Carlos Martinez LACNIC - cepal.org · `Existe concenso en reconocer que Internet es un bien...
Transcript of Carlos Martinez LACNIC - cepal.org · `Existe concenso en reconocer que Internet es un bien...
Gobernanza de InternetIPv6IPv6
DNSSEC
Carlos Martinez-Cagnazzocarlos @ lacnic.net
AgendaAgendaGobernanza de InternetAgotamiento de IPv4 e IPv6Agotamiento de IPv4 e IPv6DNSSEC
Gobernanza de Internet
Introducción a la gobernanza de InternetIntroducción a la gobernanza de InternetEn inglés “Internet Governance”
Término muy general que significa muchas vece diferentes Término muy general que significa muchas vece diferentes cosas para diferentes actores
Governanza y Gobiernos ?Principios
Desarrollo de políticas “Bottom-Up”Multi-stakeholderism
¿Por que es necesaria?Gestión de recursosGestión de recursos
IPv4, IPv6, sistemas autónomos, nombres de dominio
Incentivos para el desarrollo
PrincipiosPrincipiosModelo multi-stakeholder
Existe concenso en reconocer que Internet es un bien público y que suq p y qdesarrollo de manera abierta es beneficioso para la sociedad todaSe reconocen a multiplicidad de actores interesados válidos(stakeholders) con diferentes puntos de vista y diferentes intereses( ) p yprimarios
Gobernanza bottom-upL s r ces s artici ati s “b tt m ” r nen e las c m nidadesLos procesos participativos, “bottom-up” proponen que las comunidadesse gobiernen a sí mismasEn general esto se implementa mediante procesos de desarrollo de políticasdonde cualquier miembro de la comunidad puede presentar iniciativasdonde cualquier miembro de la comunidad puede presentar iniciativasque son discutidas en foros públicos
Presenciales o electrónicos
Línea de tiempo del desarrollo de InternetLínea de tiempo del desarrollo de Internet1969
Primeras transmisiones en Arpanet1971
Se introduce la línea de documentos conocidos como “RFC” (Request for Comments)( q f )
De esta forma se planta la semilla del IETF (Internet EngineeringTask Force)
1980Se introduce la familia de protocolos TCP/IPSe introduce la familia de protocolos TCP/IP
1992-1994Internet deja de ser cerrada y se abre al mundo comercialSe registran los primeros nombres de dominio
1998 Se crea el ICANNSe c ea e C
Línea de tiempo del desarrollo de Internet (II)(II)
Hitos relacionados con la gobernanza de InternetCreación de la IETFCreación de la IETF
Primeras experiencias en un modelo de desarrollo “bottom-up”En este caso, aplicado a protocolos
Gestión de recursosJon Postel, InterNIC
1972 - 1998
ICANN y los RIRs1998 – presenteRFC 2050: http://www.ietf.org/rfc/rfc2050.txtp g
Creación del IGF (Internet Governance Forum)Creado bajo el auspicio de las Naciones UnidasA 2006Atenas 2006
Algunas definiciones…Algunas definiciones…Alcance
[1] El mantenimiento y operación de la infraestructura técnica[1] El mantenimiento y operación de la infraestructura técnicade Internet, incluyendo números IP, nombres de dominio, desarrollo de protocolos (IETF) y gestión de los root-serversentre otrosentre otros[2] El impacto de la Internet en la sociedad, incluyendo temascomo control de contenido, “ciber crimen”, brecha digital, multi-culturalismo y multi-lingualismo
Definición del WSIS (World Summit on the Information Society)Society)
Gobernanza de Internet (WSIS)Gobernanza de Internet (WSIS)“La gobernanza de Internet es el desarrollo y la aplicación por
l bi l i d l i d d i il l los gobiernos, el sector privado, y la sociedad civil, en las
funciones que les competen respectivamente, de principios,
normas, reglas, procedimientos de adopción de decisiones y
programas comunes que configuran la evolución y utilización
de Internet.”
