LUK
12-10-2008, 17:32
Quieren conseguir que el DNS sea menos susceptible a los atacantes.
El gobierno de E.E.U.U. está buscando aportes para lograr hacer que el sistema de direccionamiento de Internet sea menos susceptible a las interferencias de los atacantes. Dentro de esa idea, los registros de la zona raíz del Sistema de Nombres de Dominios (DNS) serían firmados criptográficamente usando las Extensiones de Seguridad del Sistema de Nombres y Direccionamiento de Dominios (DNSSEC), un conjunto de protocolos para que permite que los registros DNS lleven una firma digital.
El Departmento de Comercio de E.E.U.U. (http://www.computerworld.com/action/inform.do?command=search&searchTerms=U.S.+Department+of+Commerce) esta solicitando comentarios hasta el 24 de noviembre sobre como el DNSSEC (http://www.icann.org/en/announcements/dnssec-proposal-09oct08-en.pdf) podría ser desplegado de la mejor forma.
La zona raíz (root zone) es la lista maestra de donde pueden ir a buscar las computadoras una dirección en particular tal como .com. El DNS traduce los nombres de los sitios Web, tales como www.computerworld.com en una dirección IP numérica, la cual es usada por las computadoras para encontrar el sitio Web.
Pero varios problemas en el DNS hacen posible a los atacantes el suministrar una dirección IP diferente para un sitio Web. Esto significa que los usuarios piensan que están viendo www.computerworld.com pero están en un sitio de phishing.
La vulnerabilidad más seria de DNS fue hecha pública en julio por el investigador de seguridad Dan Kaminsky (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9111882). Casi todos los programas de DNS son vulnerables a este ataque. Los principales proveedores (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9107978) han distribuidos parches temporarios pero están trabajando en un arreglo más permanente (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=321866).
Los expertos de seguridad han recomendado la adopción (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=82018&pageNumber=3) de DNSSEC por años, pero la implementación ha sido despareja. El gobierno de E.E.U.U. dijo que usará DNSSEC para su dominio .gov. Los operadores de dominio de alto nivel de código de país (ccTLD) de Suecia (.se), Brasil (.br), Puerto Rico (.pr) y Bulgaria (.bg) también están usando DNSSEC. El operador de .org TLD también se ha comprometido a este sistema, segun dijo el Departamento de Comercio.
Pero para conseguir los beneficios completos de DNSSEC, se requiere que los registradores de nombres de dominio, los registros de nombres de dominio, los proveedores de servicio de Internet y otros actualicen su software. Los sistemas de los usuarios también debe ser configurados para verificar las firmas digitales.
"La zona raíz DNSSEC firmada representaría uno de los cambios más significativos de la infraestructura DNS desde que fue creada," según un anuncio emanado del Departamento de Comercio en el Federal Register, un resumen diario de noticias del gobierno de EEUU.
Implementar DNSSEC (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9004020) también introduciría nuevos pasos en como se publicarían los cambios en la zona raíz. Tal como está ahora, los operadores de TLD envían los cambios al IANA, Autoridad de Números Asignados de Internet (http://www.computerworld.com/action/inform.do?command=search&searchTerms=Internet+Corporation+for+Assigned+Name s+and+Numbers), que es una parte de la ICANN, Corporación de Internet para Nombres y Números Asignados. La ICANN luego envía los cambios a la Administración Nacional de Telecomunicaciones e Información de EEUU, que es parte del Departamento de Comercio. Una vez aprobado, VeriSign Inc (http://www.computerworld.com/action/inform.do?command=search&searchTerms=VeriSign+Inc.)., una compañía comercial, modifica el archivo raíz y lo envía a los operadores de los 13 servidores raíz distribuidos en el mundo.
El alto involucramiento del gobierno de EEUU en como el sistema de direcciones de Internet es administrado, tanto como los intereses de VeriSign, han traído las críticas respecto que el proceso es demasiado centralizado por EEUU.
Y parece que se esta preparando una batalla sobre cual entidad administrará las claves criptográficas necesarias para firmar el archivo de la zona raíz.
ICANN ha enviado una propuesta (http://www.icann.org/en/announcements/dnssec-proposal-09oct08-en.pdf) recomendando que ellos deberían conservar las claves. ICANN dijo que son una organización sin fines de lucro y transparente que "no está sometida a las consideraciones de mercado basadas en pérdidas y ganancias."
VeriSign refutó en su propuesta (http://www.ntia.doc.gov/DNS/VeriSignDNSSECProposal.pdf) que deberían poder conservar un tipo de clave necesaria para el proceso de firma, y la de otro tipo debería ser repartida entre otras entidades.
