Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Carlos Martinez

Anuncio 
Gobernanza de Internet
IPv6
DNSSEC
Carlos Martinez-Cagnazzo
carlos @ lacnic.net
Agenda
`
`
`
Gobernanza de Internet
Agotamiento de IPv4 e IPv6
DNSSEC
Gobernanza de Internet
Introducción a la gobernanza de Internet
`
En inglés “Internet Governance”
`
`
`
Governanza y Gobiernos ?
Principios
`
`
`
Término muy general que significa muchas vece diferentes
cosas para diferentes actores
Desarrollo de políticas “Bottom-Up”
Multi-stakeholderism
¿Por que es necesaria?
`
Gestión de recursos
`
`
IPv4, IPv6, sistemas autónomos, nombres de dominio
Incentivos para el desarrollo
Principios
`
Modelo multi-stakeholder
`
`
`
Existe concenso en reconocer q
que Internet es un bien p
público y q
que su
desarrollo de manera abierta es beneficioso para la sociedad toda
Se reconocen a multiplicidad de actores interesados válidos
((stakeholders)) con diferentes p
puntos de vista y diferentes intereses
primarios
Gobernanza bottom-up
`
`
LLoss procesos
r ces s participativos,
artici ati s “bottom-up”
“b tt m ” proponen
r
nen quee las comunidades
c m nidades
se gobiernen a sí mismas
En general esto se implementa mediante procesos de desarrollo de políticas
donde cualquier miembro de la comunidad puede presentar iniciativas
que son discutidas en foros públicos
`
Presenciales o electrónicos
Línea de tiempo del desarrollo de Internet
`
1969
`
`
Primeras transmisiones en Arpanet
1971
`
Se introduce la línea de documentos conocidos como “RFC”
((Request
q
ffor Comments))
`
`
1980
`
`
Se introduce la familia de protocolos TCP/IP
1992-1994
`
`
`
De esta forma se planta la semilla del IETF (Internet Engineering Task Force)
Internet deja de ser cerrada y se abre al mundo comercial
Se registran los primeros nombres de dominio
1998
`
Se ccrea
ea eel ICANN
C
Línea de tiempo del desarrollo de Internet
(II)
`
Hitos relacionados con la gobernanza de Internet
`
Creación de la IETF
`
`
`
Primeras experiencias en un modelo de desarrollo “bottom-up”
En este caso, aplicado a protocolos
Gestión de recursos
`
Jon Postel, InterNIC
…
`
ICANN y los RIRs
…
…
`
1972 - 1998
1998 – presente
RFC 2050: http://www.ietf.org/rfc/rfc2050.txt
p
g
Creación del IGF (Internet Governance Forum)
`
`
Creado bajo el auspicio de las Naciones Unidas
A
Atenas
2006
Algunas definiciones…
`
Alcance
`
`
`
[1] El mantenimiento y operación de la infraestructura técnica
de Internet, incluyendo números IP, nombres de dominio,
desarrollo de protocolos (IETF) y gestión de los root-servers
entre otros
[2] El impacto de la Internet en la sociedad, incluyendo temas
como control de contenido, “ciber crimen”, brecha digital,
multi-culturalismo y multi-lingualismo
Definición del WSIS (World Summit on the Information
Society)
Gobernanza de Internet (WSIS)
`
“La gobernanza de Internet es el desarrollo y la aplicación por
l gobiernos,
los
bi
ell sector privado,
i d y la
l sociedad
i d d civil,
i il en las
l
funciones que les competen respectivamente, de principios,
normas, reglas, procedimientos de adopción de decisiones y
programas comunes que configuran la evolución y utilización
de Internet.”
