Story Transcript
DNS DNS, Amenazas al DNS, Buenas Prácticas y Gobernanza Nicolás Antoniello VSIG 30 de Marzo de 2023
¿Para qué DNS ?
Nombres y Números (o direcciones) ¤
Los dispositivos se identifican (de forma única) a través de Internet mediante direcciones IP (de la misma forma que usamos números de teléfono para identificar terminales telefónicas o dispositivos móviles en una red de telefonía). IPv4: 192.0.2.7 IPv6: 2001: db8 :: 7
¤
Aunque los números son fáciles de usar para las máquinas, el cerebro humano tiende a preferir recordar nombres.
¤
Luego viene el Sistema de Nombres de Dominio (DNS) para traducir o asociar nombres a números… para que la gente pueda recordar y usar nombres mientras los dispositivos siguen usando números como identificadores.
|3
Características del DNS …
Nombres de Dominio ¤
¤ ¤
La estructura de la base de datos DNS es un árbol invertido llamado espacio de nombres (domain names) (piense en DNS como un enorme almacén distribuido para almacenar información destinada a ser accesible para cualquier persona en Internet). Cada nodo (excepto la raíz) tiene una etiqueta llamada nombre de dominio. Ese nombre de dominio se crea secuenciando etiquetas de nodo desde un nodo específico hasta la raíz, separadas por puntos (esta identificación inequívoca de un nombre de dominio a menudo se denomina nombre de dominio completo (fully qualified domain name: FQDN). The root
Top-level nodes
Niveles
Second-level nodes Third-level nodes
|5
Dominios y Delegación de Administración (Zonas) ¤
¤
¤
Ahora, si administramos un enorme almacén distribuido de información, destinado a ser accesible para cualquier persona en Internet, necesitaremos ayuda para operarlo y algunos estándares para poder almacenar, administrar e intercambiar esa información. Y ahí viene la definición del dominio y la posibilidad de delegar la gestión de partes (zonas) del almacén (DNS) para permitir la administración distribuida (por eso las divisiones administrativas se denominan zonas). Entonces, una zona sería un estante en nuestro almacén para almacenar datos. Mientras que un dominio se define como un nodo y todo lo que está debajo de él (todo el subárbol debajo de un nodo).
La delegación crea zonas: • La zona de delegación se denomina Padre. • La zona delegada es la Hija. Algunos de los datos almacenados en zonas: • Dirección IPv4 para un nombre (A) • Dirección IPv6 para un nombre (AAAA) • Servidor de correo para un nombre (MX)
Dominio “com”
Zonas |6
Proceso de resolución de nombres de dominio…
Definiciones ¤
Recordar que el DNS es una base de datos distribuida: ¤ Los datos se mantienen localmente (en nuestro enorme almacén distribuido) pero están disponibles a nivel mundial.
¤
Resolver (o servidores recursivos): envían consultas (son como proveedores de servicios encargados de buscarnos los datos, para no tener que buscarlos nosotros mismos en los estantes del almacén).
¤
Servidores autoritativos: responden consultas (las cajas o contenedores en los estantes de nuestro almacén que contienen todos los datos).
¤
El proceso de resolución es la implementación de la traducción de una dirección IP a un nombre de dominio, o más general, obtener la respuesta para una consulta específica.
|8
Optimizando el Sistema ¤
Almacenamiento en caché: básicamente, estos proveedores de servicios (resolutores) pueden recordar la información que encuentran en el almacén para no tener que volver a buscarla cada vez que alguien solicita lo mismo (así que recuerde que el almacenamiento en caché ocurre en los resolutores).
¤
Replicación: es aconsejable mantener varias copias de nuestros estantes (todas con la misma información) para poder colocarlas lo más cerca posible de los proveedores de servicios (recursivos). Por lo tanto, proporciona menos tiempos de resolución (el almacenamiento de información está más cerca), equilibrio de carga (ya que proporciona acceso a diferentes estantes en lugar de todos los mismos) y, por supuesto, hace que todo el sistema sea más robusto y resistente.
P: ¿Cuántos servidores DNS existen? R: Varios miles
P: Y, por ejemplo, ¿cuántos servidores raíz DNS existen? R: Según https://root-servers.org/ hay 1698 copias de la zona raíz al 30 de Marzo de 2023.
|9
Discusión: ¿Quien controla el DNS, controla Internet?
