Portada General Página 65
A TCP/IP le pasan los años y eso se nota. Muchas veces se ha hablado del peligro de los servidores DNS recursivos que hay en Internet. Son servidores que aceptan consultas DNS de dominios de los que no son autoritativos. Múltiples documentos han salido ya entorno al Pharmming.
Hoy nos toca hablar sobre un nuevo tipo de ataque DDoS que ha salido a discusión en varias listas de seguridad hace un mes escaso. Éste ataque usa estos servidores DNS como intermediarios.
Como es fácil deducir, se aprovechan de la facilidad de poder enviar datagramas UDP spoofeados (Dirección IP de origen falseada) para saturar a la víctima con respuestas de consultas DNS.
Usa un sistema parecido al antiguo ataque de DoS Smurf. Éste lo que hacía era mandar un paquete ping (eco request ICMP) a una dirección broadcast con la dirección de origen falseada con la de la víctima. Al ser una solicitud a una dirección broadcast, varias máquinas responderían a la víctima, si no todas, pudiéndola dejar offline. En el ataque Smurf la víctima no podía hacer gran cosa para protegerse. La solución estaba en la correcta configuración de la red. En el RFC2644 se explica la solución a esto en los encaminadores.
Pues bien, con el protocolo DNS pasa algo parecido, al poderse falsear la dirección de origen fácilmente también en el protocolo UDP.
El ataque básicamente se basa en usar un registro de recurso (RR) de tipo TXT lo suficientemente largo como para que se dé la amplificación, de unos 4000 bytes podría ser más que suficiente. Así, para una consulta que puede ser de unos 60 bytes podemos obtener un factor de amplificación de 66, suponiendo una respuesta de 4000 bytes.
En el 2002 ya se comentó en la lista de gnupg-users la posibilidad de utilizar los registros MX (mail) de algunos servicios de correo grandes. Utilizando este sistema, según más cerca esté la respuesta de 512 bytes, sin sobrepasarlo, mayor amplificación.
Por ejemplo, con los servidores de hotmail.com se consigue una amplificación de 9.5, con los de aol.com un factor de 10 y con mci.com un 10.2. Aun así, la diferencia del tamaño de la respuesta no es lo suficientemente alarmante.
La limitación de este ataque se manifestaba por el límite de los 512 bytes del protocolo UDP. Sí una respuesta superara este límite se enviaría por el protocolo TCP, y no funcionaría.
Sin embargo en el EDNS0 [RFC2671] se sugiere que el cliente pueda cambiar el tamaño máximo del paquete UDP mediante un registro de recurso (RR) llamado OPT. Por lo tanto, basta con buscar un servidor DNS que soporte la extensión EDNS. Bind 9 lo soporta, con un límite de 4096 bytes de respuesta máximo. Djbdns, sin embargo, no lo soporta. De todas formas, en Bind se puede configurar este tamaño con la opción edns-udp-size.
Total, que con una lista de servidores que cumplan esas condiciones, y un registro TXT lo suficientemente grande, bastaría para poner en apuros a más de uno. Siendo bastante complicada la localización del verdadero atacante.
Las consecuencias del ataque las sufrirían tanto el servidor DNS como la víctima del ataque. Para reducir el ataque en el servidor autoritativo del dominio también convendría que el RR TXT en cuestión tuviera un TTL (Time To Live) alto, para que se cacheara la respuesta en los servidores recursivos utilizados para el ataque.
También se está discutiendo en las listas la idea de tratar a los "open resolvers" (los servidores DNS recursivos de acceso público) como a los "open relays".
Teniendo en cuenta la inseguridad del protocolo UDP, sólo es cosa de tiempo que los atacantes encuentren diferentes protocolos y aplicaciones que utilizar para sus fechorías.
A corto plazo no parece que tenga fácil solución. Ya veremos que sucede en el futuro.
Referencias y enlaces: http://www.isotf.org/news/DNS-Amplification-Attacks.pdf http://www.securityfocus.com/archive/1/428240/30/210/threaded http://www.securityfocus.com/archive/1/426368/30/0/threaded http://lists.oarci.net/pipermail/dns-operations/ http://merit.edu/mail.archives/nanog/2006-02/msg00579.html
-- Zz.
Hostinet SL se embarca en el proyecto de lucha contra la pornografia infantil con la creacion de un portal propio desde el que los distintos internautas podran leer articulos relativos a las acciones policiales realizadas contra las redes de pedofilia , textos legales, la legislacion vigente y por supuesto podran denunciar las distintas paginas webs de pornografia infantil que puedan encontrar en la red.
Desde Hostinet SL hemos invitado a la asociacion Nic.es a sumarse a esta campaña una vez el portal de denuncia de la pornografia infantil este finalizado y acabado y sumamos dicha invitacion a todo aquel que desee luchar contra esta lacra de la sociedad.
Dejemos a los niños ser niños y denunciemos la pornografia infantil.
Iker Osaba
Hostinet SL
Con esta nueva web de Hostinet pretendemos dar un mejor servicio a nuestros clientes, y a toda la comunidad internauta.Base de conocimientoPor eso uno de nuestros objetivos ha sido alimentar la base de conocimiento que tenemos en nuestro Centro de Soporte al cliente.Servicio de software libre para software libreNuestros servidores corren en software libre, con aplicaciones libres, habiendo siempre colaborado con esta comunidad, traduciendo software que usamos a castellano, etc... Tampoco podemos olvidar que nosotros utilizamos mayoritariamente software libre en nuestros ordenadores de trabajo, y que tenemos que ayudar a todos aquellos clientes que quieran usarlo.Programa de correo Evolution bajo Ubuntu LinuxPor ello acabamos de realizar un pequeño manual de cómo configurar Evolution para leer vuestro correo de Hostinet.Esperemos que sea de vuestra utilidad, sentíos libres de escribirnos para mejorarlo.
El organismo Nic.es ha realizado recientemente un concurso entre todos sus registradores oficiales para la concesion de la posicion de Hospedador web oficial de dicha organizacion.Con este nombramiento Hostinet Sl recibe el reconocimiento a su labor y un gran apoyo tanto moral como laboral ya que de los 50 registradores oficiales tan solo 3 registradores oficiales han conseguido este reconocimiento.Este concurso posibilitara a Hostinet SL optar al alojamiento web de todo aquel dominio .es registrado directamente en Nic.es y que no posea alojamiento web proporcionandole esta misma organizacion (Nic.es) las ofertas de nuestra empresa.
El viernes se cumplen 6 meses del nacimiento en el mundo del hosting y la administración de servidores, de un nuevo panel de control GPL para hostings virtuales. Hablamos de BAIFOX.
El programador de esta nueva herramienta, con avanzada experiencia en estos campos, se vio impulsado a la creación de la misma, principalmente por dos motivos; Por un lado, la carencia que detectó en paneles como Cpanel, Plesk o Ensim, los cuales no corren bajo Debian o su desarrollo es muy precario. Y por otro, la pesadez de los paneles de administración que consumen excesivos recursos de la máquina.
Como resultado, tenemos un panel de control ligero e independiente de la distribución, siendo Debian la más probada lo que hace de este panel una buena alternativa para una carencia hasta el momento existente y una buena solución que desde hace años vienen reclamando los administradores partidarios de Debian y usuarios de paneles como los anteriormente mencionados.
Otra de las grandes apuestas del desarrollador ha sido el lenguaje PHP. Esta íntegramente programado en este lenguaje, con código JavaScript y XML para guardar las configuraciones, por lo que no es necesario disponer de una base de datos para su funcionamiento. Además corre bajo nanoWeb que es un servidor web desarrollado también en PHP.
El panel esta en continua evolución y actualmente, en su versión 0.8.5-Beta, maneja ya servicios como: - mod_apache: Servidor web. - mod_awstats: Configuraciones para la creación de estadísticas. - mod_bandwidth: Ancho de bada consumido por las diferentes web. - mod_bind: Gestiona las DNS. - mod_db_mysql: Bases de datos. - mod_ezmlm: Creación de listas de correo en la sección de usuarios. - mod_filemanager: Gestor de ficheros. - mod_filesystem: Tareas de mantenimiento del sistema. - mod_logrotate: Rotación del los logs. - mod_pureftpd: Servidor de ftp. - mod_vpopmail: Manipulación de cuentas de correo. - mod_xmlconfig: Gestion de los archivos XML de configuración
Otra de sus características, es que se instala en una maquina con los servicios ya instalados, por lo que puedes configurar el panel en una máquina que ya esta en producción, sin necesidad de reinstalar todo el sistema.
Desde Hostinet S.L. hemos apostado por este nuevo software y ya son varios los servidores en los que se esta usando y cada dia continuamos implementándolo, con una gran satisfacción por parte de la empresa y de nuestros clientes.
Amaia Etxebarria.
Los nuevos dominios .mobi para acceder a Internet a través de teléfonos móviles estará disponible a finales de año.
El objetivo de los dominios .mobi es permitir a los usuarios la accesibilidad a la Red de la forma más optimizada a través de sus teléfonos móviles y equipamientos similares.
El dominio .mobi cuenta con el apoyo de los grandes todopoderosos de la telefonía movil: Telefónica y Vodafone, Nokia, Ericsson, Microsoft, Samsung,..A pesar de ello, hay voces que dicen que este dominio tendrá un efecto drásticamente perjudicial para Internet, ya que divide el espacio de información HTTP en partes diseñadas diferencialmente por un lado para el acceso vía móvil y por el otro para el que habitualmente se viene dando. Los que piensan en este sentido. consideran que Internet debe operar independientemente del harware, software o la red que se utiliza para acceder a él
Para poder adquirir los dominios .mobi es necesario que el sitio web alojado este desarrollado cumpliendo con los estándares que permiten la accesibilidad desde terminales móviles.
En breve, veremos si estos dominios triunfan, o por el contrario quedan en el olvido
Uno de los mayores problemas que suele tener algunos clientes es el grado de seguridad de las diferentes claves o passwords, hay de todo, podriamos hablar tecnicamente que si claves de no se cuantos bits, que si encriptados, o lo mejor un programa de generacion de pass .etc..Pero nos conformamos que en cualquier alojamiento web o claves de banco etc... se puedan seguir unas reglas basicas de lo que no hacer.- El login y el password tienen que ser diferentes. Ejemplo dominio.com login dominio pass dominio- Las claves no tienen que relacionarse con datos de caracter personal por ejemplo tu apellido, tu nombre, tu fecha de nacimiento. Ejemplo una persona se llama jose rodriguez y nacio el 23 de enero de 1980 pues nada de jose230180 o clave joserodriguez o rodriguezjose etc....- Las claves tienen que ser un poco largas y tener a poder ser numeros y letras, normalmente los ataques para romper claves lo primero que van a buscar son letras (la que la mayor parte de la gente suele poner letras.) combinaciones de numeros y letras suelen ser las mas interesantes. Ejemplo tr&jk5por5$3- Hay que tener claves diferentes para cada uno de los sitios importantes.- Las claves hay que procurar ir modificandolas cada cierto tiempo (cada mes esta bien.) - Las claves son personales. Tus claves las tienes que tener tu ,si las tiene mas gente entonces no son claves...A pesar de todo esto siempre puede haber problemas pero lo importante es ir cerrando en todo lo posible las puertas a robos de claves.
