[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

Fernando Gont fgont en si6networks.com
Mie Ene 27 15:08:01 BRST 2016 

Hola, Carlos,

On 01/27/2016 12:51 PM, Carlos M. Martinez wrote:
>>
>> Podes describir un escenario de ataque en el cual DNSSEC serviria paa
>> mitigar ese riesgo, y para el cual no exista otra variedad de ataque
>> igual o mas simple, para lograr lo mismo o algo similar?
> 
> Y cuando logres arreglar esos ataques 'mas simples', ups, derrepente el
> agujero del DNS se vuelve es eslabón débil.

Los ataques "mas simples" son ataques que realmente no espero que sean
mitigados. Por ejemplo, no espero que vaya a autentificarse el trafico
ARP ni Neighbor Discovery.

Por eso pido que alguien comente cual es el escenario de ataque que
tiene en mente, para no hablar en el aire.



> Como decía Luis Carlos, la construcción de una Internet segura es en
> capas. El de arriba me parece que no es un argumento muy valido en
> contra de DNSSEC.

Como yo mencionaba, mi idea general de las capas (como tales) es que son
distintas superficies de defensa para una misma cosa. Autenticar el
mapeo nombre -> direccion es algo que no se hace, de igual modo que
tampoco se autentifica el mapeo ip -> mac address.

Lease, se construye el resto sobre la premisa que o bien esos ataques no
van a suceder, o si suceden es porque el escenario es tal que mitigar
dichos ataques es una perdida de dinero.



>>> Ojo que dice “ayudar a mitigar”, no estoy diciendo que
>>> mitiga al 100%., igual perfectamente se puede presentar como un caso
>>> de inversion y rentable desde el punto de vista de protección de la
>>> credibilidad del banco.
>>
>> Realmente? La gente sabe, y hasta por ahi de TLS por el candadito que
>> les aparece en el navegador. No existe tal cosa para DNSSEC. Simple: si
>> me preguntaras "tu banco soporta dnssec?", te diria "ni idea... tendria
>> que probar" (impliicando esto 'dig' o similares... lo cual es chino
>> basico para todo usuario comun).
> 
> La gente no sabe ni el 0.0001% de las cosas que están hechas para su
> protección y seguridad.

Exacto. Ese es justamente el punto: ningun banco va a ganar prestigio
por implementar DNSSEC. AL igual que no va a ganar prestigio de acuerdo
a las marcas utilizadas o tipos de proteccion electrica de las
instalaciones, ni a la marca del vidrio blindado y demas.


> 
> No, no lo saben, _y esta bien que así sea_, y no porque no el público en
> general desconozca estas protecciones las vas a quitar.

Mi argumento no fue ese. Luis argumento que un motivo para desplegar
DNSSEC era ganar prestigio. Y justamente en esto coincido con vos: como
la gente no sabe el tema (y esta bien que no sepa), no vas a ganar
prestigio alguno.



> Seguimos teniendo una idea subyacente de que la Internet es algo
> 'nuevo', donde las cosas están para hacer, y donde las cosas tienen
> valor en función de que el usuario las note.

No es mi postura esa. Al contrario.


Yo justamente desde hace varios posts pedi que alguien me describa un
escenario de ataque que DNSSEC prevenga, y que sea lo suficientemente
valedero como para justificar la inversion de dinero en desplegar IPv6.
-- Pero nadie hizo el aporte en cuestión, todavia.


Personalmente, no tengo nada contra DNSSEC per-se.



> Tengo ya casi 4 años de experiencia (si cuento cuando empecé a validar,
> 3 años de firmado) y LACNIC tiene un cuerpo de experiencia operativa que
> me habilita a decir que DNSSEC se puede hacer, se puede hacer de manera
> económica y se puede hacer sin tener una tasa de fallas mayor a la que
> había antes de firmar.
> 
> Por ello, desde mi punto de vista, como stakeholder en el sistema de
> DNS, yo considero que NO puedo no tener mis zonas firmadas, ni puedo no
> hacer que mis recursivos validen.
> 
> Sería irresponsable actuar de otra manera.

Yo te puedo contar un caso analogo: mi sitio personal (www.gont.com.ar)
y el de la empresa (www.si6networks.com) son dual-stack desde hace años.
Desde algun punto de vista, los sitios "no podian no soportar IPv6 si yo
estaba vendiendo consultoria IPv6". Ese es el motivo por el cual tienen
IPv6. Mentiría si te dijera que creo que hoy en dia perdería un mail o
un cliente por cuestiones *tecnicas* vinculadas al no soporte de IPv6.
Ahi esta el punto: el motivo de despliegue esta claro, y no pasa por
ninguna ventaja que me este proveyendo IPv6.
En el caso de IPv6, sin embargo, se va haciend cada vez mucho mas facil
de justificar (acceso nativo en v6 vs via nats).

Volviendo al tema de DNSSEC, entiendo que, por ejemplo, politicamente
lacnic tengar que firmar sus zonas, etc. Del mismo modo que entiendo que
NICs de distintos paises "tengan" que hacer lo mismo. Al igual que creo
que ambos tipos de organizaciones deben poseer recursos capacitados en
el tema, experiencia, y demas (algo que tambien alguien podri argumentar
que se obtiene desplegandolo para los recursos que les competen).  -- Lo
que digo es que dichos organismos tienen motivaciones que son dificiles
de replicar en empresas u otro tipo de organizaciones. Y cuando uno
analiza las motivaciones tecnicas, personalmente creo que son cuestionables.

Desde un punto de vista comercial, si se quiere, creo que deberia ser
evidente que, para todos quienes nos dedicamos a la consultoria, el
despliegue de esta o cualquier otra tecnologia es provechoso.

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Seguridad