[LACNIC/Seguridad] TCP & DNS
Fernando Gont
fernando en gont.com.ar
Mie Dic 16 19:24:53 BRST 2009
Hola, Francisco,
Mis comentarios van entre lineas...
> Recientemente, en la revista USENIX[1], salió un articulo sobre el uso de TCP SYN COOKIES, que busca
> establecer algunas recomendaciones para atender el uso de TCP y DNS:
En el siguiente mail les reenvio mis comentarios sobre la publicación en
cuestión. Sn embargo, aqui resumo algunos puntos:
* El articulo en cuestion habla de una propuesta de cookies, aunque no
trata especificamente de los conocidos syn cookies.
* Hasta el momento no se hizo publica la especificacion del mecanismo
propuesto por Metzget et al. Por tal motivo, digamos que hasta el
momento solo se pueden hacer especulaciones sobre las bondades del
mecanismo propuesto. Sin embargo, los autores han sido amables de
enviarme una copia de la misma... asi que en cuanto tiempo revisare la
especificacion, para poder hacer un analisis un poco mas especifico del
mecanismo en cuestion.
> Sin embargo, considero que la presentación que muestra, resume muy bien los problemas a los que nos
> vamos a comenzar a enfrentar a medida que DNSSEC se vaya implementando.
Lo interesante/curioso del caso es como uno termina volviendo al punto
de partida. Tiempo atrás (Febrero 2009) publicamos nosotros un trabajo
sobre seguridad en TCP, y salvo en determinados circulos, no recibio
mayor atencion (ya que para la mayoria de la gente TCP == tecnologia
vieja == no queda nada que mejorar).
Sin embargo, a partir del momento en que uno considera hacer depender
infraestructura critica como el DNS en un protocolo como TCP, finalmente
uno debe "hacerse cargo", y enfrentar problemas que hasta el momento
venia ignorando.
> Buen tema de discusión para la próxima reunión de LACNIC :-)
No lo habia considerado... pero ahora que lo mencionas, veré de
presentar una propuesta al respecto.
Saludos cordiales,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad