Sitio de Jorge Reyes Pérez

The DNS is dead. Long live the DNSSEC.
Ayer, 15 de julio de 2010 —dos semana después de la fecha original programada - 1 de julio— y como estaba programado, se comenzó a utilizar por todos los servidores raíz la Zona Raíz firmada.

Mis servidores DNS — ns1.dnssecns.net y ns2.dnssecns.net— recibieron la primera Zona Raíz firmada, con el número de serie 2010071501, a las 20:52UTC y 20:24UTC respectivamente, como se ve en los records de syslog y como estaba previsto que ocurriera entre las 19:30UTC y las 23:30UTC.

Jul 15 23:52:13 ftp named[2802]: zone ./IN: Transfer started.
Jul 15 23:52:15 ftp named[2802]: zone ./IN: transferred serial 2010071501

Jul 15 23:24:51 server2 named[10600]: zone ./IN: Transfer started.
Jul 15 23:24:53 server2 named[10600]: zone ./IN: transferred serial 2010071501

A continuación expongo la parte de la Zona Raíz firmada que se refiere a la misma Zona Raíz.

$ORIGIN .
$TTL 86400	; 1 day
@			IN SOA	a.root-servers.net. nstld.verisign-grs.com. (
				2010071501 ; serial
				1800       ; refresh (30 minutes)
				900        ; retry (15 minutes)
				604800     ; expire (1 week)
				86400      ; minimum (1 day)
				)
			RRSIG	SOA 8 0 86400 20100722000000 (
				20100714230000 41248 .
				iJEabLsGHtCq8qrfSbMIjzPpBLqXa0aD5cBsIp9Sf/NF
				0VJQQ4nl/v+j6NR6/KClkAz2VviWE4hLDzMWcil5qzZJ
				LvqduDedk3QV+mBKNy3OVPdNIeyxK/nYtxVBJMKbynJ8
				pBm0vAL3TW1+0JEfD7IG0do5t84+32hQd9MbVn0= )
$TTL 518400	; 6 days
			NS	a.root-servers.net.
			NS	b.root-servers.net.
			NS	c.root-servers.net.
			NS	d.root-servers.net.
			NS	e.root-servers.net.
			NS	f.root-servers.net.
			NS	g.root-servers.net.
			NS	h.root-servers.net.
			NS	i.root-servers.net.
			NS	j.root-servers.net.
			NS	k.root-servers.net.
			NS	l.root-servers.net.
			NS	m.root-servers.net.
			RRSIG	NS 8 0 518400 20100722000000 (
				20100714230000 41248 .
				ohs6B6xof3LrglEMni5/gz9NY5M8MWx0qNVpzo8Smzdq
				hA4gUGTzHW2O9kz7ZqZLZq6LXUF2Qg2eYoY9rfBjajq0
				PSZIzkpwWGVIF2hQnbtiDUwSRR/RliyBUsGyvom7LNug
				+527vQCCEu9GNWS9rSgqo2HY44+CYjqo0mpFY58= )
$TTL 86400	; 1 day
			NSEC	ac. NS SOA RRSIG NSEC DNSKEY
			RRSIG	NSEC 8 0 86400 20100722000000 (
				20100714230000 41248 .
				hRFnAY9bkRYKSVlnz8E1mG9QqRdoiK1UoMdPBO/mowHz
				JINUcFPYPXNSMt74pesK7B0FAu4jEvzG+rXgD0D0e+t9
				RQXQLVYTMHIdA2qN6x+ujFV/atbuVs+R8TAMUs1YO8fv
				FxWC/Be/eI63fzQXi7vy/kYOvujQF74jyjA8Es4= )
			DNSKEY	256 3 8 (
				AwEAAb1gcDhBlH/9MlgUxS0ik2dwY/JiBIpV+EhKZV7L
				ccxNc6Qlj467QjHQ3Fgm2i2LE9w6LqPFDSng5qVq1OYF
				yTBt3DQppqDnAPriTwW5qIQNDNFv34yo63sAdBeU4G9t
				v7dzT5sPyAgmVh5HDCe+6XM2+Iel1+kUKCel8Icy19hR
				) ; key id = 41248
			DNSKEY	257 3 8 (
				AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
				bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
				/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
				JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
				oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
				LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
				Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
				LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
				) ; key id = 19036
			RRSIG	DNSKEY 8 0 86400 20100725235959 (
				20100711000000 19036 .
				I4cENgcWP+mN7eoX8KqPhvOMcGB0MMOB6ooTbEKHPR9g
				k6sAcJvq04tCncwBNiMY3JxzHajsLmMermTL0sVmXj8j
				6Ba3eTX+t4CsdnUBFfk8zDyblIIlYwWKZ/x2aXmOjKIK
				MIC9w8Wnt8awoo45MWzlAT2wGU7gcCAKxJ+OFG/ev8eU
				XpNxpzRIQvuC7ZGOlELJrrTQCgubyMWOjGaY0MPzrei0
				Uwe92autHPcISBKghnp80zfLmkueSO8qmkbwHn6Jg5vF
				Q7mG/BKJ5mDXCX5kIjfBQPPe+I2FsGnl+2r9yAmT1n7x
				LzktKRwKpCwE265EUhDMq7e0P7gFkhgEPA== )

