carlos martinez lacnic - cepal.org · `existe concenso en reconocer que internet es un bien...

Gobernanza de InternetIPv6IPv6

DNSSEC

Carlos Martinez-Cagnazzocarlos @ lacnic.net

AgendaAgendaGobernanza de InternetAgotamiento de IPv4 e IPv6Agotamiento de IPv4 e IPv6DNSSEC

Gobernanza de Internet

Introducción a la gobernanza de InternetIntroducción a la gobernanza de InternetEn inglés “Internet Governance”

Término muy general que significa muchas vece diferentes Término muy general que significa muchas vece diferentes cosas para diferentes actores

Governanza y Gobiernos ?Principios

Desarrollo de políticas “Bottom-Up”Multi-stakeholderism

¿Por que es necesaria?Gestión de recursosGestión de recursos

IPv4, IPv6, sistemas autónomos, nombres de dominio

Incentivos para el desarrollo

PrincipiosPrincipiosModelo multi-stakeholder

Existe concenso en reconocer que Internet es un bien público y que suq p y qdesarrollo de manera abierta es beneficioso para la sociedad todaSe reconocen a multiplicidad de actores interesados válidos(stakeholders) con diferentes puntos de vista y diferentes intereses( ) p yprimarios

Gobernanza bottom-upL s r ces s artici ati s “b tt m ” r nen e las c m nidadesLos procesos participativos, “bottom-up” proponen que las comunidadesse gobiernen a sí mismasEn general esto se implementa mediante procesos de desarrollo de políticasdonde cualquier miembro de la comunidad puede presentar iniciativasdonde cualquier miembro de la comunidad puede presentar iniciativasque son discutidas en foros públicos

Presenciales o electrónicos

Línea de tiempo del desarrollo de InternetLínea de tiempo del desarrollo de Internet1969

Primeras transmisiones en Arpanet1971

Se introduce la línea de documentos conocidos como “RFC” (Request for Comments)( q f )

De esta forma se planta la semilla del IETF (Internet EngineeringTask Force)

1980Se introduce la familia de protocolos TCP/IPSe introduce la familia de protocolos TCP/IP

1992-1994Internet deja de ser cerrada y se abre al mundo comercialSe registran los primeros nombres de dominio

1998 Se crea el ICANNSe c ea e C

Línea de tiempo del desarrollo de Internet (II)(II)

Hitos relacionados con la gobernanza de InternetCreación de la IETFCreación de la IETF

Primeras experiencias en un modelo de desarrollo “bottom-up”En este caso, aplicado a protocolos

Gestión de recursosJon Postel, InterNIC

1972 - 1998

ICANN y los RIRs1998 – presenteRFC 2050: http://www.ietf.org/rfc/rfc2050.txtp g

Creación del IGF (Internet Governance Forum)Creado bajo el auspicio de las Naciones UnidasA 2006Atenas 2006

Algunas definiciones…Algunas definiciones…Alcance

[1] El mantenimiento y operación de la infraestructura técnica[1] El mantenimiento y operación de la infraestructura técnicade Internet, incluyendo números IP, nombres de dominio, desarrollo de protocolos (IETF) y gestión de los root-serversentre otrosentre otros[2] El impacto de la Internet en la sociedad, incluyendo temascomo control de contenido, “ciber crimen”, brecha digital, multi-culturalismo y multi-lingualismo

Definición del WSIS (World Summit on the Information Society)Society)

Gobernanza de Internet (WSIS)Gobernanza de Internet (WSIS)“La gobernanza de Internet es el desarrollo y la aplicación por

l bi l i d l i d d i il l los gobiernos, el sector privado, y la sociedad civil, en las

funciones que les competen respectivamente, de principios,

normas, reglas, procedimientos de adopción de decisiones y

programas comunes que configuran la evolución y utilización

de Internet.”

