Obj. EA. DNSSEC. TR. Con.
Cadenas de confianza por medio de DNSSECaplicadas a Comunidades Virtuales de Aprendizaje
Autores: Espinoza-Ami, Gabriela-PaulinaChamba-Eras, Luis-Antonio
Arruarte-Lasa, Ana-JesusElorriaga-Arandia, Jon-Ander
Carrera de Ingenierıa en Sistemas - Universidad Nacional de LojaDepartamento de Lenguajes y Sistemas Informaticos - Universidad del Paıs Vasco
”9 Congreso de Ciencia y Tecnologıa ESPE 2014”
30 de mayo, Sangolquı-Ecuador
1 / 34
Obj. EA. DNSSEC. TR. Con.
Agenda
Objetivos de la ponencia
Estado del Arte
DNSSEC en las CVA
Trabajos Relacionados
Conclusiones y Trabajos futuros
2 / 34
Obj. EA. DNSSEC. TR. Con.
Agenda
Objetivos de la ponencia
Estado del Arte
DNSSEC en las CVA
Trabajos Relacionados
Conclusiones y Trabajos futuros
3 / 34
Obj. EA. DNSSEC. TR. Con.
Objetivos
• Presentar la lınea de investigacion de “Modelos de ConfianzaComputacionales“ en Ecuador.
• Describir globalmente la utilizacion DNSSEC en un escenarioreal en un entorno educativo.
4 / 34
Obj. EA. DNSSEC. TR. Con.
Agenda
Objetivos de la ponencia
Estado del Arte
DNSSEC en las CVA
Trabajos Relacionados
Conclusiones y Trabajos futuros
5 / 34
Obj. EA. DNSSEC. TR. Con.
Conceptos preliminares
• Confianza.
• Comunidades Virtuales de Aprendizaje.
• DNSSEC.
6 / 34
Obj. EA. DNSSEC. TR. Con.
Confianza
• Multiples definiciones aplicables a diversos contextos.
• Se la concibe como la medida en la que una persona esta con-fiada y ansiosa de actuar en base a las palabras, acciones ydecisiones de otros.
• Es un termino abstracto, usado indistintamente con terminoscomo: credibilidad, confiabilidad o lealtad.
• Entornos de Comercio Electronico, ofrecen un entorno de con-fianza en donde los usuarios no tengan el temor a ser enganados.
• Modelos de confianza: aproximacion matematica, agentes inte-ligentes, Web of Trust (WOT).
7 / 34
Obj. EA. DNSSEC. TR. Con.
Comunidades Virtuales de Aprendizaje (CVA)
• Es aquella agrupacion de personas que se organiza para cons-truir e involucrarse en un proyecto educativo y cultural propioy que aprende a traves del trabajo colaborativo, cooperativo ysolidario, en otras palabras, siguiendo un modelo de formacionmas abierto, participativo y flexible que los modelos tradiciona-les.
• En las CVA las personas comparten materiales (REA), creenciasy formas de aprender diversos temas en comun.
• El hecho de que la personas puedan o no conocerse personal-mente hace que la confianza se convierta en un factor determi-nante en el funcionamiento de las CVA.
8 / 34
Obj. EA. DNSSEC. TR. Con.
DNSSEC
• Extensiones de Seguridad del DNS.
• Pueden reforzar la confianza en Internet, ya que ayudan a pro-teger a los usuarios del redireccionamiento a sitios Web frau-dulentos y a direcciones no deseadas.
• Capacidad de validar la autenticidad y la integridad de los men-sajes DNS, para detectar manipulacion de la informacion.
• Internet no podrıa funcionar sin DNS. Sin embargo, no fuedisenado con la seguridad en mente. La consecuencia ha sido suvulnerabilidad a ataques de intermediario (man-in-the-middle,MITM) y a envenenamiento de cache. Estas amenazas utilizandatos falsificados para redireccionar el trafico en Internet a sitiosfraudulentos y a direcciones no deseadas.
9 / 34
Obj. EA. DNSSEC. TR. Con.