El record en cuestión que faltaba para implementar totalmente el DNSSEC es el DNSKEY. Hasta ahora se utilizaban deliberadamente dos DNSKEY incorrectos y de esta forma a la Zona Raíz firmada de este modo se le llamaba Zona Raíz Deliberadamente Invalidable (Deliberately-Unvalidatable Root Zone—DURZ) y se utilizaba para hacer pruebas y correcciones. La Zona Raíz siguiente es la última que corresponde a DURZ y es de la misma fecha—15 de julio de 2010.

$ORIGIN .
$TTL 86400	; 1 day
@			IN SOA	a.root-servers.net. nstld.verisign-grs.com. (
				2010071500 ; serial
				1800       ; refresh (30 minutes)
				900        ; retry (15 minutes)
				604800     ; expire (1 week)
				86400      ; minimum (1 day)
				)
			RRSIG	SOA 8 0 86400 20100722000000 (
				20100714230000 41248 .
				RIg5AnjGSuXxkQBqsQOE2LF7t7YWFTuV1sXVjOiq4rAE
				+gHoCjQGJcn0P/DdZKnWkwWj0Jn+/eIY2o/cn3psPwJF
				1fDBM8OLuU1351sHpXwG4wrILiZdT9dPGJZVURovcado
				/dzZHRZBSF3+2XnZIP/+1RSajvdZs7518fjvoTc= )
$TTL 518400	; 6 days
			NS	a.root-servers.net.
			NS	b.root-servers.net.
			NS	c.root-servers.net.
			NS	d.root-servers.net.
			NS	e.root-servers.net.
			NS	f.root-servers.net.
			NS	g.root-servers.net.
			NS	h.root-servers.net.
			NS	i.root-servers.net.
			NS	j.root-servers.net.
			NS	k.root-servers.net.
			NS	l.root-servers.net.
			NS	m.root-servers.net.
			RRSIG	NS 8 0 518400 20100722000000 (
				20100714230000 41248 .
				ohs6B6xof3LrglEMni5/gz9NY5M8MWx0qNVpzo8Smzdq
				hA4gUGTzHW2O9kz7ZqZLZq6LXUF2Qg2eYoY9rfBjajq0
				PSZIzkpwWGVIF2hQnbtiDUwSRR/RliyBUsGyvom7LNug
				+527vQCCEu9GNWS9rSgqo2HY44+CYjqo0mpFY58= )
$TTL 86400	; 1 day
			NSEC	ac. NS SOA RRSIG NSEC DNSKEY
			RRSIG	NSEC 8 0 86400 20100722000000 (
				20100714230000 41248 .
				hRFnAY9bkRYKSVlnz8E1mG9QqRdoiK1UoMdPBO/mowHz
				JINUcFPYPXNSMt74pesK7B0FAu4jEvzG+rXgD0D0e+t9
				RQXQLVYTMHIdA2qN6x+ujFV/atbuVs+R8TAMUs1YO8fv
				FxWC/Be/eI63fzQXi7vy/kYOvujQF74jyjA8Es4= )
			DNSKEY	256 3 8 (
				AwEAAa2Yy++++++++++++++++THIS/IS/AN/INVALID/
				KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/
				AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++
				+++++++++++++++++++++++++++++++++++++++++++8
				) ; key id = 41248
			DNSKEY	257 3 8 (
				AwEAAa7hd++++++++++++++++THIS/IS/AN/INVALID/
				KEY/AND/SHOULD/NOT/BE/USED/CONTACT/ROOTSIGN/
				AT/ICANN/DOT/ORG/FOR/MORE/INFORMATION+++++++
				++++++++++++++++++++++++++++++++++++++++++++
				++++++++++++++++++++++++++++++++++++++++++++
				++++++++++++++++++++++++++++++++++++++++++++
				++++++++++++++++++++++++++++++++++++++++++++
				++++++++++++++++++++++++++++++++++++++8=
				) ; key id = 19036
			RRSIG	DNSKEY 8 0 86400 20100725235959 (
				20100711000000 19036 .
				I4cENgcWP+mN7eoX8KqPhvOMcGB0MMOB6ooTbEKHPR9g
				k6sAcJvq04tCncwBNiMY3JxzHajsLmMermTL0sVmXj8j
				6Ba3eTX+t4CsdnUBFfk8zDyblIIlYwWKZ/x2aXmOjKIK
				MIC9w8Wnt8awoo45MWzlAT2wGU7gcCAKxJ+OFG/ev8eU
				XpNxpzRIQvuC7ZGOlELJrrTQCgubyMWOjGaY0MPzrei0
				Uwe92autHPcISBKghnp80zfLmkueSO8qmkbwHn6Jg5vF
				Q7mG/BKJ5mDXCX5kIjfBQPPe+I2FsGnl+2r9yAmT1n7x
				LzktKRwKpCwE265EUhDMq7e0P7gFkhgEPA== )

