Ajuste de seguridad para .ORG
El Public Interest Registry anunciará (2-jun-09) que ha comenzado a firmar criptográficamente el dominio de nivel superior .org usando las extensiones de seguridad DNS conocidas como DNSSEC.
DNSSEC es un estándar emergente que impide los ataques de suplantación de identidad (spoofing) permitiendo que los sitios Web verifiquen sus nombres de dominio y las direcciones IP correspondientes usando firmas digitales y cifrado de clave pública.
DNSSEC es visto como la mejor forma de reforzar el DNS frente a las vulnerabilidades incluyendo el bug Kaminsky, una falla de DNS descubierta el verano pasado que permite a un hacker redirigir el tráfico de un sitio Web legítimo a uno falso sin que lo sepa el usuario.
"DNSSEC es una actualización necesaria de la infraestructura", dice Alexa Raad, CEO del Public Interest Registry (PIR). "Ha pasado el umbral de ser una oportunidad teórica para ser una necesidad práctica. La cuestión que sigue entonces es: ¿Cómo lo hacemos funcionar?"
Con 7,5 millones de nombres registrados, .org es el dominio más grande para desplegar DNSSEC.
Actualmente los usuarios de DNSSEC incluye a los dominios de países como Suecia, Puerto Rico, Bulgaria, Brasil y República Checa.
"Que firmemos la zona es un paso muy importante, pero también un paso simbólico", dice Raad. "Muchos dominios genéricos de nivel superior han firmado ahora su zona. Esto es una señal para los otros actores en la cadena que les indica que es tiempo de ponerse a trabajar muy seriamente en el software y las aplicaciones para hacer que DNSSEC sea viable en el futuro cercano."
PIR anunció planes para desplegar DNSSEC el pasado Junio, y en Diciembre votaron por compartir sus experiencias con los miembros de la DNSSEC Industry Coalition. La coalición incluye a los registros de dominios líderes tales como VeriSign, NewStar y Afilias asi como también los proveedores de software DNS NLnet Labs, Secure64 e InfoBlox.
Raad dice que es importante para PIR compartir sus experiencias con DNSSEC porque "esto es algo que no puede hacer un solo actor. Se necesita una villa, si me permiten la comparación, para hacerlo apropiadamente."
Una recomendación que hace PIR a la industria es que el depliegue de DNSSEC use el nuevo algoritmos NSEC3 en lugar del viejo NSEC, que es menos seguro y necesita más procesamiento.
PIR también pide a la Coalición de la Industria para DNSSEC el desarrollo de procedimientos operacionales tales como el de transferencia de dominios de un registro que soporte DNSSEC a otro que no lo soporte.
"Tomamos esto como una responsabilidad inmensa", dice Raad. "Queremos asegurarnos que la prudencia y el cuidado sea la forma por sobre la prisa" con el despliegue de nuestro DNSSEC.
El 2 de junio, el PIR anunciará que está firmando el dominio .org con NSEC3 y que ha comenzado a probar DNSSEC con un puñados de registros que usan primero nombres .org falsos y después reales, PIR planea seguir expandiendo estas pruebas durante los próximos meses hasta que el registro esté listo para soportar DNSSEC para todos los operadores de dominios .org.
Raad dice que ellas espera que un depliegue completo de DNSSEC del dominio .org suceda hacia 2010. "No espero que sea en este año calendario", dijo ellas. "Se trata de aprender y compartir nuestro aprendizaje con la industria.
Las buenas noticias para los que tengan nombres de dominio .org es que las pruebas de DNSSEC de PIR y el despliegue no afecta a sus operaciones diarias.
"Es importante destacar que los poseedores de dominios .org no necesita hacer nada," dice Raad. "Sus dominios funcionarán como siempre".
Raad dice que los encargados de redes empresariales deben empezar a preguntar a sus ISP, registrantes de nombres de dominio y proveedores de DNS que es lo que están haciendo para soportar DNSSEC.
Imaginado por primera vez en 1995, los esfuerzos en DNSSEC se incremetaron dramáticamente desde el pasado verano cuando el bug de Kaminsky fue descubierto.
El gobierno federal de EEUU está implementanto DNSSEC por todo el dominio .gov durante este año, con planes para todos los sub-dominios para ser firmados hacia fines de 2009.
VeriSign se ha comprometido para implementar DNSSEC en todo .com y .net para 2011. Pero la comunidad de ingenierpia de Internet está esperando que el gobierno federal de EEUU implemente DNSSEC en la root zone.
Más noticias de DNSSEC se anticipan para la próxima semana debido al symposium organizado por la Coalición de la Industria en DNSSEC que será en Washington D.C. el 11 y 12 de junio para discutir los problemas en el despliegue de DNSSEC incluyendo la nejor forma de firmar la root zone.
