DNSSEC en .ES
description
Transcript of DNSSEC en .ES
![Page 1: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/1.jpg)
1
DNSSEC en .ES
José Eleuterio López
Red.es
![Page 2: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/2.jpg)
2
Índice
1. Sobre Red.es
2. Dominios .es
3. DNSSEC
4. DNSSEC en .ES
5. DNSSEC. Estado del arte
6. Retos DNSSEC
![Page 3: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/3.jpg)
3
• Entidad Pública Empresarial adscrita al Ministerio de Industria, Energía y Turismo (MINETUR) encargada de impulsar el desarrollo de la Sociedad de la Información en España
• Ejecutamos proyectos trabajando con Comunidades Autónomas, Diputaciones, Entidades Locales y con el sector privado en materia de tecnologías de la información y comunicaciones
• Red.es es la Autoridad de Asignación del Registro de nombres de dominio bajo el código de país correspondiente a España ".es“
Sobre Red.es
![Page 4: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/4.jpg)
4
Dominios .es
• Gestión del Registro de nombres de dominio de Internet bajo el código de país ".es".
• Gestión de los dominios:• .es• .com.es• .nom.es• .org.es• .gob.es (restringido)• .edu.es (restringido)
• Número de dominios: 1.727.000
• Aplicación de registro: www.nic.es
![Page 5: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/5.jpg)
Dominios .es
5
Servidor de nombre Dirección IP
a.nic.es194.69.254.12001:67c:21cc:2000:0:0:64:41
f.nic.es130.206.1.22001:720:418:caf1:0:0:0:2
ns-ext.nic.cl 200.1.123.14
ns1.cesca.es 84.88.0.3
ns15.communitydns.net194.0.1.152001:678:4:0:0:0:0:f
ns3.nic.fr192.134.0.492001:660:3006:1:0:0:1:1
sns-pb.isc.org192.5.4.12001:500:2e:0:0:0:0:1
http://www.iana.org/domains/root/db/es.html
![Page 6: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/6.jpg)
Servidor DNS
Proveedor internet
www.red.es?
1
5root2
www.red.es?
Datos descartados
Root redirecciona a .ES
.es
red.es
www.red.es?3
.ES redirecciona a red.es red.es
4
Atacante responde con una dirección IP falsa para
www.red.es
DNSSEC
![Page 7: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/7.jpg)
DNSSEC: Extensiones de seguridad al protocolo DNS
Asegura:La autenticidad del origen
La integridad de los datos
Verifica la inexistencia de un dominio
No asegura:Confidencialidad
Ataques DOS(Denegación de servicio)
Ataques de amplificación
DNSSEC
![Page 8: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/8.jpg)
Cambios en el fichero de zona: DNSKEY Clave pública
RRSIG Firma del RRset (solamente registros con autoridad)
DS Delegation Signer (Puntero para la cadena de confianza)
NSEC Apunta al siguiente nombre e indica los tipos de RRsets para el nombre actual
DNSSEC
Cadena de Confianza:El registro DS es el puntero para la cadena de confianza. Garantiza la autenticidad de las delegaciones de una zona hasta un punto de confianza-> la clave del root “.”
![Page 9: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/9.jpg)
DNSSEC .ES
Implantación DNSSEC en el .ES:
Despliegue infraestructura DNSSEC.Operativa DNSSEC.Gestión de claves.
9
Infraestructura:
Open Source: BIND, OpenDNSSEC HSM: LUNA SafeNET Alta disponibilidad Seguridad
![Page 10: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/10.jpg)
DNSSEC .ES
10
![Page 11: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/11.jpg)
DNSSEC .ES
11
![Page 12: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/12.jpg)
DNSSEC .ES
Almacén de claves
BBDD registros
Archivo de ZonaZ
ona
.ES
f irm
ada
Servidor primario privadoFirma de zona
Zona .ES firmada
SecundariosPrimario público
Red Privada
Acceso clave privadas
Arquitectura:
![Page 13: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/13.jpg)
DNSSEC .ES
13
Tamaño KSK 2048 bits
Algoritmo cifrado KSK RSA/SHA-256 (Tipo 8 RFC 5702)
Tiempo de vida KSK 2 años
Tamaño ZSK 1024 bits
Algoritmo cifrado ZSK RSA/SHA-256 (Tipo 8 RFC 5702)
Tiempo de vida ZSK 3 meses
Refirmado 14 días
Validez RRSIG 14 días
Denial of existence NSEC3
Optimización Opt-out activada Sí
Algoritmo de firma NSEC3 SHA-1 (Tipo 1 Hash Algorithm RFC 5155)
![Page 14: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/14.jpg)
DNSSEC .ES
14
DLV (ISC) :
Comprobar cadena de confianza DNSSEC en el .ESComprobar correcto funcionamiento DNSSEC.
Validación :
Instalar validadorResolver 194.69.254.135
![Page 15: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/15.jpg)
15
DNSSEC .ES
![Page 16: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/16.jpg)
DNSSEC .ES
http://stats.research.icann.org/dns/tld_report/
![Page 17: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/17.jpg)
17
DNSSEC .ES
Ejecución plan implementación
Puesta en marcha
Plan de comunicación y formación
FirmadoApertura aplicativo
Publicación DS en root
Abril Mayo/Junio
Julio
![Page 18: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/18.jpg)
DNSSEC. Estado del arte
![Page 19: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/19.jpg)
DNSSEC. Estado del arte
19
![Page 20: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/20.jpg)
20
DNSSEC. Estado del arte
![Page 21: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/21.jpg)
21
Retos de DNSSEC
![Page 22: DNSSEC en .ES](https://reader036.fdocuments.ec/reader036/viewer/2022062309/56813a07550346895da1d411/html5/thumbnails/22.jpg)
22
Edificio Bronce, Plaza Manuel Gómez Moreno s/n28020 Madrid. España
Tel.: 91 212 76 20 / 25, Fax: 91 212 76 35www.red.es