Ya nadie tiene justificación para no implementar DNSSEC.

Publicado por Jorge Reyes Pérez a las 10:40 PM
| Enlace permanente | Comentarios (0)

En el centro (parado) - Mehmet Akcin, Critical Infrastructure Engineer, DNS Group, a la derecha -Richard Lamb, DNSSEC Program Manager, dando inicio a la KSK Ceremonia2.

Como he explicado anteriormente, DNSSEC es la capa de seguridad que se ha añadido al Sistema de Nombres de Dominios (Domain Name System—DNS), que consiste en firmar con llaves (claves) criptográficas los datos de los dominios (zona) y de esta forma autenticar los datos de la misma y que, por consiguiente, éstos no han sido alterados. Y como el DNS comienza con la Zona Raíz, la cadena de verificaciones de firmas comienza precisamente por ella, creando lo que se ha dado en llamar la cadena de autenticación, y la llave con la que se firmó la llave para firmar la Zona Raíz—el ancla de confianza (trust anchor, ing.).

La Zona Raíz es un fichero de texto, con un formato determinado, que contiene el listado de todos los dominios de primer orden - TLD—Top-level domain (Dominio de nivel superior) (.net, .com, .org, .cu, .bg, .es, … etc) de Internet. Ésta se actualiza por el ICANN (Internet Corporation for Assigned Names and Numbers) - más exactamente por su dependencia—IANA, en base a la información procesada y verificada que recibe de lo operadores de los TLD; luego el ICANN (IANA) remite un pedido de autorización para su publicación al U.S. DoC NTIA (United States Department of Comerce—National Telecommunications and Information Administartion) y después de concedido, el ICANN (IANA) transmite la Zona Raíz actualizada a la empresa VeriSign que es la encargada de mantener y firmar la Zona Raíz y distribuir ésta a los otros 11 operadores de servidores raíz, que en su conjunto operan 13 grupos de servidores raíz.

VeriSign firma la Zona Raíz con la llave ZSK (Zone Signing Key—Llave para firmar la zona); está establecido que VeriSign debe cambiar ésta cada tres meses. Pero antes de poner en uso una llave ZSK, VeriSign la debe mandar al ICANN para que éste la firme con su KSK (Key Signing Key - Llave para firmar llave) y es la ZSK firmada la que se utiliza para firmar la Zona Raíz jajajaja, ¿un poco engoroso. eh?. Y es precisamente al proceso de firmar la ZSK de VeriSign por parte del ICANN lo que se ha dado en llamar - KSK Ceremonia. Ésta se ejecuta según la Guía de la KSK Ceremonia de la Zona Raíz DNSSEC.

