[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

Fernando Gont fgont en si6networks.com
Mie Ene 27 05:25:26 BRST 2016 

On 01/26/2016 10:34 PM, Espinoza Sanchez, Luis Diego wrote:
> Hola Fernando, quizás yo lo vea de una forma muy simplista, pero el
> modelo de negocio, por así decirlo, del DNSSEC es muy similar al PKI,
> de hecho no se inventaron nada nuevo cuando firmaron la zona raiz,
> básicamente se siguieron procedimientos y tecnologías ya existentes
> en una CA de PKI.
> 
> Si DNSSEC no aporta ninguna protección extra al DNS, es muy posible
> que los certificados SSL y las firmas PKI firmadas por las CA’s
> tampoco.

Lo que se esta argumentando es, basicamente, que DNSSEC no te resulve
ningun probema significativo que estes teniendo.

Si el aporte que hace no es significativo, y desplegarlo tiene un costo,
la pregunta es "tiene sentido?".



> Si no es así, que hace que PKI si sea seguro y DNSSEC no? Es muy
> posible que DNSSEC se puede llevar al nivel de una CA de PKI, con la
> ventaja logística de que el PKI esta basado en X509, que es una
> estructura jerárquica que no se parece al DNS, aunque se puede usar
> los nombres de dominio para tratar de mapearlo, mientras que DNSSEC
> se basa en DNS.  DANE es una aplicación casi natural al DNSSEC,
> aunque pareciera que por ahora esta boicoteado, posiblemente luego
> resucitara con otro nombre o algo asi.

El tema es que... sin entrar en discusiones sobre DANE en particular,
estos argumentos de "posiblemente" no me parecen buenos.

Desplegar tecnologias cuesta dinero. Tanto en capacitación como en otras
tantas cosas.  Si yo mañana visito una empresa para darle consultoria en
seguridad, y me dicen "tengo X dinero para mejorar la seguridad de la
red", y tengo que presentarle un plan de lo que pienso hacer, y porqué,
dudo que esten de acuerdo con que use una poricón de ese dinero para
desplegar algo que no les este solucionando un problema concreto, con el
argumento de "existe la posibilidad de que en algun momento blah blah".


Vuelvo a dar el ejemplo de SEND (IPv6 secure neighbor discovery), que
apunta a autentificar el trafico de neighbor discovery (algo así como el
equivalente a autentificar, entre otros, al ARP de IPv4). En lo
personal, hay mil motivos por los cuales no desplegaria SEND.

En teoria no aporta algo a la seguridad de la red? - Si, claro.
Pero a la practica es algo terriblemente complejo que termina agregando
otros vectores de ataque.... y no vas a ver ninguna mejora sustancial de
seguridad en tu red.


Personalmente, yo no argumento "ignoren DNSSEC". En particular, me
parece barbaro que quienes se dedican a laburar con DNS no lo ignoren,
que lo prueben, y demas, para minimamente tener experiencia, y a la hora
de tener que debuggear cuestiones relacionadas con DNSSEC, puedan hacerlo.

Lo que *si* argumento es que, como idea general, a la hora de desplegar
tecnologia, nada es gratis... ni en dinero, ni en implicancias de otro
tipo (seguridad, etc.). Y este precio hay que tenerlo en cuenta a la
hora de tomar decisiones.

Creo que es "atendible" que venga alguien y diga "soy NIC.X, y
desplegamos DNSSEC por [motivo_politico]". Lo que es bueno es que el
motivo esté claro, y no que se crea que se esta solucionando algun
problema que en realidad no se esta solucionando.


-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Seguridad