Servicios de DNS en LACNIC Arturo Servín Carlos M. Martínez

Agenda El sistema de DNS y los RIRs La nueva estructura de resolución de la zona “.arpa” DNSSEC para el espacio reverso en LACNIC Planes a futuro Anycasting

El rol de LACNIC en el DNS LACNIC asigna recursos de numeración dentro de su área de servicio IPv4, IPv6, ASNs Servicios DNS de LACNIC Resolución directa Resolución de nombres para localización de servicios *.lacnic.net (www, whois, rpki, etc.) Otros servicios / proyectos AMPARO, LACNOG Resolución reversa LACNIC es el nodo intermedio entre sus asociados y las zonas *.arpa

Resolución reversa en dos diapositivas Una consulta “reversa” en DNS comienza con una dirección IP (v4 o v6) Se transforma en una consulta por un registro de tipo “PTR” dentro de dos espacios de nombres de propósito especial En IPv4: *.in-addr.arpa En IPv6: *.ip6.arpa

Resolución reversa en dos diapositivas Consulta reversa para la IP 200.40.20.10 carlos$ dig -x 200.7.84.3 ;; QUESTION SECTION: ;3.84.7.200.in-addr.arpa. IN PTR ;; ANSWER SECTION: 3.84.7.200.in-addr.arpa. 86400 IN PTR mail.lacnic.net.uy.

Resolución reversa en dos diapositivas Consulta reversa por la dirección 2001:13c7:7001:4000::3 carlos$ dig -x 2001:13c7:7001:4000::3 ;; QUESTION SECTION: ;3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. IN PTR ;; ANSWER SECTION: 3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. 86400 IN PTR mail.lacnic.net.uy.

Gestión de recursos de numeración en Internet (i) El espacio de nombres reverso se mapea naturalmente en el esquema de asignación de recursos por RIR

Resolución reversa en LACNIC 179.in-addr.arpa IANA 0/8 LACNIC 179/8 UY-ORG-1 179.1.0.0/16 UY-ORG-2 179.1.218.0/24 RIPE in-addr.arpa 1.179.in-addr.arpa 218.1.179.in-addr.arpa

Resolución reversa en Internet Históricamente: La zona in-addr.arpa era servida por un sub-conjunto de los root servers de DNS (A.root-servers.net, F.root-servers.net, etc.) La zona ip6.arpa era servida por los servidores DNS de los RIRs (ns2.lacnic.net, sec1.apnic.net, etc.) RFC 5855: “Nameservers for IPv4 and IPv6 Reverse Zones”, mayo de 2010 (J. Abley / T. Manderson) Crea un conjunto dedicado y estable de servers para las zonas reversas A.in-addr-servers.arpa / A.ip6-servers.arpa B.in-addr-servers.arpa / B.ip6-servers.arpa

RFC 5855 en LACNIC LACNIC opera desde mediados de 2010 dos raíces reversas D.in-addr-servers.arpa D.ip6-servers.arpa Ambos están localizados en el datacenter de Sao Paulo Algunas cifras: D.ip-6-servers.arpa tiene picos de ~350 queries/seg D.in-addr-servers.arpa tiene picos de ~2000 queries/seg

RFC 5855 en LACNIC D.in-addr-servers.arpa D.ip6-servers.arpa

DNSSEC DNSSEC (Domain Name System Security Extensions) es un conjunto de especificaciones que permiten asegurar (firmar) información contenida en zonas DNS Muy brevemente: Se genera un par de claves (pública/privada) por cada zona que se desee firmar La pública se publica en la propia zona Registro DNSKEY La privada se usa para firmar la zona Generar e incluir en la zona los registros RRSIG ¿Como se completa la cadena de confianza? Publicando un registro DS en la zona padre

parent. DNSSEC child.parent. IN SOA (…) child2.parent. IN SOA (…) child.parent. IN DS <<DS Data>> child2.parent. IN DS <<DS Data>> child.parent. IN SOA (…) child.parent. IN RRSIG <<RRSIG data>> child.parent. IN DNSKEY <<DNSKEY data>> child2.parent. IN SOA (…) child2.parent. IN RRSIG <<RRSIG data>> child2.parent. IN DNSKEY <<DNSKEY data>>

DNSSEC para el espacio reverso LACNIC está trabajando para implementar DNSSEC a nivel de las zonas reversas Esto implica: Firmar las zonas de mas alto nivel 181.in-addr.arpa (181/8), 179.in- addr.arpa (179/8), y el resto de los /8 de LACNIC 0.8.2.ip6.arpa (2800::/12) y 3.1.1.0.0.2.ip6.arpa (2001:1200::/23) Modificar el sistema de registro para que sus asociados puedan subir sus registros DS IANA 0/8 LACNIC 179/8 UY-ORG-1 179.1.0.0/16 UY-ORG-2 179.1.218.0/24 RIPE

DNSSEC para el espacio reverso Arquitectura de firma de zonas

DNSSEC en el Sistema de Registro El Sistema de Registro de LACNIC será actualizado para recibir los registros “DS” de los asociados Tanto via web como via EPP

Planes 2012: Anycasting En LACNIC queremos distribuir copias anycast de la resolución reversa en la región ¡Estamos a la búsqueda de partners! Ofrecemos Copia anycast de D.in-addr-servers.arpa y D.ip6-server.arpa Copya anycast de ns.lacnic.net (resolución reversa de la región LACNIC) Copia anycast del repositorio RPKI de LACNIC

¡Muchas gracias por su atención! Carlos M. Martínez (carlos @ lacnic.net)