Registros DNS La información en el DNS se almacena en Registros (cada uno almacena un tipo diferente de información): • • • • • •
A AAAA NS SOA CNAME MX
• PTR
Almacena la dirección IPv4 asociada a un Nombre de Dominio Almacena la dirección IPv6 asociada a un Nombre de Dominio Nombre del Servidor DNS Autoritativo “Start of authority”, uno por cada archivo de Zona Sirve para definir un Alias para un Nombre de Dominio Sirve para indicar el nombre del servidor de correo correspondiente a un Nombre de Dominio Sirve para realizar el mapeo inverso (Nombre – Dirección IP)
| 11
Componentes del DNS Servidor Recursivo
Servidor Autoritativo
DNS query and response
Cache
DNS queries and responses
Servidor Autoritativo
Recursivo Stub API
Servidor Autoritativo
| 12
Proceso de Resolución El stub resolver del teléfono está configurado para enviar consultas al servidor recursivo con la dirección IP 4.2.2.2 Recursive Resolver 4.2.2.2
Stub Resolver
| 13
Proceso de Resolución Un usuario escribe www.example.com en Safari, que luego llama a la función del stub resolver para resolver el nombre Recursive Resolver 4.2.2.2
Stub Resolver
“www.example.com”
| 14
Proceso de Resolución El stub resolver del teléfono envía una consulta para www.example.com, IN, A a 4.2.2.2 Recursive Resolver 4.2.2.2
What’s the IP address of www.example.com?
Stub Resolver
| 15
Proceso de Resolución El servidor recursivo 4.2.2.2 no tiene datos almacenados en caché para www.example.com, por lo que consulta un servidor raíz Recursive Resolver 4.2.2.2 What’s the IP address of www.example.com?
l.root-servers.net
Stub Resolver
| 16
Proceso de Resolución El servidor raíz devuelve una referencia a .com Recursive Resolver 4.2.2.2 Here are the name servers for .com.
l.root-servers.net
Stub Resolver
| 17
Proceso de Resolución El servidor recursivo consulta al servidor .com Recursive Resolver 4.2.2.2 l.root-servers.net
What’s the IP address of www.example.com?
c.gtld-servers.net
Stub Resolver
| 18
Proceso de Resolución El servidor .com devuelve una referencia a example.com Recursive Resolver 4.2.2.2 l.root-servers.net
Stub Resolver
Here are the name servers for example.com.
c.gtld-servers.net
| 19
Proceso de Resolución El servidor recursivo consulta al servidor de example.com Recursive Resolver 4.2.2.2 l.root-servers.net
Stub Resolver
What’s the IP address of www.example.com?
c.gtld-servers.net ns1.example.com
| 20
Proceso de Resolución El servidor example.com devuelve la respuesta a la consulta porque él es el autoritativo para example.com Recursive Resolver 4.2.2.2 l.root-servers.net Here are all the IP addresses for www.example.com.
c.gtld-servers.net Stub Resolver
ns1.example.com
| 21
Proceso de Resolución El servidor recursivo devuelve la respuesta a la consulta al stub resolver Recursive Resolver 4.2.2.2 l.root-servers.net Here are all the IP addresses for www.example.com.
c.gtld-servers.net Stub Resolver
ns1.example.com
| 22
Proceso de Resolución El stub resolver devuelve las direcciones IP a Safari Recursive Resolver 4.2.2.2 l.root-servers.net
c.gtld-servers.net Stub Resolver
ns1.example.com
192.0.2.7 2001:db8::7
| 23
Proceso de Resolución ¤
Después de la consulta anterior, el servidor recursivo en 4.2.2.2 ahora sabe: • Nombres y direcciones IP de los servidores .com • Nombres y direcciones IP de los servidores de example.com • Direcciones IP para www.example.com
¤
Almacena en caché todos esos datos para que pueda responder consultas futuras rápidamente, sin repetir todo el proceso de resolución.
| 24
Amenazas al DNS o que se valen del DNS para cometer algún tipo de amenaza
Common Types of Cybercrime
Phishing “The fraudulent practice of sending emails purporting to be from reputable companies in order to induce individuals to reveal personal information, such as passwords and credit card numbers.” Malware “Software that is specifically designed to disrupt, damage, or gain unauthorized access to a computer system” • e.g., ransomware, key loggers, root kits, viruses Botnets “A network of private computers infected with malicious software and controlled as a group without the owners' knowledge”
| 26
Ataque distribuido de reflexión y amplificación
¤
¤
¤
Lanzar un ataque de reflexión y amplificación desde miles de orígenes
Attackers
Open Recursor
DNS Query
Reflejar a través de un servidor DNS recursivo abierto Entreguar miles de respuestas grandes al objetivo
DNS Query DNS Query
All sources spoof source IP of target: 10.0.0.1
Targeted host IP: 10.0.0.1
GE R LA DNS nsG eE o R p E sA ReL DNS nR seG o S sLpA DN nse Re spo Re
| 27
Consumo de recursos
¤
¤
¤
El atacante envía una avalancha de mensajes DNS a través de TCP desde la dirección IP falsificada del objetivo El servidor de nombres asigna recursos para conexiones TCP hasta que se agotan los recursos La resolución de nombres está degradada o interrumpida
Attacker
Spoof source IP of target: 10.0.0.1
TCP SYN TCP SYN TCP SYN
Open recursor
CK N/A /ACK K Y /AC PS YN N S C Y T P PS TC C T
Target Host IP: 10.0.0.1
| 28
Envenenamiento de Cache
¤
Un usuario es víctima de spam/phishing y dirige el navegador del objetivo a un sitio malicioso: ¡ http://LoseWeightFast.biz
¤
El servidor de nombres responde a la solicitud de BajaDePesoRapidamente.biz con datos DNS maliciosos para un sitio web legítimo (por ejemplo, Amazon.com)
¤
Estos datos maliciosos se almacenan en caché en los recursivos.
