[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

Espinoza Sanchez, Luis Diego lespinoz en gmail.com
Mie Ene 27 12:59:16 BRST 2016 

Fernando,
el DNS en si, es de las tecnologías mas baratas de mantener, el costo de DNSSEC es marginal comparado con el costo de implementar tecnologías similares en otras aplicaciones.

En realidad, desde un punto de vista de costo/beneficio, que parece que es la forma en que quieres plantearlo, si se ve como una medida para contrarrestar ataques de algún tipo ya que en algún momento se hablaba del envenenamiento de cache, y eso asusto a mas de uno a correr a implementar DNSSEC, pero luego que paso la tormenta, queda el tema de analizar en frío la tecnología y lo que aporta.

Ahora lo veo como un mecanismo de mitigación de riesgos. Diría que un bajo nivel de posibilidad de ocurrencia, pero que en caso de ocurrir el impacto es alto para algunos, esto dependiendo de la organización obviamente.  Un deface del sitio web transaccional de un banco tiene un impacto diferente al del sitio web de la facultad de matemáticas de una universidad. Para un banco, pagar por un mecanismo que ayude a mitigar el riesgo de suplantación del sitio web, podría justificarse perfectamente. Ojo que dice “ayudar a mitigar”, no estoy diciendo que mitiga al 100%., igual perfectamente se puede presentar como un caso de inversion y rentable desde el punto de vista de protección de la credibilidad del banco.

Ahora, el rol adicional de los operadores de  infraestructura común, aunque un banco quiera implementar DNSSEC, porque así lo determino su plan de gestión de riesgo, o un gobierno, por ejemplo, se sabe que si la cadena no esta completa, no funciona, en este sentido los operadores de DNS deberían proveer la infraestructura de DNSSEC solo “por si acaso”, ya que ahora es parte de su servicio básico, ya no solo resolver DNS, aquí no estamos hablando de un costo/beneficio en riesgo, estamos hablando de infraestructura básica en la que hay que invertir, aunque esto muchos no lo han notado todavía.

saludos,


> On Jan 27, 2016, at 1:25 AM, Fernando Gont <fgont en si6networks.com> wrote:
> 
> On 01/26/2016 10:34 PM, Espinoza Sanchez, Luis Diego wrote:
>> Hola Fernando, quizás yo lo vea de una forma muy simplista, pero el
>> modelo de negocio, por así decirlo, del DNSSEC es muy similar al PKI,
>> de hecho no se inventaron nada nuevo cuando firmaron la zona raiz,
>> básicamente se siguieron procedimientos y tecnologías ya existentes
>> en una CA de PKI.
>> 
>> Si DNSSEC no aporta ninguna protección extra al DNS, es muy posible
>> que los certificados SSL y las firmas PKI firmadas por las CA’s
>> tampoco.
> 
> Lo que se esta argumentando es, basicamente, que DNSSEC no te resulve
> ningun probema significativo que estes teniendo.
> 
> Si el aporte que hace no es significativo, y desplegarlo tiene un costo,
> la pregunta es "tiene sentido?".
> 
> 
> 
>> Si no es así, que hace que PKI si sea seguro y DNSSEC no? Es muy
>> posible que DNSSEC se puede llevar al nivel de una CA de PKI, con la
>> ventaja logística de que el PKI esta basado en X509, que es una
>> estructura jerárquica que no se parece al DNS, aunque se puede usar
>> los nombres de dominio para tratar de mapearlo, mientras que DNSSEC
>> se basa en DNS.  DANE es una aplicación casi natural al DNSSEC,
>> aunque pareciera que por ahora esta boicoteado, posiblemente luego
>> resucitara con otro nombre o algo asi.
> 
> El tema es que... sin entrar en discusiones sobre DANE en particular,
> estos argumentos de "posiblemente" no me parecen buenos.
> 
> Desplegar tecnologias cuesta dinero. Tanto en capacitación como en otras
> tantas cosas.  Si yo mañana visito una empresa para darle consultoria en
> seguridad, y me dicen "tengo X dinero para mejorar la seguridad de la
> red", y tengo que presentarle un plan de lo que pienso hacer, y porqué,
> dudo que esten de acuerdo con que use una poricón de ese dinero para
> desplegar algo que no les este solucionando un problema concreto, con el
> argumento de "existe la posibilidad de que en algun momento blah blah".
> 
> 
> Vuelvo a dar el ejemplo de SEND (IPv6 secure neighbor discovery), que
> apunta a autentificar el trafico de neighbor discovery (algo así como el
> equivalente a autentificar, entre otros, al ARP de IPv4). En lo
> personal, hay mil motivos por los cuales no desplegaria SEND.
> 
> En teoria no aporta algo a la seguridad de la red? - Si, claro.
> Pero a la practica es algo terriblemente complejo que termina agregando
> otros vectores de ataque.... y no vas a ver ninguna mejora sustancial de
> seguridad en tu red.
> 
> 
> Personalmente, yo no argumento "ignoren DNSSEC". En particular, me
> parece barbaro que quienes se dedican a laburar con DNS no lo ignoren,
> que lo prueben, y demas, para minimamente tener experiencia, y a la hora
> de tener que debuggear cuestiones relacionadas con DNSSEC, puedan hacerlo.
> 
> Lo que *si* argumento es que, como idea general, a la hora de desplegar
> tecnologia, nada es gratis... ni en dinero, ni en implicancias de otro
> tipo (seguridad, etc.). Y este precio hay que tenerlo en cuenta a la
> hora de tomar decisiones.
> 
> Creo que es "atendible" que venga alguien y diga "soy NIC.X, y
> desplegamos DNSSEC por [motivo_politico]". Lo que es bueno es que el
> motivo esté claro, y no que se crea que se esta solucionando algun
> problema que en realidad no se esta solucionando.
> 
> 
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 
> 
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 842 bytes
Desc: Message signed with OpenPGP using GPGMail
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20160127/8d93627c/attachment.sig>

Más información sobre la lista de distribución Seguridad