Actores: ICANN, IANA y los RIRsActores: ICANN, IANA y los RIRsUna componente fundamental de la gobernanza de Internet es aquella que tiene que ver con la gestión de Internet es aquella que tiene que ver con la gestión de los recursos de numeración
Direcciones IP (v4 y v6) y números de sistema autónomo
Se debe garantizar la unicidad de los mismos, por lo que hace falta cumplir con la función de registro
P j l l i bl IP 4 d b i d Por ejemplo, el mismo bloque IPv4 no debe ser asignado a mas de una organización
IANA gestiona los “pooles centrales” de recursos, de gest o a os poo es ce t a es e ecu sos, e los cuales los registros regionales (RIRs) obtienen recursos propios para sub-asignar
Distribución de Recursos de Numeración de InternetNumeración de Internet
IANA
AFRINIC APNIC ARIN LACNIC RIPE
ISP Usuario Final NIR
Usuario Final
Usuario Final ISP Usuario
Final
Registros de Internet Regionales (RIR)Registros de Internet Regionales (RIR)
Actores (2)Actores (2)ICANN
Ademas de alojar las funciones de IANA ICANN tambiénAdemas de alojar las funciones de IANA, ICANN tambiéntiene responsabilidades sobre el sistema de DNS
Sistema de DNSRelacionamiento con los Registries / Registrars
ccTLDsgTLDsgTLDs
Gestión de los root serversFirma de la raíz con DNSSEC
El ecosistema de InternetEl ecosistema de Internet[Diplo Foundation]
Agotamiento de IPv4 y transición a IPv6
Distribución actual de direcciones IPv4
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.
Unidad: /8/8 = 1/256 del total de direcciones PIPv4
¿Qué es lo que se está agotando?¿Qué es lo que se está agotando?Cada dispositivo conectado a Internet debe tener un identificador únicoidentificador único
O al menos, cada *usuario* debería tener un identificadorúnico
El espacio central (IANA) de estos identificadores está*agotado*
Los pooles regionales todavía tienen espacio excepto el de Los pooles regionales todavía tienen espacio, excepto el de APNIC
EvoluciónEvolución del pool central del pool central de de direccionesdireccionesIPv4IPv4IPv4IPv4
100
120107 103
9692
80
9287
78
6555
40
60 /8s55
4736
30
0
209
0
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 20110
Disponible hoy en día en LACNIC***Disponible hoy en día en LACNIC
Disponible Hoy /32 74,729,472
Disponible Hoy /8 4 454Disponible Hoy /8 4.454
Reserva último /10 -0.25
Total 4.204 /8 = 70,535,168direccionesdirecciones
Proyección de agotamiento LACNIC(Mayo 2011)
4.5
5
Lin Model Orig
(Mayo 2011)
3
3.5
4
Lin. Model Orig
Real + Lin Model Data Dec.
2
2.5
3
0 5
1
1.5
0
0.5
Transición a IPv6 Transición a IPv6 El espacio de numeración de IPv6 es de 2^128 direcciones, ampliamente suficiente para todos los direcciones, ampliamente suficiente para todos los dispositivos Transicionar exitosamente a IPv6 es la única estrategia que puede garantizar que la Internet va a seguir siendo como la conocemos
Abi t lib i t ióAbierta, con libre interconexiónCon libre oferta de contenidos y libre interacción entre usuarios
Desafíos de la transiciónDesafíos de la transiciónImplementaciones de IPv6
En routersEn routersEn redes de backboneEn sistemas operativos
Windows, Linux
CostosEEntrenamientoSegún diferentes actores
U iUsuariosISPsProveedores de contenido
¿Cuánto tiempo nos queda?
D f l d ( ?)
¿Cuánto tiempo nos queda?2013 – ¿2014?
Dificultad (¿y costo?) para obtener espacioIPv4
Disponibilidad deespacio IPv4
t
espacio IPv4
Amenazas a la transición a IPv6Amenazas a la transición a IPv6Desconocimiento entre los formadores de opinión y tomadores de decisióntomadores de decisiónIntereses de “corto plazo” en ciertos actores
“Venta” de direccionesImplementación de Carrier-Grade NAT
Lentitud en el despliegueFundamentalmente en los servicios residencialesEn otras áreas también
ContenidoContenidoServicios empresariales
Algunas cifrasAlgunas cifras¿ Cuánto es el tráfico IPv6 en Internet hoy ?