La Primera KSK Ceremonia (KSK Ceremony) tuvo lugar el 16 de junio de 2010 a las 13:00EDT (17:00UTC, 19:00CEDT, 20:00EEDT—Bulgaria), en las instalaciones de la Costa Este del ICANN en 18155 Technology Drive, Culpeper, VA 22701-3805. Y como ésta fue la primera ceremonia para firmar la primera ZSK de VeriSign, lo primero que se hizo fue generar la primera llave KSK y luego firmar con ella la ZSK que se utilizará durante el tercer trimestre de 2010—desde el 15 de julio de 2010 hasta el 30 de septiembre de 2010.
Fotos de esta ceremonia pueden ver aquí.

La Segunda KSK Ceremonia se efectuó ayer, 12 de julio de 2010 a las 13:00PDT (20:00UTC, 22:00CEDT, 23:00EEDT—Bulgaria), en las instalaciones de la Costa Oeste del ICANN en 11920 E. Maple Ave. El Segundo, CA 90245. En esta ceremonia se firmó la segunda ZSK de VeriSign que se utilizará para firma la Zona Raíz durante el cuarto trimestre de 2010—desde el 1 de octubre de 2010 hasta el 31 de diciembre de 2010.
Esta vez, el equipo de Operaciones DNS del ICANN transmitió en vivo la Segunda KSK Ceremonia y tuve la posibilidad de ver cómo transcurría la misma e hice 106 tomas de pantalla que pongo a continuación.

En las dos KSK Ceremonias efectuadas, Mehmet Akcin, Critical Infrastructure Engineer, DNS Group actuó como Ceremony Administrator supervisado por Richard Lamb, DNSSEC Program Manager.

Pasado mañana, 15 de julio de 2010 en un lapso de tiempo entre las 19:30UTC y las 23:30UTC, se comenzará a utilizar por todos los servidores raíz la Zona Raíz firmada y se publicará el ancla de confianza (trust anchor) de la Zona Raíz—el Sistema de Nombres de Dominios (Domain Name System—DNS comienza una nueva era.

Sistema Operativo—CentOS

A partir de este momento—en la foto anterior se ve que son las 21:30UTC—sucedió algo que me llamó la atención. El Admisitrador de Ceremonia introdujo una tarjeta de memoria en el equipo y comenzó a teclear el PIN código, cosa ésta que no debería transmitirse, y así lo mismo con dos o tres tarjetas y de momento se cortó la transmisión a la 21:36UTC, esperé un rato a que se restableciera la transmisión y como ya estaba pasada la medianoche desistí y me acosté a dormir. Pude ver una hora y 36 minutos de la ceremonia, no sé si restablecieron la transmisión más tarde.

Publicado por Jorge Reyes Pérez a las 9:33 PM
| Enlace permanente | Comentarios (0)

El 12 de julio de 2010, a las 13:00PDT (20:00UTC, 22:00CEDT, 23:00EEDT), en las Instalaciones de la Costa Oeste del ICANN en El Segundo, CA 90245, se efectuará la segunda ceremonia KSK para la zona raíz. Éste será el último paso para la implementación de DNSSEC en el directorio raíz que será firmado y comenzará su uso en los servidores raíz a partir del 15 de julio de 2010.
Las imágenes en directo de esta ceremonia se podran ver en
http://dns.icann.org/ksk/stream/

Publicado por Jorge Reyes Pérez a las 4:19 PM
| Enlace permanente | Comentarios (0)

Internet (la Red) es un organismo vivo, es un cúmulo de tecnologías que interactúan entre sí y se complementan. Con el paso del tiempo, algunas se hacen obsoletas y se dejan de aplicar, desaparecen; otras nuevas aparecen para responder a nuevas y crecientes necesidades para el tráfico en la Red y, en el tercer caso, a muchas de las que se utilizan, se les agregan posibilidades, funcionalidades y características nuevas.

