ISOC Chapter Costa Rica Carlos Watson cw@isoc-cr.org http://www.isoc-cr.org Set 09, 2011 1 <-01.txt>
Agenda 1. Tipos de Servidores de DNS 2. DNSsec 3. Validación 2
DNS ;; ANSWER SECTION:. 102310 IN NS c.root-servers.net.. 102310 IN NS b.root-servers.net.. 102310 IN NS g.root-servers.net.. 102310 IN NS f.root-servers.net.. 102310 IN NS l.root-servers.net.. 102310 IN NS a.root-servers.net.. 102310 IN NS j.root-servers.net.. 102310 IN NS h.root-servers.net.. 102310 IN NS e.root-servers.net.. 102310 IN NS k.root-servers.net.. 102310 IN NS m.root-servers.net.. 102310 IN NS d.root-servers.net.. 102310 IN NS i.root-servers.net. 3
DNS ROOT MAP 4
Tipos de DNS server dig isoc.org isoc.org. 84072 IN NS ns1.hkg1.afilias-nst.info. isoc.org. 84072 IN NS ns1.yyz1.afilias-nst.info. isoc.org. 84072 IN NS ns1.ams1.afilias-nst.info. isoc.org. 84072 IN NS ns-ext.nlnetlabs.nl. isoc.org. 84072 IN NS ns1.mia1.afilias-nst.info. isoc.org. 84072 IN NS ns1.sea1.afilias-nst.info. dig portal.isoc.org isoc.org. 84014 IN NS ns1.yyz1.afilias-nst.info. isoc.org. 84014 IN NS ns-ext.nlnetlabs.nl. isoc.org. 84014 IN NS ns1.sea1.afilias-nst.info. isoc.org. 84014 IN NS ns1.mia1.afilias-nst.info. isoc.org. 84014 IN NS ns1.ams1.afilias-nst.info. isoc.org. 84014 IN NS ns1.hkg1.afilias-nst.info. 5
Tipos de DNS server 06:20:14.184 client 127.0.0.1#59917: query: 33.231.234.87.in-addr.arpa IN PTR + (127.0.0.1) 06:20:15.343 client 127.0.0.1#51123: query: port-87-234-231-33.static.qsc.de IN A + (127.0.0.1) 06:20:15.540 client 127.0.0.1#29742: query: 33.231.234.87.in-addr.arpa IN PTR + (127.0.0.1) 06:20:15.541 client 127.0.0.1#25977: query: port-87-234-231-33.static.qsc.de IN A + (127.0.0.1) 06:25:42.711 client 192.168.1.20#65051: query: miscomprascr.com IN MX + (192.168.1.1) 06:25:43.587 client 192.168.1.20#56588: query: miscomprascr.com IN MX + (192.168.1.1) 06:30:46.154 client 192.168.1.20#53316: query: oirsa.or.cr IN MX + (192.168.1.1) 06:30:48.091 client 192.168.1.20#65498: query: puntosoluciones.com IN MX + (192.168.1.1) 06:30:48.106 client 192.168.1.20#59201: query: puntosoluciones.com IN MX + (192.168.1.1) 06:30:48.111 client 192.168.1.20#53344: query: alarmas.co.cr IN MX + (192.168.1.1) 06:30:52.242 client 192.168.1.20#52786: query: oirsa.or.cr IN MX + (192.168.1.1) 06:31:00.106 client 192.168.1.20#65498: query: puntosoluciones.com IN MX + (192.168.1.1) 06:31:00.121 client 192.168.1.20#59201: query: puntosoluciones.com IN MX + (192.168.1.1) 06:31:00.126 client 192.168.1.20#53344: query: alarmas.co.cr IN MX + (192.168.1.1) 06:31:14.482 client 170.167.7.10#29465: query: 20.20.178.163.in-addr.arpa IN PTR -EDC (192.168.1.1) 06:32:48.613 client 134.134.136.9#35669: query: 20.20.178.163.in-addr.arpa IN PTR -EDC (192.168.1.1) 06:34:24.964 client 127.0.0.1#47635: query: 90.155.225.62.in-addr.arpa IN PTR + (127.0.0.1) 06:34:25.789 client 127.0.0.1#38411: query: 90.155.225.62.in-addr.arpa IN PTR + (127.0.0.1) 6
Cache Poisoning:The Attack 7 RFC 3833, Threat Analysis of the Domain Name System (DNS)
Cache Poisoning:The Attack 8 RFC 3833, Threat Analysis of the Domain Name System (DNS)
Introducción a DNSSEC Operacionalmente existe dos tipos de llaves: KSK y ZSK. El KSK es una llave generalmente de una mayor cantidad de bits. El KSK solo es utilizada para firmar a la ZSK. El nodo padre valida la autenticidad de la llave KSK del hijo. Realizar un cambio de KSK es problemático porque tiene que cambiar el padre. Los SEP (Secure Entry Point) generalmente son KSK. El ZSK es la llave que se utiliza para firmar los registros de la zona. Realizar un cambio de ZSK es mas sencillo porque la actualización es local a la zona. 9
Introducción a DNSSEC KSK raíz firma ZSK de la zona.. ZSK firma el registro DS que valida el KSK de org..org KSK de org. firma ZSK de la zona org. ZSK firma el registro DS que valida el KSK de sec.org..sec.org KSK de sec.org. firma ZSK de la zona sec.org. ZSK firma el registro DS que valida el KSK de?.sec.org. 10
Introducción a DNSSEC Un resolver que soporta DNSSECbis debería construir la cadena de autenticación desde la raíz de la jerarquía del DNS hasta las zonas hija. El estado final que se espera lograr con DNSSECbis es una cadena de confianza que inicie en los root servers hasta las zonas hija. Es posible especificar en el resolver las llaves válidas para una zona en particular. 11
authoritative servers options { dnssec enable yes; }; 12
recursive servers options { dnssec enable yes; dnssec validation yes; }; Validation is done on the recursive, not authoritative servers. 13
Recursive servers Creating the ZSK dnsseckeygen -a RSASHA1 -b 1024 -n ZONE zonename Uses the RSASHA1 algorithm 1024 bits in length This is a DNSSEC ZONE key 14
Update named.conf Update named.conf Replace zone zone name { file dir/zonefile ; }; With zone zone name { file dir/zonefile.signed ; }; 15
DNSsec 16