Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Dnssec Dominio Es Gore v4
Dnssec Dominio Es Gore v4
ES
Jos Eleuterio Lpez
Red.es
ndice
1. Sobre Red.es
2. Dominios .es
3. DNSSEC
4. DNSSEC en .ES
5. DNSSEC. Estado del arte
6. Retos DNSSEC
Sobre Red.es
Entidad Pblica Empresarial adscrita al Ministerio de Industria,
Energa y Turismo (MINETUR) encargada de impulsar el
desarrollo de la Sociedad de la Informacin en Espaa
Ejecutamos proyectos trabajando con Comunidades
Autnomas, Diputaciones, Entidades Locales y con el sector
privado en materia de tecnologas de la informacin y
comunicaciones
Red.es es la Autoridad de Asignacin del Registro de nombres
de dominio bajo el cdigo de pas correspondiente a Espaa
".es
Dominios .es
Gestin del Registro de nombres de dominio de Internet
bajo el cdigo de pas ".es".
Gestin de los dominios:
.es
.com.es
.nom.es
.org.es
.gob.es (restringido)
.edu.es (restringido)
Nmero de dominios: 1.727.000
Aplicacin de registro: www.nic.es
Dominios .es
Servidor de nombre
Direccin IP
a.nic.es
194.69.254.1
2001:67c:21cc:2000:0:0:64:41
f.nic.es
130.206.1.2
2001:720:418:caf1:0:0:0:2
ns-ext.nic.cl
200.1.123.14
ns1.cesca.es
84.88.0.3
ns15.communitydns.net
194.0.1.15
2001:678:4:0:0:0:0:f
ns3.nic.fr
192.134.0.49
2001:660:3006:1:0:0:1:1
sns-pb.isc.org
192.5.4.1
2001:500:2e:0:0:0:0:1
http://www.iana.org/domains/root/db/es.html
5
DNSSEC
www.red.es?
1
5
Servidor
DNS
Proveedor
internet
Datos
descartados
www.red.es?
root
3 www.red.es?
.es
.ES redirecciona a red.es
red.es
red.es
Atacante responde con una
direccin IP falsa para
www.red.es
DNSSEC
DNSSEC: Extensiones de seguridad al protocolo DNS
Asegura:
La autenticidad del origen
La integridad de los datos
Verifica la inexistencia de un dominio
No asegura:
Confidencialidad
Ataques DOS(Denegacin de servicio)
Ataques de amplificacin
DNSSEC
Cambios en el fichero de zona:
DNSKEY Clave pblica
RRSIG Firma del RRset (solamente registros con autoridad)
DS Delegation Signer (Puntero para la cadena de confianza)
NSEC Apunta al siguiente nombre e indica los tipos de
RRsets para el nombre actual
Cadena de Confianza:
El registro DS es el puntero para la cadena de confianza.
Garantiza la autenticidad de las delegaciones de una zona
hasta un punto de confianza-> la clave del root .
DNSSEC .ES
Implantacin DNSSEC en el .ES:
Despliegue infraestructura DNSSEC.
Operativa DNSSEC.
Gestin de claves.
Infraestructura:
Open Source: BIND, OpenDNSSEC
HSM: LUNA SafeNET
Alta disponibilidad
Seguridad
DNSSEC .ES
10
DNSSEC .ES
11
DNSSEC .ES
Arquitectura:
DNSSEC .ES
Tamao KSK
2048 bits
2 aos
Tamao ZSK
1024 bits
3 meses
Refirmado
14 das
Validez RRSIG
14 das
Denial of existence
NSEC3
13
DNSSEC .ES
DLV (ISC) :
Comprobar cadena de
confianza DNSSEC en el .ES
Comprobar correcto
funcionamiento DNSSEC.
Validacin :
Instalar validador
Resolver 194.69.254.135
14
DNSSEC .ES
15
DNSSEC .ES
http://stats.research.icann.org/dns/tld_report/
DNSSEC .ES
Ejecucin plan
implementacin
Puesta en marcha
Abril
Firmado
Mayo/
Junio
Apertura
aplicativo
Julio
Publicacin
DS en root
17
19
20
Retos de DNSSEC
21
www.red.es
Edificio Bronce,
Plaza Manuel Gmez Moreno s/n
28020 Madrid. Espaa
Tel.: 91 212 76 20 / 25, Fax: 91 212 76 35
22