DNSSEC en IES a nivel mundial
• De acuerdo a la iniciativa DNSSEC Deployment, entre las prin-cipales IES que han implementado DNSSEC, se encuentran:
• Universidad Berkeley de California (berkeley.edu)• Universidad China de Hong Kong (cuhk.edu)• Laboratorio de Fısica Aplicada de la Universidad Johns Hopkins
(jhuapl.edu)• Universidad de Missouri de Ciencia y Tecnologıa (mst.edu)• Universidad de Oxford (oxford-university.edu)• Universidad de Pensilvania (penn.edu, upenn.edu)• Centro de Supercomputacion de Pittsburgh (psc.edu)• Corporacion Universitaria para el Desarrollo de Internet Avan-
zado (ucaid.edu)• Universidad Pompeu Fabra (upf.edu)• Universidad de Valencia (valencia.edu)
10 / 34
Obj. EA. DNSSEC. TR. Con.
DNSSEC en IES a nivel de Ecuador
• En Ecuador ninguna IES ha realizado el firmado de las zonasDNS con DNSSEC, con lo cual podrıan enfrentarse a los riesgosderivados del DNS, debido a que las IES almacenan enormescantidades de informacion sensible y se mantienen activos enlınea en las CVA cuyo acceso debe ser restringido efectivamente.
• TELCONET, operadora de comunicaciones corporativas y pro-veedora de servicios de Internet en Ecuador, segun los reportesde los laboratorios del Registro Regional de Internet para laregion de Asia Pacıfico (APNIC), no provee resolutores de vali-dacion DNSSEC; es decir que no ha habilitado DNSSEC en susservidores de nombres recursivos por lo que no permite que sususuarios puedan verificar la autenticidad de las respuestas queotorga la zona.
11 / 34
Obj. EA. DNSSEC. TR. Con.
DNSSEC en IES a nivel de Loja
• En la Universidad Nacional de Loja no se ha realizado la imple-mentacion de DNSSEC, mecanismo que resulta desarrollar, yaque los usuarios del dominio de la universidad que se encuen-tran fuera de la ciudad intercambian informacion confidencialteniendo seguridad de que es la real; ademas en el caso de laMED se tendra la confianza de la informacion en cuanto a pagosbancarios que deben realizar.
• En la Universidad Tecnica Particular de Loja no se ha efectua-do el despliegue de DNSSEC, procedimiento que es beneficiosoimplementar, porque permitirıa dar una solucion integral a losataques concernientes al DNS, y podrıa formar parte del pro-yecto de seguridad perimetral que se esta llevando a cabo en launiversidad.
12 / 34
Obj. EA. DNSSEC. TR. Con.
Agenda
Objetivos de la ponencia
Estado del Arte
DNSSEC en las CVA
Trabajos Relacionados
Conclusiones y Trabajos futuros
13 / 34
Obj. EA. DNSSEC. TR. Con.
Introduccion
• Las instituciones de educacion superior almacenan enormes can-tidades de informacion sensible (incluyendo la informacion per-sonal y financiera para los estudiantes y otras personas, informa-cion medica y datos de investigacion), y se mantienen activosen lınea en las CVA cuyo acceso debe ser restringido efecti-vamente. Los ataques DNS resultan en contrasenas robadas,e-mail alterado (que a menudo es el canal para las comunica-ciones oficiales), la exposicion al malware, y otros problemas;por lo que DNSSEC puede ser una parte importante de unaestrategia de seguridad cibernetica.
14 / 34
Obj. EA. DNSSEC. TR. Con.
Experimentacion con DNSSEC
• Instalacion y configuracion de los servidores DNS.
Figura 1: Esquema DNS
15 / 34
Obj. EA. DNSSEC. TR. Con.
Experimentacion con DNSSEC
• Aseguramiento de la zona DNS.
Figura 2: Isla de confianza
16 / 34
Obj. EA. DNSSEC. TR. Con.
Experimentacion con DNSSEC
• Aseguramiento de la zona DNS.
Figura 3: Archipielagos de confianza
17 / 34
Obj. EA. DNSSEC. TR. Con.
Experimentacion con DNSSEC
• Aseguramiento de la zona DNS.
