SlideShare una empresa de Scribd logo

labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0

Rockdan
Rockdan
Educación
1 de 41
Descargar para leer sin conexión
DNS  /  DNSSEC   en  IPv6  e  IPv4     Workshop  IPv6  –  Zonamérica  TechDay  II   Juan  Carlos  Alonso  (juancarlos  @  lacnic.net)   Carlos  MarEnez  (carlos  @  lacnic.net)    
MoGvación  DNS  (1)   •  El  protocolo  IP  asigna  direcciones  individuales  a   todos  los  hosts  en  una  cierta  red   •  Estas  direcciones  son  simplemente  números   binarios  sin  mayor  estructura   •  Para  enviar  tráfico  IP  de  un  host  a  otro  esto  es   técnicamente  lo  único  que  hace  falta   •  Sin  embargo,  para  los  usuarios  de  la  red  es   prácGcamente  imposible  recordar  o  manejar  estos   números,  es  preferible  contar  con  idenGficadores   textuales  
Introducción  (2)   •  DNS:  Domain  Name  System   •  Propósito  básico:   –  Traducir  números  IP  en  nombres  textuales  mas  amigables   para  los  usuarios  “humanos”  de  la  red   •  Propósitos  adicionales:   –  Soporte  a  diferentes  servicios  a  dar  sobre  la  red   •  Correo  electrónico   •  Sub-­‐delegaciones  de  nombres   •  Resolución  reversa   –  Reverso:  correspondencia  nombre  -­‐>  número  IP  
Introducción  (3)   •  Requerimientos  del  sistema:   –  Apoyo  a  diferentes  consultas  y  aplicaciones   •  Nombres  directos,  reversos,  apoyo  a  aplicaciones   –  Distribución  de  la  administración   •  En  Internet  no  hay  administración  centralizada  sino  que  todo  es  por   naturaleza  distribuido.  El  DNS  debe  soportar  y  apoyar  esta  forma  de   trabajo.   –  Performance  adecuada   •  Las  consultas  deben  responderse  lo  mas  rápidamente  posible.   –  Confiabilidad  adecuada  
Introducción  (4)   •  El  DNS  como  base  de  datos:   –  El  objeGvo  principal  del  DNS  es  entonces  almacenar   información  de  mapeo  entre  nombres  y  números  IP   •  Directa  y  reversa   –  El  sistema  opera  entonces  como  una  base  de  datos   distribuida  en  la  que  existe  la  posibilidad  de  delegar  la   administración  de  sectores  del  espacio  de  nombres  a   diferentes  organizaciones  
Introducción  (5)     •  El  árbol  del  DNS  
Estructura  de  un  nombre  de   dominio   4to  nivel          |          3er  nivel            |        2do  nivel            |            1er  nivel        |          Raíz         www.empresa.com.uy. Hostname   Raíz  del  árbol   2er   2do   DNS   TLD     •  Comentarios:   –  Los  niveles  del  árbol  reflejan  las  divisiones  administraGvas   –  El  root  del  arbol  esta  siempre  presente  de  forma  ímplicita   –  Restricciones:   •  127  niveles,  63  caracteres  por  eGqueta   –  Los  niveles  superiores  “delegan”  hacia  los  inferiores  
División  administraGva   •  DNS  es  una  base   de  datos   distribuida   –  Repositorio  de   pares  (clave,   valor)   •  Delegación  de   niveles   superiores  a   inferiores   8  
Zonas  y  Autoridad     •  Zonas   –  A  cada  dominio  (incluyendo  siempre   al  root)  le  corresponde  lo  que  se   denomina  una  zona  de  DNS   •  Autoridad   –  Cada  zona  define  una  región  de   autoridad  donde  se  le  reconoce  el   derecho  organización  que  administra   la  misma     •  Respuestas  autorita6vas  
Primarios  y  secundarios   •  Primarios  y  secundarios  nos  permiten  brindarle  alta   disponibilidad  a  una  zona   •  Primarios  conGenen  informacion  configurada  sobre   una  zona   •  Los  secundarios  la  copian   –  AXFR   •  Las  respuestas  de  los  secundarios   –  También  son  autoritaGvas   10  
Resource  Records     •  La  información  en  la  base  de  datos  del  DNS  está   estructurada  en  un  conjunto  de  resource  records:   –  SOA,  A,  AAAA,  NS,  MX,  PTR,  TXT,  etc.   •  Cada  RR  representa  un  ítem  de  información  en  la  base   de  datos  de  DNS  que  puede  ser  consultado   •  Un  RR  está  definido  por  cinco  campos   –  Class,  Type,  Value,  Name,  TTL  
Resource  Records:  “A”  y  “AAAA”     •  RR  “A”:  Address   –  Los  registros  A  establecen  las  correspondencias  entre   direcciones  IP  y  nombres  de  dominio   –  Idem  IPv6:  “AAAA”   •  Formato  “Zone  File”  de  BIND   –  www IN A 200.7.85.220 –  www IN AAAA 2001:db8::2
Especificacion  del  protocolo       •  Formato  de  paquetes  DNS   –  Header   Header •  Encabezado  del  protocolo   –  QuesGon  SecGon   Question •  La  pregunta  que  hacemos  al  DNS   –  Tuplas  (Name,  Type,  Class)   –  Answer  SecGon   Answer •  RRs  que  responden  la  pregunta  (si  es  que   hay),  también  en  (N,  T,  C)   –  Authority  SecGon   Authority •  RRs  que  apuntan  a  una  autoridad  (opcional)   –  AddiGonal  SecGon   Additional •  RRs  que  a  juicio  del  DNS  pueden  ser  úGles   para  quien  está  preguntando,  y  que  pueden   no  ser  autoritaGvos  
Formato  del  paquete     •  Cada  sección  es  una  lista  de  RRs   •  Cada  RR  se  idenGfica  por:   –  Class   •  IdenGfica  la  aplicación,  en  Internet  es  siempre  IN   –  Type   •  El  Gpo  de  RR   –  SOA,  MX,  A,  AAAA  etc.   –  Name   •  El  nombre  completo  por  el  que  estamos   preguntando  o  por  el  que  se  está  respondiendo   –  Value   •  El  valor  que  el  registro  representa   –  TTL   •  Tiempo  de  vida  del  registro  
