DNS Security Extensions (DNSSEC) Aplicaciones distribuidas avanzadas (curso 2002/2003) DNSSEC.

Slides:



Advertisements
Presentaciones similares
Servicios de directorio de Internet
Advertisements

Enrutamiento, Movilidad y Calidad de Servicio en IPv6
Servicio DNS.
Kerberos Practica sobre Kerberos
Servicios de DNS en LACNIC
Jorge De Nova Segundo. Los servidores DMS que declaran zonas esclavas o secundarias obtienen los archivos de zona (los registros de recursos) de otros.
Registros de recursos DNS: - Formato general
Seguridad del protocolo HTTP
Servidores de nombres de dominio (DNS):
Transferencias de Zona:
Servidores de nombres de dominio (DNS)
DNSSEC en .ES José Eleuterio López Red.es.
Seguridad en BGP Saulo Barajas Universidad Carlos III de Madrid
Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.
DIDACTIFICACION DE IPv6 3.2 Stateless. Introducción a IPv6 RFC 4862: Stateless Address Autoconfiguration (SLAC) En la configuración stateless los equipos.
Servidores LAMP (Linux Apache MySQL PHP) ING CARLOS EDUARDO PUENTES F. UNIVERSIDAD MANUELA BELTRAN.
5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.
Redes de área local Unidad 2 O PERACIONES A UXILIARES CON T ECNOLOGÍAS DE LA I NFORMACIÓN Y LA C OMUNICACIÓN.
ESCALABILIDAD DE DIRECCIONES IP Semestre 4 Capítulo 1
Seguridad en SIP Aplicaciones Distribuidas Avanzadas Doctorado Ingeniería Telemática Antonio Guerrero Junio 2003.
IPSEC By Jesús Patiño. IPsec es una extensión al protocolo IP que proporciona seguridad a IP. La arquitectura IPsec se describe en el RFC2401 IPsec emplea.
Laboratorio de Redes de Computadores II Domain Name System Laboratorio de Redes de Computadores II TEL 242 Segundo Semestre 2007.
Jorge De Nova Segundo. Formato general. SOA El registro SOA (Start of Authority) es el segundo registro que nos encontramos en un archivo de zona. Debe.
LOGO Not Another Dynamic DNS Claudia Codriansky / Francisco Castillo.
DIDACTIFICACION DE IPv6 00. IPv6 in IPv4. Introducción a IPv6 Para explicar este mecanismo veremos lo que es un Broker y como funciona. También mostraremos.
Capítulo 8 Seguridad en Redes Conexiones TCP Seguras: SSL Basado en: Computer Networking: A Top Down Approach 5 th edition. Jim Kurose, Keith Ross Addison-Wesley,
Seguridad DNS. Javier Rodríguez Granados.
S EGURIDAD DNS - V ULNERABILIDADES, AMENAZAS Y ATAQUES. - M ECANISMOS DE SEGURIDAD. Luis Villalta Márquez.
Servidores de nombres de dominio (DNS):
Componentes del servicio de nombres de dominio.
Michael Ángelo De Lancer Franco  DNS: es un protocolo de resolución de nombres para redes TCP/IP, como Internet o la red de una organización.
DHCP, DNS, WINS. Repaso..
¿Qué es esto? / /
ELO-3091 Nombre en Internet Contenidos Terminología Sistema de nombres de dominio. Domain Naming System.
AGENDA Mejoras en la Seguridad de Windows 7 Mejoras en la Seguridad de Windows 7 Centro de Seguridad Centro de Seguridad Applocker Applocker Direct Access.
Jorge De Nova Segundo. Servidores de nombres de dominio (DNS): Zona de Búsqueda Directa. - Las resoluciones de esta zona devuelven la dirección IP correspondiente.
Proceso de resolución de un nombre de dominio Tema 3 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto.
S ERVICIOS DE RED E I NTERNET T EMA 3: DNS Nombre: Adrián de la Torre López.
JHON JAIRO MONTOYA GIRALDO INFORMATICA EMPRESARIAL.
Luis Villalta Márquez. Introducción Para la operación práctica del sistema DNS se utilizan tres componentes principales:  Los Clientes DNS: Un programa.
Registro de recursos DNS Jesús Torres Cejudo. Registro de recursos DNS Un DNS es una base de datos distribuida que contiene registros que se conocen como.
Registro de recursos DNS
Punto 10 – Registros de recursos DNS Juan Luis Cano.
Jorge De Nova Segundo. DNS Dinámico (DDNS o Dynamic DNS): Dynamic DNS es un método de actualización, en tiempo real, un sistema de nombres de dominio.
Gabriel Montañés León.  El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo. Antes de considerar qué.
Domain Name System Comercio Electrónico
Registros de recursos DNS.
Servidores de nombres de dominio (DNS) Jesús Torres Cejudo.
Luis Villalta Márquez. Servidores de nombres de dominio (DNS)
Protocolos y Seguridad de las aplicaciones SSL/TSL
Gabriel Montañés León.  Para resolver nombre, los servidores consultan sus zonas. Las zonas contienen registros de recursos que constituyen la información.
Servidores de nombres de dominio DNS
S ERVICIOS DE RED E I NTERNET T EMA 3: DNS Nombre: Adrián de la Torre López.
Jorge De Nova Segundo. Componentes del servicio de nombres de dominio EL servicio que ofrece DNS se basa en los siguientes componentes -Espacio de nombres.
REGISTROS DE RECURSOS DNS:. Como ya hemos visto, cada servidor DNS primario mantiene un archivo de zona para resolución directa (de un nombre de dominio.
 En aquellas zonas en las que existen diferentes servidores de nombres con autoridad (uno principal o maestro y uno o varios secundarios o esclavos),
Gabriel Montañés León. En aquellas zonas en las que existen diferentes servidores de nombres con autoridad (uno principal o maestro y uno o varios secundarios.
UD 3: “Instalación y administración de servicios de nombres de dominio” Registros de recursos DNS Luis Alfonso Sánchez Brazales.
Técnicas de cifrado. Clave pública y clave privada:
S ERVICIOS DE RED E I NTERNET T EMA 3: DNS Nombre: Adrián de la Torre López.
Seguridad de Datos Soluciones y Estándares de Seguridad.
COMPONENTES DEL DNS. ESPACIO DE NOMBRE La estructura del sistema DNS se basa en una estructura de arbórea en donde se definen los dominios de nivel superior.
Sistema de Dominio DNS Por: Cesar Posada Octavio Sucerquia Yefferson Henao.
Objetivos Identificar la importancia presente y futura del Protocolo IPv6 Conocer acerca de sus especificaciones técnicas y sus características de funcionamiento.
Componentes del servicio de nombres de dominio: –Espacios de nombres de dominio (name space) –Bases de datos DNS (registro de recursos). –Servidores de.
Proceso de resolución de un nombre de dominio. –Consultas recursivas. –Consultas iterativas. –Caché y TTL. –Recursividad y caché. Gustavo Antequera Rodríguez.
Configuración de DNS y WINS en Windows 2003 Server. Presentado por: Francis Zamata Condori.
SERVIDOR DNS INSTALACIÓN DE BIND9. PASOS A DESARROLLAR $ sudo apt-get update Instalamos el paquete bind9 el cual es el software para la implementación.
UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II E.I. L.E. Prof. Ramón Castro Liceaga XI. SEGURIDAD EN SERVIDORES DE NOMBRE (DNS).
Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS)
Transcripción de la presentación:

