (resolving)
DMZ Firewall
Internet
Servidor DNS (delegated)
53
Medidas generales de seguridad ( ) g g (i)

Instalar la ltima versin del software del servidor
Minimiza posibilidades de ataque Por ejemplo, ver vulnerabilidades y versiones en http://www.isc.org/products/BIND/bind security.html http://www isc org/products/BIND/bind-security html
Evitar puntos donde se pueda producir un fallo completo.

Previene el ataque p DoS y otros p q por posibles fallos del servicio Todos los servidores DNS en la misma subred NO! gestionar el mantenimiento de secundarios por terceros Todos los servidores detrs del mismo router NO! Diversificar caminos fsicos de acceso a la red
Filtrar trfico Filt t fi

Dejar pasar trfico slo al puerto 53 UDP
54
Medidas generales ( ) g (ii)

El proceso servidor (named) no debe ejecutarse con privilegios de root puede ser un p p punto de ataque a la mquina si se q q descubre alguna vulnerabilidad en el software del servidor El proceso servidor debe ejecutarse confinado en un directorio particular p chroot() no queda as expuesto todo el sistema de directorios de la mquina Deshabilitar el proceso en toda mquina que no sea servidor DNS.
DNSSEC
Autenticacin del origen es quien dice ser Integridad (contenido) no ha sido manipulado Autorizacin comprobar derechos de acceso Confidencialidad (contenido) nadie ms escucha No repudio
DNSSEC
Implementaciones
56
Extensiones de Seguridad: DNSSEC g

Marco de seguridad Mecanismos para autenticacin de servidores M i t ti i d id
TSIG, RFC 2845 Previene contra los ataques por suplantacin de servidores en transferencias de zona en actualizaciones
Mecanismos para integridad de datos y autenticacin

RFC 4033 a 35 Previene contra envenenado de cachs en consultas y respuestas Criptografa de clave pblica, los datos intercambiados se firman digitalmente Nuevos registros para Mantener firmas digitales: RRSIG Mantener claves pblicas para verificar las firmas: DNSKEY Proteccin sobre entradas no existentes: Registros (NSEC)
57
Transaction Signatures ( g (TSIG) )

Independiente del resto de mecanismos DNSSEC p Firma de mensajes DNS
Actualizaciones dinmicas Transferencias de zonas
Basado en algoritmos de clave compartida Utiliza HMAC-MD5: funcin one-way hash que genera resmenes (di (digest) d 128 bit partiendo d t) de bits ti d de una clave de 128 bits (recomendado) Se firma el mensaje DNS completo y otros campos adicionales:
Fecha y hora, para evitar ataques de tipo replay (necesario sincronizar relojes: NTP)
Transaction Signatures ( g (TSIG) )

Registro TSIG. Es un meta-registro: g g
No aparece en ficheros de zona No se guarda en cachs g Es parte de la configuracin del servidor de nombres
Por ejemplo (BIND):

key dns1-dns2.ejemplo.com. {//nombre de clave para dns1 y dns2
// (igual para ambos extremos) algorithm hmac-md5; // algoritmo secret "skrKc4Twy/cIgIykQu7JZA==";// clave codificada en base 64
};
Creacin de claves: utilidad dnskeygen o dnssec-keygen de BIND La clave debe estar BIEN protegida!!
Ejemplo TSIG j p
AXFR ? 192.168.4.1
AXFR TSIG AXFR
verifica!
TSIG
verifica! ifi !
KEY:
F23fv..
KEY: KEY
F23fv..
SOA TSIG
SOA
SOA
TSIG
Master ejemplo.com
60
DNSSEC
Integridad y autenticacin mediante firmas de RRsets con claves privadas Para verificar la firma (RRSIG) se usan claves ( ) pblicas (DNSKEY) Cada subzona firma los RRsets de la zona con su clave privada
La autenticidad de su DNSKEY se establece mediante la firma de esa clave por la zona jerrquica superior
Idealmente, slo la clave pblica de la raz tendra que distribuirse manualmente manualmente
61
Firmando RRsets
RRset Genera resumen de RR (funcin hash) resumen de RR clave privada de zona A RRSIG de RR por A
RRset RRSIG
zona A clave pblica DNSKEY
62
Verificando RRset firmado

