Obj. EA. DNSSEC. TR. Con.

Cadenas de confianza por medio de DNSSECaplicadas a Comunidades Virtuales de Aprendizaje

Autores: Gabriela Espinoza-AmiLuis Chamba-ErasAna Arruarte-Lasa

Jon-Ander Elorriaga

Carrera de Ingenierıa en Sistemas - Universidad Nacional de LojaEscuela de Informatica y Multimedia - Universidad Internacional del Ecuador

Departamento de Lenguajes y Sistemas Informaticos - Universidad del Paıs Vasco”Conferencia: Seguridad en Redes (UIDE-DISI)”

04-12-2014, Loja-Ecuador

1 / 34

Obj. EA. DNSSEC. TR. Con.

Agenda

Objetivos de la charla

Estado del Arte

DNSSEC en las CVA

Trabajos Relacionados

Conclusiones y Trabajos futuros

2 / 34

Obj. EA. DNSSEC. TR. Con.

Agenda

Objetivos de la charla

Estado del Arte

DNSSEC en las CVA

Trabajos Relacionados

Conclusiones y Trabajos futuros

3 / 34

Obj. EA. DNSSEC. TR. Con.

Objetivos

• Presentar la lınea de investigacion relacionada a “ConfianzaComputacional“ en Ecuador.

• Describir globalmente la utilizacion DNSSEC en un escenarioeducativo real como un componente de Seguridad de la Infor-macion.

4 / 34

Obj. EA. DNSSEC. TR. Con.

Agenda

Objetivos de la charla

Estado del Arte

DNSSEC en las CVA

Trabajos Relacionados

Conclusiones y Trabajos futuros

5 / 34

Obj. EA. DNSSEC. TR. Con.

Conceptos preliminares

• Confianza.

• Comunidades Virtuales de Aprendizaje.

• DNSSEC.

6 / 34

Obj. EA. DNSSEC. TR. Con.

Confianza

• Multiples definiciones aplicables a diversos contextos.

• Se la concibe como la medida en la que una persona esta con-fiada y ansiosa de actuar en base a las palabras, acciones ydecisiones de otros.

• Es un termino abstracto, usado indistintamente con terminoscomo: credibilidad, confiabilidad o lealtad.

• Entornos de Comercio Electronico, ofrecen un entorno de con-fianza en donde los usuarios no tengan el temor a ser enganados.

• Modelos de confianza: aproximacion matematica, agentes inte-ligentes, Web of Trust (WOT).

7 / 34

Obj. EA. DNSSEC. TR. Con.

Comunidades Virtuales de Aprendizaje (CVA)

• Es aquella agrupacion de personas que se organiza para cons-truir e involucrarse en un proyecto educativo y cultural propioy que aprende a traves del trabajo colaborativo, cooperativo ysolidario, en otras palabras, siguiendo un modelo de formacionmas abierto, participativo y flexible que los modelos tradiciona-les.

• En las CVA las personas comparten materiales (REA-OA), creen-cias y formas de aprender diversos temas en comun.

• El hecho de que la personas puedan o no conocerse personal-mente hace que la confianza se convierta en un factor determi-nante en el funcionamiento de las CVA.

8 / 34

Obj. EA. DNSSEC. TR. Con.

DNSSEC

• Extensiones de Seguridad del DNS.

• Pueden reforzar la confianza en Internet, ya que ayudan a pro-teger a los usuarios del redireccionamiento a sitios Web frau-dulentos y a direcciones no deseadas.

• Capacidad de validar la autenticidad y la integridad de los men-sajes DNS, para detectar manipulacion de la informacion.

• Internet no podrıa funcionar sin DNS. Sin embargo, no fuedisenado con la seguridad en mente. La consecuencia ha sido suvulnerabilidad a ataques de intermediario (man-in-the-middle,MITM) y a envenenamiento de cache. Estas amenazas utilizandatos falsificados para redireccionar el trafico en Internet a sitiosfraudulentos y a direcciones no deseadas.

9 / 34

Obj. EA. DNSSEC. TR. Con.

