Professional Documents
Culture Documents
Agenda
Introduccn alDNS:
Repasarloquesabemostodos.
A i Arquitectura:
Estructuraderbol RRs. Servidoresprimariosysecundarios.ZonasyAutoridad.
Operacin
Descripcindelprotocolo p p
Transporte,formatopaquete,etc.
Consultasyrespuestas
Directas,reversas,transferenciasdezona
Herramientas
Algunas:dig,nslookup Herramientas en Internet HerramientasenInternet
Agenda(2)
SeguridadenDNS
Problemasreconocidos Problemas reconocidos CachPoisoning AtaquesdeDNSamplification Confianzaenlosregistros Aseguramientodelastransferenciasdezonas
DNS:DomanNameSystem
INTRODUCCIN
Introduccin(1)
ElprotocoloIPasignadireccionesindividualesa todosloshostsenunaciertared Estasdireccionessonsimplementenmerosbinarios sinmayorestructura y ParaenviartrficoIPdeunhostaotroestoes tcnicamentemasquesuficiente Sinembargo,paralosusuariosdelaredes prcticamenteimposiblerecordaromanejarestos nmeros,espreferiblecontarconidentificadores textuales
Introduccin(2)
EncabezadoIPv4
Espaciodedirecciones:
32 bit 32bitsenIPv4 IP 4 128bitsenIPv6
Introduccin(3)
DNS:DomainNameSystem Propsitobsico: Propsito bsico:
TraducirnmerosIPennombrestextualesmasamigables paralosusuarioshumanosdelared
Propsitosadicionales:
Soporteadiferentesserviciosadarsobrelared
Correoelectrnico Subdelegacionesdenombres Resolucin reversa Resolucinreversa
Reverso:correspondencianombre>nmeroIP
Introduccin(4)
Requerimientosdelsistema:
Apoyo a diferentes consultas y aplicaciones Apoyoadiferentesconsultasyaplicaciones
Nombresdirectos,reversos,apoyoaaplicaciones
Distribucindelaadministracin
EnInternetnohayadministracincentralizadasinoquetodoes pornaturalezadistribuido.ElDNSdebesoportaryapoyaresta formadetrabajo.
Performanceadecuada
Lasconsultasdebenresponderselomasrpidamenteposible.
Introduccin(4)
ElDNScomobasededatos:
El objetivo principal del DNS es entonces almacenar ElobjetivoprincipaldelDNSesentoncesalmacenar informacindemapeoentrenombresynmerosIP
Directaeinversa
Introduccin(4)
Estructuradelosnombresdedominio:
4tonivel |3ernivel |2donivel |1ernivel |Raz
www.adinet.com.uy.
Hostname 2do TLD Raz delrbol
Comentarios:
Losnivelesdelrbolreflejanlasdivisionesadministrativas Elrootdelarbolestasiemprepresentedeformamplicita Nohayrestriccionesalacantidaddeniveles Losnivelessuperiores delegan hacia los inferiores Los niveles superiores deleganhacialosinferiores
Introduccin(5)
ElrboldelDNS
DNS:DomanNameSystem
Conceptosbsicos
Zonas
A cada dominio (incluyendo Acadadominio(incluyendo siemprealroot)lecorrespondelo quesedenominaunazona deDNS
Autoridad
Cadazonadefineunareginde autoridad donde se le reconoce el dondeselereconoceel derechoorganizacinque administralamisma
Respuestasautoritativas
Conceptosbsicos
Registros(Resource Records)
La informacin en la base de datos del DNS est LainformacinenlabasededatosdelDNSest estructuradaenunconjuntoderesource records:
SOA,A,NS,MX,PTR,TXT,etc.
CadaRRrepresentauntemdeinformacinenlabasede d d f l b d datosdeDNSquepuedeserconsultado
Conceptosbsicos:Resource Records
RRA:Address
Los registros A establecen las correspondencias entre LosregistrosAestablecenlascorrespondenciasentre direccionesIPynombresdedominio
RRCNAME:CanonicalName
Sonelequivalentedelosaliasesodeloslinkssimblicos.