RRset RRSIG RRset Genera resumen de RR
RRSIG DNSKEY, clave de RR por A pblica de A
compara
descifra resumen de RR
Autoridad A t id d de certificacin
certificado de A
B consulta
63
Cadena de confianza de DNSSEC

Clave pblica del servidor raz, raz preconfigurada en los servidores de nombres
Servidor Raz
es. El servidor local verifica la cadena de firmas (SIGs) partiendo de la clave pblica del servidor raz que posee
com.
ejemplo.com. j l x.ejemplo.com. ?
upm.es Servidor Local

Respuesta con RRs: R t RR A de x.ejemplo.com RRSIG de x.ejemplo.com por ejemplo.com DNSKEY de ejemplo.com j p
x.ejemplo.com.
64
Consulta DNS Normal

Cliente Servidor Local
Peticin del registro A de host.example.com
Servidor Remoto
Peticin del registro A de host.example.com Redireccin hacia el servidor de example com example.com
Servidor Raiz
Peticin del registro A de host.example.com
Registro A de host.example.com Registro A de host.example.com
Servidor de example.com
65
Consulta con DNSSEC

Cliente
Peticin del registro A de x.ejemplo.com
Servidor Local
Servidor Remoto
Peticin del registro A de x.ejemplo.com Redireccin hacia el servidor de ejemplo.com Peticin del registro A de x.ejemplo.com Registro A de x.ejemplo.com + firma (SIG) por ejemplo.com + ejemplo.com KEY + SIG por com Peticin de KEY de .com KEY de .com + firma (SIG) por servidor raz
Servidor Raz
Servidor de ejemplo.com
El servidor local verifica la cadena de firmas (SIGs) partiendo de la clave pblica del servidor raz que posee
Registro A de x.ejemplo.com j p
Servidor raz .com
66
Resumen: Nuevos Registros para Seguridad en DNS

RRSIG Mantiene la firma digital de un conjunto de datos (claves asimtricas) DNSKEY Mantiene una clave pblica de una zona NSEC Permite certificar la inexistencia de datos en el DNS TSIG Firma de mensajes (mediante claves simtricas para mejorar la velocidad) j ) No se almacena en el DNS
67
Ejemplo DNSSEC: Fichero Original
$ORIGIN 39.171.199.in-addr.arpa. 39.171.199.in@ 14400 IN SOA test.netsec.tislabs.com. lewis.tislabs.com. ( 1999033101 3H 15M 1W 4H ) NS buddy netsec tislabs com buddy.netsec.tislabs.com. NS active.netsec.tislabs.com. NS test.netsec.tislabs.com. TXT "Reverse map zone, signed" 1 PTR buddy.netsec.tislabs.com. 2 PTR test.netsec.tislabs.com. 3 PTR active.netsec.tislabs.com.
68
Ejemplo DNSSEC: Aadiendo las claves

