cadenas confianza con dnssec aplicadas a comunidades virtuales de aprendizaje

Obj. EA. DNSSEC. TR. Con.

Cadenas de confianza por medio de DNSSECaplicadas a Comunidades Virtuales de Aprendizaje

Autores: Espinoza-Ami, Gabriela-PaulinaChamba-Eras, Luis-Antonio

Arruarte-Lasa, Ana-JesusElorriaga-Arandia, Jon-Ander

Carrera de Ingenierıa en Sistemas - Universidad Nacional de LojaDepartamento de Lenguajes y Sistemas Informaticos - Universidad del Paıs Vasco

”9 Congreso de Ciencia y Tecnologıa ESPE 2014”

30 de mayo, Sangolquı-Ecuador

1 / 34


Agenda

Objetivos de la ponencia

Estado del Arte

DNSSEC en las CVA

Trabajos Relacionados

Conclusiones y Trabajos futuros

2 / 34


Agenda


Estado del Arte

DNSSEC en las CVA



3 / 34


Objetivos

• Presentar la lınea de investigacion de “Modelos de ConfianzaComputacionales“ en Ecuador.

• Describir globalmente la utilizacion DNSSEC en un escenarioreal en un entorno educativo.

4 / 34


Agenda


Estado del Arte

DNSSEC en las CVA



5 / 34


Conceptos preliminares

• Confianza.

• Comunidades Virtuales de Aprendizaje.

• DNSSEC.

6 / 34


Confianza

• Multiples definiciones aplicables a diversos contextos.

• Se la concibe como la medida en la que una persona esta con-fiada y ansiosa de actuar en base a las palabras, acciones ydecisiones de otros.

• Es un termino abstracto, usado indistintamente con terminoscomo: credibilidad, confiabilidad o lealtad.

• Entornos de Comercio Electronico, ofrecen un entorno de con-fianza en donde los usuarios no tengan el temor a ser enganados.

• Modelos de confianza: aproximacion matematica, agentes inte-ligentes, Web of Trust (WOT).

7 / 34


Comunidades Virtuales de Aprendizaje (CVA)

• Es aquella agrupacion de personas que se organiza para cons-truir e involucrarse en un proyecto educativo y cultural propioy que aprende a traves del trabajo colaborativo, cooperativo ysolidario, en otras palabras, siguiendo un modelo de formacionmas abierto, participativo y flexible que los modelos tradiciona-les.

• En las CVA las personas comparten materiales (REA), creenciasy formas de aprender diversos temas en comun.

• El hecho de que la personas puedan o no conocerse personal-mente hace que la confianza se convierta en un factor determi-nante en el funcionamiento de las CVA.

8 / 34


DNSSEC

• Extensiones de Seguridad del DNS.

• Pueden reforzar la confianza en Internet, ya que ayudan a pro-teger a los usuarios del redireccionamiento a sitios Web frau-dulentos y a direcciones no deseadas.

• Capacidad de validar la autenticidad y la integridad de los men-sajes DNS, para detectar manipulacion de la informacion.

• Internet no podrıa funcionar sin DNS. Sin embargo, no fuedisenado con la seguridad en mente. La consecuencia ha sido suvulnerabilidad a ataques de intermediario (man-in-the-middle,MITM) y a envenenamiento de cache. Estas amenazas utilizandatos falsificados para redireccionar el trafico en Internet a sitiosfraudulentos y a direcciones no deseadas.

9 / 34


DNSSEC en IES a nivel mundial

• De acuerdo a la iniciativa DNSSEC Deployment, entre las prin-cipales IES que han implementado DNSSEC, se encuentran:

• Universidad Berkeley de California (berkeley.edu)• Universidad China de Hong Kong (cuhk.edu)• Laboratorio de Fısica Aplicada de la Universidad Johns Hopkins

(jhuapl.edu)• Universidad de Missouri de Ciencia y Tecnologıa (mst.edu)• Universidad de Oxford (oxford-university.edu)• Universidad de Pensilvania (penn.edu, upenn.edu)• Centro de Supercomputacion de Pittsburgh (psc.edu)• Corporacion Universitaria para el Desarrollo de Internet Avan-

zado (ucaid.edu)• Universidad Pompeu Fabra (upf.edu)• Universidad de Valencia (valencia.edu)

10 / 34


DNSSEC en IES a nivel de Ecuador

• En Ecuador ninguna IES ha realizado el firmado de las zonasDNS con DNSSEC, con lo cual podrıan enfrentarse a los riesgosderivados del DNS, debido a que las IES almacenan enormescantidades de informacion sensible y se mantienen activos enlınea en las CVA cuyo acceso debe ser restringido efectivamente.

• TELCONET, operadora de comunicaciones corporativas y pro-veedora de servicios de Internet en Ecuador, segun los reportesde los laboratorios del Registro Regional de Internet para laregion de Asia Pacıfico (APNIC), no provee resolutores de vali-dacion DNSSEC; es decir que no ha habilitado DNSSEC en susservidores de nombres recursivos por lo que no permite que sususuarios puedan verificar la autenticidad de las respuestas queotorga la zona.

