DNSec – seguridad

de los nombres de
FUNDADOR DE LA

dominio y
MIEMBRO DE IAPP, ISACA, ACFE,
HÉCTOR LÓPEZ

OPSEC, ACM, ANTIPHISHING

WORKING GROUP, ISSA Y OWASP.

configuración de HA
OMHE .ORG
 ESTA PRESENTACIÓN ES CON
FINES DE INVESTIGACIÓN Y SE
CUENTA CON AUTORIZACIÓN DEL
PROPIETARIO DE LA RED PARA
PRUEBAS Y CORREGIR LA
SEGURIDAD DE LA MISMA.

Héctor López y la Organización Mexicana

de Hackers Éticos NO son responsables del
mal uso de la información expuesta.
DNSSEC
Vulnerabilidad del DNS

●
Caché-poisoning

●
Interceptación de DNS

●
Confidencialidad

●
Disponibilidad

●
Integridad

●
Ataques de reflexión
Cache Poisoning (Envenenamiento de Cache)
Vulnerabilidad del DNS
Interceptación de DNS
DNSSEC - Beneficios

●
DNSSEC frena la corrupción y el spoofing de los datos contenidos en una zona DNS

◦ Utilizando DNSKEY, RRSIG y NSEC/NSEC3

●
Brinda un mecanismo de delegación de confianza entre distintas zonas
(Chain of Trust / Cadena de Confianza)

◦ Utilizando DS
Implementación de DNSSEC

Principales desafíos

●
Entorno de generación de llaves seguro

●
Automatización de monitoreo de llaves

●
Automatización del proceso de generación de llaves

●
Almacenamiento seguro de las llaves

●
Definición de DPS (DNSSEC Practice Statement)

●
Proceso de firmado de zonas seguro y eficiente
Entorno de generación de llaves seguro


PC de generación de llaves aislada

◦ Sistema offline

◦ Redundante (dos PCs de iguales características)

◦ Sistema operativo con directorios de trabajo para la tarea que operan sobre la RAM
Automatización de monitoreo
Proceso de generación de llaves

Software desarrollado internamente para la automatización de generación de llaves

Almacenamiento seguro de las llaves

●
Guardado en pendrives cifrados (utilizando GnuPG y AES256)

●
Se realizan copias redundantes cifradas de los mismos

●
Almacenamiento en distintas locaciones físicas dentro de bolsas de seguridad y dentro de

caja fuerte ignífuga

Proceso de firmado de Zonas


Actualmente se utilizan solo las ZSK’s y RRSIG’s para el firmado de las zonas, dejando las KSK’s a
resguardo y fuera de la operación diaria

◦ Las KSK’s son las llaves de mayor importancia. Los RRSIG’s son producidos a partir de KSK’s, sin
embargo a diferencia de éstas los RRSIG’s sí poseen fecha de inicio y fin de validez


Se utiliza BIND para el firmado, realizándolo por software en un servidor específicamente dedicado a tal fin
Entorno de generación de llaves seguro


Utilización de los Chipset’s TPM (Trusted Platform Module) de las PC’s de escritorio DELL para la
generación de números aleatorios

◦ Los mismos están estandarizados internacionalmente por tratarse de criptoprocesadores seguros

(ISO/IEC 11889 2009)

◦ Poseen un True Random Number Generator (TRNG)

◦ Se realiza una comprobación antes de iniciar cada ceremonia para verificar que pase correctamente

Tests FIPS 140-2 (software utilizado: rngtest)

 1.- No te portes mal, en la prisión no hay
WiFi

Hacker @ omhe .org