DNSSEC - LACNIC Labs

ISOC Chapter Costa Rica
Carlos Watson
[email protected]
http://www.isoc-cr.org
Set 09, 2011
1
<draft-ietf-poised95-isoc-01.txt>
Agenda
1.
2.
3.
2
Tipos de Servidores de DNS
DNSsec
Validación
draft-ietf-poised95-isoc
DNS
;; ANSWER SECTION:
.
102310
.
102310
.
102310
.
102310
.
102310
.
102310
.
102310
.
102310
.
102310
.
102310
.
102310
.
102310
.
102310
3
IN
IN
IN
IN
IN
IN
IN
IN
IN
IN
IN
IN
IN
NS
NS
NS
NS
NS
NS
NS
NS
NS
NS
NS
NS
NS
c.root-servers.net.
b.root-servers.net.
g.root-servers.net.
f.root-servers.net.
l.root-servers.net.
a.root-servers.net.
j.root-servers.net.
h.root-servers.net.
e.root-servers.net.
k.root-servers.net.
m.root-servers.net.
d.root-servers.net.
i.root-servers.net.
draft-ietf-poised95-isoc
DNS ROOT MAP
4
draft-ietf-poised95-isoc
Tipos de DNS server

dig isoc.org


isoc.org.
isoc.org.
isoc.org.
isoc.org.
isoc.org.
isoc.org.

dig portal.isoc.org

isoc.org.
isoc.org.
isoc.org.
isoc.org.
isoc.org.
isoc.org.









5
84072
84072
84072
84072
84072
84072
84014
84014
84014
84014
84014
84014
IN
IN
IN
IN
IN
IN
NS
NS
NS
NS
NS
NS
ns1.hkg1.afilias-nst.info.
ns1.yyz1.afilias-nst.info.
ns1.ams1.afilias-nst.info.
ns-ext.nlnetlabs.nl.
ns1.mia1.afilias-nst.info.
ns1.sea1.afilias-nst.info.
IN
IN
IN
IN
IN
IN
NS
NS
NS
NS
NS
NS
ns1.yyz1.afilias-nst.info.
ns-ext.nlnetlabs.nl.
ns1.sea1.afilias-nst.info.
ns1.mia1.afilias-nst.info.
ns1.ams1.afilias-nst.info.
ns1.hkg1.afilias-nst.info.
draft-ietf-poised95-isoc
Tipos de DNS server


















6
06:20:14.184 client 127.0.0.1#59917: query: 33.231.234.87.in-addr.arpa IN PTR + (127.0.0.1)
06:20:15.343 client 127.0.0.1#51123: query: port-87-234-231-33.static.qsc.de IN A + (127.0.0.1)
06:20:15.540 client 127.0.0.1#29742: query: 33.231.234.87.in-addr.arpa IN PTR + (127.0.0.1)
06:20:15.541 client 127.0.0.1#25977: query: port-87-234-231-33.static.qsc.de IN A + (127.0.0.1)
06:25:42.711 client 192.168.1.20#65051: query: miscomprascr.com IN MX + (192.168.1.1)
06:25:43.587 client 192.168.1.20#56588: query: miscomprascr.com IN MX + (192.168.1.1)
06:30:46.154 client 192.168.1.20#53316: query: oirsa.or.cr IN MX + (192.168.1.1)
06:30:48.091 client 192.168.1.20#65498: query: puntosoluciones.com IN MX + (192.168.1.1)
06:30:48.106 client 192.168.1.20#59201: query: puntosoluciones.com IN MX + (192.168.1.1)
06:30:48.111 client 192.168.1.20#53344: query: alarmas.co.cr IN MX + (192.168.1.1)
06:30:52.242 client 192.168.1.20#52786: query: oirsa.or.cr IN MX + (192.168.1.1)
06:31:00.106 client 192.168.1.20#65498: query: puntosoluciones.com IN MX + (192.168.1.1)
06:31:00.121 client 192.168.1.20#59201: query: puntosoluciones.com IN MX + (192.168.1.1)
06:31:00.126 client 192.168.1.20#53344: query: alarmas.co.cr IN MX + (192.168.1.1)
06:31:14.482 client 170.167.7.10#29465: query: 20.20.178.163.in-addr.arpa IN PTR -EDC (192.168.1.1)
06:32:48.613 client 134.134.136.9#35669: query: 20.20.178.163.in-addr.arpa IN PTR -EDC (192.168.1.1)
06:34:24.964 client 127.0.0.1#47635: query: 90.155.225.62.in-addr.arpa IN PTR + (127.0.0.1)
06:34:25.789 client 127.0.0.1#38411: query: 90.155.225.62.in-addr.arpa IN PTR + (127.0.0.1)
draft-ietf-poised95-isoc
Cache Poisoning:The Attack
RFC 3833, Threat Analysis of
the Domain Name System (DNS)
7
draft-ietf-poised95-isoc
Cache Poisoning:The Attack
RFC 3833, Threat Analysis of
the Domain Name System (DNS)
8
draft-ietf-poised95-isoc
Introducción a DNSSEC








9
Operacionalmente existe dos tipos de llaves: KSK y ZSK.
El KSK es una llave generalmente de una mayor cantidad de bits.
El KSK solo es utilizada para firmar a la ZSK.
El nodo padre valida la autenticidad de la llave KSK del hijo.
Realizar un cambio de KSK es problemático porque tiene que
cambiar el padre.
Los SEP (Secure Entry Point) generalmente son KSK.
El ZSK es la llave que se utiliza para firmar los registros de la zona.
Realizar un cambio de ZSK es mas sencillo porque la actualización
es local a la zona.
draft-ietf-poised95-isoc
Introducción a DNSSEC
KSK raíz firma ZSK de la zona .
ZSK firma el registro DS que valida el KSK de org.
.
.org
.sec.org
10
KSK de org. firma ZSK de la zona org.
ZSK firma el registro DS que valida el KSK de sec.org.
KSK de sec.org. firma ZSK de la zona sec.org.
ZSK firma el registro DS que valida el KSK de ?.sec.org.
draft-ietf-poised95-isoc
Introducción a DNSSEC

Un resolver que soporta DNSSECbis debería construir la
cadena de autenticación desde la raíz de la jerarquía del
DNS hasta las zonas hija.

El estado final que se espera lograr con DNSSECbis es
una cadena de confianza que inicie en los root servers
hasta las zonas hija.

Es posible especificar en el resolver las llaves válidas
para una zona en particular.
11
draft-ietf-poised95-isoc
authoritative servers
options {
dnssec enable yes;
};
12
draft-ietf-poised95-isoc
recursive servers
options {
dnssec enable yes;
dnssec validation yes;
};
• Validation is done on the recursive,
not authoritative servers.
13
draft-ietf-poised95-isoc
Recursive servers
Creating the ZSK
dnsseckeygen -a RSASHA1 -b 1024 -n ZONE
zonename
Uses the RSASHA1 algorithm
1024 bits in length
This is a DNSSEC ZONE key
14
draft-ietf-poised95-isoc
Update named.conf
Update named.conf
Replace
zone “zone name” {
file “dir/zonefile”;
};
With
zone “zone name” {
file “dir/zonefile.signed”;
};
15
draft-ietf-poised95-isoc
DNSsec
16
draft-ietf-poised95-isoc