Figura 4: Esquema del aseguramiento de las zonas DNS
18 / 34
Obj. EA. DNSSEC. TR. Con.
Experimentacion con DNSSEC
• Configuracion de un servidor de nombres recursivo para validarlas respuestas.
Figura 5: Servidor de nombres recursivo con claves KSK
19 / 34
Obj. EA. DNSSEC. TR. Con.
Validacion de DNSSEC
• DNSSEC Validator.
Figura 6: Validacion del dominio unl.edu.ec
20 / 34
Obj. EA. DNSSEC. TR. Con.
Validacion de DNSSEC
• DNSSEC Validator.
Figura 7: Validacion del dominio cva.unl.edu.ec
21 / 34
Obj. EA. DNSSEC. TR. Con.
Validacion de DNSSEC
• DNSSEC Validator.
Figura 8: Validacion del dominio utpl.edu.ec
22 / 34
Obj. EA. DNSSEC. TR. Con.
Validacion de DNSSEC
• DNSSEC Validator.
Figura 9: Validacion del dominio cva.utpl.edu.ec
23 / 34
Obj. EA. DNSSEC. TR. Con.
Validacion de DNSSEC
• DNSSEC Validator.
Figura 10: Validacion del dominio espol.edu.ec
24 / 34
Obj. EA. DNSSEC. TR. Con.
Validacion de DNSSEC
• DNSSEC Validator.
Figura 11: Validacion del dominio cva.espol.edu.ec
25 / 34
Obj. EA. DNSSEC. TR. Con.
Agenda
Objetivos de la ponencia
Estado del Arte
DNSSEC en las CVA
Trabajos Relacionados
Conclusiones y Trabajos futuros
26 / 34
Obj. EA. DNSSEC. TR. Con.
Universidad de Pensilvania
• Zona DNS upenn.edu
• Internet2 y Educause
• Primero en completar el despliegue DNSSEC
27 / 34
Obj. EA. DNSSEC. TR. Con.
Universidad Pompeu Fabra
• Arquitectura DNS obsoleta: SW y HW
• Dos fases: HW y SW
• Implemento el dominio upf.edu y upf.cat
28 / 34
Obj. EA. DNSSEC. TR. Con.
Agenda
Objetivos de la ponencia
Estado del Arte
DNSSEC en las CVA
Trabajos Relacionados
Conclusiones y Trabajos futuros
29 / 34
Obj. EA. DNSSEC. TR. Con.
Conclusiones
• El despliegue de DNSSEC en la comunidad virtual de aprendi-zaje de la universidad garantiza la procedencia de contenidoscreados en este tipo de ambientes de aprendizaje y permitemantener comunicaciones digitales fidedignas y confiables parael aprendizaje y la investigacion.
• Referente al despliegue de las extensiones de seguridad en losdominios .ec y .edu.ec no se registra informacion de un planpara ser firmados, por lo que, las instituciones que deseen im-plementar DNSSEC en sus entornos DNS pueden hacer uso delDLV provisto por la Internet Systems Consortium.
30 / 34
Obj. EA. DNSSEC. TR. Con.
Conclusiones
• La implementacion de DNSSEC en todos los dominios de lasinstituciones de educacion superior que pertenezcan al CEDIApermitira tener islas y archipielagos de confianza que permi-tira autenticar y verificar la informacion que se genere en suscomunidades virtuales tanto en la academia como en la inves-tigacion.
31 / 34
Obj. EA. DNSSEC. TR. Con.
Trabajos futuros
• Implementar en conjunto DNSSEC con el protocolo DNScur-ve para proteger las consultas entre un cliente y un servidormediante el cifrado de los paquetes DNS.
• Combinar DNSSEC en conjunto con el protocolos IPSec paraasegurar las comunicaciones sobre el Protocolo de Internet (IP),cifrando cada paquete IP en un flujo de datos.
• Utilizar el protocolo SSL o TLS para proveer autenticacion yprivacidad de la informacion entre las partes extremas medianteel uso de criptografıa.
32 / 34
Contactos
• {gpespinozaa,lachamba}@unl.edu.ec
• {a.arruarte,jon.elorriaga}@ehu.es
Cultura Libre