Establecenunacorrespondenciaentredosnombres
E Enteorapararesolvercompletamentealadireccin l l l di i hacenfaltadosconsultas
EnlaprcticalosservidoresyadevuelvenelAcorrespondiente enlaseccinAdditional delaconsulta(yalovamosaver)
Conceptosbsicos:Resource Records
RRPTR:Pointer
LosregistrosPTRestablecenenlacesopunterosentrenombres deDNS,esmuysimilarconceptualmentealCNAME de DNS es muy similar conceptualmente al CNAME
Elprincipalusoesconstruireldominioin-addr.arpa quecontiene losreversos
SERIAL:
numeroversin(32bits),usadoparasabersihaycambios
RETRY:
tiempo a esperar para reintentar una transferencia fallida tiempoaesperarparareintentarunatransferenciafallida
EXPIRE:
tiempoaesperarhastaconsiderarlazonanoautoritativa
MINIMUM:
TTLmnimoqueseexportaconcualquierRRqueserespondesobreesta zona
Conceptos bsicos:ResourceRecords
RRMX:MailExchanger
EachMXrecordspecifiesadomainname(whichmusthaveanArecord associatedwithit)andapriority;alistofmailexchangersisthenordered associated with it) and a priority; a list of mail exchangers is then ordered byprioritywhendeliveringmail.MXrecordsprovideonelevelof indirectioninmappingthedomainpartofanemailaddresstoalistof hostnameswhicharemeanttoreceivemailforthatdomainname. CriticalpartoftheinfrastructureusedtosupportSMTPemail.Definedin Critical part of the infrastructure used to support SMTP email. Defined in RFC1035.
RRNS:NameServer
Losgluerecords g Specifiesahostname(whichmusthaveanArecordassociatedwithit), whereDNSinformationcanbefoundaboutthedomainnametowhich theNSrecordisattached.NSrecordsarethebasicinfrastructureon ; y g f whichDNSisbuilt;theystitchtogetherdistributedzonefilesintoa directedgraphthatcanbeefficientlysearched.DefinedinRFC1035.
Otros RRs:
Informativos:TXT Locacin geogrfica:LOC Seguridad:KEY,KX,TSIG,DNAME
Conceptosbsicos
FormatodepaquetesDNS
Header
Encabezadodelprotocolo
Question
LapreguntaquehacemosalDNS
Tuplas (Name,Type,Class)
Answer
RRs querespondenlapregunta(siesque hay),tambinen(N,T,C)
Authority
RRs queapuntanaunaautoridad(opcional)
Additional
RRs queajuiciodelDNSpuedensertiles paraquienestpreguntando
Conceptosbsicos
FormatodepaquetesDNS(II)
Class
Identificalaaplicacin,enInternetes siempreIN
T Type
EltipodeRR
SOA,MX,A,etc.
Name
Elnombrecompletoporelqueestamos preguntandooporelqueseest preguntando o por el que se est respondiendo
Conceptosbsicos
FormatodepaquetesDNS(III)
Flags:
LospaquetesdeDNSllevanalgunosflags queafectanacomoelservidorinterpreta laconsultaotraeninformacion sobre la consulta o traen informacion sobre respuesta
bit bit bit bit bit bit bit 5 6 7 8 9 10 11 AA TC RD RA AD CD Auth. Answer [RFC1035] Truncated Response [RFC1035] Recursion Desired [RFC1035] Recursion Allowed [RFC1035] Reserved Authentic Data [RFC4035] Checking Disabled [RFC4035]
Conceptosbsicos
Primariosysecundarios
Cada zona tiene que tener al menos un servidor de Cadazonatienequeteneralmenos unservidorde nombresqueseaautoritativo paraella Esteeselprimario delazona Pormotivosderedundancia,serecomiendatenerunoo msservidoressecundarios paralamisma
Los secundarios tambin son autoritativos Lossecundariostambinsonautoritativos
Transferenciadezonas
Para no tener que configurar la misma informacin dos o Paranotenerqueconfigurarlamismainformacindoso tresveces,yparafacilitarlaoperacin,existeunprotocolo detransferenciadezonas(AXFR)
Conceptosbsicos
Terminologasobreconsultas