¤
Durante la vida útil del caché, cada vez que el usuario intenta ir a Amazon.com, termina en un sitio muy malo en el que no quiere estar. Y pasan cosas malas...
| 29
Cambiar en secreto el servidor DNS recursivo de un usuario
¤
Un usuario está configurado para utilizar los solucionadores de DNS recursivos del proveedor de servicios. O quizás el usuario configura manualmente el dispositivo para usar el DNS público de Google en 8.8.8.8 (por ejemplo).
¤
El malware (p. ej., DNSChanger) ataca el dispositivo del usuario y reescribe silenciosamente la opción de resolución recursiva para que sea un servidor recursivo bajo el control del atacante.
¤
El atacante redirige todas las consultas de DNS a sitios realmente malos donde suceden cosas malas.
| 30
DNS como canal de exfiltración encubierto
•
•
Mensajes DNS manipulados para reenviar datos confidenciales desde la PC infectada a través del firewall al comando y control de botnet (C&C). Prueba de concepto: exfiltrar los resultados de los ataques de inyección SQL
Infected PC sends sensitive data to C&C over port 53/DNS botnet C&C
Infected PC ‘bot’
Firewall allows outbound Port 53/DNS
| 31
DNS como un canal de malware encubierto
•
• •
El malware en la PC infectada realiza búsquedas de registros DNS tipo TXT en el DNS controlado por el comando y control de la botnet (C&C). Las respuestas TXT contienen instrucciones para el bot. Algunos ejemplos: – –
Feederbot Morto
botnet C&C encodes instructions in DNS TXT responses
Infected PC ‘bot’
botnet C&C
Firewall allows inbound responses via port 53/DNS
| 32
Emojis en nombres de dominio Divertido, pero puede ser peligroso
Los emojis pueden ser demasiado similares visualmente para distinguirlos, especialmente cuando se muestran en fuentes más pequeñas o en diferentes aplicaciones.
Los emojis no se muestran de manera uniforme en todas las plataformas porque actualmente no existe un estándar que especifique cómo deben verse.
Algunos emoji permiten a los usuarios aplicar uno de los cinco modificadores de tono de piel. Estos pueden hacer que los emojis sean difíciles de distinguir y están sujetos a interpretación.
| 33
IoT & DNS ¤
El DNS (al igual que muchos sistemas) es vulnerable a diversos vectores de ataque diferentes
¤
Si escalamos Internet agregando 50 mil millones de dispositivos IoT, el área de amenazas tanto para el DNS como para Internet en general aumenta exponencialmente.
¤
IoT puede representar un riesgo significativo para la seguridad, la estabilidad y la flexibilidad de Internet si cometemos los mismos errores que cometimos antes de IoT
| 34
Seguridad: DNSSEC …
Potenciales amenazas y puntos de ataque @ ecosistema DNS
Man in the middle and information exfiltration
DNSSEC
Cache poisoning Modified Data
TLD registries and domain name registrars provide critical services downstream:
SECDRY
Spoofing
Corrupted data
• • •
Registration platform Management platform Billing platform | 36
DNSSEC: Autenticación de origen e integridad Que hace DNSSEC? mas r i f ay bl i c : ú p lave rcionar c e fía d propo origen a r g a ipto les par ión de atos r c ta sd ac iza digi tentic d de lo Ut i l la * Au egrida a r t t n * In n co DNS
cció tos de e t o e pr de da c e r Of cación fi de falsi s e taqu iento a r a Evit nenam e e env e cach d
Que NO hace DNSSEC?
el n e d lida DNS a i c den tos de i f n r co o de da e e Prov rcambi inte Do s e d ues q a t ar a t i v E
| 37
Beneficios de DNSSEC ¤Beneficios técnicos ¤ Proporcionar autenticación/validación de origen. ¤ Garantizar la integridad y no manipulación de los datos de DNS. ¤ Negación autenticada de existencia de datos DNS (NSEC).