$ORIGIN 39.171.199.in-addr.arpa. 39.171.199.in@ 14400 IN SOA t t t test.netsec.tislabs.com. l i ti l b ti l b lewis.tislabs.com. ( 1999033101 3H 15M 1W 4H ) NS buddy.netsec.tislabs.com. NS active.netsec.tislabs.com. active netsec tislabs com NS test.netsec.tislabs.com. TXT "Reverse map zone, signed" KEY 0x4101 3 1 ( AQOp5tSDMZylPRcoiUg+mWvsqAfOQ9Wvxmtw2yXvErScHynN J6FHn/erCdh80tsVcOVxOxMpQfFajvT6rd6i8o6r ) KEY 0x4101 3 3 ( ALzRj87sMmn4H4wLcHdpzCpVIXwpvrAIJ7VY8o7pcZOgz2GG 87C5yvwCtipxCrPx6auOfp66DQF+3a2kKnBZnFyWSKDNvi7s Tays90luSOczoEJt/1HnpxUF/i+F5ztFK2KtMz2pv9gFQiWz y p p g GSYsMBubBaYPoWX47Dln6mvmN1MqfyeME48I1WhUUtXlY3AI 0/p5ldRVIMZonkCk+iZcCTgSY+d/ONJ7nAYH4HHHu5Wazbg9 TkCuVxYOiHqz1TKqmV7WkE1iu3WyOT8qIbn/0H+cEM1M ) 1 PTR buddy.netsec.tislabs.com. 2 PTR test.netsec.tislabs.com. 3 PTR active.netsec.tislabs.com.
Ejemplo DNSSEC: Firmando la Zona

$ORIGIN 39.171.199.in-addr.arpa. 39.171.199.in@ 14400 IN SOA test.netsec.tislabs.com. lewis.tislabs.com. ( 1999033101 3H 15M 1W 4H ) SIG SOA 1 14400 19990428183511 19990331183511 ( 62094 39 171 199 in-addr.arpa. base64) 39.171.199.in addr arpa inSIG SOA 3 14400 19990428183511 19990331183511 ( 9728 39.171.199.in-addr.arpa. base64) 39.171.199.inKEY 0x4101 3 1 base64 KEY 0x4101 3 3 b 0 4101 base64 64 SIG KEY 3 14400 19990428183511 19990331183511 ... (x two) NS buddy.netsec.tislabs.com. NS active.netsec.tislabs.com. NS test.netsec.tislabs.com. SIG NS 3 14400 19990428183511 19990331183511 ... (x two) TXT "Reverse map zone, signed" SIG TXT 1 14400 19990428183511 19990331183511 ... (x two) NXT 1.39.171.199.in-addr.arpa. NS SOA TXT SIG KEY NXT 1.39.171.199.inSIG NXT 3 14400 19990428183511 19990331183511 ... (x two) 1 PTR buddy.netsec.tislabs.com. SIG PTR 3 14400 19990428183511 19990331183511 ... (x two) NXT 2.39.171.199.in-addr.arpa. PTR SIG NXT 2.39.171.199.inSIG NXT 1 14400 19990428183511 19990331183511 ... (x two)
70
Ejemplo DNSSEC: Configurando el Servidor

options p { directory "/var/named"; recursion yes; namednamed-xfer "/var/named/named-xfer"; "/var/named/namedallowallow-transfer {199.171.39.1; 199.171.39.2; 199.171.39.3;}; }; zone "." { ... }; zone "39 171 199 in-addr arpa " 39.171.199.in addr.arpa. in{ type master; file "39.171.199.in-addr.arpa.s"; "39.171.199.inpubkey 16641 3 1 "AQOp5tSDMZylPRcoiUg+; p pubkey 16641 3 3 "ALzRj87sMmn4H4wLcHdpzCpVIXwpvrAIJ7VY8o7pc.; y j p p p p ; };
71
Prestaciones DNSSEC
El uso de DNSSEC tiene una influencia importante sobre las prestaciones del DNS debido a:
Mayor tamao de las bases de datos (en ficheros y en memoria ocupada por los servidores) Mayor tamao de los paquetes de respuesta (contienen registros DNSKEY y RRSIG) i t
Pueden llegar a provocar el uso de TCP en vez de UDP!
C Consultas adicionales para obtener claves d d i i lt di i l bt l de dominios superiores

