Help Us Shape The Internet's Future

 

 

At-Large Summit Briefing Material


Ataques de DNSSec y de alojamiento Fast Flux: introducción

Date: 
19 February 2009

Texto de introducción

Por el personal de ICANN

El personal de ICANN ha generado este documento para notificar a los partícipes de la cumbre de At-Large información básica sobre algunos temas importantes que se debaten en las reuniones de la cumbre.

[Fin de la introducción]

Nota sobre la reunión de la cumbre de At-Large

Ataques de DNSSec y de alojamiento Fast Flux: introducción

¿Cuál es el compromiso de ICANN para la estabilidad y seguridad de Internet?

ICANN existe para garantizar el funcionamiento estable y seguro del sistema de identificadores exclusivos de Internet. Según sus reglamentos, la organización debe preservar y mejorar la estabilidad operativa, confiabilidad, seguridad e interoperabilidad global de Internet.

Recientemente, muchos miembros de la comunidad de ICANN han empezado a preguntarse cómo puede trabajar la organización para impedir que “actores malintencionados” utilicen el DNS de manera ilegal o fraudulenta. Es un gran reto ya que muchas de estas actividades pueden exceder de los límites del DNS y el sistema de numeración autónomo, o tener lugar en áreas en las que los órganos de imposición de leyes declaren como exclusiva la jurisdicción sobre tales actividades ilegales.

Dos temas se encuentran en esta área: los problemas de la comunidad relativos a técnicas de alojamiento Fast Flux (flujo rápido) y un creciente interés en la implementación de DNSSEC (cambio técnico en determinadas operaciones del DNS diseñado para que éste sea más seguro).

¿Qué es el alojamiento Fast Flux?

El término “Fast Flux” hace referencia a una serie de técnicas que provocan cambios rápidos y repetidos en el host de Internet y/o en los registros de recursos del servidor de nombres de una zona DNS. Estas modificaciones tienen el efecto de cambiar rápidamente la ubicación (dirección IP) en la que se resuelve un nombre de dominio de un host de Internet (A) o servidor de nombres (NS). Pueden existir variaciones de esta técnica, por ejemplo, las actualizaciones de registros de A en el archivo de zona de un subdominio, que hacen que las direcciones IP cambien; las actualizaciones rápidas de registros de NS que hacen que las direcciones IP cambien; y la combinación de estas técnicas que cambian la ubicación de los host y los servidores de nombres.

Las técnicas Fast Flux no se despliegan siempre con finalidad maliciosa o destructiva, pero con frecuencia se utilizan en este contexto. El comportamiento y la intención del usuario de la tecnología se deben considerar independientemente de la capacidad de la tecnología en cuestión. La finalidad constructiva de Fast Flux es la distribución de contenidos, la mejora de la disponibilidad de la red y el aumento de la resistencia de la red.

Una característica clave de una red de ataque Fast Flux incluye la distribución y el uso del software de un host sin conocimiento ni consentimiento del propietario u operador del sistema. Una red de ataque Fast Flux no es un ataque cibernético en sí, sino una serie de técnicas que permiten que los delincuentes cibernéticos eviten su detección. En manos de delincuentes cibernéticos, la finalidad principal del alojamiento Fast Flush es prolongar el período de tiempo en el que un ataque continúa teniendo éxito y, por lo tanto, ampliar el tiempo útil de los host implicados en actividades ilegales.

¿Cuál es el posicionamiento de ICANN con respecto al alojamiento Fast Flux actualmente?