DNS Security Extensions (DNSSEC) Aplicaciones distribuidas avanzadas (curso 2002/2003) DNSSEC

Apartados Introducción a DNS. Vulnerabilidades en DNS. DNSSEC (RFC2535++). DNSSEC (TSIG/SIG0). DNSSEC KEY/SIG/NXT. Firma dominios locales. Redes de confianza (chain of trust). Caso práctico: Autenticación en BGP.

DNSSEC Introducción a DNS. Resolver Pregunta: A A ? Caching forwarder (recursive) root-server A ? “ask es ns1.nic.es” ns1.nic.es A ? “ask upm einstein.ccupm.upm.es” einstein.ccupm.upm.es “ ask dit dns.dit.upm.es” Add to cache A ? dns.dit.upm.es 10 A ?

DNSSEC Introducción a DNS (II). master Caching forwarder resolver Zone administrator Zone file Dynamic updates 1 2 slaves 3 4 5

DNSSEC master Caching forwarder resolver Zone file Dynamic updates 1 2 slaves 3 Server protection 45 Corrupting data Impersonating master Unauthorized updates Cache impersonation Cache pollution by Data spoofing Data protection Vulnerabilidades en DNS

DNSSEC DNSSEC (RFC2535++) DNSEC ofrece: Protección entre servidores (master  slave). DNSSEC (TSIG/SIG0) permite la autenticación entre servidores, asegurando la transferencia de zonas. Protección datos. DNSSEC (KEY/SIG/NXT) establece mecanismos de autenticación e integridad de datos DNSSEC (DS) permite un mecanismo de seguridad distribuida basado en el establecimiento de redes de confianza (Chains of Trust) Una infraestructura de distribución de claves públicas ?? Posible utilidad en el establecimiento de túneles IPSEC dinámicos (Opportunistic IPSEC)