Consultas directas Consultasdirectas
Denombreadireccin
A
C Consultasreversas lt
Dedireccinanombre
PTR
Ojoconlasinversas
Conceptos bsicos:Transporte
Clientes yservidores pueden elegir entreTCPyUDP, losservidores DEBENatender enambos
UDPpuerto 53 TCPpuerto 53
UDP:
Elpreferido por clientes finales
Lasconsultas pueden truncarse (MTU)
TCP:
Elpreferido para las consultas recursivas servidorservidor
Lasconsultas nosetruncan
Operacin:Consultas
EsquemadeunaconsultaDNS
Operacin
EsquemadeunaconsultaDNS(II)
El PC final tiene un resolver local ElPCfinaltieneunresolver
Archivo/etc/hosts
Siaquhayunaentrada,serespondedesdeaqu
CadaDNStrataderesponderde:
Sushints Sucach Suszonasautoritativas
Cada DNS cachea de forma agresiva todo los RRs que sean CadaDNScacheadeformaagresivatodolosRRs quesean posibles
Hastacuando?Seguaporlostiemposestablecidosenlos registrosSOAyenlosTTLs
Operacin:Consultas
Esquema deuna consulta DNS(III)
Una consulta puede ser:
Norecursiva
Todos losservidores DEBENsoportarlas La respuesta final podr o no llegar Larespuesta finalpodr onollegar Dependiendo dehintsycachs
Recursiva
O i Opcional l Larespuesta finalSIEMPREes devuelta
Inversa
Cuando sebusca elnamedadouncierto RR NOconfundir conlaconsulta reversadenumeros IPa nombres
Operacin:Consultas
Esquema deuna consulta DNS(IV):
Recursin:
Estees elproceso atravs delcual elrbol seforma Siunservidor recibe una consulta por:
(IN A www.adinet.com.uy) (IN, A, di t )
Debe:
Buscar laraz Buscar eluy l Buscar elcom.uy Buscar eladinet.com.uy Buscar elwww.adinet.com.uy
Operacin:RootServers
Comoarranca elproceso?Buscando laraz Rootservers Root servers
Sonuna serie deservidores bien conocidos repartidos en elmundo Todos losservidores DNScuando uno losinstala vienen un unhintfile delosrootservers
Comosesigue l laautoridad? d d?
Cada zona puede delegar subzonas aotros servidores Gl Gluerecords d
Sonregistros NS(nameserver)que apuntan auna subzona, realizando una delegacin deautoridad
Operacin:RootServers
(Fuente:Wikipedia)
Observacin:
di ib d i distributedusinganycastsignifica que existen mltiples i ifi i l i l copias enelmundo delosmismos
Operacin:RootServers
(Fuente:Wikipedia)
DNS:DomanNameSystem
HERRAMIENTAS
Herramientas:Dig
DIG
Herramientas:Dig
DIG:consultas reversas
Herramientas:Dig
DIG:Consulta contraza
Herramientas:nslookup
Eraelclsico
Un poco en desuso Unpoco endesuso Eslounico que viene conWindows Lineadecomando pura ointeractivo tipo shell
DNS:DomanNameSystem
SeguridadenDNS
Aspectosprincipales:
CachPoisoning Cach Poisoning DNSamplification attacks Aseguramientodelastransferenciasdezona Certificacindeautoridad
Aspectosnodirectamenterelacionadosconel protocolo
VulnerabilidadesenelsoftwarequeimplementaDNS
SeguridadenDNS:CachPoisoning
Elcachpoisoning esunatcnicaporlacuales p posibleengaaraunservidorDNSyhacerlecreer g y querecibi informacinautnticayvlida g y Elservidorluegocacheaesainformacinylautiliza pararesponderotrasconsultashastaladuracinel TTLdelosRRs cacheados Deestaformapropagaelengaodownstream Paraqu?
Redirigirtrficoasitiostomados,pharming Robodeinformacin
SeguridadenDNS:CachPoisoning (II)
Cmo?
Recordarquelosserverscacheanagresivamentelaseccin Additional delarespuesta Truco:devolverelengaoenestaseccin
El atacante debe tener un DNS server bajo su dominio con una ElatacantedebetenerunDNSserverbajosudominio,conuna zonaautoritativa.