Entre el 0 3 % y el 0 6 % del total dependiendo de donde y Entre el 0.3 % y el 0.6 % del total, dependiendo de donde y como se lo mide
¿ Cuánto sería ese tráfico si “mágicamente” toda la red tuviera IPv6?
Entre el 30% y el 40%, según estimaciones de Geoff Huston(APNIC http://www potaroo net) (APNIC, http://www.potaroo.net)
World IPv6 DayWorld IPv6 DayEl 8 de junio de 2011 varios de los mayores proveedoresde contenido (Facebook, Yahoo! y Google) junto con de contenido (Facebook, Yahoo! y Google) junto con muchos otros sitios web habilitaron IPv6 en sus sitiosprincipales
Auspiciado por la Internet Society (ISOC)
No se reportaron mayores problemasS á l f d d d l l ñSe están planificando actividades similares para el añopróximo
Asignaciones y rutas IPv6Asignaciones y rutas IPv6
450
300
350
400
200
250
Alloc LAC
Route LAC
50
100
150
0
Actividades de LACNIC sobre IPv6 en la regiónregión
Talleres IPv6 Regionales para OperadoresArgentina México Surinam Chile Perú Ecuador UruguayArgentina, México, Surinam, Chile, Perú, Ecuador, Uruguay
SeminariosVirtualesI+DI DExoneración de pagos relacionados a IPv6.Actividades de promoción: p
Fuerza de trabajo LAC IPv6. FLIP-7. 9º Foro
Cooperación con gobiernos y otros actoresGobierno de Chile, de Paraguay, de Colombia entre otros
Adoptar IPv6 no implica cambiar todos los equipos
IP 6 transición i ióIPv6 es una transición, no una migración
La transición a IPv6 es responsabilidad de todos
America Latina NO necesita ir a Carrier-Grade NAT en este momento pero si necesitamos aprovecharen este momento, pero si necesitamos aprovechar
de la mejor manera posible el tiempo que nos queda
La transición a IPv6 es responsabilidad de todos
DNSSEC
El sistema de nombres de dominioEl sistema de nombres de dominioEl sistema de nombres de dominio opera como el “directorio” de Internetdirectorio de Internet
Correspondencia entre nombres y números IP
Opera como una base de datos distribuida donde pdiferentes organizaciones administran un sub-conjunto del espacio de nombres totalGlGlosario
Zonas, dominiosServidores raízServidores raízRegistros (resource records)
Nombres, dominios y delegacionesNombres, dominios y delegacionesEstructura de los nombres de dominio:
www .empresa.com .uy.4to nivel | 3er nivel | 2do nivel | 1er nivel | Raíz
Raíz del árbolTLD2doHostname 3ro
Observaciones:Los niveles del árbol reflejan las divisiones administrativasEl root del arbol esta siempre presente de forma ímplicitaNo hay restricciones a la cantidad de nivelesLos niveles superiores “delegan” hacia los inferioresLos niveles superiores delegan hacia los inferiores
Nombres, dominios y delegaciones (ii)Nombres, dominios y delegaciones (ii)
.
