La ICANN habla sobre el riesgo de no usar DNSSEC

La Corporación de Internet para la Asignación de Nombres y Números (ICANN) que son los encargados de gestionar la administración de los elementos técnicos del Sistema de Nombres de Dominio (DNS) para garantizar la resolución unívoca de los dominios de las webs. Actualemete, la ICANN advierte que existe "un riesgo continuo y significativo para las partes clave de la infraestructura DNS".

¿Cómo funcionan los DNS?

De forma muy genérica los DNS se utiliza principalmente para la resolución de nombres de dominios, es decir, cuando un escribe en su navegador un nombre de una web este lo convierte en una dirección numérica (IP) para que los usuarios puedan conectarse a los sitios web que desean visitar.

La infraestructura de los DNS está siendo atacada

Según un comunidaco publicado el viernes por la ICANN, la infraestructura del DNS está siendo atacada por "actividad maliciosa". En respuesta a los ataques a DNS, ICANN está pidiendo la implementación completa de las "Extensiones de seguridad del DNS" (DNSSEC).

DNSSEC es una tecnología que "firma" digitalmente los datos para asegurar su validez y evita que las personas sean redirigidas de forma maliciosa de los sitios web que tenían la intención de visitar. Es una herramienta eficaz para ayudar a prevenir los ataques de "Man in the Middle" donde los estafadores pueden enviar personas a sitios falsos y engañarles para que revelen sus credenciales, detalles de pago u otra información personal.

Este último anuncio de la ICANN se produce menos de dos semanas después de que anunciaron una lista de verificación para los registradores y vendedores de dominios para ayudar a fortalecer su seguridad después de los ataques. Y si bien la ICANN admite que sus soluciones propuestas, incluida la implementación completa de DNSSEC, no resolverán todos los problemas de seguridad de Internet, todas las medidas adoptadas para minimizar el riesgo deberían implementarse lo más ampliamente posible.

Muchas compañias del Fortune 1000 no usan DNSSEC

Actualmente podemos decir que no existe una buena aceptación de la implementación del DNSSEC entre las compañías de Fortune 1000 supuestamente es tan baja que solo es del tres por ciento. Nosotros desde Tecnonucleous llevamos usando DNSSEC desde hace 4~5 meses y es un servicio que algunos registradores de dominio están ofreciendo de forma completamente gratuita.

En algunos proveedores de dominios estas soluciones de seguridad se activan de forma automática con solo usar los DNS del mismo proveedor de dominios, en otros casos es necesario activarlo desde el panel de control del dominio.

Fuente: ICANN | Tecnonucleous

¿Qué es y cómo funciona el "nuevo" registro DNS CAA?

En Enero de 2013, Rob Stradling propuso y formalizó la implementación de un estándar para la Autorización de Entidades de Certificación (Certification Authority Authorization, por sus siglas en inglés) mediante el RFC 6844.

El propósito de los registros CAA es "designar" una o más entidades de certificación a emitir certificados SSL/TLS a un dominio o subdominio específicos. Los dueños de dominios podrán, además, declarar una dirección de correo electrónico para recibir notificaciones en caso que alguien solicite un certificado a una entidad de certificación no autorizada.

De no existir un registro CAA, cualquier entidad está autorizada a emitir certificados para ese dominio o subdominio.

Si bien el estándar data del año 2013, no fue hasta hace algunos meses que los proveedores de DNS y las entidades de certificación comenzaron su implementación. Algunos de ellos aun no aceptan registros del tipo CAA y otros aun no verifican la existencia del registro antes de emitir sus certificados, pero están gradualmente modificando sus infraestructuras para hacerlo. En mi caso utilizo DNS Made Easy desde hace algunos años y, además de soportar este tipo de registros, siempre he tenido estupendos resultados.

En lo que respecta a la creación de registros CAA, están compuestos por tres elementos. Demos un vistazo a su topología:

• flag: Un entero entre 0 y 255.
• tag: Existen tres tags definidos por el RFC.
• issue: Permite autorizar explícitamente a una única entidad de certificación a emitir certificados para ese dominio o subdominio. De ser necesario autorizar a más de una, se deberán crear múltiples registros CAA.
• issuewild: Permite autorizar explícitamente a una única entidad de certificación a emitir certificados de comodín (wildcard) para ese dominio/subdominio. Ningún otro certificado que no sea wildcard podrá ser emitido por esa entidad, salvo que esté expresamente configurado.
• iodef: Especifica a dónde deben enviarse los reportes de intentos de emisión de certificados por una entidad no autorizada (El formato debe ser "mailto:alguien@ejemplo.com").
• value: El valor del registro.