DNSSEC en IES a nivel mundial

• De acuerdo a la iniciativa DNSSEC Deployment, entre las prin-cipales IES que han implementado DNSSEC, se encuentran:

• Universidad Berkeley de California (berkeley.edu)• Universidad China de Hong Kong (cuhk.edu)• Laboratorio de Fısica Aplicada de la Universidad Johns Hopkins

(jhuapl.edu)• Universidad de Missouri de Ciencia y Tecnologıa (mst.edu)• Universidad de Oxford (oxford-university.edu)• Universidad de Pensilvania (penn.edu, upenn.edu)• Centro de Supercomputacion de Pittsburgh (psc.edu)• Corporacion Universitaria para el Desarrollo de Internet Avan-

zado (ucaid.edu)• Universidad Pompeu Fabra (upf.edu)• Universidad de Valencia (valencia.edu)

10 / 34

Obj. EA. DNSSEC. TR. Con.

DNSSEC en IES a nivel de Ecuador

• En Ecuador ninguna IES ha realizado el firmado de las zonasDNS con DNSSEC, con lo cual podrıan enfrentarse a los riesgosderivados del DNS, debido a que las IES almacenan enormescantidades de informacion sensible y se mantienen activos enlınea en las CVA cuyo acceso debe ser restringido efectivamente.

• TELCONET, operadora de comunicaciones corporativas y pro-veedora de servicios de Internet en Ecuador, segun los reportesde los laboratorios del Registro Regional de Internet para laregion de Asia Pacıfico (APNIC), no provee resolutores de vali-dacion DNSSEC; es decir que no ha habilitado DNSSEC en susservidores de nombres recursivos por lo que no permite que sususuarios puedan verificar la autenticidad de las respuestas queotorga la zona.

11 / 34

Obj. EA. DNSSEC. TR. Con.

DNSSEC en IES a nivel de Loja

• En la Universidad Nacional de Loja no se ha realizado la imple-mentacion de DNSSEC, mecanismo que resulta desarrollar, yaque los usuarios del dominio de la universidad que se encuen-tran fuera de la ciudad intercambian informacion confidencialteniendo seguridad de que es la real.

• En la Universidad Tecnica Particular de Loja no se ha efectua-do el despliegue de DNSSEC, procedimiento que es beneficiosoimplementar, porque permitirıa dar una solucion integral a losataques concernientes al DNS, y podrıa formar parte del pro-yecto de seguridad perimetral que se esta llevando a cabo en launiversidad.

12 / 34

Obj. EA. DNSSEC. TR. Con.

Agenda

Objetivos de la charla

Estado del Arte

DNSSEC en las CVA

Trabajos Relacionados

Conclusiones y Trabajos futuros

13 / 34

Obj. EA. DNSSEC. TR. Con.

Introduccion

• Las IES almacenan enormes cantidades de informacion sensi-ble (incluyendo la informacion personal y financiera para losestudiantes y otras personas, informacion medica y datos deinvestigacion), y se mantienen activos en lınea en las CVA cuyoacceso debe ser restringido efectivamente. Los ataques DNS re-sultan en contrasenas robadas, e-mail alterado (que a menudoes el canal para las comunicaciones oficiales), la exposicion almalware, y otros problemas; por lo que DNSSEC puede ser unaparte importante de una estrategia de seguridad cibernetica.

14 / 34

Obj. EA. DNSSEC. TR. Con.

Experimentacion con DNSSEC

• Instalacion y configuracion de los servidores DNS.

Figura 1: Esquema DNS

15 / 34

Obj. EA. DNSSEC. TR. Con.

Experimentacion con DNSSEC

• Aseguramiento de la zona DNS.

Figura 2: Isla de confianza

16 / 34

Obj. EA. DNSSEC. TR. Con.

Experimentacion con DNSSEC

• Aseguramiento de la zona DNS.

Figura 3: Archipielagos de confianza

17 / 34

Obj. EA. DNSSEC. TR. Con.

Experimentacion con DNSSEC

• Aseguramiento de la zona DNS.

