Ges$ón de la KSK en la Raízslides.lacnic.net/wp-content/themes/slides/docs/... · | 3 ¤ Una de...
Transcript of Ges$ón de la KSK en la Raízslides.lacnic.net/wp-content/themes/slides/docs/... · | 3 ¤ Una de...
Ges$óndelaKSKenlaRaízAndrésPavez|LACNIC26LACNOG2016|[email protected]
EstapresentaciónfuepreviamentepreparadaporEdLewis([email protected])ylevementemodificadaparaestepúblico
| 2
AntecedentessobreDNS,DNSSEC
Ges3óndelaZonaRaíz
RoldeICANNcomolaen3dadencargadadelmantenimiento
delaKSK
1 2 3
Agenda
| 3
¤ UnadelasfuncionesdeIANAqueICANNdesempeñaeslages$óndelallaveparalafirmadellave(KSK)delasExtensionesdeSeguridad(DNSSEC)delazonaraízdelDNS
¤ SaberquéeslaKSKycómosemaneja,ayudaajuzgarsidebetenerconfianzaenlaseguridadenfuncióndeellayenDNSSECengeneral
¿Porquésedebedarestacharla?
| 4
¤ ElprimerpasoesentendercómofuncionaDNSSECdemaneraabstracta
¤ ¿Cómoprotegelosdatosenelsistema?
Seguridadapequeñaescala
| 5
Paraingenierosalosquenolesgustanlosprotocolos
¿CuálesladirecciónIPv6parawww.lacnic.net?
www.lacnic.net.esW::Z
| 6
DNSSECparaaquellosalosquenolesgustanlosprotocolos
¿CuálesladirecciónIPv6parawww.lacnic.net?
www.lacnic.net.esW::Z
Firmadigitaldelacnic.netqueabarcalarespuesta
| 7
LadirecciónIPv6parawww.lacnic.netesW::Z
Firmadigitalporlacnic.netqueabarcalarespuesta
AlgunaCosa
?✔
✖O
Verificacióncriptográficadeunafirma
| 8
Verificacióncriptográficadeunafirma
LadirecciónIPv6parawww.lacnic.netesW::Z
Firmadigitalporlacnic.netqueabarcalarespuesta
lacnic.net.llaveZSK
?✔
✖O
| 9
¤ DNSSECsebasaenlajerarquíadelDNS
¤ EnDNSSECseinventarondosrolesparalasllaves:o Llaveparalafirmadedatosdelazonaraíz(ZSK)o Llaveparalafirmadelallave(KSK)
¤ Yenelpuntodedelegación(padre)o Firmantededelegación(DS)
Seguridadagranescala
| 10
El DNS es jerárquico
LaRaíz
NET(TLD)OtrosTLDs
lacnic.NETOtros.NET
| 11
JerarquíadeDNSSEC
LaRaíz
NET(TLD)OtrosTLDs
lacnic.NETOtros.NET
LlaveZSKdelacnic.net.
LlaveKSKdelacnic.net.
DSdelacnic.net.
LlaveZSKdenet.
LlaveKSKdenet.
DSde.net
LlaveZSKdelaraíz
LlaveKSKdelaraíz
| 12
¤ Loscuadrosnaranjasmuestranuna“cadenadeconfianza”
¤ SiunocongaenlaKSKdelazonaraíz,sepuedenrealizarvínculosalaZSK,firmandolosdatos
¤ PorestoesqueconfiarenlaKSKdelazonaraízesmuyimportante
Cadenadeconfianza
| 13
¤ ElciclodevidadelaKSKdelaraízo Desdelacreaciónhastala
destruccióno Usoo Riesgos
¤ DistribucióndelaKSKdelaraízo VíaDNSo Víasi$owebo Incrustadaencódigoo Verificaciónfueradebanda
ConfiandoenlaKSKdelaraíz
LlaveZSKdelacnic.net.