Actores: ICANN, IANA y los RIRsActores: ICANN, IANA y los RIRsUna componente fundamental de la gobernanza de Internet es aquella que tiene que ver con la gestión de Internet es aquella que tiene que ver con la gestión de los recursos de numeración

Direcciones IP (v4 y v6) y números de sistema autónomo

Se debe garantizar la unicidad de los mismos, por lo que hace falta cumplir con la función de registro

P j l l i bl IP 4 d b i d Por ejemplo, el mismo bloque IPv4 no debe ser asignado a mas de una organización

IANA gestiona los “pooles centrales” de recursos, de gest o a os poo es ce t a es e ecu sos, e los cuales los registros regionales (RIRs) obtienen recursos propios para sub-asignar

Distribución de Recursos de Numeración de InternetNumeración de Internet

IANA

AFRINIC APNIC ARIN LACNIC RIPE

ISP Usuario Final NIR

Usuario Final

Usuario Final ISP Usuario

Final

Registros de Internet Regionales (RIR)Registros de Internet Regionales (RIR)

Actores (2)Actores (2)ICANN

Ademas de alojar las funciones de IANA ICANN tambiénAdemas de alojar las funciones de IANA, ICANN tambiéntiene responsabilidades sobre el sistema de DNS

Sistema de DNSRelacionamiento con los Registries / Registrars

ccTLDsgTLDsgTLDs

Gestión de los root serversFirma de la raíz con DNSSEC

El ecosistema de InternetEl ecosistema de Internet[Diplo Foundation]

Agotamiento de IPv4 y transición a IPv6

Distribución actual de direcciones IPv4

The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.

Unidad: /8/8 = 1/256 del total de direcciones PIPv4

¿Qué es lo que se está agotando?¿Qué es lo que se está agotando?Cada dispositivo conectado a Internet debe tener un identificador únicoidentificador único

O al menos, cada *usuario* debería tener un identificadorúnico

El espacio central (IANA) de estos identificadores está*agotado*

Los pooles regionales todavía tienen espacio excepto el de Los pooles regionales todavía tienen espacio, excepto el de APNIC

EvoluciónEvolución del pool central del pool central de de direccionesdireccionesIPv4IPv4IPv4IPv4

100

120107 103

9692

80

9287

78

6555

40

60 /8s55

4736

30

0

209

0

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 20110

Disponible hoy en día en LACNIC***Disponible hoy en día en LACNIC

Disponible Hoy /32 74,729,472

Disponible Hoy /8 4 454Disponible Hoy /8 4.454

Reserva último /10 -0.25

Total 4.204 /8 = 70,535,168direccionesdirecciones

Proyección de agotamiento LACNIC(Mayo 2011)

4.5

5

Lin Model Orig

(Mayo 2011)

3

3.5

4

Lin. Model Orig

Real + Lin Model Data Dec.

2

2.5

3

0 5

1

1.5

0

0.5

Transición a IPv6 Transición a IPv6 El espacio de numeración de IPv6 es de 2^128 direcciones, ampliamente suficiente para todos los direcciones, ampliamente suficiente para todos los dispositivos Transicionar exitosamente a IPv6 es la única estrategia que puede garantizar que la Internet va a seguir siendo como la conocemos

Abi t lib i t ióAbierta, con libre interconexiónCon libre oferta de contenidos y libre interacción entre usuarios

Desafíos de la transiciónDesafíos de la transiciónImplementaciones de IPv6

En routersEn routersEn redes de backboneEn sistemas operativos

Windows, Linux

CostosEEntrenamientoSegún diferentes actores

U iUsuariosISPsProveedores de contenido

¿Cuánto tiempo nos queda?

D f l d ( ?)

¿Cuánto tiempo nos queda?2013 – ¿2014?

Dificultad (¿y costo?) para obtener espacioIPv4

Disponibilidad deespacio IPv4

t

espacio IPv4

Amenazas a la transición a IPv6Amenazas a la transición a IPv6Desconocimiento entre los formadores de opinión y tomadores de decisióntomadores de decisiónIntereses de “corto plazo” en ciertos actores

“Venta” de direccionesImplementación de Carrier-Grade NAT

Lentitud en el despliegueFundamentalmente en los servicios residencialesEn otras áreas también

ContenidoContenidoServicios empresariales

Algunas cifrasAlgunas cifras¿ Cuánto es el tráfico IPv6 en Internet hoy ?

Entre el 0 3 % y el 0 6 % del total dependiendo de donde y Entre el 0.3 % y el 0.6 % del total, dependiendo de donde y como se lo mide

¿ Cuánto sería ese tráfico si “mágicamente” toda la red tuviera IPv6?

Entre el 30% y el 40%, según estimaciones de Geoff Huston(APNIC http://www potaroo net) (APNIC, http://www.potaroo.net)

World IPv6 DayWorld IPv6 DayEl 8 de junio de 2011 varios de los mayores proveedoresde contenido (Facebook, Yahoo! y Google) junto con de contenido (Facebook, Yahoo! y Google) junto con muchos otros sitios web habilitaron IPv6 en sus sitiosprincipales

Auspiciado por la Internet Society (ISOC)

No se reportaron mayores problemasS á l f d d d l l ñSe están planificando actividades similares para el añopróximo

Asignaciones y rutas IPv6Asignaciones y rutas IPv6

450

300

350

400

200

250

Alloc LAC

Route LAC

50

100

150

0

Actividades de LACNIC sobre IPv6 en la regiónregión

Talleres IPv6 Regionales para OperadoresArgentina México Surinam Chile Perú Ecuador UruguayArgentina, México, Surinam, Chile, Perú, Ecuador, Uruguay

SeminariosVirtualesI+DI DExoneración de pagos relacionados a IPv6.Actividades de promoción: p

Fuerza de trabajo LAC IPv6. FLIP-7. 9º Foro

Cooperación con gobiernos y otros actoresGobierno de Chile, de Paraguay, de Colombia entre otros

Adoptar IPv6 no implica cambiar todos los equipos

IP 6 transición i ióIPv6 es una transición, no una migración

La transición a IPv6 es responsabilidad de todos

America Latina NO necesita ir a Carrier-Grade NAT en este momento pero si necesitamos aprovecharen este momento, pero si necesitamos aprovechar

de la mejor manera posible el tiempo que nos queda

La transición a IPv6 es responsabilidad de todos

DNSSEC

El sistema de nombres de dominioEl sistema de nombres de dominioEl sistema de nombres de dominio opera como el “directorio” de Internetdirectorio de Internet

Correspondencia entre nombres y números IP

Opera como una base de datos distribuida donde pdiferentes organizaciones administran un sub-conjunto del espacio de nombres totalGlGlosario

Zonas, dominiosServidores raízServidores raízRegistros (resource records)

Nombres, dominios y delegacionesNombres, dominios y delegacionesEstructura de los nombres de dominio:

www .empresa.com .uy.4to nivel | 3er nivel | 2do nivel | 1er nivel | Raíz

Raíz del árbolTLD2doHostname 3ro

Observaciones:Los niveles del árbol reflejan las divisiones administrativasEl root del arbol esta siempre presente de forma ímplicitaNo hay restricciones a la cantidad de nivelesLos niveles superiores “delegan” hacia los inferioresLos niveles superiores delegan hacia los inferiores

Nombres, dominios y delegaciones (ii)Nombres, dominios y delegaciones (ii)

.

com net org cl uycom

amazon

net org … cl

mercurio

uy

com

www adinet

www

Vulnerabilidades del sistema de DNSVulnerabilidades del sistema de DNSInherentes al protocolo

Envenenamiento de cachéEnvenenamiento de cachéDenegaciones de servicio

Ataques por amplificación

Ataques de tipo MITM (man-in-the-middle)

Propios al “ecosistema” del sistema de nombres de dominiosdominios

Secuestro de dominios

El sistema de nombres de dominio es una pieza clave de El sistema de nombres de dominio es una pieza clave de la infraestructura de Internet

Es de gran interés por parte de posibles atacantes

Un ejemplo clásico: phishingUn ejemplo clásico: phishing

Un(os) caso(s) recienteUn(os) caso(s) recienteFuente:

“What’s in a Name?”What s in a Name?http://isc.sans.edu/diary.html?storyid=11770

DNSSECDNSSECRaíz de la mayoría de los problemas

No hay en el sistema de DNS mecanismos de verificaciónNo hay en el sistema de DNS mecanismos de verificaciónque permitan validar una zona

Domain Name System Security Extensions (DNSSEC)Se introducen ~ 2004

ObjetivosPoder validar una respuesta de DNSMantener

El protocolo (es decir, permitir la interoperabilidad y el despliegue El protocolo (es decir, permitir la interoperabilidad y el despliegue parcial)Las delegaciones (divisiones administrativas)

EscalableEscalable

DNSSEC (ii)DNSSEC (ii)DNSSEC nos permite:

Verificar criptográficamente el contenido de una zonaVerificar criptográficamente el contenido de una zona(similar a una firma digital)Validar una cadena de confianza desde una zona dada hasta

l d fi ( h )un ancla de confianza (trust anchor)

Procedimientos operativos en DNSSECFirma de una zonaFirma de una zona

Con especial cuidado en la gestión de las claves secretas

Establecimiento de cadenas de confianzaRelación con la zona padre

Firmado de una zonaFirmado de una zonaSe introduce material criptográfico (similar a una firma digital) dentro del contenido de la zonadigital) dentro del contenido de la zona

Zona No Firmada Zona Firmada

Firma digital

Proceso de Firmado

Firma digital

Verificación de una zonaVerificación de una zonaUna vez obtenido el contenido de una zona, se puedenhacer operaciones matemáticas y verificar la firmahacer operaciones matemáticas y verificar la firma

Zona Firmada

Firma digital

Se recalcula la firma usandoel contenido de la zona

Firma digital

?Si son iguales,

verificaFirma digital Firma digital¿ ? Si son

diferentes, FALLOFALLO

Cadena de confianzaCadena de confianzaLa cadena de confianza en DNSSEC sigue en paralelo a la cadena de delegacióncadena de delegación

.

com cl mercurio uy

cc

amazon www com

cc

adinet

cc• Dentro de cada zona se introducen“firmas” de las claves de las zonas hijas

• Cuando se firma una zona también se www

Cuando se firma una zona también se firman estas autenticaciones de firmas

Ancla de confianza: firma de la raízAncla de confianza: firma de la raízLa operación de la zona raíz del DNS es responsabilidadde ICANN

La operación de los servidores raíz en sí es distribuida entre quienes operan los diferentes servidores

La zona raíz se firmó en producción en julio de 2010La zona raíz se firmó en producción en julio de 2010Miembros de la comunidad sirven de testigos y custodios del material criptográficoh //http://www.root-servers.org“KSK Ceremony”

¿Como se verifica la confianza en el root?¿Como se verifica la confianza en el root?¡El root no tiene zona “padre”!Verificación “fuera de banda”, obteniendo el hash de la clave mediante otros mecanismosmediante otros mecanismos

Firma de la raízFirma de la raízCeremonias periódicas de generación de material criptográfico, con participación de la comunidadcriptográfico, con participación de la comunidad

DNSSEC en LACNIC – Firma del espacioreversoreverso

179.in-addr.arpa.179.in addr.arpa.12.179.in-addr.arpa. IN DS <<DS Data>>38.179.in-addr.arpa. IN DS <<DS Data>>

12.179.in-addr.arpa. IN SOA (…)12 179 i dd IN RRSIG <<RRSIG d t >>12.179.in-addr.arpa. IN RRSIG <<RRSIG data>>

12.179.in-addr.arpa. IN DNSKEY <<DNSKEY data>>

38.179.in-addr.arpa. IN SOA (…)38.179.in-addr.arpa. IN RRSIG <<RRSIG data>>

38.179.in-addr.arpa. IN DNSKEY <<DNSKEY data>>

¡Muchas gracias por su atención!

Carlos Martínez

carlos @ lacnic netcarlos @ lacnic.net