F il d evitar almacenando l claves en cach Fcil de it l d las l h
Capacidad de computacin necesaria para verificar las firmas y validar las claves
Necesaria en servidores de nombres locales y resolvers
72
Resumen DNSSEC
Ventajas: Aade integridad y autenticacin al DNS clsico Desventajas: Disminuye las prestaciones debido al: Mayor tamao de los ficheros M Mayor t tamao d l mensajes de los j Consultas adicionales para obtener claves Uso frecuente de TCP en vez de UDP Mayores retardos (validacin de datos) y ( ) Muy complejo construir la cadena de confianza
ENUM
Asociando nmeros E.164 con URIs mediante el DNS
74
Motivacin ENUM
Surge inicialmente como una solucin de interoperabilidad entre redes basadas en E.164 y redes IP A
RTC
Num. E.164
Red IP
GW
B
Dir. IP Di IP, URI
Los usuarios mantienen mltiples identificadores: e-mail, telfono, mvil, www, fax, etc Problemas: P bl Cmo armonizar todos los servicios e identificadores? Cmo permitir que los usuarios definan sus p p q preferencias a la hora de recibir llamadas?
75
ENUM: E.164 number and DNS

Solucin definida S l i d fi id por el grupo d t b j T l h l de trabajo Telephone Number N b Mapping (ENUM) de IETF Plantea utilizar el DNS para identificar los distintos servicios asociados a un nmero E.164 Para ello propone: p p utilizar nmeros E.164 para identificar terminales y servicios crear nueva jerarqua de dominios en el DNS: e164.arpa almacenar la informacin sobre los servicios asociados a un nmero E.164 (o prefijo) bajo e164.arpa un nuevo tipo de registro: NAPTR
76
Cmo funciona ENUM?

Bajo 164 B j e164.arpa se almacenan l nmeros E 164 siguiendo el l los E.164 i i d l esquema de resolucin inversa Ej: el nmero +34-91-5495700 se transforma en el dominio
0.0.7.5.9.4.5.1.9.4.3.e164.arpa
Para conocer los servicios asociados a un nmero E 164: E.164: Peticin al DNS de registros NAPTR del dominio asociado al nmero E.164 Ej: dig t di -t naptr 0.0.7.5.9.4.5.1.9.4.3.e164.arpa t 0 0 7 5 9 4 5 1 9 4 3 164 Cada dgito se convierte en una zona en trminos de DNS y se organiza la jerarqua de delegacin siguiendo el plan de numeracin E.164: Un servidor por p p pas ( (country code) y ) Delegacin por reas geogrficas o proveedores
77
Jerarqua ENUM q
RIPE-NCC
Tier 0 e164.arpa
$ORIGIN e164.arpa. 4.3 IN NS enum.es .
Servidores Nacionales
Tier 1 4.3.e164.arpa
Tier 1 .e164.arpa
$ORIGIN 4.3.e164.arpa. 9.9.9 IN NS proveedor1.es.
Proveedores P d
Tier 2
9.9.9.4.3.e164.arpa
$ORIGIN 6.5.4.3.2.1.9.9.9.4.3.e164.arpa. IN NAPTR 10 10 "u" E2U+sip" "!^.*$!sip:usuario@proveedor1.es!" . IN NAPTR 102 10 "u" E2U+mailto" "!^.*$!mailto:usuario@proveedor1.es!" . IN NAPTR 102 10 "u" E2U+tel" "!^.*$!tel:+34999123456!" .
sip.att.com
78
El Registro NAPTR g
Definido en RFC3403
Nmero E164 Identificador de zona ENUM Cdigo de pas
Fichero de Zona
$ORIGIN 6.5.4.3.2.1.1.9.4.3.e164.arpa. IN NAPTR 10 10 "u" "E2U+sip" "!^.*$!sip:david@dit.upm.es!" .
Orden ENUM se implementa mediante registros NAPTR
Flags u=URI Preferencia
Servicios Tipo de URI + E2U E164 E2U=E164 to URI substitution
Expression Regular (Regex) se aplica sobre el nmero E.164 para obtener el URI correspondiente (utiliza f formato estndar Posix)
79
Ejemplo Registros NAPTR j p g