  DNS  Header   •  Campos   –  Query  ID   •  Enlaza  preguntas  con  sus  respuestas   •  (recordar  que  uno  de  los  transportes  posibles  es   UDP)   –  OpCode:  OperaGon  code   –  Rcode:  Response  code   •  NOERROR,  NXDOMAIN**,  REFUSED,  NOTAUTH   •  Flags:   –  Dan  informacion  y  proporcionan  semánGca   –  Flags  usuales:   •  QR  (query  /  response),  AA  (auth.  answer),  TC   (truncaGon),  RD  (recursion  desired),  RA  (recursion   available)  
  DNS  Header  (II)   •  Mas  campos:   –  QDCount:   •  Numero  de  preguntas  en  Q.S.   –  ANCount   •  Numero  de  preguntas  en  A.S.   –  NSCount   •  Numero  de  RR  en  Auth.  S.   –  ARCount   •  Numero  de  RR  en  Add.  S.  
Primarios  /  secundarios   •  Primarios  y  secundarios   –  Cada  zona  Gene  que  tener  al  menos  un  servidor  de  nombres   que  sea  autorita6vo  para  ella   –  Este  es  el  primario  de  la  zona   –  Por  moGvos  de  redundancia,  se  recomienda  tener  uno  o   más  servidores  secundarios  para  la  misma   •  Los  secundarios  también  son  autoritaGvos   •  Transferencia  de  zonas   –  Para  no  tener  que  configurar  la  misma  información  dos  o   tres  veces,  y  para  facilitar  la  operación,  existe  un  protocolo   de  transferencia  de  zonas  (AXFR)  
Consultas  directas  /  reversas   •  Terminología  sobre  consultas   –  Consultas  directas   •  De  nombre  a  dirección   –  A   –  Consultas  reversas   •  De  dirección  a  nombre   –  PTR   •  Cuidado  con  el  concepto  de  “inversas”   –  Nunca  estuvo  bien  definido  y  se  abandonó  
Consultas  reversas   •  El  mapeo  reverso  permite  asignar  un  nombre  a  una   dirección  IP   •  Se  mapean  sobre  dos  dominios  especiales  y  usando   el  RR  “PTR”   –  in-­‐addr.arpa  (para  IPv4)   –  ip6.arpa  (para  IPv6)   •  Ejemplo  (IPv4)   –  La  consulta  reversa  por  200.2.13.45  se  traduce  en  una   consulta  por  el  PTR  de  45.13.2.200.in-­‐addr.arpa  
Transporte     •  Clientes  y  servidores  pueden  elegir  entre  TCP  y  UDP,  los   servidores  DEBEN  atender  en  ambos   –  UDP  puerto  53   –  TCP  puerto  53   •  UDP:   –  El  preferido  por  clientes  finales   •  Las  consultas  pueden  truncarse  (MTU)   •  TCP:   –  El  preferido  para  las  consultas  recursivas  servidor-­‐servidor   •  Las  consultas  no  se  truncan   •  Existe  la  posibilidad  de  un  failover  de  una  a  otra  
Transporte  (ii)   •  IPv4  vs  IPv6   –  Los  paquetes  de  consultas  y  respuestas  DNS  pueden  ser   transportados  indisGntamente  por  IPv4  o  por  IPv6   •  Las  consultas  que  se  pueden  realizar  son   completamente  independientes  del  transporte   –  TCP  vs  UDP   –  IPv4  vs  IPv6  
Operación:  Consultas   •  Esquema  de  una  consulta  DNS   Otros   “resolver”  local   DNS  recursivo   servidores     local   autoritaGvos  
Operación     •  Esquema  de  una  consulta  DNS  (II)   –  El  PC  final  Gene  un  resolver  local   •  Archivo  /etc/hosts   –  Si  aquí  hay  una  entrada,  se  responde  desde  aquí   •  Apunta  a  un  servidor  DNS   –  Cada  DNS  trata  de  responder  de:   •  Sus  hints   •  Su  caché   •  Sus  zonas  autoritaGvas   –  Cada  DNS  almacena  en  caché  de  forma  agresiva  todo  los   RRs  que  sean  posibles   •  ¿Hasta  cuando?  Se  guía  por  los  Gempos  establecidos  en  los   registros  SOA  y  en  los  TTLs  
Archivo  de  zona  directa   •  En  los  archivos  de  zona  directa  encontramos   mayormente  registros  A,  AAAA  y  CNAME   @ IN SOA www.example.org. root.freebsd.www.example.org. ( 961230 ; Serial 3600 ; Refresh 300 ; Retry 3600000 ; Expire 3600 ) ; Minimum IN NS freebsd.www.example.org. ; hosts solo v4 www.example.org. IN A 10.0.0.10 nt2.www.example.org. IN A 10.0.0.2 ; host en dual stack mail.example.org. IN A 10.0.0.25 mail.example.org. IN A 2001:db8:13c7::25
Archivo  de  zona  reversa  (v4)   •  Las  zonas  reversas  usan  los  registros  PTR     @ IN SOA X.Y.in-addr.arpa. root.freebsd.www.example.org. ( 961230 ; Serial 3600 ; Refresh 300 ; Retry 3600000 ; Expire 3600 ) ; Minimum IN NS freebsd.www.example.org. 10 IN PTR freebsd.www.example.org. 1 IN PTR nt1.www.example.org. 2 IN PTR nt2.www.example.org.
Archivo  de  zona  reversa  (v6)   •  Los  reversos  de  IPv6  usan  la  dirección  completa   desarmada  a  nivel  de  nibbles   ; reverse IPV6 zone file for example.com $TTL 2d ; default TTL for zone $ORIGIN 0.0.0.0.8.b.d.0.1.0.0.2.IP6.ARPA. @ IN SOA ns1.example.com. hostmaster.example.com. ( 2010121500 ; sn = serial number 12h ; refresh = refresh 15m ; retry = refresh retry 3w ; expiry = expiry 2h ; nx = nxdomain ttl ) ; DNS servers IN NS ns1.example.com. IN NS ns2.example.net. ; PTR RR maps a IPv6 address to a host name 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR ns1.example.com. 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR mail.example.com.
DNSSEC  
Vectores  de  ataque  en  DNS  
Vulnerabilidades  del  protocolo   DNS   •  La  información  transmiGda  en  DNS  puede  ser  “spoofed”   –  Entre  maestro  y  esclavo  (AXFR)   –  Entre  maestro  y  sus  clientes  “resolver”     •  Actualmente  el  protocolo  DNS  no  permite  validar  la   información  contenida  en  una  respuesta   –  Vulnerable  a  las  diferentes  técnicas  de  poisoning     –  Datos  envenenados  siguen  causando  problemas  por  un  Gempo   (potencialmente  grande,  TTL)   •  Tampoco  los  secundarios  Genen  manera  de  autenGcar   al  primario  con  el  que  están  hablando   29  
Introduciendo  DNSSEC   •  Análisis  de  vulnerabilidades  en  DNS   –  RFC  3833:  “Threat  Analysis  of  the  Domain  Name  System   (DNS)”   •  DNSSEC:   –  “DNS  Security  Extensions”   –  RFC  4033,  4034,  4035   –  ~  Marzo  2005   •  Aunque  DNSSEC  viene  siendo  tratado  desde  hace  mucho  mas   Gempo  en  el  IETF     30  
¿De  que  nos  protege  DNSSEC?   •  DNSSEC  nos  protegerá  de  corrupción  y  del  spoofing   de  datos   –  Proporciona  un  mecanismo  para  poder  validar  la   autenGcidad  y  la  integridad  de  los  datos  contenidos  en  una   zona  DNS   •  DNSKEY/RRSIG/NSEC   –  Proporciona  un  mecanismo  para  delegar  la  confianza  en   ciertas  claves  públicas  (cadena  de  confianza)   •  DS     –  Proporciona  un  mecanismo  para  autenGcar  las   transferencias  de  zona  entre  primarios  y  secundarios   •  TSIG   31  
Introducción  a  DNSSEC     •  DNSSEC  *no*  es  un  nuevo  protocolo   •  Es  un  conjunto  de  extensiones  al  protocolo  DNS  tal   como  lo  conocemos   –  Cambios  en  el  “wire  protocol”  (EDNS0)   •  Extensión  del  tamaño  máximo  de  una  respuesta  UDP  de  512  a  4096   bytes   –  Agregado  de  nuevos  resource  records   •  RRSIG,  DNSKEY,  DS,  NSEC   –  Agregado  de  nuevos  flags   •  Checking  Disabled  (CD)   •  AuthenGcated  Data  (AD)   32  
Introducción  a  DNSSEC  (2)   •  Nuevos  RR     –  RRSIG:  Resource  Record  Signature   –  DNSKEY:  DNS  Public  Key   –  DS:  Delega6on  Signer   –  NSEC:  Next  Secure   •  Nuevos  Flags:   –  AD:  indica  que  la  respuesta  esta  autenGcada   –  CD:  indica  que  no  se  realiza  chequeo  (deshabilitado)   33  
Introducción  a  DNSSEC  (3)   •  (Repaso)  Un  resource  record  en  DNS  es  una  tupla  de   cinco  valores   –  (nombre,  clase,  6po,  TTL,  valor)     •  El  registro:   –   www.empresa.com. 86400 IN A 200.40.100.141 –  Esta  representado  por  la  tupla:   •  Nombre  (www.empresa.com)   •  Clase  (IN)   •  Tipo  (A)   •  TTL  (86400  segundos)   •  Valor  (200.40.100.141)   34  
Introducción  a  DNSSEC  (4)   –  Resource  Record  Sets  (RRSets)   •  DNSSEC opera firmando RRSets (no RR individuales) •  Un RRSet es un conjunto de resource records que comparten igual: –  Clase –  Tipo –  Nombre –  Ejemplo  de  RRSet  (TTL  omiGdo):   •  www IN A 200.40.241.100 •  www IN A 200.40.241.101 35  
Introducción  a  DNSSEC  (5)   Firma  de  zona   •  Se  genera  un  par  de  claves  (publica  y  su   correspondiente  privada)  para  cada  zona   –  El  par  de  claves  es  propio  de  cada  zona  y  no  del  servidor   autoritaGvo   –  La  parte  privada  se  debe  mantener  bajo  custodia   •  La  privada  firma  los  RRSets  de  la  zona   –  La  publica  se  debe  publicar  en  DNS  mediante  un  registro   DNSKEY   •  La  privada  permite  verificar  las  firmas  de  los  RRSets   –  Un  RRSet  puede  tener  mulGples  firmas  generadas  con   diferentes  claves   36  
Introducción  a  DNSSEC  (6)   •  La  firma  digital  de  un  RRSet  se  devuelve  en  forma  de   un  registro  RRSIG  que  es  parte  de  la  respuesta   •  Ejemplo:   ~ carlosm$ dig +dnssec www.nic.se ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1 ;; ANSWER SECTION: www.nic.se. 60 IN A 212.247.7.218 www.nic.se. 60 IN RRSIG A 5 3 60 20101021132001 20101011132001 23369 nic.se. HeeUZ5h5iExK5uU1SuNRIf2Dbmh2/ aWV8FkjmzixUzTAVrHv39PfmfnG DHdHoZxoz85hqqYiWb +t9EZh5+iqxQk8AxRDic9Nn6WxifOoWeS+IUKQ rVyqXf1NtkZvu1A325vwa8obtbeVGVkhqg6bDIjKYeHixjlQ4cRoFcEW Izk= ;; AUTHORITY SECTION: nic.se. 2974 IN NS ns3.nic.se. nic.se. 2974 IN NS ns2.nic.se. nic.se. 2974 IN NS ns.nic.se. nic.se. 3600 IN RRSIG NS 5 2 3600 20101021132001 20101011132001 23369 nic.se. GSzAUC3SC3D0G/ iesCOPnVux8WkQx1dGbw491RatXz53b7SY0pQuyT1W eb063Z62rtX7etynNcJwpKlYTG9FeMbDceD9af3KzTJHxq6B+Tpmmxyk 37   FoKAVaV0cHTcGUXSObFquGr5/03G79C/YHJmXw0bHun5ER5yrOtOLegU IAU=
Cadena  de  confianza   •  ¿Como  puede  un  cliente  verificar  un  RRSet  de  una   cierta  zona?   –  Hace  una  consulta  por  el  DNSKEY  correspondiente   –  Realiza  los  calculos  correspondientes  y  los  compara  con   el  RRSIG     •  Si  coinciden,  la  firma  verifica,  de  lo  contrario,  no   •  Pero  ¿como  se  puede  confiar  en  la  DNSKEY  si  sale   de  la  misma  zona  que  queremos  verificar?   –  Necesitamos  verificar  la  cadena  de  confianza   38  
Cadena  de  confianza  (ii)   •  Registro  DS  “Delega6on  Signature”   –  Los  registros  DS  “firman”  claves  de  zonas  hijas   –  De  esta  forma  uno  puede  verificar  el  DNSKEY  de  una  zona   buscando  un  registro  DS  en  la  zona  padre   •  El  registro  DS  conGene  un  hash  de  la  una  clave  pública   –  Es  decir,  del  contenido  de  un  registro  DNSKEY   •  Los  registors  DS  en  la  zona  padre  están  firmados  con   la(s)  claves  de  esa  zona   •  Para  completar  la  cadena  de  confianza  Gene  que  estar   firmada  la  raíz  del  DNS   39  
Cadena  de  confianza  (iii)   •  Pero  ¿que  pasa  con  la  zona  raíz?   –  La  zona  raíz  no  Gene  “padre”  a  quien  ir  a  pedirle  un   registro  DS   –  La  raíz  del  DNS  esta  firmada  desde  julio  de  2010   •  [  hLp://www.root-­‐dnssec.org  ]   –  El  registro  DS  para  “.”  se  puede  obtener  fuera  de  banda   •  [  h|p://data.iana.org/root-­‐anchors/root-­‐anchors.xml  ]   •  .  IN  DS   49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1C DDE32F24E8FB5   40  
¡Gracias!   carlos  @  lacnic.net  

Recomendados

Implementaciones de Serv. Nombramiento
Implementaciones de Serv. NombramientoImplementaciones de Serv. Nombramiento
Implementaciones de Serv. NombramientoJorge Guerra
 
Servicio de Nombramiento
Servicio de NombramientoServicio de Nombramiento
Servicio de NombramientoJorge Guerra
 
Dns
DnsDns
Dnspayaya
 
Dns
DnsDns
DnsOscar Mauricio
 
ITPros-DC 70-291 Sesion 3 DNS
ITPros-DC 70-291 Sesion 3 DNSITPros-DC 70-291 Sesion 3 DNS
ITPros-DC 70-291 Sesion 3 DNSRafael Gomez
 
Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishEudy Zerpa
 
11 dns windows_asoitsonp
11 dns windows_asoitsonp11 dns windows_asoitsonp
11 dns windows_asoitsonpOpenCourseWare México
 
Servicios dns
Servicios dnsServicios dns
Servicios dnsAlejandro Cortijo
 

Recomendados

Implementaciones de Serv. Nombramiento
Implementaciones de Serv. NombramientoImplementaciones de Serv. Nombramiento
Implementaciones de Serv. NombramientoJorge Guerra
 
Servicio de Nombramiento
Servicio de NombramientoServicio de Nombramiento
Servicio de NombramientoJorge Guerra
 
Dns
DnsDns
Dnspayaya
 
Dns
DnsDns
DnsOscar Mauricio
 
ITPros-DC 70-291 Sesion 3 DNS
ITPros-DC 70-291 Sesion 3 DNSITPros-DC 70-291 Sesion 3 DNS
ITPros-DC 70-291 Sesion 3 DNSRafael Gomez
 
Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishEudy Zerpa
 
11 dns windows_asoitsonp
11 dns windows_asoitsonp11 dns windows_asoitsonp
11 dns windows_asoitsonpOpenCourseWare México
 
Servicios dns
Servicios dnsServicios dns
Servicios dnsAlejandro Cortijo
 
21 dns linux_asoitsonp
21 dns linux_asoitsonp21 dns linux_asoitsonp
21 dns linux_asoitsonpOpenCourseWare México
 
Servidores de nombres de dominio (DNS)
Servidores de nombres de dominio (DNS)Servidores de nombres de dominio (DNS)
Servidores de nombres de dominio (DNS)María del Cisne
 
Consultaso
ConsultasoConsultaso
ConsultasoFreddy Salazar Carrillo
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquizaMaricela Poaquiza
 
Clase25 otros servicios.html
Clase25 otros servicios.htmlClase25 otros servicios.html
Clase25 otros servicios.htmlJuan Rueda Bermudez
 
Actividad de servicios (1)
Actividad de servicios (1)Actividad de servicios (1)
Actividad de servicios (1)alejagomex
 
Proceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dnsProceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dnsSaul Curitomay
 
Introduccion a ipv6_v1 alexandra redes
Introduccion a ipv6_v1 alexandra redesIntroduccion a ipv6_v1 alexandra redes
Introduccion a ipv6_v1 alexandra redesDiego Jose Montilla Roman
 
Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Yeni ChT
 
Resolucion de nombres dns
Resolucion de nombres dnsResolucion de nombres dns
Resolucion de nombres dnsCarlos Iberico
 
Servicios de nombre de dominio
Servicios de nombre de dominioServicios de nombre de dominio
Servicios de nombre de dominioUVM
 
DHCP, DNS, whois
DHCP, DNS, whoisDHCP, DNS, whois
DHCP, DNS, whoisDani Gutiérrez Porset
 
Dns alexandra clavijo
Dns alexandra clavijoDns alexandra clavijo
Dns alexandra clavijoAlexandra Clavijo
 
Trabajo servicioss
Trabajo serviciossTrabajo servicioss
Trabajo serviciossjessidi
 
I pv6
I pv6I pv6
I pv6Amalia Nuñez
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Carlos Martinez Cagnazzo
 
Dns
DnsDns
DnsTensor
 
Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesAmanda Sofia
 
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Universidad Nacional de Loja
 
DnsSec
DnsSecDnsSec
DnsSecChema Alonso
 
DNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e IntroducciónDNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e IntroducciónCarlos Martinez Cagnazzo
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 

Más contenido relacionado

La actualidad más candente

Servidores de nombres de dominio (DNS)
Servidores de nombres de dominio (DNS)Servidores de nombres de dominio (DNS)
Servidores de nombres de dominio (DNS)María del Cisne
 
Actividad de servicios (1)
Actividad de servicios (1)Actividad de servicios (1)
Actividad de servicios (1)alejagomex
 
Proceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dnsProceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dnsSaul Curitomay
 
Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Yeni ChT
 
Resolucion de nombres dns
Resolucion de nombres dnsResolucion de nombres dns
Resolucion de nombres dnsCarlos Iberico
 
Servicios de nombre de dominio
Servicios de nombre de dominioServicios de nombre de dominio
Servicios de nombre de dominioUVM
 
Trabajo servicioss
Trabajo serviciossTrabajo servicioss
Trabajo serviciossjessidi
 

La actualidad más candente (17)

21 dns linux_asoitsonp
21 dns linux_asoitsonp21 dns linux_asoitsonp
21 dns linux_asoitsonp
 
Servidores de nombres de dominio (DNS)
Servidores de nombres de dominio (DNS)Servidores de nombres de dominio (DNS)
Servidores de nombres de dominio (DNS)
 
Consultaso
ConsultasoConsultaso
Consultaso
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
 
Clase25 otros servicios.html
Clase25 otros servicios.htmlClase25 otros servicios.html
Clase25 otros servicios.html
 
Actividad de servicios (1)
Actividad de servicios (1)Actividad de servicios (1)
Actividad de servicios (1)
 
Proceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dnsProceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dns
 
Introduccion a ipv6_v1 alexandra redes
Introduccion a ipv6_v1 alexandra redesIntroduccion a ipv6_v1 alexandra redes
Introduccion a ipv6_v1 alexandra redes
 
Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”
 
Resolucion de nombres dns
Resolucion de nombres dnsResolucion de nombres dns
Resolucion de nombres dns
 
Servicios de nombre de dominio
Servicios de nombre de dominioServicios de nombre de dominio
Servicios de nombre de dominio
 
DHCP, DNS, whois
DHCP, DNS, whoisDHCP, DNS, whois
DHCP, DNS, whois
 
Dns alexandra clavijo
Dns alexandra clavijoDns alexandra clavijo
Dns alexandra clavijo
 
Trabajo servicioss
Trabajo serviciossTrabajo servicioss
Trabajo servicioss
 
I pv6
I pv6I pv6
I pv6
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017
 
Dns
DnsDns
Dns
 

Destacado

Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesAmanda Sofia
 
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Universidad Nacional de Loja
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajlezcano1210
 
Desafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecDesafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecMEDUCA
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaOscar Gonzalez
 
Seguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosSeguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosAngel Olleros Consultoría
 
Grupo Eibar - Tasadas en Lorentxoko - Bergara
Grupo Eibar - Tasadas en Lorentxoko - BergaraGrupo Eibar - Tasadas en Lorentxoko - Bergara
Grupo Eibar - Tasadas en Lorentxoko - BergaraGrupo Eibar
 
Medicina emocionamente inteligente
Medicina emocionamente inteligenteMedicina emocionamente inteligente
Medicina emocionamente inteligenteEnfoque Dental
 
Catálogo Muestra Fotografías sobre el Espacio Memoria y Derechos Humanos (ex ...
Catálogo Muestra Fotografías sobre el Espacio Memoria y Derechos Humanos (ex ...Catálogo Muestra Fotografías sobre el Espacio Memoria y Derechos Humanos (ex ...
Catálogo Muestra Fotografías sobre el Espacio Memoria y Derechos Humanos (ex ...Vanina Matinhos
 
Ghidul romanului
Ghidul romanuluiGhidul romanului
Ghidul romanuluixerxe7
 
Huawei presentation new it power to address the uncertainties
Huawei presentation new it power to address the uncertaintiesHuawei presentation new it power to address the uncertainties
Huawei presentation new it power to address the uncertaintiesDr. Wilfred Lin (Ph.D.)
 
Instrumentos De China 1202818773850154 2
Instrumentos De China 1202818773850154 2Instrumentos De China 1202818773850154 2
Instrumentos De China 1202818773850154 2Flor Guerrero
 
Presentacion Albergue Infantil Esperanza A
Presentacion Albergue Infantil Esperanza APresentacion Albergue Infantil Esperanza A
Presentacion Albergue Infantil Esperanza Aguest3518d1
 
CUENTO El señor ch
CUENTO El señor chCUENTO El señor ch
CUENTO El señor chamonlop
 

Destacado (20)

Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tables
 
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
 
DnsSec
DnsSecDnsSec
DnsSec
 
DNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e IntroducciónDNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e Introducción
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Desafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecDesafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssec
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
 
Seguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosSeguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelolleros
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
 
Grupo Eibar - Tasadas en Lorentxoko - Bergara
Grupo Eibar - Tasadas en Lorentxoko - BergaraGrupo Eibar - Tasadas en Lorentxoko - Bergara
Grupo Eibar - Tasadas en Lorentxoko - Bergara
 
Medicina emocionamente inteligente
Medicina emocionamente inteligenteMedicina emocionamente inteligente
Medicina emocionamente inteligente
 
Catálogo Muestra Fotografías sobre el Espacio Memoria y Derechos Humanos (ex ...
Catálogo Muestra Fotografías sobre el Espacio Memoria y Derechos Humanos (ex ...Catálogo Muestra Fotografías sobre el Espacio Memoria y Derechos Humanos (ex ...
Catálogo Muestra Fotografías sobre el Espacio Memoria y Derechos Humanos (ex ...
 
Ghidul romanului
Ghidul romanuluiGhidul romanului
Ghidul romanului
 
Huawei presentation new it power to address the uncertainties
Huawei presentation new it power to address the uncertaintiesHuawei presentation new it power to address the uncertainties
Huawei presentation new it power to address the uncertainties
 
Instrumentos De China 1202818773850154 2
Instrumentos De China 1202818773850154 2Instrumentos De China 1202818773850154 2
Instrumentos De China 1202818773850154 2
 
Utopia Klimahouse 2016
Utopia Klimahouse 2016Utopia Klimahouse 2016
Utopia Klimahouse 2016
 
Presentacion Albergue Infantil Esperanza A
Presentacion Albergue Infantil Esperanza APresentacion Albergue Infantil Esperanza A
Presentacion Albergue Infantil Esperanza A
 
CUENTO El señor ch
CUENTO El señor chCUENTO El señor ch
CUENTO El señor ch
 

Similar a labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0

Dns anita vaca
Dns anita vacaDns anita vaca
Dns anita vacaAnita Vaca
 
DNS (Domain Name Sistem)
DNS (Domain Name Sistem)DNS (Domain Name Sistem)
DNS (Domain Name Sistem)Andrys Luis
 
Unidad 2: Sistema de nombres de dominio (DNS)
Unidad 2: Sistema de nombres de dominio (DNS)Unidad 2: Sistema de nombres de dominio (DNS)
Unidad 2: Sistema de nombres de dominio (DNS)carmenrico14
 
Wins, DNS, Dominios
Wins, DNS, DominiosWins, DNS, Dominios
Wins, DNS, Dominioseddd28
 