Autor: Jeremy Kirk, IDG News Service
Fuente:
http://www.csoonline.com/article/454169/U.S._Gov_t_Proposes_Digital_Signing_of_DNS_Root_Zo ne_File
El gobierno de E.E.U.U. está buscando aportes para lograr hacer que el sistema de direccionamiento de Internet sea menos susceptible a las interferencias de los atacantes. Dentro de esa idea, los registros de la zona raíz del Sistema de Nombres de Dominios (DNS) serían firmados criptográficamente usando las Extensiones de Seguridad del Sistema de Nombres y Direccionamiento de Dominios (DNSSEC), un conjunto de protocolos para que permite que los registros DNS lleven una firma digital.
El Departmento de Comercio de E.E.U.U. (http://www.computerworld.com/action/inform.do?command=search&searchTerms=U.S.+Department+of+Commerce) esta solicitando comentarios hasta el 24 de noviembre sobre como el DNSSEC (http://www.icann.org/en/announcements/dnssec-proposal-09oct08-en.pdf) podría ser desplegado de la mejor forma.
La zona raíz (root zone) es la lista maestra de donde pueden ir a buscar las computadoras una dirección en particular tal como .com. El DNS traduce los nombres de los sitios Web, tales como www.computerworld.com en una dirección IP numérica, la cual es usada por las computadoras para encontrar el sitio Web.
Pero varios problemas en el DNS hacen posible a los atacantes el suministrar una dirección IP diferente para un sitio Web. Esto significa que los usuarios piensan que están viendo www.computerworld.com pero están en un sitio de phishing.
La vulnerabilidad más seria de DNS fue hecha pública en julio por el investigador de seguridad Dan Kaminsky (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9111882). Casi todos los programas de DNS son vulnerables a este ataque. Los principales proveedores (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9107978) han distribuidos parches temporarios pero están trabajando en un arreglo más permanente (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=321866).
Los expertos de seguridad han recomendado la adopción (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=82018&pageNumber=3) de DNSSEC por años, pero la implementación ha sido despareja. El gobierno de E.E.U.U. dijo que usará DNSSEC para su dominio .gov. Los operadores de dominio de alto nivel de código de país (ccTLD) de Suecia (.se), Brasil (.br), Puerto Rico (.pr) y Bulgaria (.bg) también están usando DNSSEC. El operador de .org TLD también se ha comprometido a este sistema, segun dijo el Departamento de Comercio.
Pero para conseguir los beneficios completos de DNSSEC, se requiere que los registradores de nombres de dominio, los registros de nombres de dominio, los proveedores de servicio de Internet y otros actualicen su software. Los sistemas de los usuarios también debe ser configurados para verificar las firmas digitales.
"La zona raíz DNSSEC firmada representaría uno de los cambios más significativos de la infraestructura DNS desde que fue creada," según un anuncio emanado del Departamento de Comercio en el Federal Register, un resumen diario de noticias del gobierno de EEUU.
Implementar DNSSEC (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9004020) también introduciría nuevos pasos en como se publicarían los cambios en la zona raíz. Tal como está ahora, los operadores de TLD envían los cambios al IANA, Autoridad de Números Asignados de Internet (http://www.computerworld.com/action/inform.do?command=search&searchTerms=Internet+Corporation+for+Assigned+Name s+and+Numbers), que es una parte de la ICANN, Corporación de Internet para Nombres y Números Asignados. La ICANN luego envía los cambios a la Administración Nacional de Telecomunicaciones e Información de EEUU, que es parte del Departamento de Comercio. Una vez aprobado, VeriSign Inc (http://www.computerworld.com/action/inform.do?command=search&searchTerms=VeriSign+Inc.)., una compañía comercial, modifica el archivo raíz y lo envía a los operadores de los 13 servidores raíz distribuidos en el mundo.
El alto involucramiento del gobierno de EEUU en como el sistema de direcciones de Internet es administrado, tanto como los intereses de VeriSign, han traído las críticas respecto que el proceso es demasiado centralizado por EEUU.
Y parece que se esta preparando una batalla sobre cual entidad administrará las claves criptográficas necesarias para firmar el archivo de la zona raíz.
ICANN ha enviado una propuesta (http://www.icann.org/en/announcements/dnssec-proposal-09oct08-en.pdf) recomendando que ellos deberían conservar las claves. ICANN dijo que son una organización sin fines de lucro y transparente que "no está sometida a las consideraciones de mercado basadas en pérdidas y ganancias."
VeriSign refutó en su propuesta (http://www.ntia.doc.gov/DNS/VeriSignDNSSECProposal.pdf) que deberían poder conservar un tipo de clave necesaria para el proceso de firma, y la de otro tipo debería ser repartida entre otras entidades.
Autor: Jeremy Kirk, IDG News Service
Fuente:
http://www.csoonline.com/article/454169/U.S._Gov_t_Proposes_Digital_Signing_of_DNS_Root_Zo ne_File