$ORIGIN 0.0.7.5.9.4.5.1.9.4.3.e164.arpa. IN NAPTR 100 10 "u" "E2U+sip "!^.*$!sip:david@dit.upm.es!" . IN NAPTR 101 10 "u" "E2U+h323" "!^.*$!h323:david@dit.upm.es!" . IN NAPTR 102 10 "u" "E2U+msg "!^.*$!mailto:david@dit.upm.es!" . $ IN NAPTR 103 10 "u" "E2U+tel "!^.*$!tel:+34915495700!" .
Cuatro servicios asociados al nmero +34915495700: SIP: sip:david@dit.upm.es (servicio preferido) H.323: h323:david@dit.upm.es e-mail: mailto:david@dit.upm.es Telfono: tel:+34915495700 Siguiente paso: resolucin de especfica de cada protocolo para conocer el nodo con q el que contactar Servicios definidos para ENUM (Abril 2007): h.323, sip, ifax, pres, web, ftp, email, fax, sms, ems, mms, vpim, voice, pstn, vCard
Ejemplos ENUM j p dig -t naptr 3.1.4.6.8.0.6.1.2.7.9.4.e164.arpa g p p

;; ANSWER
SECTION:
3.1.4.6.8.0.6.1.2.7.9.4.e164.arpa. 86233 IN NAPTR 10 30 "u" "E2U+SIP p p \; p "!^.*!sip:+497216086413@i72mn35.ipv6.tm.uka.de\;user=phone!" . 3.1.4.6.8.0.6.1.2.7.9.4.e164.arpa. 86233 IN NAPTR 10 10 "u" "E2U+tel" "!^.*!tel:+497216086413!" . 3.1.4.6.8.0.6.1.2.7.9.4.e164.arpa. 86233 IN NAPTR 10 20 "u" "E2U+SIP" "!^.*!sip:+497216086413@sip.1und1.de\;user=phone!" .
81
Aplicaciones ENUM p
Uso de ENUM para encaminar llamadas
Servidor DNS
2 3 4
Servidor SIP
1
RTC
Num. E.164
Red IP
GW
B
tel:+34911234567 sip:david@dit.upm.es
1 2 3 4
Consulta DNS: NAPTR de 8.7.6.5.4.3.2.1.1.9.4.3.e164.arpa Respuesta DNS: URI sip:david@dit.upm.es
Consulta SIP sobre sip:david@dit.upm.es Respuesta SIP: direccin IP del destino o de otro servidor SIP
Aplicaciones ENUM: Ejemplos p j p

Comunicacin di t d voz y f entre centralitas C i i directa de fax t t lit IP
Partiendo del nmero de telfono destino, la centralita destino origen puede obtener la direccin IP de la centralita destino
Mensajes de voz desde terminales Internet

Partiendo de un nmero de telfono obtenemos la direccin de correo electrnico del usuario
Envo de mensajes de voz desde terminales telefnicos

Desde un terminal telefnico contactamos con un servidor que, partiendo del nmero de tel. averigua la direccin de e-mail, graba el mensaje y lo enva.
83
Resumen ENUM
Ventajas: Identificadores E 164: E.164: globalmente nicos compatibles con terminales telefnicos p familiares para los usuarios DNS: infraestructura madura y disponible fcil delegacin y buenas prestaciones Soporta p p portabilidad Muy flexible Desventajas: Privacidad (depende de contexto: pblico privado pblico, privado, proveedor) Despliegue de servidores (nueva jerarqua) Dificultades administrativas, polticas y comerciales
84
Estado ENUM
Especificaciones tcnicas finalizadas Esfuerzo actual dedicado a la organizacin administrativa del servicio Colaboracin con ITU T IP T l C l b i ITU-T: IP-Telecoms Interworking Workshop I t ki W k h (Numbering, Naming, Addressing and Routing) Importante actividades en USA y Europa para organizar el servicio ENUM ha sido adoptado por 3GPP como mtodo de resolucin de direcciones E.164 a URLs de SIP en el subsistema multimedia (MM) de UMTS Incertidumbres:
Prestaciones Seguridad Polticas nacionales Aceptacin por parte de usuarios (killer app)
85
Incertidumbres ENUM
Performance
Levels of acceptable delay not well understood among diverse services Record TTLs and caching requirements uncertain Special requirements for server placement and performance may be required
Security
Authentication for creating and altering Level 1 records an issue Authentication for accessing Level 2 and 3 records an issue
National public policy considerations

