¿Por qué las consultas DNS no están encriptadas y autenticadas de manera predeterminada?

Alguna perspectiva histórica ayuda. [Editado para agregar más sabor a la política de cryoto el día después de escribir]

Cuando se creó el DNS, Paul y Jon solo querían tener una forma para que las organizaciones actualizaran sus propias tablas de host, en lugar de que Jon tuviera que enviar un nuevo archivo hosts.txt desde SRI-NIC cada vez que un nuevo VAX o Sun o Dorado o El sabor de la semana apareció en el campus de alguien.

En ese momento, debe recordar, TCP acababa de reemplazar a NCP, CSnet no había sucedido pero se estaba discutiendo, y la cantidad de hosts era pequeña, alrededor de 200, si no recuerdo mal. Pero eso estaba aumentando con cierta frecuencia, con nuevos anfitriones a bordo cada pocos días. La escritura estaba en la pared: el crecimiento estaba a punto de ser explosivo.

Entonces, se inventó el DNS para impulsar el problema de la “actualización diaria” al campo en el que estaban sucediendo, no a la autoridad central, porque eso no iba a escalar. (Para el caso, copiar un nuevo host.txt a todos los hosts locales en su campus también fue un gran problema, y ​​DNS resolvió eso señalando la resolución de su nombre local a una fuente central, obviando la necesidad de hosts .txt excepto en la fase de arranque antes de que se ejecutara DNS. Me estoy desviando.)

El estado de juego era “oye, todo esto es experimental, y todos estamos trabajando cooperativamente” y nadie, y quiero decir, en serio, nadie, pensó en el cifrado. No era necesario, no había nadie en la red que no conocieras, generalmente personalmente, tal vez había 10.000 personas con cuentas ARPAnet en ese momento.

Además, el cifrado fue CARO . RSA solo había existido durante unos años, y aunque tenía sentido para los documentos (en algunos casos), nadie tenía suficiente experiencia con sistemas de clave pública para comprender cómo implementarlo a escala, y nadie quería gastar ciclos en el cifrado por mensaje. Incluso para aplicaciones militares, el cifrado se realizó en procesadores auxiliares sin CPU, no en CPU host.

Además, durante la administración Reagan, se promulgaron y aplicaron controles de exportación mucho más estrictos en la criptografía. A mediados de los años 80, tuve que saltar a través de todo tipo de aros para poder exportar el sistema UNIX, debido a la simple existencia del comando crypt. Nadie quería ese tipo de problemas en la infraestructura central de Internet.

Por lo tanto, no se pensó por qué esto podría ser necesario, y si lo hubo, fue rápidamente anulado por las realidades de funcionamiento en un momento en que una CPU que entregaba millones de instrucciones por segundo todavía tenía $ 100k y más.

Más tarde, una vez que Steve Bellovin demostró en 1990 que había algunos déficits serios en DNS, y quedó claro que, a escala, había algunos beneficios serios para la seguridad a través del cifrado de DNS, y DNS SEC finalmente se propuso en 1997, el despliegue del DNS heredado ya era enorme.

Si bien, en teoría, es posible reemplazar la infraestructura heredada con algo más seguro, para hacerlo sería necesario que interoperara completamente con la implementación actual, menos segura. No hay forma de forzar los miles de millones de dispositivos conectados a Internet existentes a un nuevo estándar.

Y eso derrotaría más o menos el propósito.

Hay una manera, pero hacerlo requeriría que alguien financiara la operación de una red paralela menos segura de servidores DNS a la que todas las consultas SEC que no sean DNS serían enviadas automáticamente por cualquier servidor compatible con DNS SEC. Con el tiempo, dado que las actualizaciones del sistema operativo del dispositivo y las actualizaciones del dispositivo causaron cada vez menos instancias de dispositivos no conformes, podría quedar en desuso, pero es probable que lleve décadas.

Related Content

¿Qué es la latencia de tiempo de acceso?

¿Por qué el ancho de banda aumenta con la frecuencia?

Redes de computadoras: ¿Cuál es la diferencia entre la red troncal IP y la red troncal de telecomunicaciones (telefonía)?

¿Qué es un núcleo IP (propiedad intelectual) en VLSI?

¿Cuál es la diferencia entre SNAT y DNAT?

Bueno, cuando se desarrolló DNS, no se cifró mucho. Además, exportar cualquier cifrado decente al extranjero era ilegal. Como Internet era para universidades y colaboración en ese momento, este era un problema grave.

En los últimos años, se han realizado dos esfuerzos para solucionar el problema. DJB, un experto líder en criptografía y DNS, creó una solución en su propio servidor DNS. El Grupo de trabajo de ingeniería de Internet, con asistencia de varios grupos con motivos mejor descritos como no completamente blancos, diseñó DNSSEC.

DNSSEC es el que realmente se utiliza, aunque tiene una reputación de ser difícil de instalar, vulnerable a la denegación de servicio y se sospecha que tiene vulnerabilidades debido a las opiniones expresadas por los grupos gubernamentales y los defectos conocidos de día cero en los productos que han sido involucrado en el pasado.

Si estas acusaciones son justas o no, no es el problema. El hecho de que existan en todos disuade a los usuarios potenciales.

No ayuda que los ISP sean reacios a adoptar nuevas tecnologías. IPv6 no tenía fecha límite porque era obviamente necesario. En cambio, la complacencia y la apatía han provocado que IPv6 caiga muerto. Prácticamente todos los bits útiles se eliminaron entre 1995 y 2000, de todos modos.

(Si se hubiera adoptado IPv6 en forma clásica, los problemas de DNS heredados habrían dejado de existir porque las máquinas habrían obtenido su dirección IP de su enrutador actual y habría tenido una estructura de DNS dinámica segura en toda Internet. IPv6 estaba roto en orden usar direcciones estáticas e inseguras).

La multidifusión ha sufrido un destino similar. No importa quién sea su proveedor, es muy poco probable que obtenga IPv6, multidifusión o DNSSec como servicio básico. Los ISP citan la demanda, pero como nadie va a exigir algo que ni saben ni sabrían incluso si lo tuvieran (ya que es invisible para los usuarios), lo considero un poco débil.

Tampoco ayuda que las grandes corporaciones tengan la política de hacer lo menos posible. El infame hack de Sony se produjo meses después de que los hackers de Gray Hat publicaron la vulnerabilidad y le tomó a Sony semanas, si no meses, para actuar realmente. Esto puede considerarse un comportamiento corporativo normal, si vamos a juzgar por la cantidad de sitios de comercio electrónico que se consideran vulnerables y los sistemas SCADA directamente accesibles en Internet.

Entonces, básicamente, política. Política gubernamental, política corporativa, política de oficina, política de ICANN (a veces denominada ICANT), política de paso.

Los problemas heredados van en aumento, a medida que el uso de Internet cambia para admitir vehículos, drones e IoT. Los problemas de cifrado van en aumento, a medida que los gobiernos debaten prohibirlo. Los problemas corporativos no se ven favorecidos por la baja prioridad de la infraestructura de TI (no genera ingresos, simplemente evita que otros la pierdan) y la actual incertidumbre económica, nacional e internacional.

En pocas palabras, la confianza en el IETF es baja entre aquellos que saben lo suficiente como para establecer DNSSEC, nadie fuera de ese grupo sabe que hay alguien o algo en lo que confiar o elegir, y a nadie en la frontera le importa.

Ahmid Ahmed

Chico, ¿no tendría sentido?

Sí, absolutamente, deberían serlo. Desafortunadamente, cuando se inventó el Sistema de nombres de dominio, nuestra ingenuidad nos impidió realmente hacerlo seguro para empezar. Ahora, implementar DNSSEC es extremadamente doloroso pero igualmente necesario para asegurar la infraestructura.

Ahmid Ahmed

Para hacerse eco de Tony Li, el DNS estaba allí antes de agregar el cifrado era común. Esto lleva a posibles ataques que son peligrosos.

Sin embargo, el problema fundamental es que los registros DNS pueden ser falsificados y esto puede enviarlo al lugar equivocado. Aquí no se necesita cifrado, ya que un registro DNS correcto no le da nada al atacante si lo olfatea.

Es por eso que DNSSEC no cifra realmente los registros DNS. Por el contrario, utiliza PKI para demostrar que un registro es verificable de la parte correcta.

Ahmid Ahmed

ningún isp aceptará cifrado en dns

la mayoría de ellos secuestran consultas DNS para recopilar datos y estadísticas o mostrar anuncios

Raymond Array Wang

More Interesting

¿Qué llamadas se realizan en Linux para convertir un nombre de host a una dirección IP durante el proceso de resolución de DNS?

¿Cuáles son algunas cosas que debe saber un IITian, ​​que usa el servidor de la universidad para acceder a Internet?

Cómo conectarme a mi iMac mientras estoy lejos de mi red doméstica

¿Cuáles son las consecuencias de no ocultar su dirección IP en Internet?

Siendo un experto en TI más interesado en las redes, ¿cuál debería ser mi enfoque para comenzar mi carrera en el mismo campo?

¿Podemos decir que VPN es LAN inalámbrica?

¿Qué es mejor para una red doméstica / pequeña empresa que es tanto cableada como inalámbrica: enrutadores, conmutadores o ambos?

¿Cómo se realiza la comunicación de bajo nivel entre sockets en el servidor y el cliente?

Si un dispositivo (digamos X) (X es una computadora portátil) está conectado a un enrutador, el administrador obtiene la información de X. Ahora activamos el punto de acceso de X y un nuevo dispositivo (digamos Y) (móvil) está conectado a X del enrutador, ¿obtendrá el enrutador la información de Y?

¿Todas las personas que acceden a Internet a través de una VPN tienen la misma dirección IP?

(Si) IP es una dirección única de un host, ¿por qué se requiere una dirección MAC?

¿Cuál es la forma más rápida y segura de acceder a su red doméstica a través de Internet?

¿Cómo se interceptan los tráficos de red en los dispositivos proxy y firewall?

¿Es posible rastrear una ubicación IP basada en un tiempo de ping?

Cómo entender una configuración MPLS típica en vivo como se muestra en esta imagen usando lenguaje sencillo con ejemplos