DNSSEC en .ES José Eleuterio López Red.es.

Presentación del tema: "DNSSEC en .ES José Eleuterio López Red.es."— Transcripción de la presentación:

1 DNSSEC en .ES José Eleuterio López Red.es

2 Índice Sobre Red.es Dominios .es DNSSEC DNSSEC en .ES
DNSSEC. Estado del arte Retos DNSSEC

3 Sobre Red.es Entidad Pública Empresarial adscrita al Ministerio de Industria, Energía y Turismo (MINETUR) encargada de impulsar el desarrollo de la Sociedad de la Información en España Ejecutamos proyectos trabajando con Comunidades Autónomas, Diputaciones, Entidades Locales y con el sector privado en materia de tecnologías de la información y comunicaciones Red.es es la Autoridad de Asignación del Registro de nombres de dominio bajo el código de país correspondiente a España ".es“

4 Dominios .es Gestión del Registro de nombres de dominio de Internet bajo el código de país ".es". Gestión de los dominios: .es .com.es .nom.es .org.es .gob.es (restringido) .edu.es (restringido) Número de dominios: Aplicación de registro:

5 Dominios .es http://www.iana.org/domains/root/db/es.html
Servidor de nombre Dirección IP a.nic.es 2001:67c:21cc:2000:0:0:64:41 f.nic.es :720:418:caf1:0:0:0:2 ns-ext.nic.cl ns1.cesca.es ns15.communitydns.net :678:4:0:0:0:0:f ns3.nic.fr :660:3006:1:0:0:1:1 sns-pb.isc.org :500:2e:0:0:0:0:1

6 DNSSEC root .es red.es Servidor DNS 1 2 5 3 4 www.red.es? www.red.es?
Proveedor internet 1 2 root 5 Root redirecciona a .ES Datos descartados 3 .es .ES redirecciona a red.es red.es 4 red.es Atacante responde con una dirección IP falsa para

7 DNSSEC DNSSEC: Extensiones de seguridad al protocolo DNS Asegura:
La autenticidad del origen La integridad de los datos Verifica la inexistencia de un dominio No asegura: Confidencialidad Ataques DOS(Denegación de servicio) Ataques de amplificación

8 DNSSEC Cambios en el fichero de zona: DNSKEY Clave pública
RRSIG Firma del RRset (solamente registros con autoridad) DS Delegation Signer (Puntero para la cadena de confianza) NSEC Apunta al siguiente nombre e indica los tipos de RRsets para el nombre actual Cadena de Confianza: El registro DS es el puntero para la cadena de confianza. Garantiza la autenticidad de las delegaciones de una zona hasta un punto de confianza-> la clave del root “.”

9 DNSSEC .ES Implantación DNSSEC en el .ES:
Despliegue infraestructura DNSSEC. Operativa DNSSEC. Gestión de claves. Infraestructura: Open Source: BIND, OpenDNSSEC HSM: LUNA SafeNET Alta disponibilidad Seguridad

10 DNSSEC .ES

11 DNSSEC .ES

12 DNSSEC .ES Arquitectura:

13 DNSSEC .ES SHA-1 (Tipo 1 Hash Algorithm RFC 5155) Tamaño KSK 2048 bits
Algoritmo cifrado KSK RSA/SHA-256 (Tipo 8 RFC 5702) Tiempo de vida KSK 2 años Tamaño ZSK 1024 bits Algoritmo cifrado ZSK Tiempo de vida ZSK 3 meses Refirmado 14 días Validez RRSIG Denial of existence NSEC3 Optimización Opt-out activada Sí Algoritmo de firma NSEC3 SHA-1 (Tipo 1 Hash Algorithm RFC 5155)

14 DNSSEC .ES DLV (ISC) : Comprobar cadena de confianza DNSSEC en el .ES
Comprobar correcto funcionamiento DNSSEC. Validación : Instalar validador Resolver

15 DNSSEC .ES

16 DNSSEC .ES

17 Ejecución plan implementación
DNSSEC .ES 2014 Ejecución plan implementación Puesta en marcha Abril Mayo/Junio Julio Firmado Apertura aplicativo Publicación DS en root Plan de comunicación y formación 17

18 DNSSEC. Estado del arte

19 DNSSEC. Estado del arte

20 DNSSEC. Estado del arte

21 Retos de DNSSEC  La combinación: coste de implementación + falta de necesidad, dificultan el total despliegue  Implementación por parte de los agentes registradores o proveedores de servicios de Internet  Desconocimiento del funcionamiento y necesidad de DNSSEC (salvo usuarios muy avanzados y con cierta vulnerabilidad).  Hay problemas sin resolver: transferencia de dominios (.nl)  La implementación de DNSSEC tiene como ventaja principal: la seguridad.  Experiencia en otros cctlds y gtlds  Difusión y formación en el ámbito de seguridad de los dominios de Internet. 21

22 www.red.es Edificio Bronce, Plaza Manuel Gómez Moreno s/n
28020 Madrid. España Tel.: / 25, Fax: