ISOC Chapter Costa Rica

Transcripción

1 ISOC Chapter Costa Rica Carlos Watson Set 09, <-01.txt>

2 Agenda 1. Tipos de Servidores de DNS 2. DNSsec 3. Validación 2

3 DNS ;; ANSWER SECTION: IN NS c.root-servers.net IN NS b.root-servers.net IN NS g.root-servers.net IN NS f.root-servers.net IN NS l.root-servers.net IN NS a.root-servers.net IN NS j.root-servers.net IN NS h.root-servers.net IN NS e.root-servers.net IN NS k.root-servers.net IN NS m.root-servers.net IN NS d.root-servers.net IN NS i.root-servers.net. 3

4 DNS ROOT MAP 4

5 Tipos de DNS server dig isoc.org isoc.org IN NS ns1.hkg1.afilias-nst.info. isoc.org IN NS ns1.yyz1.afilias-nst.info. isoc.org IN NS ns1.ams1.afilias-nst.info. isoc.org IN NS ns-ext.nlnetlabs.nl. isoc.org IN NS ns1.mia1.afilias-nst.info. isoc.org IN NS ns1.sea1.afilias-nst.info. dig portal.isoc.org isoc.org IN NS ns1.yyz1.afilias-nst.info. isoc.org IN NS ns-ext.nlnetlabs.nl. isoc.org IN NS ns1.sea1.afilias-nst.info. isoc.org IN NS ns1.mia1.afilias-nst.info. isoc.org IN NS ns1.ams1.afilias-nst.info. isoc.org IN NS ns1.hkg1.afilias-nst.info. 5

6 Tipos de DNS server 06:20: client #59917: query: in-addr.arpa IN PTR + ( ) 06:20: client #51123: query: port static.qsc.de IN A + ( ) 06:20: client #29742: query: in-addr.arpa IN PTR + ( ) 06:20: client #25977: query: port static.qsc.de IN A + ( ) 06:25: client #65051: query: miscomprascr.com IN MX + ( ) 06:25: client #56588: query: miscomprascr.com IN MX + ( ) 06:30: client #53316: query: oirsa.or.cr IN MX + ( ) 06:30: client #65498: query: puntosoluciones.com IN MX + ( ) 06:30: client #59201: query: puntosoluciones.com IN MX + ( ) 06:30: client #53344: query: alarmas.co.cr IN MX + ( ) 06:30: client #52786: query: oirsa.or.cr IN MX + ( ) 06:31: client #65498: query: puntosoluciones.com IN MX + ( ) 06:31: client #59201: query: puntosoluciones.com IN MX + ( ) 06:31: client #53344: query: alarmas.co.cr IN MX + ( ) 06:31: client #29465: query: in-addr.arpa IN PTR -EDC ( ) 06:32: client #35669: query: in-addr.arpa IN PTR -EDC ( ) 06:34: client #47635: query: in-addr.arpa IN PTR + ( ) 06:34: client #38411: query: in-addr.arpa IN PTR + ( ) 6

7 Cache Poisoning:The Attack 7 RFC 3833, Threat Analysis of the Domain Name System (DNS)

8 Cache Poisoning:The Attack 8 RFC 3833, Threat Analysis of the Domain Name System (DNS)

9 Introducción a DNSSEC Operacionalmente existe dos tipos de llaves: KSK y ZSK. El KSK es una llave generalmente de una mayor cantidad de bits. El KSK solo es utilizada para firmar a la ZSK. El nodo padre valida la autenticidad de la llave KSK del hijo. Realizar un cambio de KSK es problemático porque tiene que cambiar el padre. Los SEP (Secure Entry Point) generalmente son KSK. El ZSK es la llave que se utiliza para firmar los registros de la zona. Realizar un cambio de ZSK es mas sencillo porque la actualización es local a la zona. 9

10 Introducción a DNSSEC KSK raíz firma ZSK de la zona.. ZSK firma el registro DS que valida el KSK de org..org KSK de org. firma ZSK de la zona org. ZSK firma el registro DS que valida el KSK de sec.org..sec.org KSK de sec.org. firma ZSK de la zona sec.org. ZSK firma el registro DS que valida el KSK de?.sec.org. 10

11 Introducción a DNSSEC Un resolver que soporta DNSSECbis debería construir la cadena de autenticación desde la raíz de la jerarquía del DNS hasta las zonas hija. El estado final que se espera lograr con DNSSECbis es una cadena de confianza que inicie en los root servers hasta las zonas hija. Es posible especificar en el resolver las llaves válidas para una zona en particular. 11

12 authoritative servers options { dnssec enable yes; }; 12

13 recursive servers options { dnssec enable yes; dnssec validation yes; }; Validation is done on the recursive, not authoritative servers. 13

14 Recursive servers Creating the ZSK dnsseckeygen -a RSASHA1 -b n ZONE zonename Uses the RSASHA1 algorithm 1024 bits in length This is a DNSSEC ZONE key 14

15 Update named.conf Update named.conf Replace zone zone name { file dir/zonefile ; }; With zone zone name { file dir/zonefile.signed ; }; 15

16 DNSsec 16