Actores: ICANN, IANA y los RIRs
`
Una componente fundamental de la gobernanza de
Internet es aquella que tiene que ver con la gestión de
los recursos de numeración
`
`
Se debe garantizar la unicidad de los mismos, por lo que
hace falta cumplir con la función de registro
`
`
Direcciones IP (v4 y v6) y números de sistema autónomo
Por ejemplo,
P
j
l ell mismo
i
bloque
bl
IP
IPv44 no d
debe
b ser asignado
i d a mas
de una organización
IANA gest
gestiona
o a los
os “pooles
poo es ce
centrales”
t a es dee recursos,
ecu sos, dee
los cuales los registros regionales (RIRs) obtienen
recursos propios para sub-asignar
Distribución de Recursos de
Numeración de Internet
IANA
AFRINIC
APNIC
Usuario
Final
ARIN
LACNIC
RIPE
ISP
Usuario
Final
NIR
Usuario
Final
ISP
Usuario
Final
Registros de Internet Regionales (RIR)
Actores (2)
`
ICANN
`
`
Ademas de alojar las funciones de IANA,
IANA ICANN también
tiene responsabilidades sobre el sistema de DNS
Sistema de DNS
`
Relacionamiento con los Registries / Registrars
`
`
`
ccTLDs
gTLDs
Gestión de los root servers
`
Firma de la raíz con DNSSEC
El ecosistema de Internet
`
[Diplo Foundation]
Agotamiento de IPv4 y transición a
IPv6
Distribución actual de direcciones IPv4
The image cannot be display ed. Your computer may not hav e enough memory to open the image, or the image may hav e been corrupted. Restart y our computer, and then open the file again. If the red x still appears, y ou may hav e to delete the image and then insert it again.
Unidad: /8
/8 = 1/256 del total de direcciones
IPv4
P
¿Qué es lo que se está agotando?
`
Cada dispositivo conectado a Internet debe tener un
identificador único
`
`
O al menos, cada *usuario* debería tener un identificador
único
El espacio central (IANA) de estos identificadores está
*agotado*
`
Los pooles regionales todavía tienen espacio,
espacio excepto el de
APNIC
Evolución del pool central de direcciones
IPv4
120
107
103
96
100
92
87
78
80
65
55
60
/8s
47
36
40
30
20
9
0
0
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
Disponible hoy en día en LACNIC
LACNIC***
Disponible Hoy /32
74,729,472
Disponible Hoy /8
4 454
4.454
Reserva último /10
-0.25
Total
4.204 /8 = 70,535,168
direcciones
Proyección de agotamiento LACNIC
(Mayo 2011)
5
4.5
Lin Model Orig
Lin.
4
3.5
3
2.5
2
1.5
1
05
0.5
0
Real + Lin Model
Data Dec.
Transición a IPv6
`
`
El espacio de numeración de IPv6 es de 2^128
direcciones, ampliamente suficiente para todos los
dispositivos
Transicionar exitosamente a IPv6 es la única estrategia
que puede garantizar que la Internet va a seguir siendo
como la conocemos
`
`
Abierta,
Abi
t con libre
lib interconexión
i t
ió
Con libre oferta de contenidos y libre interacción entre
usuarios
Desafíos de la transición
`
Implementaciones de IPv6
`
`
`
En routers
En redes de backbone
En sistemas operativos
`
`
`
`
Windows, Linux
Costos
E
Entrenamiento
Según diferentes actores
`
`
`
Usuarios
U
i
ISPs
Proveedores de contenido
¿Cuánto tiempo nos queda?
`
2013 – ¿2014?
Dificultad
D
f l d ((¿y costo?)
?)
para obtener espacio
IPv4
Disponibilidad de
espacio IPv4
t
Amenazas a la transición a IPv6
`
`
Desconocimiento entre los formadores de opinión y
tomadores de decisión
Intereses de “corto plazo” en ciertos actores
`
`
`
“Venta” de direcciones
Implementación de Carrier-Grade NAT
Lentitud en el despliegue
`
`
Fundamentalmente en los servicios residenciales
En otras áreas también
`
`
Contenido
Servicios empresariales
Algunas cifras
`
¿ Cuánto es el tráfico IPv6 en Internet hoy ?
