DNSSEC(una introducción)<br />David Carrasco<br />Héroes Certificados<br />
¿Quées DNS?<br /><ul><li>Domain Name System
“Base de datos” distribuidapara resolver nombresjerárquicos
Variostipos de registros:
Dirección/Host (A)
Servidor de correoentrante(MX)
Texto(TXT)
¡MUCHOS MÁS!
Los registros se guardan en zonas
Altamenteescalable</li></li></ul><li>.os.net<br />zona<br />.tempura.comida<br />.sushi.comida<br />ninjin.tempura.comida<...
Flujo de DNS<br />Administrador de Zona<br />Ficherode zona<br />Primario<br />Resolutor<br />Secundarios<br />Actualizaci...
Vulnerabilidades de DNS<br />Corrupción<br />Impersonar la caché<br />Impersonar al primario<br />Administrador de Zona<br...
¿Porquéaparece DNSSEC?<br /><ul><li>DNSSEC protege ante la corrupción e intentos de tergiversarmaliciosamente los datos
Próxima SlideShare
Cargando en…5
×

DnsSec

3.549 visualizaciones

Publicado el

Charla impartida por David Carrasco, de Heroes Certificados.es, en el Asegúr@IT Camp!

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
3.549
En SlideShare
0
De insertados
0
Número de insertados
2.120
Acciones
Compartido
0
Descargas
35
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

DnsSec

  1. 1. DNSSEC(una introducción)<br />David Carrasco<br />Héroes Certificados<br />
  2. 2. ¿Quées DNS?<br /><ul><li>Domain Name System
  3. 3. “Base de datos” distribuidapara resolver nombresjerárquicos
  4. 4. Variostipos de registros:
  5. 5. Dirección/Host (A)
  6. 6. Servidor de correoentrante(MX)
  7. 7. Texto(TXT)
  8. 8. ¡MUCHOS MÁS!
  9. 9. Los registros se guardan en zonas
  10. 10. Altamenteescalable</li></li></ul><li>.os.net<br />zona<br />.tempura.comida<br />.sushi.comida<br />ninjin.tempura.comida<br />win.os.net<br />kappa.sushi.comida<br />tamago.sushi.comida<br />unix.os.net<br />mac.os.net<br />Árbol DNS<br />.<br />raíz<br />dominio<br />.comida<br />.net<br />Primer nivel<br />
  11. 11. Flujo de DNS<br />Administrador de Zona<br />Ficherode zona<br />Primario<br />Resolutor<br />Secundarios<br />ActualizacionesDinámicas<br />Resolutorexterno<br />
  12. 12. Vulnerabilidades de DNS<br />Corrupción<br />Impersonar la caché<br />Impersonar al primario<br />Administrador de Zona<br />Ficherode zona<br />Primario<br />Resolutor<br />Secundarios<br />ActualizacionesDinámicas<br />Resolutorexterno<br />Polución de caché<br />falsificandodatos<br />Actualizacionesno autorizadas<br />Protecciónde Datos<br />Protección de Servidor<br />
  13. 13. ¿Porquéaparece DNSSEC?<br /><ul><li>DNSSEC protege ante la corrupción e intentos de tergiversarmaliciosamente los datos
  14. 14. DNSSEC tambiénproporcionamecanismos de autenticaciónpara los servidores y laspeticiones
  15. 15. DNSSEC escapaz de garantizarexistencia e integridad a los datos</li></li></ul><li>PK-DNSSEC (Clave Pública)<br /><ul><li>Los servidores DNS firman el hash de grupos de registros (Resource Record Set - RRSet) con sus claves privadas.
  16. 16. Grupos de registros: Un grupoquecontienetodos los registros del mismotipo de la zona.
  17. 17. Se emplean claves públicasparaverificarlasfirmas.
  18. 18. La autenticidad de las claves públicas se establece a través de una firma (registro RRSIG) de las claves con la clave privada del servidor superior</li></li></ul><li>¿Cómoextiende DNSSEC a DNS?<br />DNSSEC añadecuatroregistrosnuevos:<br />DNSKEY – Contiene la clave pública<br />RRSIG – Contiene la firma de los RRs<br />DS – Contiene el hash firmado de unazona<br />NSEC – Firma huecosparaasegurarsu no-existencia<br />En preparación:NSEC3<br />Mejoraría la privacidad<br />
  19. 19. ¿Cómose emplea DNSSEC?<br />Se firma la zona con la ZSK (firmadapor la KSK)<br />El servidorhaceunallamada con el bit DO activado al resolutorexternopreguntandopor un registro.<br />El resolutordevuelve el registro y el RRSIG vinculado.<br />El servidorconfirma el RRSIG con la DNSKEY y el DS de la cadenade autenticación.<br />
  20. 20. ¿Qué no hace DNSSEC?<br />Proporcionarconfidencialidad.<br />Proteger contra Denegación de Servicio.<br />Dar soporteparahorizontedividido.<br />Ser fácil de administrar.<br />
  21. 21. ¿Y quépasa con Windows?<br />Soportado en Windows Server 2008 R2.<br />Windows 7 es DNS Security Aware a través de su Name Resolution Policy Table (NRPT)<br />¿Una demo?<br />
  22. 22. Recursos<br />RFC 4033 – 4034 – 4035 – 5155<br />Guía de DNSSEC para Windows Server 2008 R2<br />www.heroescertificados.es <br />
  23. 23. ¡Gracias!<br />

×