Servicio DNS
Servicio DNSServicio DNS
Servicio DNSisraelrod
 
ITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNSITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNSRafael Gomez
 
ServiciosDeRed.ppt
ServiciosDeRed.pptServiciosDeRed.ppt
ServiciosDeRed.pptLuisLujan38
 

Similar a labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0 (20)

Dns anita vaca
Dns anita vacaDns anita vaca
Dns anita vaca
 
DNS (Domain Name Sistem)
DNS (Domain Name Sistem)DNS (Domain Name Sistem)
DNS (Domain Name Sistem)
 
Sesión 4.- DNS.pdf
Sesión 4.- DNS.pdfSesión 4.- DNS.pdf
Sesión 4.- DNS.pdf
 
Unidad 2: Sistema de nombres de dominio (DNS)
Unidad 2: Sistema de nombres de dominio (DNS)Unidad 2: Sistema de nombres de dominio (DNS)
Unidad 2: Sistema de nombres de dominio (DNS)
 
Dns hj
Dns hjDns hj
Dns hj
 
Implementación de DNS
Implementación de DNS Implementación de DNS
Implementación de DNS
 
Servidor DNS
Servidor DNSServidor DNS
Servidor DNS
 
Dns
DnsDns
Dns
 
Domain name system
Domain name systemDomain name system
Domain name system
 
DNS
DNSDNS
DNS
 
Dns
DnsDns
Dns
 
Configuracion del servidor dns en linux
Configuracion del servidor dns en linuxConfiguracion del servidor dns en linux
Configuracion del servidor dns en linux
 
Wins, DNS, Dominios
Wins, DNS, DominiosWins, DNS, Dominios
Wins, DNS, Dominios
 
Herramientas bind
Herramientas bindHerramientas bind
Herramientas bind
 
DNS
DNSDNS
DNS
 
Servicio DNS
Servicio DNSServicio DNS
Servicio DNS
 
DNS cliente servidor
DNS cliente servidorDNS cliente servidor
DNS cliente servidor
 
Damianymarceloquezada
DamianymarceloquezadaDamianymarceloquezada
Damianymarceloquezada
 
ITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNSITPros-DC 70-291 Sesion 4 DNS
ITPros-DC 70-291 Sesion 4 DNS
 
ServiciosDeRed.ppt
ServiciosDeRed.pptServiciosDeRed.ppt
ServiciosDeRed.ppt
 

Último

Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxdeimerhdz21
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
Ley 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularLey 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularMooPandrea
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfNancyLoaa
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfenelcielosiempre
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñotapirjackluis
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxolgakaterin
 
plan de capacitacion docente AIP 2024 clllll.pdf
plan de capacitacion docente AIP 2024 clllll.pdfplan de capacitacion docente AIP 2024 clllll.pdf
plan de capacitacion docente AIP 2024 clllll.pdfenelcielosiempre
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdfBaker Publishing Company
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioELIASAURELIOCHAVEZCA1
 

Último (20)

Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
Ley 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularLey 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circular
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdf
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptx
 
plan de capacitacion docente AIP 2024 clllll.pdf
plan de capacitacion docente AIP 2024 clllll.pdfplan de capacitacion docente AIP 2024 clllll.pdf
plan de capacitacion docente AIP 2024 clllll.pdf
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 

labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0

  • 1. DNS  /  DNSSEC   en  IPv6  e  IPv4     Workshop  IPv6  –  Zonamérica  TechDay  II   Juan  Carlos  Alonso  (juancarlos  @  lacnic.net)   Carlos  MarEnez  (carlos  @  lacnic.net)    
  • 2. MoGvación  DNS  (1)   •  El  protocolo  IP  asigna  direcciones  individuales  a   todos  los  hosts  en  una  cierta  red   •  Estas  direcciones  son  simplemente  números   binarios  sin  mayor  estructura   •  Para  enviar  tráfico  IP  de  un  host  a  otro  esto  es   técnicamente  lo  único  que  hace  falta   •  Sin  embargo,  para  los  usuarios  de  la  red  es   prácGcamente  imposible  recordar  o  manejar  estos   números,  es  preferible  contar  con  idenGficadores   textuales  
  • 3. Introducción  (2)   •  DNS:  Domain  Name  System   •  Propósito  básico:   –  Traducir  números  IP  en  nombres  textuales  mas  amigables   para  los  usuarios  “humanos”  de  la  red   •  Propósitos  adicionales:   –  Soporte  a  diferentes  servicios  a  dar  sobre  la  red   •  Correo  electrónico   •  Sub-­‐delegaciones  de  nombres   •  Resolución  reversa   –  Reverso:  correspondencia  nombre  -­‐>  número  IP  
  • 4. Introducción  (3)   •  Requerimientos  del  sistema:   –  Apoyo  a  diferentes  consultas  y  aplicaciones   •  Nombres  directos,  reversos,  apoyo  a  aplicaciones   –  Distribución  de  la  administración   •  En  Internet  no  hay  administración  centralizada  sino  que  todo  es  por   naturaleza  distribuido.  El  DNS  debe  soportar  y  apoyar  esta  forma  de   trabajo.   –  Performance  adecuada   •  Las  consultas  deben  responderse  lo  mas  rápidamente  posible.   –  Confiabilidad  adecuada  
  • 5. Introducción  (4)   •  El  DNS  como  base  de  datos:   –  El  objeGvo  principal  del  DNS  es  entonces  almacenar   información  de  mapeo  entre  nombres  y  números  IP   •  Directa  y  reversa   –  El  sistema  opera  entonces  como  una  base  de  datos   distribuida  en  la  que  existe  la  posibilidad  de  delegar  la   administración  de  sectores  del  espacio  de  nombres  a   diferentes  organizaciones  
  • 6. Introducción  (5)     •  El  árbol  del  DNS  
  • 7. Estructura  de  un  nombre  de   dominio   4to  nivel          |          3er  nivel            |        2do  nivel            |            1er  nivel        |          Raíz         www.empresa.com.uy. Hostname   Raíz  del  árbol   2er   2do   DNS   TLD     •  Comentarios:   –  Los  niveles  del  árbol  reflejan  las  divisiones  administraGvas   –  El  root  del  arbol  esta  siempre  presente  de  forma  ímplicita   –  Restricciones:   •  127  niveles,  63  caracteres  por  eGqueta   –  Los  niveles  superiores  “delegan”  hacia  los  inferiores  
  • 8. División  administraGva   •  DNS  es  una  base   de  datos   distribuida   –  Repositorio  de   pares  (clave,   valor)   •  Delegación  de   niveles   superiores  a   inferiores   8  
  • 9. Zonas  y  Autoridad     •  Zonas   –  A  cada  dominio  (incluyendo  siempre   al  root)  le  corresponde  lo  que  se   denomina  una  zona  de  DNS   •  Autoridad   –  Cada  zona  define  una  región  de   autoridad  donde  se  le  reconoce  el   derecho  organización  que  administra   la  misma     •  Respuestas  autorita6vas  
  • 10. Primarios  y  secundarios   •  Primarios  y  secundarios  nos  permiten  brindarle  alta   disponibilidad  a  una  zona   •  Primarios  conGenen  informacion  configurada  sobre   una  zona   •  Los  secundarios  la  copian   –  AXFR   •  Las  respuestas  de  los  secundarios   –  También  son  autoritaGvas   10  
  • 11. Resource  Records     •  La  información  en  la  base  de  datos  del  DNS  está   estructurada  en  un  conjunto  de  resource  records:   –  SOA,  A,  AAAA,  NS,  MX,  PTR,  TXT,  etc.   •  Cada  RR  representa  un  ítem  de  información  en  la  base   de  datos  de  DNS  que  puede  ser  consultado   •  Un  RR  está  definido  por  cinco  campos   –  Class,  Type,  Value,  Name,  TTL  
  • 12. Resource  Records:  “A”  y  “AAAA”     •  RR  “A”:  Address   –  Los  registros  A  establecen  las  correspondencias  entre   direcciones  IP  y  nombres  de  dominio   –  Idem  IPv6:  “AAAA”   •  Formato  “Zone  File”  de  BIND   –  www IN A 200.7.85.220 –  www IN AAAA 2001:db8::2
  • 13. Especificacion  del  protocolo       •  Formato  de  paquetes  DNS   –  Header   Header •  Encabezado  del  protocolo   –  QuesGon  SecGon   Question •  La  pregunta  que  hacemos  al  DNS   –  Tuplas  (Name,  Type,  Class)   –  Answer  SecGon   Answer •  RRs  que  responden  la  pregunta  (si  es  que   hay),  también  en  (N,  T,  C)   –  Authority  SecGon   Authority •  RRs  que  apuntan  a  una  autoridad  (opcional)   –  AddiGonal  SecGon   Additional •  RRs  que  a  juicio  del  DNS  pueden  ser  úGles   para  quien  está  preguntando,  y  que  pueden   no  ser  autoritaGvos  
  • 14. Formato  del  paquete     •  Cada  sección  es  una  lista  de  RRs   •  Cada  RR  se  idenGfica  por:   –  Class   •  IdenGfica  la  aplicación,  en  Internet  es  siempre  IN   –  Type   •  El  Gpo  de  RR   –  SOA,  MX,  A,  AAAA  etc.   –  Name   •  El  nombre  completo  por  el  que  estamos   preguntando  o  por  el  que  se  está  respondiendo   –  Value   •  El  valor  que  el  registro  representa   –  TTL   •  Tiempo  de  vida  del  registro  
  • 15.   DNS  Header   •  Campos   –  Query  ID   •  Enlaza  preguntas  con  sus  respuestas   •  (recordar  que  uno  de  los  transportes  posibles  es   UDP)   –  OpCode:  OperaGon  code   –  Rcode:  Response  code   •  NOERROR,  NXDOMAIN**,  REFUSED,  NOTAUTH   •  Flags:   –  Dan  informacion  y  proporcionan  semánGca   –  Flags  usuales:   •  QR  (query  /  response),  AA  (auth.  answer),  TC   (truncaGon),  RD  (recursion  desired),  RA  (recursion   available)  
  • 16.   DNS  Header  (II)   •  Mas  campos:   –  QDCount:   •  Numero  de  preguntas  en  Q.S.   –  ANCount   •  Numero  de  preguntas  en  A.S.   –  NSCount   •  Numero  de  RR  en  Auth.  S.   –  ARCount   •  Numero  de  RR  en  Add.  S.  
  • 17. Primarios  /  secundarios   •  Primarios  y  secundarios   –  Cada  zona  Gene  que  tener  al  menos  un  servidor  de  nombres   que  sea  autorita6vo  para  ella   –  Este  es  el  primario  de  la  zona   –  Por  moGvos  de  redundancia,  se  recomienda  tener  uno  o   más  servidores  secundarios  para  la  misma   •  Los  secundarios  también  son  autoritaGvos   •  Transferencia  de  zonas   –  Para  no  tener  que  configurar  la  misma  información  dos  o   tres  veces,  y  para  facilitar  la  operación,  existe  un  protocolo   de  transferencia  de  zonas  (AXFR)  