DNSSEC (TSIG/SIG0) Protección entre servidores Zone file slaves master Caching forwarder resolver Dynamic updates Unauthorized updates Impersonating master

DNSSEC Transaction Signature: TSIG TSIG (RFC 2845) Autenticación entre las partes basada en firmas digitales. Algoritmos HMAC-MD5. Uso de claves simétricas previamente establecidas. Independiente de otros servicios DNSSEC. Transaction Signature: TSIG SOA … SOA Sig... Master AXFR Slave KEY: %sgs!f23fv AXFR Sig... SOA … SOA Sig... Slave KEY: %sgs!f23fv verifica tion Query: AXFR Response: Zone

DNSSEC Transaction Signature: TSIG Configuración TSIG en BIND 9 generar claves simétricas # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave.upm.es. configurar servidor secundario (slave) server { keys { master-slave.upm.es.; }; }; configurar servidor primario (master) zone " upm.es" { type master; file "db.upm.es"; allow-transfer { key master-slave.upm.es.; }; };

DNSSEC KEY/SIG/NXT Autenticación e Integridad de datos Zone file slaves master Caching forwarder resolver Dynamic updates Cache pollution by Data spoofing cache Impersonation

DNSSEC DNSSEC New RRs Existentes en DNS: Resource Record: INA RRset: conjunto de RRs IN A A A Nuevas extensiones DNSSEC: SIG: firma de RRset, mediante clave privada. KEY: clave pública, necesaria para verificar SIG. DS: Delegation Signer, permite construir redes de confianza. NXT: Indica el siguiente RRset dentro de una zona necesario para autenticar la NO existencia de datos.

DNSSEC KEY RDATA 16 bits: FLAGS 8 bits: protocol 8 bits: algorithm N*32 bits: public key Example: ripe.net IN KEY ( AQOvhvXXU61Pr8sCwELcqqq1g4JJ CALG4C9EtraBKVd+vGIF/unwigfLOA O3nHp/cgGrG6gJYe8OWKYNgq3kDChN)

DNSSEC SIG RDATA 16 bits - type covered 8 bits - algorithm 8 bits - nr. labels covered 32 bits - original TTL ripe.net IN SIG A ( ripe.net. VJ+8ijXvbrTLeoAiEk/qMrdudRnYZM1VlqhN vhYuAcYKe2X/jqYfMfjfSUrmhPo+0/GOZjW 66DJubZPmNSYXw== )

DNSSEC NXT RDATA Especifica el siguiente registro en la zona. Permite comprobar la Inexistencia de un registro. $ORIGIN ….. NSNS.ripe.net. KEY ….. NXT mailbox.ripe.net. SOA NS NXT KEY SIG mailboxA NXT A NXT SIG WWWA NXT ripe.net. A NXT SIG Una consulta “ popserver.ripe.net ” tendr í a como resultado: aa bit set RCODE=NXDOMAIN authority: mailbox.ripe.net. NXT A NXT SIG

DNSSEC Generación pares claves (Zone Signing Key, Key Signing Key). Firma de la zona: ordenación alfabética. añade NXT records. incluye SIG records (firman cada RRset ). Distribución de clave pública, dos opciones: 1. La clave es distribuida a los interesados de forma “ manual ”. 2. incluyendo DS records (se establecen redes de confianza). Firma dominios locales

DNSSEC Firma dominios locales (II) $ORIGIN net. kids NS ns1.kids DS (…) 1234 SIG DS (…)net. money NS ns1.money DS (…) SIG DS (…)net. $ORIGIN NS ns1 SIG NS (…) kids.net. KEY (…) (1234) KEY (…) (3456) SIG key … 1234 kids.net. … SIG key … 3456 kids.net. … beth A SIG A (…) 3456 kids.net. … ns1 A SIG A (…) 3456 kids.net. … Zone signing key Key signing key

DNSSEC Redes de confianza (chain of trust) net. money.net. kids.net. dop corp dev market dilbert unixmac marnick nt os.net. com. Out of band key-exchanges Secure entry points

DNSSEC Caso práctico: Autenticación en BGP.

DNSSEC DNSSEC amplía a DNS definiendo procedimientos, extensiones de seguridad. DNSSEC supone mayor complejidad (administrativa) que la versión actualmente en uso (DNS). DNSSEC permitiría definir una nueva forma (redundante, tolerante a fallos, distribuida) de autenticación de servicios basada en clave pública. En la actualidad DNSSEC es soportado por las últimas versiones de BIND, si bien es de esperar cambios en las especificaciones finales del protocolo. Conclusiones

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.