Llegamos a ustedes gracias a:



Noticias

La seguridad en los DNS logra un hito

[16/06/2010] El sueño de incorporar seguridad en el Sistema de Nombres de Dominio de Internet (DNS o Domain Name System) se acercó un paso más a hacerse realidad el miércoles, cuando los creadores de las políticas en Internet organizaron una ceremonia en el norte de Virginia para generar y almacenar la primera clave criptográfica que será utilizada para asegurar la zona raíz de Internet.

Esta ceremonia clave es uno de los pasos finales en el despliegue de Extensiones de seguridad DNS (DNSSEC) en la zona raíz de Internet. DNSSEC es un estándar emergente de Internet que evita la suplantación de ataques, al permitir que los sitios web verifiquen sus nombres de dominio y sus correspondientes direcciones IP utilizando firmas digitales y cifrado de clave pública.
"La importante ceremonia generará la clave maestra de raíz, la clave que firma todas las demás claves", explicó Ken Silva, CTO de VeriSign, que opera dos de los 13 servidores raíz de Internet junto con los sistemas backend que alimentan los dominios de nivel superior.com y .net. "Esto se está haciendo un mes antes de la puesta en marcha del DNSSEC, para que tengamos una clave válida y lo podamos probar con ella".
El DNSSEC se está implementando en toda la infraestructura de Internet, desde los servidores de raíz en la parte superior de la jerarquía DNS, hasta en los servidores que ejecutan .com, .net y otros dominios de nivel superior. Desde ahí se irá bajando hasta los servidores que guardan en memoria caché contenido para sitios web individuales.
Una vez que esté implementado extensamente, el DNSSEC evitará los ataques de envenenamiento de caché, donde el tráfico se redirige desde un sitio web legítimo hacia uno falso sin que el operador del sitio web o el usuario se den cuenta. Los ataques de envenenamiento de caché son el resultado de una falla grave en el DNS que fue divulgada por el investigador de seguridad Dan Kaminsky en el 2008.
La ceremonia de clave de hoy ha sido organizada por la ICANN (Corporación de Asignación de Nombres y Números o Internet Corporation for Assigned Names and Numbers) en un centro de datos seguro en Culpeper, Virginia, en las afueras de Washington, DC. Una ceremonia similar se llevará a cabo en Los Ángeles a principios de julio.
La ceremonia clave demostrará el conjunto de procedimientos que la comunidad de ingeniería de Internet ha creado para generar y almacenar claves para la zona raíz de forma segura. Contará con la asistencia personal de la ICANN y expertos en DNS de todo el mundo. La generación de claves y el proceso de almacenamiento serán auditados.
"La gente de todas partes del mundo será parte del proceso de creación de la clave para el nivel superior del DNS", explicó Steve Crocker, un experto en seguridad de Internet y director general de Shinkuro. "Ellos serán testigos y serán capaces de informar de que el procedimiento adecuado fue cargado limpia y escrupulosamente".
Las dos ceremonias principales se encuentran entre los últimos pasos antes de la implementación a escala de producción del DNSSEC en la zona raíz, la cual está programada para el 15 de julio.
Entre hoy y el 15 de julio, los operadores de los servidores raíz realizarán pruebas adicionales al DNSSEC.
"Estamos evaluando todos los rincones que podemos imaginar, señaló Silva. "Estamos tratando de probar todas las permutaciones de los tamaños de la clave, despliegue de clave, la caducidad de claves y todo ese tipo de cuestiones. Estamos haciendo pruebas para ver cómo responde el sistema y si nuestros monitores y sistemas de detección pueden advertir tomar ese tipo de cosas".
Silva manifestó que la prueba va bien, gracias a las nuevas capacidades de monitoreo que se agregaron a los servidores raíz.
"Estamos muy contentos con los monitores adicionales que ponemos en la infraestructura raíz", señaló Silva. "Hay muchas más partes en la zona raíz ahora. Tenemos las llaves adentro. Tenemos anclas confiables ahí. Hay un montón de material nuevo en la zona raíz; y si los monitores tradicionales se aseguraban de que los nombres fueran coherentes y que la sintaxis estuviera correcta, ahora tenemos información adicional. Hemos ampliado los monitores para buscar claves que han caducado, claves no válidas, claves que no han sido debidamente firmadas y todo ese tipo de cosas".
El agujero de Kaminsky condujo al DNSSEC
El DNSSEC ha ganado una oleada de apoyo desde que falla de Kaminsky fuera descubierta en el 2008.
Un puñado de países -entre ellos Suecia, República Checa, Puerto Rico, Bulgaria y Brasil- ya soportan DNSSEC en sus dominios de código de país; al igual que el dominio .org para las organizaciones sin fines de lucro.
El gobierno federal de los EE.UU. está en medio del despliegue del DNSSEC en el dominio de gobierno .gov. Los siguientes son .edu, que será firmado criptográficamente en julio, seguido por el .net en noviembre y el .com en marzo del 2011, señaló VeriSign. Una vez que la zona de la raíz esté firmada, los dominios de nivel superior que soporten DNSSEC pueden ofrecer seguridad de extremo a extremo a sus operadores de sitios web.
"Esperamos una intensa actividad a medida que la gente en Suecia, Brasil y otros países desplieguen el DNSSEC", añadió Silva. Agregó que hasta un 50% de las consultas DNS puede soportar el estándar DNSSEC, debido a los ajustes predeterminados en el popular software DNS.
Hasta ahora, los expertos de seguridad en Internet no han visto obstáculos técnicos para el despliegue del DNSSEC desde los servidores raíz hacia abajo.
"Ha sido muy suave", indicó Crocker acerca del despliegue del DNSSEC en los servidores raíz. "No he oído hablar de problemas" que retrasen el despliegue del DNSSEC en los .com o .net.
Carolyn Duffy Marsan, Network World (US)