[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

Programa STIC stic en fundacionsadosky.org.ar
Mie Ene 27 17:38:11 BRST 2016 

El 27/1/16 a las 12:51, Carlos M. Martinez escribió:
> Hola Fernando,
> 
> On 2016-01-27 12:19 PM, Fernando Gont wrote:
>> Hola, Luis,
>>
>>
>> Podes describir un escenario de ataque en el cual DNSSEC serviria paa
>> mitigar ese riesgo, y para el cual no exista otra variedad de ataque
>> igual o mas simple, para lograr lo mismo o algo similar?
>>
> 
> Y cuando logres arreglar esos ataques 'mas simples', ups, drrepente el
> agujero del DNS se vuelve es eslabón débil.

cuando? cuales?

El envenenamiento de DNS se conoce desde los 1990s. La Internet ya ruteó
alrededor de ese problema. DNSSEC no previene domain hijacks ni BGP
hijacks, ni que hablar de compromiso de cualquiera de los eslabones en
la cadena de comunicaciones ni ataques de man-in-the-midle contra el
endpoint que hace la resolución de dominio.

> Como decía Luis Carlos, la construcción de una Internet segura es en
> capas. El de arriba me parece que no es un argumento muy valido en
> contra de DNSSEC.


La capa de DNSSEC agrega complejidad, vulnerabilidad y no proporciona
ningún beneficio adicional a lo que que ya se obtiene con otros mecanismos.

El axioma de que "la construcción de seguridad se hace por capas" es una
generalización que debe ser demostrada en cada caso específico.

En el caso específico de DNSSEC es, en mi opinión exactamente lo
contrario, agrega nuevos puntos de falla en toda la cadena y en varias
capas, desde la de transporte, porque genera fragmentación, hasta la de
aplicación y presentación porque requiere cambios poco entendibles y
poco claros en las aplicaciones. Ni que hablar de la selección anticuada
e incluso errónea de cripto (RSA 1024-bits, PKCS #1 v1.5) ni del hecho
de que le proporciona a un atacante un mecanismo ideal para ataques de
denegación de servicio con un factor de amplificación de tráfico de 30 o
mas.

Esos son, en mi opinión claro, todos argumentos técnicos válidos en
contra de DNSSEC.

Volviendo al axioma de que "la construcción de una Internet segura es en
capas" estoy interesado en la fuente. De donde salió? En que contexto se
dijo?

Pregunto esto porque parecería contradecir directamente lo que que
Saltzer, Reed & Clark indican en "End to end arguments in systems
design" [1] y no parece desprenderse de ninguno de los principios de
Saltzer & Schroeder[2] que son referencia obligada en la disciplina de
seguridad informática.

Confieso que el axioma me intrigó asi que empecé a buscar referencias y
lo más cercano que encontré esta en el capitulo 19 de "Computer
Security. Art and Science" de Matt Bishop.

En "19.1.2.1 Security Mechanisms and Layered Architecture" (pp. 500-501)
podemos leer:

	An early architectural decision is selecting the correct layer
	for a mechanism. Designer must select the layer at which the
	mechanism will be the most efficient and the most effective.
	...
	Once a layer has been chosen for a security mechanism, one must
	consider how to protect the layers below that layer.
	...
	It may not be possible to place a mechanism in the desired
	layer unless what is being developed includes all the pertinent
	architectural layers

Lo anterior parecería indicar que incluso si se concibe la seguridad
"por capas", implementar mecanismos de a una capa por vez sin considerar
la interrelación e interoperación necesaria con el resto de las capas no
sería lo más aconsejable.

Si no es ahí, sospecho que el origen del axioma de que una Internet
segura se construye por capas puede estar originado en alguna de las
varias interpretaciones erradas del concepto de "seguridad en
profundidad". Sobre eso podemos charlar en otro thread

Me quedó una duda sobre algo que dijiste al final:
> Por ello, desde mi punto de vista, como stakeholder en el sistema
> de  DNS, yo considero que NO puedo no tener mis zonas firmadas,
> ni puedo no  hacer que mis recursivos validen.
>
> Sería irresponsable actuar de otra manera.
>

Que pasa cuando la validación de tus recursivos falla, devuelven SERVFAIL?


Saludos,

-ivan

[1] http://web.mit.edu/Saltzer/www/publications/endtoend/endtoend.pdf
[2] http://www.cs.virginia.edu/~evans/cs551/saltzer/



> Tengo ya casi 4 años de experiencia (si cuento cuando empecé a validar,
> 3 años de firmado) y LACNIC tiene un cuerpo de experiencia operativa que
> me habilita a decir que DNSSEC se puede hacer, se puede hacer de manera
> económica y se puede hacer sin tener una tasa de fallas mayor a la que
> había antes de firmar.
> 


-- 
Programa de Seguridad en TIC
Fundación Dr. Manuel Sadosky
Av. Córdoba 744 Piso 5 Oficina I
TE/FAX: 4328-5164

Más información sobre la lista de distribución Seguridad