SlideShare una empresa de Scribd logo

Asegurar BIND

Fernando Parrondo, profile picture
Fernando Parrondo

El documento describe las amenazas a la seguridad del sistema de nombres de dominio (DNS) debido a su falta de autenticación y encriptación. DNS es escalable y disponible pero fácilmente vulnerable a ataques como la suplantación de respuestas, el envenenamiento de caché y la denegación de servicio. La implementación de DNSSEC ayuda a corregir estos problemas mediante la autenticación y firma digital de las respuestas DNS.

Internet
1 de 15
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Asegura tu servicio de nombres TALLER DE CONFIGURACION DE DNSSEC
Domain Name System u Nace en 1983 en sustitución del modelo host existente u Sirve como traductor (guía de teléfonos) de nombres fácilmente recordables a direcciones IP… y viceversa u Es una base de datos, consistente, jerárquica, distribuida y delegada u Las zonas de autoridad evitan la duplicación de registros u Se parte de un nodo central que va delegando en zonas de autoridad los subdominios creados, topología tipo árbol u Cada zona de autoridad es responsable de sus recursos u A su vez puede crear subdominios propios o delegarlos en nuevas zonas u Su diseño lo hace extremadamente escalable y disponible… e inseguro 2
Escalable y disponible u Utiliza mayoritariamente UDP. Recordemos qué es stateless y qué significa u Las respuestas se cachean para acelerar la disponibilidad de la resolución u No ofrece método de autentificación u ergo……. ¡¡¡FACILMENTE SUPLANTAR LAS RESPUESTAS!!! 3
Estructura de una petición 4 DNS k.root-servers.net g.nic.es Dns2.meh.es ns1.dgcatastro.net www.catastro.meh.es. 1 2 3 4 5 6 7 89 1 3 5 7 9
Amenazas a una petición 5 DNS k.root-servers.net g.nic.es Dns2.meh.es ns1.dgcatastro.net www.catastro.meh.es. Hacker inside
Información expuesta 6 u El servidor DNS mantiene mucha información que es valiosa para planificar otros ataques: u Información de nuestra red interna u Información de nuestros servicios básicos de red u Información de los productos que utilizamos u Información de los servicios a los que accedemos u No hace falta una transferencia de la zona para conseguirla. La caché es una buena fuente u Hay que suministrar sólo la información justa
Envenenamiento de caché 7 u Ataque basado en lo previsible u Se ha mitigado con las nuevas versiones pero aun es posible u El envenamiento de la caché ofrece al atacante la posibilidad de: u Suplantación de recursos propios u Obtención de información de nuestros clientes u Ataques de denegación de servicio
Denegación de servicio u DNS es un estupendo vector de ataques SMURF (amplificador) u Utiliza UDP (No se puede verificar la fuente) u Puede generar respuestas mucho más grandes que las preguntas. En el ejemplo 64 bytes * 677 bytes y no es de los malos u Deshabilitar la recursividad u options { recursion no; }; u Permitir sólo consultas de clientes permitidos u options { allow-query {192.168.1.0/24;};}; 8
Por si fuera poco… u Problemas de MitM entre Registradores-Maestros y Maestros- Esclavos u Problemas de vulnerabilidades de servidor en Maestros y Esclavos u Problemas de MitM entre Forwarders y Esclavos u Problemas de MitM entre clientes y Forwarders u Problemas de suplantación entre Forwarders y Esclavos u Problemas de suplantación entre clientes y Forwarders ¡¡¡Todos los problemas de resolución quedan corregidos con DNSSEC!!! 9
Es una amenaza real u Múltiples exploits disponibles 10
Es una amenaza real u Múltiples exploits disponibles 11
Es una amenaza real u Múltiples exploits disponibles u Bastantes ya lo han conseguido 12
Es una amenaza real u Múltiples exploits disponibles u Bastantes ya lo han conseguido u Afecta a los recursos y a la reputación 13
¿Mitigar o corregir? u Mitigar: u Seguir buenas prácticas (chrooting del servicio, bastionado, monitorización, actualización) u Eliminar la recursividad en maestros u Ocultar la versión u Arquitectura stealh u ACLs u Corregir: u DNSSEC u Llamar a 36bootis.com J 14 Ideal: Recursion enabled y versión antigua
15 © 2015, Fernando Parrondo para 36bootis.com Esta obra está sujeta a la licencia Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons. Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-nc- sa/4.0/

