Llegamos a ustedes gracias a:



Noticias

Consorcio propone una forma de asegurar el DNS

[07/08/2009] Un consorcio de organizaciones se ha unido para desarrollar un software que haga más sencillo a las compañías usar el estándar de seguridad del DNS, el DNSSEC. Un equipo compuesto por Nominet, .SE, SIDN (los registros de Internet Sueco y holandés, respectivamente) y varios otros, se han combinado para producir el OpenDNSSEC, un software que, de acuerdo a los desarrolladores, reducirá las dificultades de implementar el DNSSEC.

Aunque las organizaciones están muy al tanto de los problemas de seguridad inherentes al DNS, como se evidencia por el descubrimiento de una falla por parte de Dan Kaminsky el año pasado, hasta el momento no se han mostrado muy animadas a adoptar el DNSSEC.
Hay dos problemas con el DNSSEC, señaló Roy Arends, investigador senior de Nominet. Hay un problema del huevo y la gallina con respecto a ¿por qué vas a invertir en las firmas cuando éstas no van a ser validadas? O ¿por qué invertir en la validación si no hay firmas?.
El segundo problema que enfrentan los usuarios, indicó Arends, es que el DNSSEC es difícil. Tienes que hacer el mantenimiento, tienes que asegurarte que las firmas no expiren y las llaves tienen que pasar por un upgrade. Es como cocinar, simplemente no puedes dejar de atender las cosas de una cocina, tienes que comprometerte, añadió Arends.
Sin embargo, el OpenDNSSEC lo cambia todo. Con el OpenDNSSEC, puedes alejarte y el Open DNSS realiza todo el mantenimiento por ti. Con el DNSSEC hay una curva de aprendizaje muy inclinada. Con el OpenDNS esos problemas desaparecen. Cualquier que sepa un poco de administración Unix puede manejar el OpenDNSSEC, indicó.
Arends resaltó un par de características fundamentales del OpenDNSSEC. Hemos incluido un policy enforcer (cumplidor de políticas) que permite a los administradores controlar las políticas que tienen que cumplirse. Por ejemplo, uno puede especificar que se necesita que las llaves se renueven cada tres meses. Este enforcer no se encuentra disponible en ningún otro software que conozcamos.
El consorcio también ha introducido una versión en software del hardware de módulo de seguridad utilizado por los bancos. Arends sostuvo que la versión en software reduciría en forma considerable el costo de introducir este nivel de seguridad, haciendo que sea una opción para las personas que no pueden acceder a un módulo de hardware.
El trabajo recién se ha terminado en la especificación OpenDNSSEC. El consorcio ya ha enviado algunas versiones preliminares para que las organizaciones trabajen con ellas, además hay planes para que una versión beta salga en unos cuantos meses. La versión completa del software debería encontrarse disponible en algún momento del próximo año, señaló Arends.
El trabajo en la especificación ha sido completado rápidamente, Comenzamos con el OpenDNSSEC el año pasado especificando los conceptos, y luego comenzamos a escribir el software desde cero. Los socios involucrados en el desarrollo están buscando implementar el software por ellos mismos.
Arends sostuvo que el desarrollo de OpenDNSSEC convertiría a algunos de los que se han quedado atrás. Realmente creemos que esto va a hacer una diferencia en el uso del DNSEC, señaló. Sostuvo que al implementarlo, los administradores tendrían que apagarlo para dejar de usarlo. Los administradores de sistemas son flojos y quieren una vida fácil, bromeó. Yo solía ser uno de ellos y por eso lo sé. Queremos hacer al OpenDNSSEC tan fácil, que realmente cueste más trabajo si no lo usas.
Maxwell Cooter, Techworld.com