`
`
Entre el 00.3
3 % y el 00.6
6 % del total
total, dependiendo de donde y
como se lo mide
¿ Cuánto sería ese tráfico si “mágicamente” toda la red
tuviera IPv6?
`
Entre el 30% y el 40%, según estimaciones de Geoff Huston
(APNIC http://www.potaroo.net)
(APNIC,
http://www potaroo net)
World IPv6 Day
`
El 8 de junio de 2011 varios de los mayores proveedores
de contenido (Facebook, Yahoo! y Google) junto con
muchos otros sitios web habilitaron IPv6 en sus sitios
principales
`
`
`
Auspiciado por la Internet Society (ISOC)
No se reportaron mayores problemas
S están
Se
á planificando
l f
d actividades
d d similares
l
para ell año
ñ
próximo
Asignaciones y rutas IPv6
450
400
350
300
250
200
150
100
50
0
Alloc LAC
Route LAC
Actividades de LACNIC sobre IPv6 en la
región
`
Talleres IPv6 Regionales para Operadores
`
`
`
`
`
Seminarios Virtuales
II+D
D
Exoneración de pagos relacionados a IPv6.
Actividades de promoción:
p
`
`
`
Argentina México,
Argentina,
México Surinam,
Surinam Chile,
Chile Perú,
Perú Ecuador,
Ecuador Uruguay
Fuerza de trabajo LAC IPv6.
FLIP-7. 9º Foro
Cooperación con gobiernos y otros actores
`
Gobierno de Chile, de Paraguay, de Colombia entre otros
Adoptar IPv6 no implica cambiar todos los equipos
IP 6 es una
IPv6
transición no una migración
transición,
i
ió
La transición a IPv6 es responsabilidad de todos
America Latina NO necesita ir a Carrier-Grade NAT
en este momento,
momento pero si necesitamos aprovechar
de la mejor manera posible el tiempo que nos queda
La transición a IPv6 es responsabilidad de todos
DNSSEC
El sistema de nombres de dominio
`
El sistema de nombres de dominio opera como el
“directorio”
directorio de Internet
`
`
`
Correspondencia entre nombres y números IP
Opera
p
como una base de datos distribuida donde
diferentes organizaciones administran un sub-conjunto
del espacio de nombres total
Gl
Glosario
`
`
`
Zonas, dominios
Servidores raíz
Registros (resource records)
Nombres, dominios y delegaciones
`
Estructura de los nombres de dominio:
4to nivel |
3er nivel
|
2do nivel
|
1er nivel
|
Raíz
www .empresa.com .uy.
Hostname
`
3ro
2do
TLD
Raíz del árbol
Observaciones:
`
`
`
`
Los niveles del árbol reflejan las divisiones administrativas
El root del arbol esta siempre presente de forma ímplicita
No hay restricciones a la cantidad de niveles
Los niveles superiores “delegan”
delegan hacia los inferiores
Nombres, dominios y delegaciones (ii)
.
com
amazon
net
org
…
cl
uy
mercurio
com
www
adinet
www
Vulnerabilidades del sistema de DNS
`
Inherentes al protocolo
`
`
Envenenamiento de caché
Denegaciones de servicio
`
`
`
Ataques de tipo MITM (man-in-the-middle)
Propios al “ecosistema” del sistema de nombres de
dominios
`
`
Ataques por amplificación
Secuestro de dominios
El sistema de nombres de dominio es una pieza clave de
la infraestructura de Internet
`
Es de gran interés por parte de posibles atacantes
Un ejemplo clásico: phishing
Un(os) caso(s) reciente
`
Fuente:
`
`
“What’s
What s in a Name?
