DNSSEC en .

ES
Jos Eleuterio Lpez
Red.es

ndice
1. Sobre Red.es
2. Dominios .es
3. DNSSEC
4. DNSSEC en .ES
5. DNSSEC. Estado del arte
6. Retos DNSSEC

Sobre Red.es
Entidad Pblica Empresarial adscrita al Ministerio de Industria,
Energa y Turismo (MINETUR) encargada de impulsar el
desarrollo de la Sociedad de la Informacin en Espaa
Ejecutamos proyectos trabajando con Comunidades
Autnomas, Diputaciones, Entidades Locales y con el sector
privado en materia de tecnologas de la informacin y
comunicaciones
Red.es es la Autoridad de Asignacin del Registro de nombres
de dominio bajo el cdigo de pas correspondiente a Espaa
".es

Dominios .es
Gestin del Registro de nombres de dominio de Internet
bajo el cdigo de pas ".es".
Gestin de los dominios:
.es
.com.es
.nom.es
.org.es
.gob.es (restringido)
.edu.es (restringido)
Nmero de dominios: 1.727.000
Aplicacin de registro: www.nic.es

Dominios .es

Servidor de nombre

Direccin IP

a.nic.es

194.69.254.1
2001:67c:21cc:2000:0:0:64:41

f.nic.es

130.206.1.2
2001:720:418:caf1:0:0:0:2

ns-ext.nic.cl

200.1.123.14

ns1.cesca.es

84.88.0.3

ns15.communitydns.net

194.0.1.15
2001:678:4:0:0:0:0:f

ns3.nic.fr

192.134.0.49
2001:660:3006:1:0:0:1:1

sns-pb.isc.org

192.5.4.1
2001:500:2e:0:0:0:0:1

http://www.iana.org/domains/root/db/es.html
5

DNSSEC
www.red.es?

1
5

Servidor
DNS
Proveedor
internet

Datos
descartados

www.red.es?

root

Root redirecciona a .ES

3 www.red.es?

.es
.ES redirecciona a red.es

red.es

red.es
Atacante responde con una
direccin IP falsa para
www.red.es

DNSSEC
DNSSEC: Extensiones de seguridad al protocolo DNS
Asegura:
La autenticidad del origen
La integridad de los datos
Verifica la inexistencia de un dominio
No asegura:
Confidencialidad
Ataques DOS(Denegacin de servicio)
Ataques de amplificacin

DNSSEC
Cambios en el fichero de zona:
DNSKEY Clave pblica
RRSIG Firma del RRset (solamente registros con autoridad)
DS Delegation Signer (Puntero para la cadena de confianza)
NSEC Apunta al siguiente nombre e indica los tipos de
RRsets para el nombre actual
Cadena de Confianza:
El registro DS es el puntero para la cadena de confianza.
Garantiza la autenticidad de las delegaciones de una zona
hasta un punto de confianza-> la clave del root .

DNSSEC .ES
Implantacin DNSSEC en el .ES:
Despliegue infraestructura DNSSEC.
Operativa DNSSEC.
Gestin de claves.

Infraestructura:
Open Source: BIND, OpenDNSSEC
HSM: LUNA SafeNET
Alta disponibilidad
Seguridad

DNSSEC .ES

10

DNSSEC .ES

11

DNSSEC .ES
Arquitectura:

DNSSEC .ES
Tamao KSK

2048 bits

Algoritmo cifrado KSK

RSA/SHA-256 (Tipo 8 RFC 5702)

Tiempo de vida KSK

2 aos

Tamao ZSK

1024 bits

Algoritmo cifrado ZSK

RSA/SHA-256 (Tipo 8 RFC 5702)

Tiempo de vida ZSK

3 meses

Refirmado

14 das

Validez RRSIG

14 das

Denial of existence

NSEC3

Optimizacin Opt-out activada

Algoritmo de firma NSEC3

SHA-1 (Tipo 1 Hash Algorithm RFC 5155)

13

DNSSEC .ES
DLV (ISC) :
Comprobar cadena de
confianza DNSSEC en el .ES
Comprobar correcto
funcionamiento DNSSEC.
Validacin :
Instalar validador
Resolver 194.69.254.135

14

DNSSEC .ES

15

DNSSEC .ES
http://stats.research.icann.org/dns/tld_report/

DNSSEC .ES

Ejecucin plan
implementacin

Puesta en marcha

Abril

Firmado

Mayo/
Junio
Apertura
aplicativo

Julio

Publicacin
DS en root

Plan de comunicacin y formacin

17

DNSSEC. Estado del arte

DNSSEC. Estado del arte

19

DNSSEC. Estado del arte

20

Retos de DNSSEC

21

www.red.es

Edificio Bronce,
Plaza Manuel Gmez Moreno s/n
28020 Madrid. Espaa
Tel.: 91 212 76 20 / 25, Fax: 91 212 76 35

22