Más contenido relacionado

PDF
Ecryptfs
Lucia
 
PDF
Como elegir un buen hosting para WordPress
JuanKa Díaz - jdevelopia
 
PPT
N4 lección10
Johanes Ramirez
 
PPT
Trabajo ejemplo hafs-v1b
Fernanda Guerrero
 
DOCX
Ensayo del profesor erick
Alberto Guapo
 
DOCX
Software de sistema
analyymelo
 
DOCX
Hosting cuestionario
gi_sa
 
PPT
HOSTING Y DOMINIO 1
Alberto Ulloa López
 
Ecryptfs
Lucia
 
Como elegir un buen hosting para WordPress
JuanKa Díaz - jdevelopia
 
N4 lección10
Johanes Ramirez
 
Trabajo ejemplo hafs-v1b
Fernanda Guerrero
 
Ensayo del profesor erick
Alberto Guapo
 
Software de sistema
analyymelo
 
Hosting cuestionario
gi_sa
 
HOSTING Y DOMINIO 1
Alberto Ulloa López
 

La actualidad más candente (14)

ODP
Clase 1 intro
Roman Gelbort
 
ODP
Introducción a linux
Israel Fermin Montilla
 
PPT
Hosting y Dominio
Raul
 
PPT
HOSTING Y DOMINIO
jmanueldc25
 
PPT
HOSTING Y DOMINIO
marjud15
 
PPT
HOSTING Y DOMINIO
Alberto Ulloa López
 
PPT
HOSTING Y DOMINIO
I.E Isabel la catolica
 
PPT
HOSTING Y DOMNIO
tecnologa
 
PPT
HOSTING Y DOMINIO
silvia
 
PPT
HOSTING Y DOMINIO
CARMEN
 
PDF
Seguridad
1 2d
 
PPTX
Bd nosql clave valor
Escuela de Computación UCV
 
DOCX
Nslookup
Rocio Vicente Navas
 
PDF
Quasi - Metodos de empaquetado y compresion en Linux
degarden
 
Clase 1 intro
Roman Gelbort
 
Introducción a linux
Israel Fermin Montilla
 
Hosting y Dominio
Raul
 
HOSTING Y DOMINIO
jmanueldc25
 
HOSTING Y DOMINIO
marjud15
 
HOSTING Y DOMINIO
Alberto Ulloa López
 
HOSTING Y DOMINIO
I.E Isabel la catolica
 
HOSTING Y DOMNIO
tecnologa
 
HOSTING Y DOMINIO
silvia
 
HOSTING Y DOMINIO
CARMEN
 
Seguridad
1 2d
 
Bd nosql clave valor
Escuela de Computación UCV
 
Nslookup
Rocio Vicente Navas
 
Quasi - Metodos de empaquetado y compresion en Linux
degarden
 
Publicidad

Similar a Asegurar BIND (20)

PDF
Introducción a Dnssec
Fernando Parrondo
 
PPT
Dns
Luna Hermes
 
PPT
Dns
payaya
 
PPT
Dns
Oscar Mauricio
 
PDF
21 dns linux_asoitsonp
OpenCourseWare México
 
PPTX
Se realiza instalacion y configuraacion servicios Windows
CZSOTEC
 
PPTX
Servidor y tipos de servidores y sus caracteristicas..pptx
SEBASMP6
 
PPTX
Dns anita vaca
Anita Vaca
 
PPTX
Dns diapositivas
Taringa!
 
PPTX
Todo Sobre El Dns
Edwin Cusco
 
PPT
DNS
willmer
 
DOCX
Instalacion del servicio dns en centos
Magiss Vasquez
 
PPTX
Maricela poaquiza
Maricela Poaquiza
 
PPTX
Dns
Santiago Tixilema
 
PPT
Unidad 2: Sistema de nombres de dominio (DNS)
carmenrico14
 
PDF
TELEMATICA 3 - CAPA DE APLICACION Y SERVICIOS DE RED - DNS
Richard Eliseo Mendoza Gafaro
 
