1

DNSSEC en .ES

José Eleuterio López

Red.es

2

Índice

1. Sobre Red.es

2. Dominios .es

3. DNSSEC

4. DNSSEC en .ES

5. DNSSEC. Estado del arte

6. Retos DNSSEC

3

• Entidad Pública Empresarial adscrita al Ministerio de Industria, Energía y Turismo (MINETUR) encargada de impulsar el desarrollo de la Sociedad de la Información en España

• Ejecutamos proyectos trabajando con Comunidades Autónomas, Diputaciones, Entidades Locales y con el sector privado en materia de tecnologías de la información y comunicaciones

• Red.es es la Autoridad de Asignación del Registro de nombres de dominio bajo el código de país correspondiente a España ".es“

Sobre Red.es

4

Dominios .es

• Gestión del Registro de nombres de dominio de Internet bajo el código de país ".es".

• Gestión de los dominios:• .es• .com.es• .nom.es• .org.es• .gob.es (restringido)• .edu.es (restringido)

• Número de dominios: 1.727.000

• Aplicación de registro: www.nic.es

Dominios .es

5

Servidor de nombre Dirección IP

a.nic.es194.69.254.12001:67c:21cc:2000:0:0:64:41

f.nic.es130.206.1.22001:720:418:caf1:0:0:0:2

ns-ext.nic.cl 200.1.123.14

ns1.cesca.es 84.88.0.3

ns15.communitydns.net194.0.1.152001:678:4:0:0:0:0:f

ns3.nic.fr192.134.0.492001:660:3006:1:0:0:1:1

sns-pb.isc.org192.5.4.12001:500:2e:0:0:0:0:1

http://www.iana.org/domains/root/db/es.html

Servidor DNS

Proveedor internet

www.red.es?

1

5root2

www.red.es?

Datos descartados

Root redirecciona a .ES

.es

red.es

www.red.es?3

.ES redirecciona a red.es red.es

4

Atacante responde con una dirección IP falsa para

www.red.es

DNSSEC

DNSSEC: Extensiones de seguridad al protocolo DNS

Asegura:La autenticidad del origen

La integridad de los datos

Verifica la inexistencia de un dominio

No asegura:Confidencialidad

Ataques DOS(Denegación de servicio)

Ataques de amplificación

DNSSEC

Cambios en el fichero de zona: DNSKEY Clave pública

RRSIG Firma del RRset (solamente registros con autoridad)

DS Delegation Signer (Puntero para la cadena de confianza)

NSEC Apunta al siguiente nombre e indica los tipos de RRsets para el nombre actual

DNSSEC

Cadena de Confianza:El registro DS es el puntero para la cadena de confianza. Garantiza la autenticidad de las delegaciones de una zona hasta un punto de confianza-> la clave del root “.”

DNSSEC .ES

Implantación DNSSEC en el .ES:

Despliegue infraestructura DNSSEC.Operativa DNSSEC.Gestión de claves.

9

Infraestructura:

Open Source: BIND, OpenDNSSEC HSM: LUNA SafeNET Alta disponibilidad Seguridad

DNSSEC .ES

10

DNSSEC .ES

11

DNSSEC .ES

Almacén de claves

BBDD registros

Archivo de ZonaZ

ona

.ES

f irm

ada

Servidor primario privadoFirma de zona

Zona .ES firmada

SecundariosPrimario público

Red Privada

Acceso clave privadas

Arquitectura:

DNSSEC .ES

13

Tamaño KSK 2048 bits

Algoritmo cifrado KSK RSA/SHA-256 (Tipo 8 RFC 5702)

Tiempo de vida KSK 2 años

Tamaño ZSK 1024 bits

Algoritmo cifrado ZSK RSA/SHA-256 (Tipo 8 RFC 5702)

Tiempo de vida ZSK 3 meses

Refirmado 14 días

Validez RRSIG 14 días

Denial of existence NSEC3

Optimización Opt-out activada Sí

Algoritmo de firma NSEC3 SHA-1 (Tipo 1 Hash Algorithm RFC 5155)

DNSSEC .ES

14

DLV (ISC) :

Comprobar cadena de confianza DNSSEC en el .ESComprobar correcto funcionamiento DNSSEC.

Validación :

Instalar validadorResolver 194.69.254.135

15

DNSSEC .ES

DNSSEC .ES

http://stats.research.icann.org/dns/tld_report/

17

DNSSEC .ES

Ejecución plan implementación

Puesta en marcha

Plan de comunicación y formación

FirmadoApertura aplicativo

Publicación DS en root

Abril Mayo/Junio

Julio

DNSSEC. Estado del arte

DNSSEC. Estado del arte

19

20

DNSSEC. Estado del arte

21

Retos de DNSSEC

22

Edificio Bronce, Plaza Manuel Gómez Moreno s/n28020 Madrid. España

Tel.: 91 212 76 20 / 25, Fax: 91 212 76 35www.red.es