DNSSEC en .ES José Eleuterio López Red.es
Índice Sobre Red.es Dominios .es DNSSEC DNSSEC en .ES DNSSEC. Estado del arte Retos DNSSEC
Sobre Red.es Entidad Pública Empresarial adscrita al Ministerio de Industria, Energía y Turismo (MINETUR) encargada de impulsar el desarrollo de la Sociedad de la Información en España Ejecutamos proyectos trabajando con Comunidades Autónomas, Diputaciones, Entidades Locales y con el sector privado en materia de tecnologías de la información y comunicaciones Red.es es la Autoridad de Asignación del Registro de nombres de dominio bajo el código de país correspondiente a España ".es“
Dominios .es Gestión del Registro de nombres de dominio de Internet bajo el código de país ".es". Gestión de los dominios: .es .com.es .nom.es .org.es .gob.es (restringido) .edu.es (restringido) Número de dominios: 1.727.000 Aplicación de registro: www.nic.es
Dominios .es http://www.iana.org/domains/root/db/es.html Servidor de nombre Dirección IP a.nic.es 194.69.254.1 2001:67c:21cc:2000:0:0:64:41 f.nic.es 130.206.1.2 2001:720:418:caf1:0:0:0:2 ns-ext.nic.cl 200.1.123.14 ns1.cesca.es 84.88.0.3 ns15.communitydns.net 194.0.1.15 2001:678:4:0:0:0:0:f ns3.nic.fr 192.134.0.49 2001:660:3006:1:0:0:1:1 sns-pb.isc.org 192.5.4.1 2001:500:2e:0:0:0:0:1 http://www.iana.org/domains/root/db/es.html
DNSSEC root .es red.es Servidor DNS 1 2 5 3 4 www.red.es? www.red.es? Proveedor internet www.red.es? 1 2 root 5 Root redirecciona a .ES Datos descartados 3 www.red.es? .es .ES redirecciona a red.es red.es 4 red.es Atacante responde con una dirección IP falsa para www.red.es
DNSSEC DNSSEC: Extensiones de seguridad al protocolo DNS Asegura: La autenticidad del origen La integridad de los datos Verifica la inexistencia de un dominio No asegura: Confidencialidad Ataques DOS(Denegación de servicio) Ataques de amplificación
DNSSEC Cambios en el fichero de zona: DNSKEY Clave pública RRSIG Firma del RRset (solamente registros con autoridad) DS Delegation Signer (Puntero para la cadena de confianza) NSEC Apunta al siguiente nombre e indica los tipos de RRsets para el nombre actual Cadena de Confianza: El registro DS es el puntero para la cadena de confianza. Garantiza la autenticidad de las delegaciones de una zona hasta un punto de confianza-> la clave del root “.”
DNSSEC .ES Implantación DNSSEC en el .ES: Despliegue infraestructura DNSSEC. Operativa DNSSEC. Gestión de claves. Infraestructura: Open Source: BIND, OpenDNSSEC HSM: LUNA SafeNET Alta disponibilidad Seguridad
DNSSEC .ES
DNSSEC .ES
DNSSEC .ES Arquitectura:
DNSSEC .ES SHA-1 (Tipo 1 Hash Algorithm RFC 5155) Tamaño KSK 2048 bits Algoritmo cifrado KSK RSA/SHA-256 (Tipo 8 RFC 5702) Tiempo de vida KSK 2 años Tamaño ZSK 1024 bits Algoritmo cifrado ZSK Tiempo de vida ZSK 3 meses Refirmado 14 días Validez RRSIG Denial of existence NSEC3 Optimización Opt-out activada Sí Algoritmo de firma NSEC3 SHA-1 (Tipo 1 Hash Algorithm RFC 5155)
DNSSEC .ES DLV (ISC) : Comprobar cadena de confianza DNSSEC en el .ES Comprobar correcto funcionamiento DNSSEC. Validación : Instalar validador Resolver 194.69.254.135
DNSSEC .ES
DNSSEC .ES http://stats.research.icann.org/dns/tld_report/
Ejecución plan implementación DNSSEC .ES 2014 Ejecución plan implementación Puesta en marcha Abril Mayo/Junio Julio Firmado Apertura aplicativo Publicación DS en root Plan de comunicación y formación 17
DNSSEC. Estado del arte
DNSSEC. Estado del arte
DNSSEC. Estado del arte
Retos de DNSSEC La combinación: coste de implementación + falta de necesidad, dificultan el total despliegue Implementación por parte de los agentes registradores o proveedores de servicios de Internet Desconocimiento del funcionamiento y necesidad de DNSSEC (salvo usuarios muy avanzados y con cierta vulnerabilidad). Hay problemas sin resolver: transferencia de dominios (.nl) La implementación de DNSSEC tiene como ventaja principal: la seguridad. Experiencia en otros cctlds y gtlds Difusión y formación en el ámbito de seguridad de los dominios de Internet. 21
www.red.es Edificio Bronce, Plaza Manuel Gómez Moreno s/n 28020 Madrid. España www.red.es Tel.: 91 212 76 20 / 25, Fax: 91 212 76 35