LlaveKSKdelacnic.net.
DSdelacnic.net.
LlaveZSKdenet.
LlaveKSKdenet.
DSde.net
LlaveZSKdelaraíz
LlaveKSKdelaraíz
| 14
¤ ICANNadministralaKSKdelazonaraízcomopartedelcumplimientodelContratodeFuncionesdeIANAo ElContratodeFuncionesdeIANAesges$onadoporla
AdministraciónNacionaldeTelecomunicacioneseInformacióndelosEstadosUnidos(NTIA)delDepartamentodeComerciodelosEE.UU.
¤ Verisignges$onalaZSKdelazonaraízcomoen$dadencargadadelmantenimientodelaZonaRaíz,envirtuddeunAcuerdodeCooperaciónconNTIA
Rolesenlages$óndeLlaves
| 15
Ges$óndelaZonaRaíz
DepartamentodeComerciode
EE.UU.(NTIA) En$dadencargada
delmantenimientode
laZonaRaíz(Verisign)
Operadoresdelosservidores
raíz(A,B,C,D...M)
TLD
Validadores
NS,DS
DNS
En$dadoperadoradelasfuncionesde
IANA(ICANN)
| 16
Ges$óndelaZonaRaíz
DepartamentodeComerciode
EE.UU.(NTIA) En$dadencargada
delmantenimientode
laZonaRaíz(Verisign)
Operadoresdelosservidores
raíz(A,B,C,D...M)
TLD
Validadores
NS,DS
DNS
KSK
ZSK
KSKEn$dad
operadoradelasfuncionesde
IANA(ICANN)
| 17
¤ LaKSKesoperadaenconformidadconlasreglases$puladasenlaDeclaracióndePrác$casdeDNSSEC(DPS):o hjps://www.iana.org/dnssec/icann-dps.txt
¤ LaZSKesoperadaenconformidadconlasiguienteDPS:o hjps://www.verisign.com/assets/dps-zsk-operator-1532.pdf
Reglasdeoperación
| 18
¤ Lages$óndelaKSKincluye:o Elciclodevida:Creación,
uso,destruccióno Manteniendosu
seguridado Habilitandolavalidación
deDNSSEC
OperacióndelaKSK
Creación
UsoDestrucción
| 19
¤ KSKyZSKson,enrealidad,unpardellaveso LlavesPrivadayPúblicao Lasllavesprivadaypúblicaestánespecialmentevinculadas:lo
queunacifra,laotralodescifrayviceversa
OtrodetallesobrelasLlaves
LlaveZSKPública
LlaveKSKPública
LlaveZSKPrivada
LlaveKSKPrivada
| 20
¤ GenerarconfianzadelacomunidadenlaKSKo Par$cipaciónexternaac$va
• 21voluntariosparacubrirroles(descritosmásadelante)o Revisióndeterceros
• AuditoriaSysTrust/SOC-3o Enfa$zardeteccióndeincidenteso Par$cipacióndepersonaldediferentesáreaso Recuperaciónantedesastres
Principiosdediseño
| 21
¤ LamaquinariaparalasoperacionesdelaKSKenlaZonaRaízincluye:o Centrodedatos,capasdeacceso(jaulas,cajasfuertes,cajas
deseguridad)o Hardwareconfiguradoparafuncionaraisladoysólocon
funcionesnecesarias,todoelsoqwareestádisponiblepararevisión
o Todaslasoperacionesqueimplicanelusodelallaveprivadasongrabadasyseu$lizanbolsasquepermitenevidenciarsihansidoalteradas
o PublicacióndeDeclaracióndePrác$casdeDNSSEC
Unabasesegura
| 22
“Vista”gsicaencapas3-4–5-6
Capa3ManTrap
Capa4SaladeCeremonia
Capa6CajasFuertes
Capa5SaladeCajasFuertes
| 23
¤ Parau$lizarlaKSK(llaveprivada)
¤ CadavezquelaKSKseac$vaesduranteunaceremoniao Tes$gospresenciales,auditores,transmisiónenvivoo hjps://www.iana.org/dnssec/ceremonies
¤ Entreceremonias,todoslosac$vosdelaKSKseman$enenenbolsasquepermitenevidenciarsihuboalteraciónomanipulación
¤ Enlaceremoniase“explica”cuándoyporquéserompensellos
Ceremonias
| 24
¤ Creadaenjuniode2010
¤ InstaladaendosHSMenCulpeper,Virginia,EE.UU.(16dejuniode2010)o SefirmanlasprimerasZSKdelazonaraíz
¤ CopiadaporredundanciaenotrosdosHSMenElSegundo,California,EE.UU.(12dejuliode2010)o SefirmóelsegundoconjuntodeZSKdelazonaraíz
¤ Videoymaterialesdisponiblesenlínea:o hjps://www.iana.org/dnssec/ceremonies
CreacióndelaKSKdelaZonaRaíz
| 25
UsodelaKSKdesdeentonces
KMFCostaoestedeEE.UU.