PDF
SERVIDOR DNS-1.pdf
GabrielLv2
 
PPTX
Servidores
andreahernandez_
 
PPTX
20120926 web perf-dns_v1
Sergim
 
PDF
Sesión 4.- DNS.pdf
Juan Antonio Rios Pelaez
 
Introducción a Dnssec
Fernando Parrondo
 
Dns
Luna Hermes
 
Dns
payaya
 
Dns
Oscar Mauricio
 
21 dns linux_asoitsonp
OpenCourseWare México
 
Se realiza instalacion y configuraacion servicios Windows
CZSOTEC
 
Servidor y tipos de servidores y sus caracteristicas..pptx
SEBASMP6
 
Dns anita vaca
Anita Vaca
 
Dns diapositivas
Taringa!
 
Todo Sobre El Dns
Edwin Cusco
 
DNS
willmer
 
Instalacion del servicio dns en centos
Magiss Vasquez
 
Maricela poaquiza
Maricela Poaquiza
 
Dns
Santiago Tixilema
 
Unidad 2: Sistema de nombres de dominio (DNS)
carmenrico14
 
TELEMATICA 3 - CAPA DE APLICACION Y SERVICIOS DE RED - DNS
Richard Eliseo Mendoza Gafaro
 
SERVIDOR DNS-1.pdf
GabrielLv2
 
Servidores
andreahernandez_
 
20120926 web perf-dns_v1
Sergim
 
Sesión 4.- DNS.pdf
Juan Antonio Rios Pelaez
 
Publicidad

Último (15)

PPTX
Presentación de un estudio de empresa pp
BenYamin70
 
PDF
CAPACITACIÓN MIPIG - MODELO INTEGRADO DE PLANEACIÓN Y GESTIÓN
CLAUDIAPATRICIASALAZ19
 
PDF
[Ebook gratuito] Introducción a la IA Generativa, Instalación y Configuración...
designfm2025
 
PPTX
FUNCIONES DE CLASSROOM EN EL FUNCIONAMIENTO ESCOLAR
san312208
 
PPTX
Guia de power bi de cero a avanzado detallado
efpunivo62
 
PDF
LA INTELIGENCIA ARTIFICAL SU HISTORIA Y EL FUTURO
emiliosandovalparral
 
PPTX
Plantilla-Hardware-Informático-oficce.pptx
qdt06026
 
PDF
Frases de Fidel Castro. Compilación Norelys Morales Aguilera
Norelys Morales Aguilera
 
PPTX
Evolución de la computadora ACTUALMENTE.pptx
CrisaldiNina
 
PDF
Mesopotamia y Egipto.pptx.pdf historia universal
AnthonyVizarreta1
 
PPTX
presentacion_energias_renovables_renovable_.pptx
k8y8pwmjpw
 
PPTX
tema-2-interes-.pptx44444444444444444444
Armando Zamora
 
PDF
Herramientaa de google google keep, maps.pdf
albinpalma13
 
PPTX
Qué es Google Classroom Insertar SlideShare U 6.pptx
FloriselDelaFuente
 
PPT
laser seguridad a la salud humana de piel y vision en laser clase 4
RielAiv
 
Presentación de un estudio de empresa pp
BenYamin70
 
CAPACITACIÓN MIPIG - MODELO INTEGRADO DE PLANEACIÓN Y GESTIÓN
CLAUDIAPATRICIASALAZ19
 
[Ebook gratuito] Introducción a la IA Generativa, Instalación y Configuración...
designfm2025
 
FUNCIONES DE CLASSROOM EN EL FUNCIONAMIENTO ESCOLAR
san312208
 
Guia de power bi de cero a avanzado detallado
efpunivo62
 
LA INTELIGENCIA ARTIFICAL SU HISTORIA Y EL FUTURO
emiliosandovalparral
 
Plantilla-Hardware-Informático-oficce.pptx
qdt06026
 
Frases de Fidel Castro. Compilación Norelys Morales Aguilera
Norelys Morales Aguilera
 
Evolución de la computadora ACTUALMENTE.pptx
CrisaldiNina
 
Mesopotamia y Egipto.pptx.pdf historia universal
AnthonyVizarreta1
 
presentacion_energias_renovables_renovable_.pptx
k8y8pwmjpw
 
tema-2-interes-.pptx44444444444444444444
Armando Zamora
 
Herramientaa de google google keep, maps.pdf
albinpalma13
 
Qué es Google Classroom Insertar SlideShare U 6.pptx
FloriselDelaFuente
 
laser seguridad a la salud humana de piel y vision en laser clase 4
RielAiv
 

Asegurar BIND

  • 1. Asegura tu servicio de nombres TALLER DE CONFIGURACION DE DNSSEC
  • 2. Domain Name System u Nace en 1983 en sustitución del modelo host existente u Sirve como traductor (guía de teléfonos) de nombres fácilmente recordables a direcciones IP… y viceversa u Es una base de datos, consistente, jerárquica, distribuida y delegada u Las zonas de autoridad evitan la duplicación de registros u Se parte de un nodo central que va delegando en zonas de autoridad los subdominios creados, topología tipo árbol u Cada zona de autoridad es responsable de sus recursos u A su vez puede crear subdominios propios o delegarlos en nuevas zonas u Su diseño lo hace extremadamente escalable y disponible… e inseguro 2
  • 3. Escalable y disponible u Utiliza mayoritariamente UDP. Recordemos qué es stateless y qué significa u Las respuestas se cachean para acelerar la disponibilidad de la resolución u No ofrece método de autentificación u ergo……. ¡¡¡FACILMENTE SUPLANTAR LAS RESPUESTAS!!! 3
  • 4. Estructura de una petición 4 DNS k.root-servers.net g.nic.es Dns2.meh.es ns1.dgcatastro.net www.catastro.meh.es. 1 2 3 4 5 6 7 89 1 3 5 7 9
  • 5. Amenazas a una petición 5 DNS k.root-servers.net g.nic.es Dns2.meh.es ns1.dgcatastro.net www.catastro.meh.es. Hacker inside
  • 6. Información expuesta 6 u El servidor DNS mantiene mucha información que es valiosa para planificar otros ataques: u Información de nuestra red interna u Información de nuestros servicios básicos de red u Información de los productos que utilizamos u Información de los servicios a los que accedemos u No hace falta una transferencia de la zona para conseguirla. La caché es una buena fuente u Hay que suministrar sólo la información justa
  • 7. Envenenamiento de caché 7 u Ataque basado en lo previsible u Se ha mitigado con las nuevas versiones pero aun es posible u El envenamiento de la caché ofrece al atacante la posibilidad de: u Suplantación de recursos propios u Obtención de información de nuestros clientes u Ataques de denegación de servicio
  • 8. Denegación de servicio u DNS es un estupendo vector de ataques SMURF (amplificador) u Utiliza UDP (No se puede verificar la fuente) u Puede generar respuestas mucho más grandes que las preguntas. En el ejemplo 64 bytes * 677 bytes y no es de los malos u Deshabilitar la recursividad u options { recursion no; }; u Permitir sólo consultas de clientes permitidos u options { allow-query {192.168.1.0/24;};}; 8
  • 9. Por si fuera poco… u Problemas de MitM entre Registradores-Maestros y Maestros- Esclavos u Problemas de vulnerabilidades de servidor en Maestros y Esclavos u Problemas de MitM entre Forwarders y Esclavos u Problemas de MitM entre clientes y Forwarders u Problemas de suplantación entre Forwarders y Esclavos u Problemas de suplantación entre clientes y Forwarders ¡¡¡Todos los problemas de resolución quedan corregidos con DNSSEC!!! 9
  • 10. Es una amenaza real u Múltiples exploits disponibles 10
  • 11. Es una amenaza real u Múltiples exploits disponibles 11
  • 12. Es una amenaza real u Múltiples exploits disponibles u Bastantes ya lo han conseguido 12
  • 13. Es una amenaza real u Múltiples exploits disponibles u Bastantes ya lo han conseguido u Afecta a los recursos y a la reputación 13
  • 14. ¿Mitigar o corregir? u Mitigar: u Seguir buenas prácticas (chrooting del servicio, bastionado, monitorización, actualización) u Eliminar la recursividad en maestros u Ocultar la versión u Arquitectura stealh u ACLs u Corregir: u DNSSEC u Llamar a 36bootis.com J 14 Ideal: Recursion enabled y versión antigua
  • 15. 15 © 2015, Fernando Parrondo para 36bootis.com Esta obra está sujeta a la licencia Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons. Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-nc- sa/4.0/