¤Impacto en los diferentes miembros del ecosistema ¤ Usuario final: confianza de llegar al sitio web deseado/correcto (complemento de https). ¤ Registrante: mitigación del fraude y mayor protección de marca (reputación del código de país). ¤ Registrador: cumpla con los estándares de la industria y satisfaga las demandas de los registrantes para una mayor seguridad (atraer y retener a los registrantes centrados en la seguridad y la reputación). ¤ Registro: cumpla con las mejores prácticas de la industria y las demandas de los registradores para una mayor seguridad de los dominios.
| 38
Privacidad: DoT & DoH …
Potenciales amenazas y puntos de ataque @ ecosistema DNS
Man in the middle and information exfiltration
Cache poisoning DoH
Modified Data
TLD registries and domain name registrars provide critical services downstream:
SECDRY
Spoofing
Corrupted data
• • •
Registration platform Management platform Billing platform | 40
DoT y DoH… en un slide J La idea principal detrás de DoT y DoH es proporcionar privacidad mediante el cifrado de consultas y respuestas DNS entre el equipo terminal y el servidor DNS recursivo elegido. De esa manera, aumenta la resiliencia contra la interceptación, el bloqueo, la interferencia y/o la manipulación de ese tráfico (principalmente lo mismo que busca cualquier método de encriptación punto a punto). ØDoT significa DNS sobre TLS. ØDoH significa DNS sobre HTTPS. Como casi todos los métodos que involucran temas de privacidad, tanto DoT como DoH (y especialmente DoH) han suscitado algunas discusiones tanto a nivel político como técnico… … una idea importante que vale la pena considerar es la separación entre los estándares y las implementaciones de lo mismos, que, a menudo conducen a algún debate. … desde una perspectiva técnica, podría considerarse mas conveniente desde el punto de vista de seguridad y resiliencia del sistema global de DNS, el habilitar estos mecanismos en sus propios recursivos en lugar de reenviar todas las consultas a uno público (y de esa forma, fomentar la descentralización de la resolución de DNS). | 41
Discusión: ¿Existe algún impacto de estos protocolos sobre la concentración de funciones críticas en Internet?
Privacidad: QNAME minimization …
Potenciales amenazas y puntos de ataque @ ecosistema DNS
Man in the middle and information exfiltration
Cache poisoning
QNAME minimization
Modified Data
TLD registries and domain name registrars provide critical services downstream:
SECDRY
Spoofing
Corrupted data
• • •
Registration platform Management platform Billing platform | 44
QNAME minimization… en un slide J
La minimización de QNAME sigue el principio explicado en la Sección 6.1 de [RFC6973]: cuantos menos datos envíe, menos problemas de privacidad tendrá.
La minimización del nombre de consulta de DNS (QNAME) se define en el RFC 7816 para mejorar la privacidad del usuario final en el proceso de resolución de DNS. Cambia las consultas DNS “estándar” del servidor recursivo para incluir solo tantos detalles en cada consulta como sea necesario para ese paso en el proceso de resolución. El RFC 7816 de IETF lo describe como una técnica "en la que el sistema de resolución de DNS ya no envía el QNAME original completo al servidor de nombres autoritativo".
| 45
Acelerando la resolución & mejorando la privacidad: Hyperlocal …
Potenciales amenazas y puntos de ataque @ ecosistema DNS
Man in the middle and information exfiltration
Cache poisoning Hyperlocal
Modified Data
TLD registries and domain name registrars provide critical services downstream:
SECDRY
Spoofing
Corrupted data
• • •
Registration platform Management platform Billing platform | 47
Hyperlocal ¿Qué es esto? o Se trata de mantener una copia local de la Raíz del DNS en la misma máquina que ejecuta resoluciones recursivas (servidor recursivo). o Incluido en ese objetivo está el garantizar que siempre se tenga acceso a los datos de la zona raíz. o Steve Crocker nombró a esta técnica Hiperlocal.
Estandarizado en el RFC 8806, ”Corriendo un Servidor Raíz localmente en un Recursivo" o El servidor raíz debe ejecutarse en la misma máquina que el servidor recursivo. o Solo puede responder consultas de la máquina local y de ninguna otra máquina. o Se recomienda mantener y aplicar el mecanismo de resolución estándar en caso de error o cuando la copia local no está disponible o está desactualizada.
| 48
DNS & Hyperlocal
“www.example.com”
“www.example.com”
Root Server
Root Server
Hyperlocal Usuário
Usuário
Resolver
WEB server: www.example.com
Auth .com
Auth example.com
Resolver
WEB server: www.example.com
Auth .com
Auth example.com
| 49
Algunas otras buenas prácticas a considerar …
KINDNS KINDNS es una iniciativa recientemente creada por ICANN. Corresponde a las siglas de Knowledge-Sharing and Instantiating Norms for DNS and Naming Security y es un programa para desarrollar un marco que se centra en las mejores prácticas operativas o instancias concretas de las mejores prácticas de seguridad del DNS.
https://kindns.org/ | 51
Participe de la ICANN
Visit us at icann.org
| 52