Openness of operational deployment; telco reactions Number portability mandates
End user acceptance p

Dependent on an active developer community to develop killer end user applications that hide complexity (Europe has large multimedia developer community) Likely to be furthered with increased media and device diversity
Fuente: A.M. Rutkowski, VeriSign-NSI.
86
Dynamic Delegation Discovery System y g y y

Define un algoritmo general (lazy binding of strings to data) que asocia a una cadena de caracteres (Application Unique string, AUS) nica datos almacenados en una base de datos, mediante l aplicacin i t d t di t la li i interactiva d reglas d t ti de l de transformacin h t que se f i hasta alcanza una condicin terminal. Ejemplos: "E.164 number and DNS" (RFC 2916) [7]. This Application uses the DDDS to map a telephone number t service endpoints such as SIP or email. o t l h b to i d i t h il "Dynamic Delegation Discovery System (DDDS) Part Four: The Uniform Resource Identifiers (URI) Resolution Application" (RFC 3404) [3]. This Application uses the DDDS to resolve any URI to a set of endpoints or 'resolvers' that can give additional information about the URI independent of its particular URI scheme. scheme RFC 3401 : The Dynamic Delegation Discovery System is used to implement lazy binding of strings to data, in order to support dynamically configured delegation systems. The DDDS functions by mapping some unique string to data stored within a DDDS Database by iteratively applying string transformation rules until a terminal condition is reached. This document defines the entire DDDS by listing the documents that make up the complete specification at this time. RFC 3403: Especifica el uso de DNS como base de datos de un sistema DDDS utilizando los registros del tipo NAPTR Especifica los registros NAPTR
87
Bibliografa ENUM g
RFC 2916 E 164 number and DNS 2916: E.164 b d RFC 2915: The Naming Authority Pointer (NAPTR) DNS Resource Record Grupo de Trabajo Telephone Number Mapping (ENUM) de IETF. http://www.ietf.org/html.charters/enum-charter.html p g ENUM FAQ. Richard Shockey. http://www.ngi.org/enum/pub/DRAFT-SHOCKEY-enum-faq01.TXT 01 TXT ENUM Reference Material. http://www.ngi.org/enum/ ENUMWORLD. P ENUMWORLD Proyecto Piloto de Telcordia y VeriSign. t Pil t d T l di V iSi http://www.enumworld.com
88
Bibliografa g
CERT Coordination Center, http://www.cert.org/ DNS and BIND. Paul Albitz, Cricket Liu. 4th ed. http://www.oreilly.com/catalog/dns4/ Recursos generales DNS, http://www.dns.net/dnsrd/ DNS Seguro, http://www.dnssec.net/ RFC 2535: Domain Name System Security Extensions. Mar. 1999 RFC 2845: Secret Key Transaction Authentication for DNS (TSIG). May. 2000 BIND, http://www.isc.org/bind.html RFC 3833: Threat Analysis of the Domain Name System (DNS). ( S) Ago. 2004
89
Referencias y bibliografa g
Generales DNS and BIND. Paul Albitz, Cricket Liu. Ed. OReilly, 5th ed., 2006. Computer Networking. J. F. Kurose, K. W. Ross. Addison Wesley, 3 ed., 2005. Computer Networks, A. S. Tanenbaum. 4th ed., Prentice-Hall, 2003. Archivo de RFCs, http://www.rfc-editor.org/rfcsearch.html ICANN (Internet Corporation for Assigned Names and Numbers) http://www icann org/ Numbers), http://www.icann.org/ Localizar informacin sobre dominios Internic, Internet Network Information Center, http://www.internic.net ES-NIC, http://www.nic.es Localizar informacin sobre direcciones IP www.ripe.net, www.arin.net, www.apnic.net, www.lacnic.net IANA, Internet Assigned Numbers Authority, http://www.iana.org/ Nmeros de Sistemas Autnomos http://www iana org/assignments/as-numbers Autnomos, http://www.iana.org/assignments/as numbers Internet Software Consortium, http://www.isc.org/ DNS Resources Directory, http://www.dns.net/ Pgina de servidores raz, http://www.root-servers.org Consultas DNS y otras h C lt t herramientas til con i t f W b i t tiles interfaz Web http://www.dnsstuff.com Base de datos basada en DNS con direcciones de servidores de correo que envan spam http://www.declude.com/Articles.asp?ID=97 p p
90