11 / 34


DNSSEC en IES a nivel de Loja

• En la Universidad Nacional de Loja no se ha realizado la imple-mentacion de DNSSEC, mecanismo que resulta desarrollar, yaque los usuarios del dominio de la universidad que se encuen-tran fuera de la ciudad intercambian informacion confidencialteniendo seguridad de que es la real; ademas en el caso de laMED se tendra la confianza de la informacion en cuanto a pagosbancarios que deben realizar.

• En la Universidad Tecnica Particular de Loja no se ha efectua-do el despliegue de DNSSEC, procedimiento que es beneficiosoimplementar, porque permitirıa dar una solucion integral a losataques concernientes al DNS, y podrıa formar parte del pro-yecto de seguridad perimetral que se esta llevando a cabo en launiversidad.

12 / 34


Agenda


Estado del Arte

DNSSEC en las CVA



13 / 34


Introduccion

• Las instituciones de educacion superior almacenan enormes can-tidades de informacion sensible (incluyendo la informacion per-sonal y financiera para los estudiantes y otras personas, informa-cion medica y datos de investigacion), y se mantienen activosen lınea en las CVA cuyo acceso debe ser restringido efecti-vamente. Los ataques DNS resultan en contrasenas robadas,e-mail alterado (que a menudo es el canal para las comunica-ciones oficiales), la exposicion al malware, y otros problemas;por lo que DNSSEC puede ser una parte importante de unaestrategia de seguridad cibernetica.

14 / 34


Experimentacion con DNSSEC

• Instalacion y configuracion de los servidores DNS.

Figura 1: Esquema DNS

15 / 34



• Aseguramiento de la zona DNS.

Figura 2: Isla de confianza

16 / 34




Figura 3: Archipielagos de confianza

17 / 34




Figura 4: Esquema del aseguramiento de las zonas DNS

18 / 34



• Configuracion de un servidor de nombres recursivo para validarlas respuestas.

Figura 5: Servidor de nombres recursivo con claves KSK

19 / 34


Validacion de DNSSEC

• DNSSEC Validator.

Figura 6: Validacion del dominio unl.edu.ec

20 / 34




Figura 7: Validacion del dominio cva.unl.edu.ec

21 / 34




Figura 8: Validacion del dominio utpl.edu.ec

22 / 34




Figura 9: Validacion del dominio cva.utpl.edu.ec

23 / 34




Figura 10: Validacion del dominio espol.edu.ec

24 / 34




Figura 11: Validacion del dominio cva.espol.edu.ec

25 / 34


Agenda


Estado del Arte

DNSSEC en las CVA



26 / 34


Universidad de Pensilvania

• Zona DNS upenn.edu

• Internet2 y Educause

• Primero en completar el despliegue DNSSEC

27 / 34


Universidad Pompeu Fabra

• Arquitectura DNS obsoleta: SW y HW

• Dos fases: HW y SW

• Implemento el dominio upf.edu y upf.cat

28 / 34


Agenda


Estado del Arte

DNSSEC en las CVA



29 / 34


Conclusiones

• El despliegue de DNSSEC en la comunidad virtual de aprendi-zaje de la universidad garantiza la procedencia de contenidoscreados en este tipo de ambientes de aprendizaje y permitemantener comunicaciones digitales fidedignas y confiables parael aprendizaje y la investigacion.

• Referente al despliegue de las extensiones de seguridad en losdominios .ec y .edu.ec no se registra informacion de un planpara ser firmados, por lo que, las instituciones que deseen im-plementar DNSSEC en sus entornos DNS pueden hacer uso delDLV provisto por la Internet Systems Consortium.

30 / 34


Conclusiones

• La implementacion de DNSSEC en todos los dominios de lasinstituciones de educacion superior que pertenezcan al CEDIApermitira tener islas y archipielagos de confianza que permi-tira autenticar y verificar la informacion que se genere en suscomunidades virtuales tanto en la academia como en la inves-tigacion.

31 / 34


Trabajos futuros

• Implementar en conjunto DNSSEC con el protocolo DNScur-ve para proteger las consultas entre un cliente y un servidormediante el cifrado de los paquetes DNS.

• Combinar DNSSEC en conjunto con el protocolos IPSec paraasegurar las comunicaciones sobre el Protocolo de Internet (IP),cifrando cada paquete IP en un flujo de datos.

• Utilizar el protocolo SSL o TLS para proveer autenticacion yprivacidad de la informacion entre las partes extremas medianteel uso de criptografıa.

32 / 34

Contactos

• {gpespinozaa,lachamba}@unl.edu.ec

• {a.arruarte,jon.elorriaga}@ehu.es

Cultura Libre

cadenas confianza con dnssec aplicadas a comunidades virtuales de aprendizaje

Presentations & Public Speaking