ElSegundo,California
KMFCostaestedeEE.UU.
Culpeper,Virginia
¤ Lassalasdeceremonias,conocidascomoinstalacionesenlascualesseadministralallave(KMF),estánubicadasdentrodedosinstalacionesvigiladas,unaenlacostaoesteyotraenlacostaestedeEE.UU.
| 26
Fotomontajedelasprimerasceremonias
| 27
AlgunasfotosdelasKMF
VistadeJauladecapa3acapa4
Vistadejauladecapa5acapa4
PantalladeocupacióndecapasyrelogdeCeremonia
Capa3Temporizador
| 28
MódulodeSeguridaddeHardware(HSM)
¤ Lallaveparalafirmadelallave(KSK)sealmacenaenundisposi$voconocidocomoMódulodeSeguridaddeHardware(HSM)cuyoúnicofinesalmacenarllavescriptográficasdemanerasegura.Eldisposi$voestádiseñadoparaqueseaapruebadealteraciones.Siseproduceunintentodeabrirlo,elcontenidosedestruyeautomá$camente.
| 29
¤ ElHSMhacequeelrobodelallaveseaimprác$coo PerosepuederobarelHSM
¤ ¿Dequémaneraestáprotegido?o Seguridadgsicao Seguridad“parau$lizarelHSM”
Noeslallave,eselHSM
| 30
Credenciales
¤ Existensietetarjetasinteligentesquepuedenac$varseencadadisposi$vo.Eldisposi$voestáconfiguradodemaneratalque3delas7tarjetasinteligentesdebanestarpresentesparaqueelmismopuedau$lizarse.
| 31
Representantesconfiablesdelacomunidad(TCR)
¤ CadatarjetainteligenteesentregadaaunmiembrodelacomunidaddeICANN,conocidocomorepresentanteconfiabledelacomunidad.Parateneraccesoalallaveparalafirmadelallave,almenostresdeestosTCRdebenestarpresentes.
| 32
CajaFuerte1–Cajafuertedehardware
¤ ElHSMestáalmacenadoenunacajafuertedealtaseguridad,quesolopuedeserabiertaporunapersonadesignada,elcontroladordeseguridaddecajasfuertes.Lacajafuerteestámonitoreadaconsensoressísmicosyotrossensores.