com net org cl uycom
amazon
net org … cl
mercurio
uy
com
www adinet
www
Vulnerabilidades del sistema de DNSVulnerabilidades del sistema de DNSInherentes al protocolo
Envenenamiento de cachéEnvenenamiento de cachéDenegaciones de servicio
Ataques por amplificación
Ataques de tipo MITM (man-in-the-middle)
Propios al “ecosistema” del sistema de nombres de dominiosdominios
Secuestro de dominios
El sistema de nombres de dominio es una pieza clave de El sistema de nombres de dominio es una pieza clave de la infraestructura de Internet
Es de gran interés por parte de posibles atacantes
Un ejemplo clásico: phishingUn ejemplo clásico: phishing
Un(os) caso(s) recienteUn(os) caso(s) recienteFuente:
“What’s in a Name?”What s in a Name?http://isc.sans.edu/diary.html?storyid=11770
DNSSECDNSSECRaíz de la mayoría de los problemas
No hay en el sistema de DNS mecanismos de verificaciónNo hay en el sistema de DNS mecanismos de verificaciónque permitan validar una zona
Domain Name System Security Extensions (DNSSEC)Se introducen ~ 2004
ObjetivosPoder validar una respuesta de DNSMantener
El protocolo (es decir, permitir la interoperabilidad y el despliegue El protocolo (es decir, permitir la interoperabilidad y el despliegue parcial)Las delegaciones (divisiones administrativas)
EscalableEscalable
DNSSEC (ii)DNSSEC (ii)DNSSEC nos permite:
Verificar criptográficamente el contenido de una zonaVerificar criptográficamente el contenido de una zona(similar a una firma digital)Validar una cadena de confianza desde una zona dada hasta
l d fi ( h )un ancla de confianza (trust anchor)
Procedimientos operativos en DNSSECFirma de una zonaFirma de una zona
Con especial cuidado en la gestión de las claves secretas
Establecimiento de cadenas de confianzaRelación con la zona padre
Firmado de una zonaFirmado de una zonaSe introduce material criptográfico (similar a una firma digital) dentro del contenido de la zonadigital) dentro del contenido de la zona
Zona No Firmada Zona Firmada
Firma digital
Proceso de Firmado
Firma digital
Verificación de una zonaVerificación de una zonaUna vez obtenido el contenido de una zona, se puedenhacer operaciones matemáticas y verificar la firmahacer operaciones matemáticas y verificar la firma
Zona Firmada
Firma digital
Se recalcula la firma usandoel contenido de la zona
Firma digital
?Si son iguales,
verificaFirma digital Firma digital¿ ? Si son
diferentes, FALLOFALLO
Cadena de confianzaCadena de confianzaLa cadena de confianza en DNSSEC sigue en paralelo a la cadena de delegacióncadena de delegación
.
com cl mercurio uy
cc
amazon www com
cc
adinet
cc• Dentro de cada zona se introducen“firmas” de las claves de las zonas hijas
• Cuando se firma una zona también se www
Cuando se firma una zona también se firman estas autenticaciones de firmas
Ancla de confianza: firma de la raízAncla de confianza: firma de la raízLa operación de la zona raíz del DNS es responsabilidadde ICANN
La operación de los servidores raíz en sí es distribuida entre quienes operan los diferentes servidores
La zona raíz se firmó en producción en julio de 2010La zona raíz se firmó en producción en julio de 2010Miembros de la comunidad sirven de testigos y custodios del material criptográficoh //http://www.root-servers.org“KSK Ceremony”
¿Como se verifica la confianza en el root?¿Como se verifica la confianza en el root?¡El root no tiene zona “padre”!Verificación “fuera de banda”, obteniendo el hash de la clave mediante otros mecanismosmediante otros mecanismos
Firma de la raízFirma de la raízCeremonias periódicas de generación de material criptográfico, con participación de la comunidadcriptográfico, con participación de la comunidad
DNSSEC en LACNIC – Firma del espacioreversoreverso
179.in-addr.arpa.179.in addr.arpa.12.179.in-addr.arpa. IN DS <<DS Data>>38.179.in-addr.arpa. IN DS <<DS Data>>
12.179.in-addr.arpa. IN SOA (…)12 179 i dd IN RRSIG <<RRSIG d t >>12.179.in-addr.arpa. IN RRSIG <<RRSIG data>>
12.179.in-addr.arpa. IN DNSKEY <<DNSKEY data>>
38.179.in-addr.arpa. IN SOA (…)38.179.in-addr.arpa. IN RRSIG <<RRSIG data>>
38.179.in-addr.arpa. IN DNSKEY <<DNSKEY data>>
¡Muchas gracias por su atención!
Carlos Martínez
carlos @ lacnic netcarlos @ lacnic.net