El Sistema de Nombres de Dominios (Domain Name System - DNS), es una de las piedras angulares del funcionamiento de Internet, sin el cual éste no podría funcionar. DNS - es una base de datos distribuída por todos los servidores DNS dispersos por la Red, en cuyos registros se asocian las direcciones IP de las computadoras con los nombres de dominio. Pero DNS cojea en lo que a seguridad informática se refiere. Este problema de seguridad no es sólo del DNS, sino de la Red en general.

Internet fue creada y diseñada por los medios académicos de los E.E.U.U. (financiado por los militares), por personas serias y sin malas intenciones - la seguridad nunca fue un factor determinante en su diseño y construcción, a nadie se le ocurría hacer trampas. Las redes de computadoras de las universidades comenzaron a enlazarse unas con otras, le siguieron algunas redes de grandes empresas - la caja de Pandora se había abierto, Internet crecía con impetud y se extendía por toda la Tierra.

Es entonces cuando aparecen los malos y comienzan las prácticas indebidas y criminales en la Red. Internet tenía que reajustarse, había que crear tecnologías de seguridad. Es así como a finales de los años 90 comienza la creación de las Extensiones de Seguridad de DNS (DNS Security Extensions - DNSSEC), comienza su implementación limitada por las organizaciones que administran el funcionamiento de Internet para probarlas y hacer correcciones antes de aplicarlas a toda la Red. En 2007, Suecia y Bulgaria fueron los primeros países que implementaron DNSSEC en sus respectivos dominios (.se y .bg) y desde entonces va creciendo el número de dominios que aplican DNSSEC.

Como culminación y para su aplicación total en todo el Sistema de Nombres de Dominios, el 15 de julio, dentro de diez días, estará a disposición de todos los servidores DNS de la Red el directorio raíz firmado de todos los dominios de primer nivel de Internet. Recuerden esa fecha porque marcará un hito en la historia de Internet.
Después de esta introducción y evitando tecnicismos, llegamos al asunto en cuestión. Aplicar DNSSEC no es tarea fácil e implica a todos los administradores de red a todos los niveles. En muchos casos habrá que pasar a versiones nuevas de los programas/servidores que tienen las funcionalidades de DNSSEC; en otros casos habrá que pasarse a otro programa/servidor que tienen las funcionalidades de DNSSEC; en otros casos habrá que levantar nuevos servidores de DNS y lo fundamental - los administradores de redes tendrán que olvidarse de los días cómodos del DNS elemental y ponerse a estudiar las nuevas normas de DNSSEC y aplicarlas. La seguridad en Internet es una guerra y los administradores de red tenemos la obligación de proteger a nuestros usuarios y clientes.

Y como ya llevo varios meses estudiando DNSSEC e introduciendo su aplicación en las redes y dominios que administro - tanto en el trabajo como en lo particular - he enviado correos electrónicos a varias empresas de acceso a Internet y de alojamiento web y de DNS, preguntándoles si sus servidores DNS cumplen con las normas de DNSSEC y casi todos responden que aun no pero pronto lo harán.
Pero GoDaddy tuvo, diría yo, la ligereza de contestarme que ellos no van a implementar DNSSEC en sus servidores. Inconcebible, GoDaddy es una de las mayores empresas de Internet, aloja más de 40 millones de dominios de 65 TLD dominios de primer y segundo nivel.

El 24 de junio les escribí A lo que me respondieron No lo podía creer, esa respuesta es una estupidez por donde quiera que se mire, no se puede ignorar una de las tecnologías más discutidas y que llevó más de 10 años en cuajar y comenzar a aplicar. Tomé la decisión de retirar mis dominios de GoDaddy en cuanto encontrara otra empresa que cumpliera con DNSSEC.

Pero hoy, leyendo las FAQ (Preguntas Frecuentes) de GoDaddy, encuentro una respuesta del 2 de julio, diametralmente opuesta a la que me ofrecieron el 24 de junio y dice así

Evidentemente, GoDaddy da marcha atrás

Publicado por Jorge Reyes Pérez a las 8:25 PM
| Enlace permanente | Comentarios (0)