En enero de 2008, el Comité asesor de seguridad y estabilidad de ICANN (SSAC) publicó un documento de asesoramiento sobre el alojamiento Fast Flux y el DNS. El Consejo GNSO dio instrucciones al personal de ICANN en marzo de 2008 para que preparara un informe sobre las cuestiones a tener en cuenta en los posibles pasos de desarrollo de políticas de asesoramiento y resumen de SACC para mitigar el impacto dañino del alojamiento Fast Flux en el DNS. En mayo de 2008, el Consejo GNSO estableció un proceso de desarrollo de políticas formal sobre el alojamiento Fast Flux y encargó a un grupo de trabajo que examinara una serie de cuestiones acerca del tema. El grupo de trabajo presentó su informe inicial en enero de 2009, en el que proponía diversas ideas como trabajo de seguimiento del GNSO. Después de un período de comentarios públicos, se generará un informe final.

¿Qué es DNSSEC?

DNSSEC es una serie de extensiones de seguridad diseñadas para proteger el DNS y la comunidad de Internet de los ataques realizados por delincuentes cibernéticos y otros actores que utilizan diversos medios para interceptar solicitudes de búsqueda, transmitir información falsa y redirigir incorrectamente a los usuarios de Internet. Este comportamiento se puede utilizar como parte de un fraude para recopilar números de tarjetas de crédito, contraseñas o información de identificación personal. DNSSEC utiliza el cifrado de claves públicas para “firmar” digitalmente los mensajes del DNS, lo que proporciona un medio para garantizar que los datos del DNS no se han alterado durante su transmisión a través de Internet. Mediante la creación de pares de claves compatibles retroactivamente en la jerarquía del DNS, DNSSEC puede crear una red escalable de servidores confiables, una red que se podría originar en la zona raíz.

DNSSEC no es una solución de seguridad completa para cada forma de ataque cibernético, ni está libre de ciertas desventajas. El ámbito de las protecciones de DNSSEC se limita a tipos de explotaciones específicas. Además, algunos críticos mantienen que aunque estas protecciones también pueden conseguirse utilizando el moderno software del DNS, adoptando las mejores prácticas y formando a los usuarios para que utilicen Secure Sockets Layer para transmitir datos sensibles. La adopción generalizada de DNSSEC podría, dicen, introducir requisitos complejos de gestión de claves, alargar las respuestas de datos y crear un solo punto de error.

¿En qué posición se encuentra el protocolo DNSSEC actualmente?

La admisión de la firma de raíz DNSSEC está creciendo. Cuatro operadores de TLD despliegan DNSSEC actualmente y otros se están preparando para hacerlo. En junio de 2007, la comunidad RIPE pidió a ICANN que firmara una zona raíz en cuanto pudiera. Partes interesadas de Suecia y el Reino Unido siguieron rápidamente con una solicitud similar. En septiembre de 2008, ICANN sometió una propuesta al Departamento de Comercio de EE.UU. para que firmara la zona raíz utilizando la tecnología DNSSEC.

¿Desea obtener más información?

El asesoramiento de SSAC sobre el alojamiento Fast Flux y DNS ofrece una visión general de esta área en cuestión (consulte http://www.icann.org/en/committees/security/sac025.pdf). El informe inicial del grupo de trabajo de Fast Flux de GNSO ofrece respuestas iniciales a un conjunto de preguntas básicas, ofrece conclusiones provisionales y numerosas ideas para los siguientes pasos del debate y comentarios. http://gnso.icann.org/issues/fast-flux-hosting/gnso-issues-report-fast-flux-25mar08.pdf .

Se puede consultar un resumen de las acciones de ICANN en preparación de las actividades de firma DNSSEC en http://www.icann.org/en/announcements/dnssec-paper-15jul08-en.pdf. La propuesta de ICANN al Departamento de Comercio de EE.UU. sobre la firma de la raíz se pueden encontrar: http://www.ntia.doc.gov/DNS/ICANNDNSSECProposal.pdf.

Se ha traducido este documento de la versión en inglés con el objeto de llegar a una mayor cantidad de público. Si bien la Corporación para la Asignación de Números y Nombres en Internet (ICANN) ha tomado las medidas necesarias para verificar la exactitud de la traducción, el inglés es el idioma de trabajo de ICANN y la versión original de este documento en inglés constituye el único texto oficial y autorizado.