Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DnsSec

3,858 views

Published on

Charla impartida por David Carrasco, de Heroes Certificados.es, en el Asegúr@IT Camp!

Published in: Technology
  • Be the first to comment

  • Be the first to like this

DnsSec

  1. 1. DNSSEC(una introducción)<br />David Carrasco<br />Héroes Certificados<br />
  2. 2. ¿Quées DNS?<br /><ul><li>Domain Name System
  3. 3. “Base de datos” distribuidapara resolver nombresjerárquicos
  4. 4. Variostipos de registros:
  5. 5. Dirección/Host (A)
  6. 6. Servidor de correoentrante(MX)
  7. 7. Texto(TXT)
  8. 8. ¡MUCHOS MÁS!
  9. 9. Los registros se guardan en zonas
  10. 10. Altamenteescalable</li></li></ul><li>.os.net<br />zona<br />.tempura.comida<br />.sushi.comida<br />ninjin.tempura.comida<br />win.os.net<br />kappa.sushi.comida<br />tamago.sushi.comida<br />unix.os.net<br />mac.os.net<br />Árbol DNS<br />.<br />raíz<br />dominio<br />.comida<br />.net<br />Primer nivel<br />
  11. 11. Flujo de DNS<br />Administrador de Zona<br />Ficherode zona<br />Primario<br />Resolutor<br />Secundarios<br />ActualizacionesDinámicas<br />Resolutorexterno<br />
  12. 12. Vulnerabilidades de DNS<br />Corrupción<br />Impersonar la caché<br />Impersonar al primario<br />Administrador de Zona<br />Ficherode zona<br />Primario<br />Resolutor<br />Secundarios<br />ActualizacionesDinámicas<br />Resolutorexterno<br />Polución de caché<br />falsificandodatos<br />Actualizacionesno autorizadas<br />Protecciónde Datos<br />Protección de Servidor<br />
  13. 13. ¿Porquéaparece DNSSEC?<br /><ul><li>DNSSEC protege ante la corrupción e intentos de tergiversarmaliciosamente los datos
  14. 14. DNSSEC tambiénproporcionamecanismos de autenticaciónpara los servidores y laspeticiones
  15. 15. DNSSEC escapaz de garantizarexistencia e integridad a los datos</li></li></ul><li>PK-DNSSEC (Clave Pública)<br /><ul><li>Los servidores DNS firman el hash de grupos de registros (Resource Record Set - RRSet) con sus claves privadas.
  16. 16. Grupos de registros: Un grupoquecontienetodos los registros del mismotipo de la zona.
  17. 17. Se emplean claves públicasparaverificarlasfirmas.
  18. 18. La autenticidad de las claves públicas se establece a través de una firma (registro RRSIG) de las claves con la clave privada del servidor superior</li></li></ul><li>¿Cómoextiende DNSSEC a DNS?<br />DNSSEC añadecuatroregistrosnuevos:<br />DNSKEY – Contiene la clave pública<br />RRSIG – Contiene la firma de los RRs<br />DS – Contiene el hash firmado de unazona<br />NSEC – Firma huecosparaasegurarsu no-existencia<br />En preparación:NSEC3<br />Mejoraría la privacidad<br />
  19. 19. ¿Cómose emplea DNSSEC?<br />Se firma la zona con la ZSK (firmadapor la KSK)<br />El servidorhaceunallamada con el bit DO activado al resolutorexternopreguntandopor un registro.<br />El resolutordevuelve el registro y el RRSIG vinculado.<br />El servidorconfirma el RRSIG con la DNSKEY y el DS de la cadenade autenticación.<br />
  20. 20. ¿Qué no hace DNSSEC?<br />Proporcionarconfidencialidad.<br />Proteger contra Denegación de Servicio.<br />Dar soporteparahorizontedividido.<br />Ser fácil de administrar.<br />
  21. 21. ¿Y quépasa con Windows?<br />Soportado en Windows Server 2008 R2.<br />Windows 7 es DNS Security Aware a través de su Name Resolution Policy Table (NRPT)<br />¿Una demo?<br />
  22. 22. Recursos<br />RFC 4033 – 4034 – 4035 – 5155<br />Guía de DNSSEC para Windows Server 2008 R2<br />www.heroescertificados.es <br />
  23. 23. ¡Gracias!<br />

×