| 33
CajaFuerte2–Cajafuertedecredenciales
¤ Lastarjetasinteligentesestánalmacenadasdentrodeotracajafuertedealtaseguridad,quesolopuedeserabiertaporuncontroladordeseguridaddecajasfuertesdiferente.LascajasdeseguridadqueprotegenacadaunadelastarjetasinteligentessolopuedenserabiertasporlosTCR
| 34
¤ Dosgruposdesietefuncionarioscriptográficoso PersonasquenopertenecenalpersonaldeICANN
seleccionadasatravésdeunprocesoen2010,ubicadosentodoelmundo
o UngrupoparaCulpeper,otroparaElSegundoo SenecesitantresdesieteparainiciarunHSM
¤ Siete$tularesdecredencialesderecuperacióndellave
o NopertenecientesalpersonaldelaICANN,comoarribao Verificaciónanualdeposesióndetarjetainteligenteo Cincodesiete$tularesdebensercongregadospara
reensamblarlallave
ProteccióndelaKSKdelaZonaRaíz
| 35
¤ AlmomentoenquelallaveKSK(privada)esu$lizadao Lasfirmassegeneranparaelpróximotrimestrecalendarioo Estopermite3meses(aproximadamente)de$empode
recuperaciónanteunafalla
¤ Esimportanteseñalaresto–paraevitarpánico
Recuperación
| 36
¤ HSMo Existeunasuposicióndadadequeunabateríainternacrí$ca
dura5añoso Alamarcade5añosserealizauna“actualizacióntécnica”
¤ KSKo LaKSKnuncasehacambiadodesdesucreaciónen2010
Historialdecambios
| 37
¤ Alalarga,lossecretoso seolvidan(todoslosHSM
puedenfallar)o seexponen(lallaveprivadase
copiafueradelHSM)o sedescubren(alguienhace
unaingenieríainversa)
¤ ¿Esosucederápronto?Probablementeno.
¤ Pero¿quésucedesiestopasa?o Preparación/Prác$ca
¿PorquécambiarlaKSK?
| 38
¤ MantenerensecretolapartesecretaesfundamentalparaquelaKSKtengavalor
¤ Paraquetengavalor,lapartepúblicadelaKSKdebeseru$lizadao Laexac$tudimporta(¡eviteerroresporcortarypegar!)o Lalegi$midadimporta(asegúresedequeseala“real”)
PublicacióndelaKSK
| 39
¤ VíaDNSo TanconfiablecomolosdatosenelDNSnoprotegidoo Exac$tud,seguro,peropuedecues$onarsesu
legi$midad
¤ VíaWebo hjps://www.iana.org/dnssec/fileso Protegidaporfirmaycer$ficadoX.509
¤ Víaotrosmedioso Presentaciones,amigos,códigoo ¡Recuerdesiempreverificarlalegi$midad!
ObtencióndelallaveKSKpública
| 40
¤ Asep$embrede2016,éstaesunaformadeiden$ficarlallave:
<KeyDigestid="Kjqmt7v"validFrom="2010-07-15T00:00:00+00:00"><KeyTag>19036</KeyTag><Algorithm>8</Algorithm><DigestType>2</DigestType><Digest>49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</Digest></KeyDigest>
Iden$ficacióndelaKSK
| 41
¤ Asep$embrede2016,éstaesotraformadeiden$ficarlallave:
OtraVistadelallaveKSKpública
. 172800 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=
| 42
¤ Nosebasesóloenelcontenidodeestasdiaposi$vas
¤ U$lícelasparaverificarloqueveatravésdeotrosmedios
¤ Yrecuerde,usteddecideenquéconfiar
Notadeadvertencia
| 43
¤ Únasealalistadecorreoelectrónico:o hjps://mm.icann.org/mailman/lis$nfo/root-
dnssec-announce
¤ SíganosenTwijero @ICANNtecho Hashtag:#KeyRoll
¤ Visitelapáginaweb:o hjps://www.icann.org/resources/pages/ksk-
rollover
Para más información
| 44
ContáctemeEmail:[email protected]$oweb:icann.org
Graciasypreguntas
gplus.to/icann
weibo.com/ICANNorg
flickr.com/photos/icann
slideshare.net/icannpresenta$ons
twijer.com/icann
facebook.com/icannorg
linkedin.com/company/icann
youtube.com/user/icannnews
Par$cipeenICANN