Vamos con algunos ejemplos:

Si queremos autorizar a Let’s Encrypt y a Comodo, debemos agregar un registro CAA para cada entidad:

pablofain.com.  CAA 0 issue "comodo.com"
pablofain.com.  CAA 0 issue "letsencrypt.org"

Si la idea es autorizar a Let’s Encrypt y a Comodo, pero solo a esta última para emitir certificados wildcard, debemos configurar los registros de la siguiente manera:

pablofain.com.  CAA 0 issue "letsencrypt.org"
pablofain.com.  CAA 0 issuewild "comodo.com"

Para recibir una notificación sobre el intento de emisión de certificados mediante una entidad de certificación no autorizada:

pablofain.com.  CAA 0 iodef "mailto:alguien@ejemplo.com"

Finalmente, para el caso de los subdominios podemos configurar cada uno de ellos para autorizar a diferentes entidades de certificación. En este ejemplo, Let’s Encrypt podría emitir certificados para todos los subdominios de pablofain.com, excepto sub1 y sub2.

pablofain.com.        CAA 0 issue "letsencrypt.org"
sub1.pablofain.com.   CAA 0 issue "comodo.com"
sub2.pablofain.com.   CAA 0 issue "rapidssl.com"

Hasta Abril de 2017, las entidades de certificación que verifican la existencia de registros CAA son: Amazon, Certum, Comodo, DigiCert, Entrust, GlobalSign, GoDaddy, Izenpe, QuoVadis, Starfield GoDaddy, StartCom WoSign, Let’s Encrypt, Symantec, GeoTrust, Thawte, T-Telesec, Trustwave y WoSign.

En cuanto a las desventajas o puntos débiles de CAA, a simple vista podemos observar dos:

• Si la entidad de certificación ha quedado comprometida o no realiza la verificación de registros CAA, el certificado podría ser emitido con normalidad.
• Si la zona DNS del dominio ha quedado comprometida, el registro CAA podría modificarse por el valor deseado por el atacante. Una buena idea para prevenir esto es implementar DNSSEC.

Si necesitan ayuda para configurar sus registros CAA, el sitio SSLMate ofrece un wizard que funciona a la perfección.

Fuente: Pablo Fain

Obtener información de dominios con #dnsenum

Dentro de las fases de un Test de Intrusión o Pentesting sobre una infraestructura, encontramos la recopilación de información. Esta fase consiste en obtener desde diferentes fuentes información valiosa sobre el objetivo que se va a auditar.

Este punto, aunque mucho los subestiman, es el más importante, ya que toda la información que se obtiene de esta fase va a ser el hilo conductor para los siguientes pasos.

Por otro lado, muchos de los objetivos que se van a auditar tiene una presencia en Internet, tienen servicios asociados, distintos dominios y este es el punto de inicio para comenzar a recopilar información.

Figura 1: DNS, Domain Name Servers

Si tienen presencia en Internet, cuentan con dominios y allí se pude desprender toda la información de servicios que el objetivo está brindando.

Es sabido que además los servidores de DNS no tienden a ser bien configurados, permitiendo en varios casos realizar consultas de transferencias de zona sobre determinadas peticiones y obtener más información de lo necesario.

Obtener información con dnsenum

De esta manera es que me recomendaron la herramienta dnsenum para aprovechar que mucha de la información que se requiere para iniciar una investigación.

dnsenum es una herramienta de línea de comandos escrita en Perl, con el objetivo de obtener la mayor información posible de los dominios especificados.

Se pude obtener dnsenum desde su repositorio en GitHub y clonarlo en local de la siguiente manera:

$ git clone https://github.com/fwaeytens/dnsenum.git

Alguna de las opciones que se puede obtener, son las siguientes:

$ perl dnsenum.pl -h

Figura 2: Opciones para la herramienta dnsenum

Una opción que más me gustó es la posibilidad de otorgar un archivo como diccionario ( -f, --file ) para realizar Fuerza Bruta y obtener más dominio ocultos o pocos visibles, como es el caso del archivo que incluye llamado dns.txt.

El resultado de dnsenum es un conjunto de dominios, NS, servidores de correo MX, Servidores de Mensajería, Servidores webs, muchas direcciones IP junto a sus rangos asignados y sin duda lo más importante, un buen punto de inicio para la siguiente fase.