Tras el anuncio ayer de ETA de su tregua permanente, Internet quedó salpicada de dicha actualidad. La gente se tiró a Internet en busca de información actualizada, y está claro que Internet cada vez más es la forma predilecta de información al minuto.
Ediciones digitales de periódicos
Las ediciones digitales de los periódicos fueron ayer muy visitadas por los internautas, incluso algunos portales permanecieron caídos la mayor parte del día, como es el caso del portal de noticias de la televisión pública vasca
Internet también se utilizó para descargar el video que ETA envió a varios medios de comunicación, al parecer en un DVD.
La propia prensa escrita saca hoy pantallazos de las ediciones digitales de periódicos extranjeros, o estatales.
Blogs
Los blogs fueron también hervidero de opiniones, y actualidad, incluso en algún blog de éstos se pegaban los significados que los diferentes diccionarios daban de la palabra permanente para intentar disipar las dudas.
Según Technorati, buscador en blogs, el término más buscado en su blog es ETA.
Dominios
Más curioso aún es que ayer se produjeron registros de dominios relacionados con dicha noticia, así pues recibimos por parte de un cliente el registro del dominio treguadeeta.es y su correspondiente .com también fue registrado.
Dos senadores norteamericanos han planteado la necesidad de crear este nuevo dominio para ayudar a los padres a filtrar paginas de contenido pornografico. Sus conclusiones ya han sido presentadas al congreso norteamericano
La propuesta implica dos cosas por un lado la creacion de esta nueva terminacion y segundo la creacion de una ley que prohiba el acceso a contenido pornografico a terminaciones como .com .net .org entre otros.
La idea es sencilla y es evitar los errores involuntarios a la hora de acceder a paginas de estos contenidos. La idea en principio puede ser buena a la hora de segmentar los contenidos de las paginas pero a la hora de llevarla a la practica parece bastante complicada, tener a una serie de ciber policias buscando paginas webs no parece del todo coherente por un lado el coste de rastreo y segundo el proceso de cancelacion de estos dominios. Como nota positiva creo que seria interesante que se podria regular el acceso a estas paginas a través de algo tan sencillo como buscadores en las que estos discriminaran si al cliente quiere que le aparezcan determinados resultados o no.
Antes de registrar el dominio definitivamente es importante que tengas claro dos aspectos fundamentales para una futura empresa:
1. El período de registro del dominio: Los nombres de dominio tienen un período mínimo de registro de 1 año y un máximo, normalmente, de 10 años. Nuestra recomendación es registrar el dominio por un mínimo de 2 años, porque su coste es asumible y porque nos libera de un problema que se nos presentará con el paso del tiempo. Piensa en el plazo en el que se desarrollarás tu proyecto para no tener problemas...
2. La extensión o extensiones de dominio que vamos a registrar: Si tienes en cuenta que cada día se registran unos 15.000 dominios, para evitar problemas que trastornen la marcha de tu empresa en el futuro, puedes plantearte registrar un paquete de dominios y no sólo uno. Así, si registras los dominios miempresa.com, miempresa.net, miempresa.org y miempresa.es, por ejemplo, puedes evitar que otras empresas puedan crearte competencia con un nombre similar.
¿Qué hacer entonces? Lo ideal sería registrar el dominio por un período mínimo de 2 años y registrar, además, las extensiones más comunes de ese mismo dominio para despreocuparnos de un tema que, de otra manera, podría crearnos problemas a medio plazo.
Cuando hayas elegido el nombre del dominio (o el nombre para tu empresa)contratando un Host también contarás con un correo electrónico totalmente personalizado. Podrás crear todas las cuentas de correo que quieras del tipo direccion@miempresa.com, con lo que tendrás la posibilidad de tener un distintivo inequívoco de tu marca, de tu empresa o de tu dominio.
En conclusión, elegir un nombre de dominio para tu empresa te aportará:
- Una marca única en Internet
- Un acceso a la web de la empresa
- Un correo electrónico personalizado