[LACNIC/Seguridad] DNS cache poisoning
Fernando Gont
fernando en gont.com.ar
Lun Ago 25 08:25:39 BRT 2008
At 02:21 p.m. 14/07/2008, you wrote:
>Estimado Fernando :
>
>En definitiva 2^32 sigue siendo insuficiente ,
>¿Cual es tu propuesta al respecto?
En lineas generales, yo soy de la idea de atacar el problema por muchos lados.
Lo que propone como solución al problema es
DNSSEC, que consiste básicamente en firmar la
información del DNS. Y como suele suceder con
este tipo de soluciones, tampoco son perfectas...
al menos no en la práctica. (por ej., mirá los comentarios de DJB en su sitio).
2^32 no es suficiente. Pero, en muchos
escenarios, hace que la cosa sea un poco menos
terrible de lo que puede llegar a ser.
Fijate que, salvando las distancias ha sucedido
algo parecido en estos últimos años en lo que
respecta a TCP: durante los últimos años se
"encontraron" una variedad de vectores para
realizar ataques ciegos. La "solución definitiva"
(si es que existe tal cosa) podría ser agregar
autentificación como por ejemplo mediante la
TCP-AO que está produciendo la IETF en este
momento (una opcion TCP MD5 mejorada, por asi
decirlo). Sin embargo, implementando las
soluciones especificas a los vectores
encontrados, y algunas generales (como "port
randomization"), básicamente llevás la
vulnerabilidad a ataques *ciegos* a niveles
aceptables. Al menos en los casos generales, y por ahora.... :-)
Saludos,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad