FreeBSD México

Comunidad Mexicana de FreeBSD

FreeBSD 10 Incluirá OpenSSH con soporte DNSSEC (para registros SSHFP)

 

 

Este artículo es una traducción del siguiente sitio: http://www.internetsociety.org/deploy360/blog/2013/09/freebsd-10-to-include-openssh-with-dnssec-support-for-sshfp-records/

Publicado el 12 de Septiembre de 2013 por  Dan York

Excelentes noticias nos dieron el día de ayer  el equipo FreeBSD … la próxima versión de FreeBSD 10 incluirá soporte en  OpenSSH para DNSSEC. El punto clave es este:

Esto significa que OpenSSH confiará silenciosamente en registros SSHFP firmados vía-DNSSEC.

Lo que esto significa es lo siguiente: cuando entres vía ssh a un sistema desconocido (p.ej. alguno que no este en su archivo de  “hosts-conocidos”), OpenSSH hará una consulta para un registro SSHFP y usará validación DNSSEC para asegurar que el registro SSHFP es realmente aquel que el operador del dominio quiere usar.

Este proceso de usar  un registro  SSHFP fue definido en el RFC 4255 en el 2006.  Si estan familiarizados con la manera en que ssh (alias “secure shell“) trabaja, cuando se conectan a un sistema desconocido la primera vez se le presenta con la “huella digital” o la llave pública del servidor al cual se estan conectando.  En teoría se puede verificar la huella digital por medio de algun mecanismo fuera de banda (quizas viendolo en una página web o por medio de haber recibido un correo con dicha huella digital).  En la práctica, la gran mayoría de la gente solo presiona  enter/return o teclee “yes” o alguna cosa similar.

En el mecanismo del RFC 4255, el operador del servidor puede publicar un registro SSHFP en el DNS que pudiera tener la huella digital o la llave pública SSH.  Esta es la misma huella digital que normalmente se le presentaría a un usuario.  Por medio de usar DNSSEC para firmar la zona DNS que incluye el registro SSHFP, el operador del servidor puede proporcionar un método para validación DNSSEC del cliente SSH para verificar que la huella digital del SSH es de hecho aquella que se debería de usar para conectarse al servidor.

Esto crea un alto nivel de confianza y seguridad en conexiónes SSH.

Es grandioso ver que se agregó esto en FreeBSD 10, el cual de acuerdo con  la página de Ingeniería de FreeBSD, debería de estar disponible en algun momento de Noviembre de 2013.

Para aquellos curiosos, el registro SSHFP es similar a lo que se definió hace seis años en el RFC 6698 para el protocolo DANE, lo cual realmente no es sorpresa ya que ellos comparten un autor en común, Jakob Schlyter. El registro TLSA de DANE es un poco más complejo y, por instancia, permite la inclusión de una certificado completo SSL/TLS en lugar de solo una huella digital. En ambos casos, la idea es la misma – use un registro DNS para proporcionar un medio de verificar una llave pública, y use DNSSEC para proporcionar protección de integridad de tal forma que se sepa que se puede confiar en el registro DNS.

Es grandioso ver que esta siendo incluido en un estado activado. felicitaciones al equipo de FreeBSD por hacer esto!

 

_________________________

Nos leeremos en el siguiente artículo.

FreeBSD rulez!

Si esta información te resultó útil considera hacer una donación a mi cuenta de LiteCoin:

LTC:    LhyHJC2eXVCrwHKX1jnMuSHgSijW3XHX2j

_________________________

Eric De La Cruz Lugo, es Licenciado en Informática Administrativa (LIA) con especialidad en sistemas, egresado del Instituto Tecnológico y de Estudios Superiores de Occidente (ITESO), ha sido usuario de FreeBSD desde 1993 y de sistemas UNIX desde 1992, y de Linux desde 1997 (actualmente cuenta con certificación Linux+CompTIA) es profesor de asignatura de la Universidad Tecnológica Metropolitana en Mérida, Yucatán, donde administra servidores corriendo con FreeBSD que hospedan aplicaciones administrativas y la plataforma educativa en línea de la división de TIC (Tecnologías de la Información y Comunicación) de la Universidad. También brinda de forma independiente consultoría profesional a empresas e instituciones, e imparte cursos relacionados con UNIXLinux y desde luego FreeBSD!, forma parte del equipo de traducción al español del sitio bsdcertification.org, así como Proofreader y betatester de artículos de la revista BSDMag editada en Polonia, que se puede leer mensualmente en bsdmag.org,  también es astrónomo amateur y asesor externo del Planetario Arcadio Poveda Ricalde de Mérida, Yucatán y esta felizmente casado con su amada esposa Marisol Alvarez, puede ser alcanzado en: eric_delacruz@yahoo.com y en eric@iteso.mx y en twitter: @COSMICBOY123)

No Responses to “FreeBSD 10 Incluirá OpenSSH con soporte DNSSEC (para registros SSHFP)”

No comments have been made on this post



Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*