Autor: Carolyn Duffy Marsan
Fuente: Networkworld
Traducción de Raúl Batista para Segu-Info
DNSSEC es un estándar emergente que impide los ataques de suplantación de identidad (spoofing) permitiendo que los sitios Web verifiquen sus nombres de dominio y las direcciones IP correspondientes usando firmas digitales y cifrado de clave pública.
DNSSEC es visto como la mejor forma de reforzar el DNS frente a las vulnerabilidades incluyendo el bug Kaminsky, una falla de DNS descubierta el verano pasado que permite a un hacker redirigir el tráfico de un sitio Web legítimo a uno falso sin que lo sepa el usuario.
"DNSSEC es una actualización necesaria de la infraestructura", dice Alexa Raad, CEO del Public Interest Registry (PIR). "Ha pasado el umbral de ser una oportunidad teórica para ser una necesidad práctica. La cuestión que sigue entonces es: ¿Cómo lo hacemos funcionar?"
Con 7,5 millones de nombres registrados, .org es el dominio más grande para desplegar DNSSEC.
Actualmente los usuarios de DNSSEC incluye a los dominios de países como Suecia, Puerto Rico, Bulgaria, Brasil y República Checa.
"Que firmemos la zona es un paso muy importante, pero también un paso simbólico", dice Raad. "Muchos dominios genéricos de nivel superior han firmado ahora su zona. Esto es una señal para los otros actores en la cadena que les indica que es tiempo de ponerse a trabajar muy seriamente en el software y las aplicaciones para hacer que DNSSEC sea viable en el futuro cercano."
PIR anunció planes para desplegar DNSSEC el pasado Junio, y en Diciembre votaron por compartir sus experiencias con los miembros de la DNSSEC Industry Coalition. La coalición incluye a los registros de dominios líderes tales como VeriSign, NewStar y Afilias asi como también los proveedores de software DNS NLnet Labs, Secure64 e InfoBlox.
Raad dice que es importante para PIR compartir sus experiencias con DNSSEC porque "esto es algo que no puede hacer un solo actor. Se necesita una villa, si me permiten la comparación, para hacerlo apropiadamente."
Una recomendación que hace PIR a la industria es que el depliegue de DNSSEC use el nuevo algoritmos NSEC3 en lugar del viejo NSEC, que es menos seguro y necesita más procesamiento.
PIR también pide a la Coalición de la Industria para DNSSEC el desarrollo de procedimientos operacionales tales como el de transferencia de dominios de un registro que soporte DNSSEC a otro que no lo soporte.
"Tomamos esto como una responsabilidad inmensa", dice Raad. "Queremos asegurarnos que la prudencia y el cuidado sea la forma por sobre la prisa" con el despliegue de nuestro DNSSEC.
El 2 de junio, el PIR anunciará que está firmando el dominio .org con NSEC3 y que ha comenzado a probar DNSSEC con un puñados de registros que usan primero nombres .org falsos y después reales, PIR planea seguir expandiendo estas pruebas durante los próximos meses hasta que el registro esté listo para soportar DNSSEC para todos los operadores de dominios .org.
Raad dice que ellas espera que un depliegue completo de DNSSEC del dominio .org suceda hacia 2010. "No espero que sea en este año calendario", dijo ellas. "Se trata de aprender y compartir nuestro aprendizaje con la industria.
Las buenas noticias para los que tengan nombres de dominio .org es que las pruebas de DNSSEC de PIR y el despliegue no afecta a sus operaciones diarias.
"Es importante destacar que los poseedores de dominios .org no necesita hacer nada," dice Raad. "Sus dominios funcionarán como siempre".
Raad dice que los encargados de redes empresariales deben empezar a preguntar a sus ISP, registrantes de nombres de dominio y proveedores de DNS que es lo que están haciendo para soportar DNSSEC.
Imaginado por primera vez en 1995, los esfuerzos en DNSSEC se incremetaron dramáticamente desde el pasado verano cuando el bug de Kaminsky fue descubierto.
El gobierno federal de EEUU está implementanto DNSSEC por todo el dominio .gov durante este año, con planes para todos los sub-dominios para ser firmados hacia fines de 2009.
VeriSign se ha comprometido para implementar DNSSEC en todo .com y .net para 2011. Pero la comunidad de ingenierpia de Internet está esperando que el gobierno federal de EEUU implemente DNSSEC en la root zone.
Más noticias de DNSSEC se anticipan para la próxima semana debido al symposium organizado por la Coalición de la Industria en DNSSEC que será en Washington D.C. el 11 y 12 de junio para discutir los problemas en el despliegue de DNSSEC incluyendo la nejor forma de firmar la root zone.
Autor: Carolyn Duffy Marsan
Fuente: Networkworld
Traducción de Raúl Batista para Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!