[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC
Espinoza Sanchez, Luis Diego
lespinoz en gmail.com
Mar Ene 26 23:34:39 BRST 2016
Hola Fernando,
quizás yo lo vea de una forma muy simplista, pero el modelo de negocio, por así decirlo, del DNSSEC es muy similar al PKI, de hecho no se inventaron nada nuevo cuando firmaron la zona raiz, básicamente se siguieron procedimientos y tecnologías ya existentes en una CA de PKI.
Si DNSSEC no aporta ninguna protección extra al DNS, es muy posible que los certificados SSL y las firmas PKI firmadas por las CA’s tampoco.
Si no es así, que hace que PKI si sea seguro y DNSSEC no?
Es muy posible que DNSSEC se puede llevar al nivel de una CA de PKI, con la ventaja logística de que el PKI esta basado en X509, que es una estructura jerárquica que no se parece al DNS, aunque se puede usar los nombres de dominio para tratar de mapearlo, mientras que DNSSEC se basa en DNS. DANE es una aplicación casi natural al DNSSEC, aunque pareciera que por ahora esta boicoteado, posiblemente luego resucitara con otro nombre o algo asi.
No pensaba alargar la intervención, pero está interesante la discusión.
saludos,
> On Jan 26, 2016, at 6:21 PM, Fernando Gont <fgont en si6networks.com> wrote:
>
> Diego,
>
> On 01/26/2016 07:28 PM, Espinoza Sanchez, Luis Diego wrote:
>> Mis ¢2
>> 1 - Creo que la seguridad basada en defensa por capas, no ha pasado de
>> moda, así como las organizaciones tienen un firewall, también aseguran
>> los servidores en si mismos y las aplicaciones, así como todo lo
>> relacionado con el acceso lógico y físico, aunque exista firewall. En
>> este caso, DNSSEC lo pueden ver como una capa mas de seguridad.
>
> Yo creo que el concepto es diferente. Uno puede, en general, pensar en
> seguridad en capaz como distintas formas de proteger la misma cosa (con
> distintos costos, etc.).
>
> Por ej., en
> <https://tools.ietf.org/html/draft-gont-opsawg-firewalls-analysis-01>,
> decimos:
>
> 3.1. The Role of Firewalls in Internet Security
>
> One could compare the role of firewalls in prophylactic perimeter
> security to that of the human skin: the service that the skin
> performs for the rest of the body is to keep common crud out, and as
> a result prevent much damage and infection that could otherwise
> occur. The body supplies prophylactic perimeter security for itself
> and then presumes that the security perimeter has been breached; real
> defenses against attacks on the body include powerful systems that
> detect changes (anomalies) counterproductive to human health, and
> recognizable attack syndromes such as common or recently-seen
> diseases. One might well ask, in view of those superior defenses,
> whether there is any value in the skin at all; the value is easily
> stated, however. It is not in preventing the need for the stronger
> solutions, but in making their expensive invocation less needful and
> more focused.
>
> El argumento acá es que autentificar el mapeo nombre -> IP en realidad
> no esta brindando ninguna proteccion extra real.
>
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 842 bytes
Desc: Message signed with OpenPGP using GPGMail
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20160126/91dc8c10/attachment.sig>
Más información sobre la lista de distribución Seguridad