Ejemplo:
U li UnclientepreguntaalDNSdegood.orgporelMXde l DNS d d l MX d bad.org LarespuestatraeelMXdebad.orgyademstrae,por ejemplo:
ns.banco.com.uy IN A X.Y.Z.W X.Y.Z.WeslaIPdelDNSdebad.orgocualquierotroequipo g q q p malicioso
SeguridadDNS:CachPoisoning (III)
Cachpoisoning via DNSforgery
Inyectar paquetes de respuesta antes que el verdadero Inyectarpaquetesderespuestaantesqueelverdadero servidordenombresenunaconsultarecursiva Implicaadivinarunnonce de16bits
Esloqueseusaparaatarpreguntasconrespuestas Puedenosertancomplicado,esunejemplodeunbirthday attack
SeguridadenDNS:DNSamplification
DDoS via DNSamplification
EsunaformadelograrDDoS aprovechandoservidoresDNS querespondenconsultas recursivasparacualquiera
Estodesdesiempresesupoqueno eraunabuenaprctica,pero
Componentes:
ConsultasconIPs spoofed
Generarreflexionesaotroslugares, clsicousodelspoofing clsico uso del spoofing
DNSamplification
Cmoesposible?UsandoUDP, nohay3wayhandshake! h 3 h dh k !
SeguridadDNS:DNSamplification (II)
Primerpaso:
Hacer que muchos servidores de nombres guarden en Hacerquemuchosservidoresdenombresguardenen cachunoomasregistrosgrandes
TpicamenteseusanTXTs queresideenunservidorbajocontroldel atacante.Ellargomximo(RFC1035)esde255caracteres,perose atacante El largo mximo (RFC 1035) es de 255 caracteres pero se puedenponervarios. Estosepuedehacerconsultndolosporeseregistro,yesto funcionasiemprequelosservidoresamplificadoressoporten funciona siempre que los servidores amplificadores soporten recursin
Elpaquetedeconsultaespequeo,p.ej.20bytes Larespuestapuedellegaraserde1Ka4K!
SeguridadDNS:DNSamplification (III)
Segundopaso:
Realizarlasconsultasspoofed conIPdeorigenladela vctima
LasconsultassehacenporlosregistrosTXTqueesperamosesten en elcachdetodoslosrecursivosintermedios
Reir!!!
Algnnumero:
20 20servidoresrecursivos id i Amplificacin100X
20bytes>2Kbytes y y
ADSLde512Kbps Trficodeataque:1Gbps
512 Kb * 100 * 20 512Kbps*100*20
Seguridad enDNS:AXFRs
Transferencias dezona:
Necesario para implementar esquemas dereplicacin primario secundarios d
Problemas:
Exposicin de la informacin delainformacin
Por defecto las zonas viajan entexto plano
Denegaciones deservicio
Si cualquiera puede disparar un AXFR y como los AXFRs son Sicualquiera unAXFR,ycomo losAXFRsson potencialmente demuchos RRs,sepueden generar DoS locales
Soluciones:
Buenas prcticas de filtrado defiltrado Cifrado enlas transferencias
Propios delDNS Establecer esquemas d bl deVPNuotros tneles cifrados l f d
Seguridad enDNS:Autoridad
Porqu?
Si un atacante logra mentir sobre la autoridad sobre una Siunatacante laautoridad zona puede envenenar cachs yredirigir trfico avoluntad Nosoloencaso deataques,sino tambin encasos de disputas comerciales,surgecada vez mas como una d l d necesidad elpoder certificar laautoridad deuna organizacin sobre una zona g
Propuestas
Protocolo DNSSEC
Esquema dePKIapoyado enelpropio arbol delDNS
Leito sabe mas que yo deesto
DNS:DomanNameSystem
Comentarios finales
Esta presentacion apenas rasca untema muy vasto Paracompletar unpanoramacompleto deltema Para completar un panorama completo del tema faltaria:
Hacer unpequeno tutorialsobre como configurar unDNS p q g conBIND9
Repasando conceptos mas especificos delas implementaciones, como ser el de las views sereldelas
Hablar mas endetalle decomo seimplementa elmapeo reverso ydelazona inaddr.arpa Hablar mas endetalle deDNSSEC Hablar mas endetalle delosposibles ataques alDNS,los que estan nombrados aca y los que no ylosque
DNS:DomanNameSystem
GRACIASPORSUATENCION! PREGUNTAS?