Figura 4: Esquema del aseguramiento de las zonas DNS

18 / 34

Obj. EA. DNSSEC. TR. Con.

Experimentacion con DNSSEC

• Configuracion de un servidor de nombres recursivo para validarlas respuestas.

Figura 5: Servidor de nombres recursivo con claves KSK

19 / 34

Obj. EA. DNSSEC. TR. Con.

Validacion de DNSSEC

• DNSSEC Validator.

Figura 6: Validacion del dominio unl.edu.ec

20 / 34

Obj. EA. DNSSEC. TR. Con.

Validacion de DNSSEC

• DNSSEC Validator.

Figura 7: Validacion del dominio cva.unl.edu.ec

21 / 34

Obj. EA. DNSSEC. TR. Con.

Validacion de DNSSEC

• DNSSEC Validator.

Figura 8: Validacion del dominio utpl.edu.ec

22 / 34

Obj. EA. DNSSEC. TR. Con.

Validacion de DNSSEC

• DNSSEC Validator.

Figura 9: Validacion del dominio cva.utpl.edu.ec

23 / 34

Obj. EA. DNSSEC. TR. Con.

Validacion de DNSSEC

• DNSSEC Validator.

Figura 10: Validacion del dominio espol.edu.ec

24 / 34

Obj. EA. DNSSEC. TR. Con.

Validacion de DNSSEC

• DNSSEC Validator.

Figura 11: Validacion del dominio cva.espol.edu.ec

25 / 34

Obj. EA. DNSSEC. TR. Con.

Agenda

Objetivos de la charla

Estado del Arte

DNSSEC en las CVA

Trabajos Relacionados

Conclusiones y Trabajos futuros

26 / 34

Obj. EA. DNSSEC. TR. Con.

Universidad de Pensilvania

• Zona DNS upenn.edu

• Internet2 y Educause

• Primero en completar el despliegue DNSSEC

27 / 34

Obj. EA. DNSSEC. TR. Con.

Universidad Pompeu Fabra

• Arquitectura DNS obsoleta: SW y HW

• Dos fases: HW y SW

• Implemento el dominio upf.edu y upf.cat

28 / 34

Obj. EA. DNSSEC. TR. Con.

Agenda

Objetivos de la charla

Estado del Arte

DNSSEC en las CVA

Trabajos Relacionados

Conclusiones y Trabajos futuros

29 / 34

Obj. EA. DNSSEC. TR. Con.

Conclusiones

• El despliegue de DNSSEC en las CVA de las IES garantiza laprocedencia de contenidos creados en este tipo de ambientesde aprendizaje y permite mantener comunicaciones digitales fi-dedignas y confiables para el aprendizaje y la investigacion.

• Referente al despliegue de las extensiones de seguridad en losdominios .ec y .edu.ec no se registra informacion de un planpara ser firmados, por lo que, las instituciones que deseen im-plementar DNSSEC en sus entornos DNS pueden hacer uso delDLV provisto por la Internet Systems Consortium.

30 / 34

Obj. EA. DNSSEC. TR. Con.

Conclusiones

• La implementacion de DNSSEC en todos los dominios de lasIES que pertenezcan al CEDIA permitira tener islas y archipiela-gos de confianza que permitira autenticar y verificar la infor-macion que se genere en sus CVA tanto en la academia comoen la investigacion.

31 / 34

Obj. EA. DNSSEC. TR. Con.

Trabajos futuros

• Implementar en conjunto DNSSEC con el protocolo DNScur-ve para proteger las consultas entre un cliente y un servidormediante el cifrado de los paquetes DNS.

• Combinar DNSSEC en conjunto con el protocolos IPSec paraasegurar las comunicaciones sobre el Protocolo de Internet (IP),cifrando cada paquete IP en un flujo de datos.

• Utilizar el protocolo SSL o TLS para proveer autenticacion yprivacidad de la informacion entre las partes extremas medianteel uso de criptografıa.

32 / 34

Contactos

• gpespinozaa@unl.edu.ec

• luchambaer@internacional.edu.ec

• {a.arruarte,jon.elorriaga}@ehu.es

Cultura Libre