Conclusiones

Es muy importante tener un panorama global de toda la infraestructura, muchas veces se intenta atacar o buscar vulnerabilidades directamente a servidores de Bases de Datos o aplicaciones web, cuando posiblemente la clave esté en "pivotar" dentro de la infraestructura por medio de servidores que no son tan importante pero que pueden llegar a tener los permisos necesarios para acceder a los más críticos.

Para ello, es necesario contar con información previa y una gran capacidad de inferencia para entender como está conformado los esquemas de servidores y otras conexiones.

Instalar y configurar un servidor Bind9

Muy buen tutorial que me gustaría compartir con ustedes, donde Roberto Rodriguez Luna explica de forma detallada la forma de instalar y configurar un servidor DNS con Bind9.

Con esto, todos podemos implementar rápidamente nuestro propio servidor y hacer uso de todas las prestaciones de Bind9

Saludos!

Guía de Seguridad para servidores DNS

Excelente la nueva publicación de INTECO-CERT (Instituto Nacional de Tecnologías de la Comunicación) escribiendo sobre Servidores DNS, desde los aspectos más básicos hasta sus configuraciones avanzadas orientadas a Bind9.

DNS, acrónimo de Domain Name System, es un componente crucial en el funcionamiento de Internet y sin duda de gran importancia en el correcto flujo de comunicaciones en red. Gracias a DNS, se facilita el manejo de las comunicaciones entre los elementos de internet dotados de dirección IP. DNS mantiene y distribuye globalmente de forma jerárquica una “base de datos” donde se asocian nombres a direcciones IP y a la inversa de forma que sea mucho más sencillo de recordar y manejar por las personas.

En la guía se incluyen las siguientes secciones:

• Fundamentos de DNS: donde se explican los conceptos, objetivos y funcionamiento de un sistema DNS.
• Seguridad en DNS: a partir en un escenario típico DNS se identifican los posibles vectores de ataque y los activos afectados
• Vulnerabilidades y amenazas en DNS: incluyendo las debilidades intrínsecas al diseño del protocolo DNS y los principales ataques que sacan partido de la las mismas.
• Bastionado DNS: detalle de las medidas de seguridad a implementar en los tres grandes superficies de ataque del servicio DNS: Infraestructura del servicio DNS, Comunicaciones y transacciones y Datos.
• DNSSEC: introducción, uso y funcionamiento.

Les recomiendo a todos total atención a esta obra creada por Antonio Lopez Padilla y publicada por INTECO-CERT

Saludos!

Descarga | cert.inteco.es

Recopilación de información con NMAP (I)

Estoy seguro que en algún momento escucharon la frase, "NMAP es más que un escaneador de puertos" y realmente esto es así, lo primero que intentamos hacer siempre, es consultar con NMAP cuáles son los servicios activos de un dispositivos, pero gracias a sus script podemos extender su funcionalidad.

La idea es poder publicar varias entradas recomendando los diferentes scripts que nmap y su comunidad de programadores nos ofrece y que podemos sacar partida de ellos.

En este primer ejemplo vamos a conocer "whois" un script que realiza consultas a los Regional Internet Register (RIR) de esta forma podemos llegar a conocer más detalles sobre la asignación del dominio, responsables de la gestión, Hosting alojados, etc.

Realmente su implementación es muy simple y sumamente interesante para consultar, y lo podemos hacer de la siguiente manera:

Google Hack: Estadísticas de consultas en DNS

Creo que todos estamos de acuerdo que los informes y reportes web son mucho más intuitivos y fáciles de leer que un archivo log de texto plano, y ni hablar si a estos informes le asignamos gráficos.

En este último tiempo aprendí que antes de instalar algo, ya sea un servicios o un simple generador de reportes como es el caso, es bueno siempre poner en la balanza aquellos puntos positivos y negativos de cada uno de los componentes.

Actualmente me encuentro planificando un servidor de Dominio Bind9 y encontré una herramienta muy simpática llamada bindgraph que al buen estilo de reporte web nos brinda un panorama muy amplio de como es la actividad de un servidor en consultas de DNS en la última hora, días y semanas, incluso años.

El problema está en que nuevamente nunca le damos la importancia que lo requiere y lo dejamos de dominio público para que cualquier persona lo pueda ver o incluso cualquier spider lo pueda indexar y que más que consultarle a Google sobre esta información