plantilla presentacion ppt

1
DNSSEC en .ES
José Eleuterio López Red.es
2
Índice

• Sobre Red.es
• Dominios .es
• DNSSEC
• DNSSEC en .ES
• DNSSEC. Estado del arte
• Retos DNSSEC

3
Sobre Red.es

• Entidad Pública Empresarial adscrita al
  Ministerio de Industria, Energía y Turismo
  (MINETUR) encargada de impulsar el desarrollo de
  la Sociedad de la Información en España
• Ejecutamos proyectos trabajando con Comunidades
  Autónomas, Diputaciones, Entidades Locales y con
  el sector privado en materia de tecnologías de la
  información y comunicaciones
• Red.es es la Autoridad de Asignación del Registro
  de nombres de dominio bajo el código de país
  correspondiente a España ".es

4
Dominios .es

• Gestión del Registro de nombres de dominio de
  Internet bajo el código de país ".es".
• Gestión de los dominios
• .es
• .com.es
• .nom.es
• .org.es
• .gob.es (restringido)
• .edu.es (restringido)
• Número de dominios 1.727.000
• Aplicación de registro www.nic.es

5
Dominios .es
Servidor de nombre Dirección IP
a.nic.es 194.69.254.1 200167c21cc2000006441
f.nic.es 130.206.1.22001720418caf10002
ns-ext.nic.cl 200.1.123.14
ns1.cesca.es 84.88.0.3
ns15.communitydns.net 194.0.1.15200167840000f
ns3.nic.fr 192.134.0.492001660300610011
sns-pb.isc.org 192.5.4.120015002e00001
http//www.iana.org/domains/root/db/es.html
6
DNSSEC
www.red.es?
Servidor DNS Proveedor internet
www.red.es?
1
root
2
5
Root redirecciona a .ES
Datos descartados
3
www.red.es?
.es
.ES redirecciona a red.es
red.es
4
red.es
Atacante responde con una dirección IP falsa para
www.red.es
7
DNSSEC

• DNSSEC Extensiones de seguridad al protocolo DNS
  
• Asegura
• La autenticidad del origen
• La integridad de los datos
• Verifica la inexistencia de un dominio
• No asegura
• Confidencialidad
• Ataques DOS(Denegación de servicio)
• Ataques de amplificación

8
DNSSEC

• Cambios en el fichero de zona
• DNSKEY Clave pública
• RRSIG Firma del RRset (solamente registros con
  autoridad)
• DS Delegation Signer (Puntero para la cadena de
  confianza)
• NSEC Apunta al siguiente nombre e indica los
  tipos de RRsets para el nombre actual

• Cadena de Confianza
• El registro DS es el puntero para la cadena de
  confianza. Garantiza la autenticidad de las
  delegaciones de una zona hasta un punto de
  confianza-gt la clave del root .

9
DNSSEC .ES

• Implantación DNSSEC en el .ES
• Despliegue infraestructura DNSSEC.
• Operativa DNSSEC.
• Gestión de claves.

• Infraestructura
• Open Source BIND, OpenDNSSEC
• HSM LUNA SafeNET
• Alta disponibilidad
• Seguridad

10
DNSSEC .ES
11
DNSSEC .ES
12
DNSSEC .ES
Arquitectura
13
DNSSEC .ES
Tamaño KSK 2048 bits
Algoritmo cifrado KSK RSA/SHA-256 (Tipo 8 RFC 5702)
Tiempo de vida KSK 2 años
Tamaño ZSK 1024 bits
Algoritmo cifrado ZSK RSA/SHA-256 (Tipo 8 RFC 5702)
Tiempo de vida ZSK 3 meses
Refirmado 14 días
Validez RRSIG 14 días
Denial of existence NSEC3
Optimización Opt-out activada Sí
Algoritmo de firma NSEC3 SHA-1 (Tipo 1 Hash Algorithm RFC 5155)
14
DNSSEC .ES

• DLV (ISC)
• Comprobar cadena de confianza DNSSEC en el .ES
• Comprobar correcto funcionamiento DNSSEC.
• Validación
• Instalar validador
• Resolver 194.69.254.135

15
DNSSEC .ES
16
DNSSEC .ES
http//stats.research.icann.org/dns/tld_report/
17
DNSSEC .ES
2014
Ejecución plan implementación
Puesta en marcha
Abril
Mayo/Junio
Julio
Firmado
Apertura aplicativo
Publicación DS en root
Plan de comunicación y formación
17
18
DNSSEC. Estado del arte
19
DNSSEC. Estado del arte
20
DNSSEC. Estado del arte
21
Retos de DNSSEC
21
22
Edificio Bronce, Plaza Manuel Gómez Moreno
s/n 28020 Madrid. España
www.red.es
Tel. 91 212 76 20 / 25, Fax 91 212 76 35