Idiomas

Inicio de sesión

Tutorial de DNS

Posted Dom, 13/09/2009 - 7:59pm by Bernat

Finalmente Google me ha indexado y ya existimos, ya se sabe si hay algo que google no es capaz de encontrar en Internet eso no existe o no vale la pena. Espero ganar popularidad con el tiempo e ir subiendo escalones en las búsquedas de Google.

En este tiempo he empezado a añadir un tutorial sobre el DNS (Domain Name Service), que si bien es uno de los protocolos fundamentales de Internet es también un gran desconocido, es el encargado que cuando alguien escribe www.shenron.es en el navegador este sepa dónde ir a buscar mi página, y el motivo por que he decidido escribir sobre el DNS es que después de que Dan Kaminsky descubriera importantes debilidades en el DNS vuelve a estar de actualidad.

Estas debilidades eran conocidas pero se consideraban difíciles de explotar, el descubrimiento de Kaminsky se ve agravado por la dejadez que en muchas ocasiones existe alrededor de infraestructura crítica de Internet, que facilita la explotación. Aquí algunos ejemplos:

Spoofing: el spoofing consiste en enviar datagramas con IP origen falsa, en el caso de protocolos que funcionan sobre UDP es especialmente fácil, ya que no requiere establecimiento de conexión. Se podría mitigar implementando las recomendaciones del BCP 38, que consisten básicamente básicamente en configurar los routers para que acepten paquetes con direcciones IP que son obviamente falsas (la IP origen no es accesible a través del interfaz por el que el router ha recibido el paquete.
No bloquear peticiones de ubicaciones no autorizadas: los servidores recursivos sólo deberían aceptar peticiones de aquellas direcciones IP de la organización que lo gestiona y rechazar peticiones de fuera.

Adicionalmente Kaminsky utilizó el ataque de cumpleaños para maximizar las probabilidades de éxito como viene detallado en la sección 5 del RFC 5452.

Estas vulnerabilidades no se solucionarán completamente hasta la implementación de DNNSEC pero se han mitigado de manera importante con la implementación de los puertos de origen aleatorios.

Esto es todo por esta vez, pronto estaré de vuelta espero que os haya gustado.

Bernat's blog
Inicie sesión para enviar comentarios