ISOC Chapter Costa Rica Carlos Watson cw@isoc-cr.org http://www.isoc-cr.org Set 09, 2011 1 <draft-ietf-poised95-isoc-01.txt> Agenda 1. 2. 3. 2 Tipos de Servidores de DNS DNSsec Validación draft-ietf-poised95-isoc DNS ;; ANSWER SECTION: . 102310 . 102310 . 102310 . 102310 . 102310 . 102310 . 102310 . 102310 . 102310 . 102310 . 102310 . 102310 . 102310 3 IN IN IN IN IN IN IN IN IN IN IN IN IN NS NS NS NS NS NS NS NS NS NS NS NS NS c.root-servers.net. b.root-servers.net. g.root-servers.net. f.root-servers.net. l.root-servers.net. a.root-servers.net. j.root-servers.net. h.root-servers.net. e.root-servers.net. k.root-servers.net. m.root-servers.net. d.root-servers.net. i.root-servers.net. draft-ietf-poised95-isoc DNS ROOT MAP 4 draft-ietf-poised95-isoc Tipos de DNS server dig isoc.org isoc.org. isoc.org. isoc.org. isoc.org. isoc.org. isoc.org. dig portal.isoc.org isoc.org. isoc.org. isoc.org. isoc.org. isoc.org. isoc.org. 5 84072 84072 84072 84072 84072 84072 84014 84014 84014 84014 84014 84014 IN IN IN IN IN IN NS NS NS NS NS NS ns1.hkg1.afilias-nst.info. ns1.yyz1.afilias-nst.info. ns1.ams1.afilias-nst.info. ns-ext.nlnetlabs.nl. ns1.mia1.afilias-nst.info. ns1.sea1.afilias-nst.info. IN IN IN IN IN IN NS NS NS NS NS NS ns1.yyz1.afilias-nst.info. ns-ext.nlnetlabs.nl. ns1.sea1.afilias-nst.info. ns1.mia1.afilias-nst.info. ns1.ams1.afilias-nst.info. ns1.hkg1.afilias-nst.info. draft-ietf-poised95-isoc Tipos de DNS server 6 06:20:14.184 client 127.0.0.1#59917: query: 33.231.234.87.in-addr.arpa IN PTR + (127.0.0.1) 06:20:15.343 client 127.0.0.1#51123: query: port-87-234-231-33.static.qsc.de IN A + (127.0.0.1) 06:20:15.540 client 127.0.0.1#29742: query: 33.231.234.87.in-addr.arpa IN PTR + (127.0.0.1) 06:20:15.541 client 127.0.0.1#25977: query: port-87-234-231-33.static.qsc.de IN A + (127.0.0.1) 06:25:42.711 client 192.168.1.20#65051: query: miscomprascr.com IN MX + (192.168.1.1) 06:25:43.587 client 192.168.1.20#56588: query: miscomprascr.com IN MX + (192.168.1.1) 06:30:46.154 client 192.168.1.20#53316: query: oirsa.or.cr IN MX + (192.168.1.1) 06:30:48.091 client 192.168.1.20#65498: query: puntosoluciones.com IN MX + (192.168.1.1) 06:30:48.106 client 192.168.1.20#59201: query: puntosoluciones.com IN MX + (192.168.1.1) 06:30:48.111 client 192.168.1.20#53344: query: alarmas.co.cr IN MX + (192.168.1.1) 06:30:52.242 client 192.168.1.20#52786: query: oirsa.or.cr IN MX + (192.168.1.1) 06:31:00.106 client 192.168.1.20#65498: query: puntosoluciones.com IN MX + (192.168.1.1) 06:31:00.121 client 192.168.1.20#59201: query: puntosoluciones.com IN MX + (192.168.1.1) 06:31:00.126 client 192.168.1.20#53344: query: alarmas.co.cr IN MX + (192.168.1.1) 06:31:14.482 client 170.167.7.10#29465: query: 20.20.178.163.in-addr.arpa IN PTR -EDC (192.168.1.1) 06:32:48.613 client 134.134.136.9#35669: query: 20.20.178.163.in-addr.arpa IN PTR -EDC (192.168.1.1) 06:34:24.964 client 127.0.0.1#47635: query: 90.155.225.62.in-addr.arpa IN PTR + (127.0.0.1) 06:34:25.789 client 127.0.0.1#38411: query: 90.155.225.62.in-addr.arpa IN PTR + (127.0.0.1) draft-ietf-poised95-isoc Cache Poisoning:The Attack RFC 3833, Threat Analysis of the Domain Name System (DNS) 7 draft-ietf-poised95-isoc Cache Poisoning:The Attack RFC 3833, Threat Analysis of the Domain Name System (DNS) 8 draft-ietf-poised95-isoc Introducción a DNSSEC 9 Operacionalmente existe dos tipos de llaves: KSK y ZSK. El KSK es una llave generalmente de una mayor cantidad de bits. El KSK solo es utilizada para firmar a la ZSK. El nodo padre valida la autenticidad de la llave KSK del hijo. Realizar un cambio de KSK es problemático porque tiene que cambiar el padre. Los SEP (Secure Entry Point) generalmente son KSK. El ZSK es la llave que se utiliza para firmar los registros de la zona. Realizar un cambio de ZSK es mas sencillo porque la actualización es local a la zona. draft-ietf-poised95-isoc Introducción a DNSSEC KSK raíz firma ZSK de la zona . ZSK firma el registro DS que valida el KSK de org. . .org .sec.org 10 KSK de org. firma ZSK de la zona org. ZSK firma el registro DS que valida el KSK de sec.org. KSK de sec.org. firma ZSK de la zona sec.org. ZSK firma el registro DS que valida el KSK de ?.sec.org. draft-ietf-poised95-isoc Introducción a DNSSEC Un resolver que soporta DNSSECbis debería construir la cadena de autenticación desde la raíz de la jerarquía del DNS hasta las zonas hija. El estado final que se espera lograr con DNSSECbis es una cadena de confianza que inicie en los root servers hasta las zonas hija. Es posible especificar en el resolver las llaves válidas para una zona en particular. 11 draft-ietf-poised95-isoc authoritative servers options { dnssec enable yes; }; 12 draft-ietf-poised95-isoc recursive servers options { dnssec enable yes; dnssec validation yes; }; • Validation is done on the recursive, not authoritative servers. 13 draft-ietf-poised95-isoc Recursive servers Creating the ZSK dnsseckeygen -a RSASHA1 -b 1024 -n ZONE zonename Uses the RSASHA1 algorithm 1024 bits in length This is a DNSSEC ZONE key 14 draft-ietf-poised95-isoc Update named.conf Update named.conf Replace zone “zone name” { file “dir/zonefile”; }; With zone “zone name” { file “dir/zonefile.signed”; }; 15 draft-ietf-poised95-isoc DNSsec 16 draft-ietf-poised95-isoc