Name?”
http://isc.sans.edu/diary.html?storyid=11770
DNSSEC
`
Raíz de la mayoría de los problemas
`
`
Domain Name System Security Extensions (DNSSEC)
`
`
No hay en el sistema de DNS mecanismos de verificación
que permitan validar una zona
Se introducen ~ 2004
Objetivos
`
`
Poder validar una respuesta de DNS
Mantener
`
`
`
El protocolo (es decir, permitir la interoperabilidad y el despliegue
parcial)
Las delegaciones (divisiones administrativas)
Escalable
DNSSEC (ii)
`
DNSSEC nos permite:
`
`
`
Verificar criptográficamente el contenido de una zona
(similar a una firma digital)
Validar una cadena de confianza desde una zona dada hasta
un ancla
l de
d confianza
fi
(
(trust
anchor)
h )
Procedimientos operativos en DNSSEC
`
Firma de una zona
`
`
Con especial cuidado en la gestión de las claves secretas
Establecimiento de cadenas de confianza
`
Relación con la zona padre
Firmado de una zona
`
Se introduce material criptográfico (similar a una firma
digital) dentro del contenido de la zona
Zona No
Firmada
Proceso de
Firmado
Zona Firmada
Firma digital
Verificación de una zona
`
Una vez obtenido el contenido de una zona, se pueden
hacer operaciones matemáticas y verificar la firma
Zona Firmada
Firma digital
¿
Firma digital
Se recalcula la firma usando
el contenido de la zona
Firma digital
?
Firma digital
Si son iguales,
verifica
Si son
diferentes,
FALLO
Cadena de confianza
La cadena de confianza en DNSSEC sigue en paralelo a la
cadena de delegación
.
cl
mercurio
uy
c
com
amazon
• Dentro de cada zona se introducen
“firmas” de las claves de las zonas hijas
• Cuando se firma una zona también se
firman estas autenticaciones de firmas
www
com
adinet
www
c
`
Ancla de confianza: firma de la raíz
`
La operación de la zona raíz del DNS es responsabilidad
de ICANN
`
`
La zona raíz se firmó en producción en julio de 2010
`
`
`
`
La operación de los servidores raíz en sí es distribuida entre
quienes operan los diferentes servidores
Miembros de la comunidad sirven de testigos y custodios del
material criptográfico
h //
http://www.root-servers.org
“KSK Ceremony”
¿Como se verifica la confianza en el root?
`
`
¡El root no tiene zona “padre”!
Verificación “fuera de banda”, obteniendo el hash de la clave
mediante otros mecanismos
Firma de la raíz
`
Ceremonias periódicas de generación de material
criptográfico, con participación de la comunidad
DNSSEC en LACNIC – Firma del espacio
reverso
179.in addr.arpa.
179.in-addr.arpa.
12.179.in-addr.arpa. IN DS <<DS Data>>
38.179.in-addr.arpa. IN DS <<DS Data>>
12.179.in-addr.arpa. IN SOA (…)
12.179.in-addr.arpa.
12 179 i dd
IN RRSIG <<RRSIG data>>
d t >>
12.179.in-addr.arpa. IN DNSKEY <<DNSKEY data>>
38.179.in-addr.arpa. IN SOA (…)
38.179.in-addr.arpa. IN RRSIG <<RRSIG data>>
38.179.in-addr.arpa. IN DNSKEY <<DNSKEY data>>
¡Muchas gracias por su atención!
Carlos Martínez
carlos @ lacnic.net
lacnic net
Documentos relacionados
María Paula Fereira Product Manager Responsable por el
María Paula Fereira Product Manager Responsable por el
IPv6, Panorama Actual, Necesidades y Pasos futuros.
IPv6, Panorama Actual, Necesidades y Pasos futuros.
“Si aumentan las conexiones a Internet la saturación podría ser un
“Si aumentan las conexiones a Internet la saturación podría ser un
Sergio Rojas
Sergio Rojas
Cambio constante
Cambio constante
Microasignaciones ipv6
Microasignaciones ipv6
2003_3.2 - REPOSITORIO DIGITAL UPCT
2003_3.2 - REPOSITORIO DIGITAL UPCT
Descargar
Anuncio
Anuncio