DNS

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

DNS

Transféré par

Droits d'auteur :

Formats disponibles

Introduccin a la Tecnologa del d l DNS

Introduccin a la tecnologa de DNS

Domain Name System (DNS) y ( )

registros RR (resource records) y RRset por zonas

Estimacin de nombres de dominio

Introduccin a la tecnologa de DNS

Realizan peticiones a los servidores ante consultas de las aplicaciones cliente

Introduccin a la tecnologa de DNS

Hacia aplicacin servidor ...

Introduccin a la tecnologa de DNS

Espacio de nombres DNS p

com sun att

TLD (top level domains) ( p )

Introduccin a la tecnologa de DNS

upm dit etsit

Administracin de nombres (I) ()

Introduccin a la tecnologa de DNS

Administracin de nombres (II) ( )

Organizacin que mantiene el registro y publica la zona Agentes registradores intermediarios

Organizacin responsable de un dominio (usuario final)

Agentes g registradores intermediarios

Introduccin a la tecnologa de DNS

Usuario nuevo o actualiza datos

Asignacin de direcciones en Internet (I)

Regional Internet Registries (RIR) ARIN RIPE APNIC LACNIC AFRINIC

National Internet Registries g (APNIC region) Local Internet Registries (ISPs)

End Users (Organizations)

Introduccin a la tecnologa de DNS

Asignacin de direcciones en Internet (II)

Introduccin a la tecnologa de DNS

11001000 11001000 11001000 11001000

Organizacin 7 11001000 00010111 00011110 00000000

Introduccin a la tecnologa de DNS

arpa inin-addr 138 4 2 10

upm dit etsit

Nombre de dominio: 10.2.4.138.in-addr.arpa 10.2.4.138.inIntroduccin a la tecnologa de DNS 16

No especifica formato de datos

whois -h <whois.server> user

Introduccin a la tecnologa de DNS

Introduccin a la tecnologa de DNS

Introduccin a la tecnologa de DNS

Introduccin a la tecnologa de DNS

Registros de recursos ( ) g (RR)

Value, depende del tipo de RR

Tipos de Registros DNS p g

Introduccin a la tecnologa de DNS

A = 194 224 52 36 194.224.52.36 A = 194.224.52.37

Introduccin a la tecnologa de DNS

Transferencias de zona de acuerdo a parmetros en SOA p

Introduccin a la tecnologa de DNS

Introduccin a la tecnologa de DNS

Introduccin a la tecnologa de DNS

Actualizaciones dinmicas Consultas entre servidores

Introduccin a la tecnologa de DNS

X.gtld servers.net X.gtld-servers.net

ns-pri.ripe.net ns-pri ripe net Consulta iterativa

Servidor NS de ripe.net ripe net

Introduccin a la tecnologa de DNS

Software de servidores DNS

Introduccin a la tecnologa de DNS

consultas NS, SRV, MX

Introduccin a la tecnologa de DNS

Nombres de dominio internacionales

Introduccin a la tecnologa de DNS