  • 18. Consultas  directas  /  reversas   •  Terminología  sobre  consultas   –  Consultas  directas   •  De  nombre  a  dirección   –  A   –  Consultas  reversas   •  De  dirección  a  nombre   –  PTR   •  Cuidado  con  el  concepto  de  “inversas”   –  Nunca  estuvo  bien  definido  y  se  abandonó  
  • 19. Consultas  reversas   •  El  mapeo  reverso  permite  asignar  un  nombre  a  una   dirección  IP   •  Se  mapean  sobre  dos  dominios  especiales  y  usando   el  RR  “PTR”   –  in-­‐addr.arpa  (para  IPv4)   –  ip6.arpa  (para  IPv6)   •  Ejemplo  (IPv4)   –  La  consulta  reversa  por  200.2.13.45  se  traduce  en  una   consulta  por  el  PTR  de  45.13.2.200.in-­‐addr.arpa  
  • 20. Transporte     •  Clientes  y  servidores  pueden  elegir  entre  TCP  y  UDP,  los   servidores  DEBEN  atender  en  ambos   –  UDP  puerto  53   –  TCP  puerto  53   •  UDP:   –  El  preferido  por  clientes  finales   •  Las  consultas  pueden  truncarse  (MTU)   •  TCP:   –  El  preferido  para  las  consultas  recursivas  servidor-­‐servidor   •  Las  consultas  no  se  truncan   •  Existe  la  posibilidad  de  un  failover  de  una  a  otra  
  • 21. Transporte  (ii)   •  IPv4  vs  IPv6   –  Los  paquetes  de  consultas  y  respuestas  DNS  pueden  ser   transportados  indisGntamente  por  IPv4  o  por  IPv6   •  Las  consultas  que  se  pueden  realizar  son   completamente  independientes  del  transporte   –  TCP  vs  UDP   –  IPv4  vs  IPv6  
  • 22. Operación:  Consultas   •  Esquema  de  una  consulta  DNS   Otros   “resolver”  local   DNS  recursivo   servidores     local   autoritaGvos  
  • 23. Operación     •  Esquema  de  una  consulta  DNS  (II)   –  El  PC  final  Gene  un  resolver  local   •  Archivo  /etc/hosts   –  Si  aquí  hay  una  entrada,  se  responde  desde  aquí   •  Apunta  a  un  servidor  DNS   –  Cada  DNS  trata  de  responder  de:   •  Sus  hints   •  Su  caché   •  Sus  zonas  autoritaGvas   –  Cada  DNS  almacena  en  caché  de  forma  agresiva  todo  los   RRs  que  sean  posibles   •  ¿Hasta  cuando?  Se  guía  por  los  Gempos  establecidos  en  los   registros  SOA  y  en  los  TTLs  
  • 24. Archivo  de  zona  directa   •  En  los  archivos  de  zona  directa  encontramos   mayormente  registros  A,  AAAA  y  CNAME   @ IN SOA www.example.org. root.freebsd.www.example.org. ( 961230 ; Serial 3600 ; Refresh 300 ; Retry 3600000 ; Expire 3600 ) ; Minimum IN NS freebsd.www.example.org. ; hosts solo v4 www.example.org. IN A 10.0.0.10 nt2.www.example.org. IN A 10.0.0.2 ; host en dual stack mail.example.org. IN A 10.0.0.25 mail.example.org. IN A 2001:db8:13c7::25
  • 25. Archivo  de  zona  reversa  (v4)   •  Las  zonas  reversas  usan  los  registros  PTR     @ IN SOA X.Y.in-addr.arpa. root.freebsd.www.example.org. ( 961230 ; Serial 3600 ; Refresh 300 ; Retry 3600000 ; Expire 3600 ) ; Minimum IN NS freebsd.www.example.org. 10 IN PTR freebsd.www.example.org. 1 IN PTR nt1.www.example.org. 2 IN PTR nt2.www.example.org.
  • 26. Archivo  de  zona  reversa  (v6)   •  Los  reversos  de  IPv6  usan  la  dirección  completa   desarmada  a  nivel  de  nibbles   ; reverse IPV6 zone file for example.com $TTL 2d ; default TTL for zone $ORIGIN 0.0.0.0.8.b.d.0.1.0.0.2.IP6.ARPA. @ IN SOA ns1.example.com. hostmaster.example.com. ( 2010121500 ; sn = serial number 12h ; refresh = refresh 15m ; retry = refresh retry 3w ; expiry = expiry 2h ; nx = nxdomain ttl ) ; DNS servers IN NS ns1.example.com. IN NS ns2.example.net. ; PTR RR maps a IPv6 address to a host name 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR ns1.example.com. 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR mail.example.com.
  • 28. Vectores  de  ataque  en  DNS  
  • 29. Vulnerabilidades  del  protocolo   DNS   •  La  información  transmiGda  en  DNS  puede  ser  “spoofed”   –  Entre  maestro  y  esclavo  (AXFR)   –  Entre  maestro  y  sus  clientes  “resolver”     •  Actualmente  el  protocolo  DNS  no  permite  validar  la   información  contenida  en  una  respuesta   –  Vulnerable  a  las  diferentes  técnicas  de  poisoning     –  Datos  envenenados  siguen  causando  problemas  por  un  Gempo   (potencialmente  grande,  TTL)   •  Tampoco  los  secundarios  Genen  manera  de  autenGcar   al  primario  con  el  que  están  hablando   29  
  • 30. Introduciendo  DNSSEC   •  Análisis  de  vulnerabilidades  en  DNS   –  RFC  3833:  “Threat  Analysis  of  the  Domain  Name  System   (DNS)”   •  DNSSEC:   –  “DNS  Security  Extensions”   –  RFC  4033,  4034,  4035   –  ~  Marzo  2005   •  Aunque  DNSSEC  viene  siendo  tratado  desde  hace  mucho  mas   Gempo  en  el  IETF     30  
  • 31. ¿De  que  nos  protege  DNSSEC?   •  DNSSEC  nos  protegerá  de  corrupción  y  del  spoofing   de  datos   –  Proporciona  un  mecanismo  para  poder  validar  la   autenGcidad  y  la  integridad  de  los  datos  contenidos  en  una   zona  DNS   •  DNSKEY/RRSIG/NSEC   –  Proporciona  un  mecanismo  para  delegar  la  confianza  en   ciertas  claves  públicas  (cadena  de  confianza)   •  DS     –  Proporciona  un  mecanismo  para  autenGcar  las   transferencias  de  zona  entre  primarios  y  secundarios   •  TSIG   31  
  • 32. Introducción  a  DNSSEC     •  DNSSEC  *no*  es  un  nuevo  protocolo   •  Es  un  conjunto  de  extensiones  al  protocolo  DNS  tal   como  lo  conocemos   –  Cambios  en  el  “wire  protocol”  (EDNS0)   •  Extensión  del  tamaño  máximo  de  una  respuesta  UDP  de  512  a  4096   bytes   –  Agregado  de  nuevos  resource  records   •  RRSIG,  DNSKEY,  DS,  NSEC   –  Agregado  de  nuevos  flags   •  Checking  Disabled  (CD)   •  AuthenGcated  Data  (AD)   32  
  • 33. Introducción  a  DNSSEC  (2)   •  Nuevos  RR     –  RRSIG:  Resource  Record  Signature   –  DNSKEY:  DNS  Public  Key   –  DS:  Delega6on  Signer   –  NSEC:  Next  Secure   •  Nuevos  Flags:   –  AD:  indica  que  la  respuesta  esta  autenGcada   –  CD:  indica  que  no  se  realiza  chequeo  (deshabilitado)   33  
  • 34. Introducción  a  DNSSEC  (3)   •  (Repaso)  Un  resource  record  en  DNS  es  una  tupla  de   cinco  valores   –  (nombre,  clase,  6po,  TTL,  valor)     •  El  registro:   –   www.empresa.com. 86400 IN A 200.40.100.141 –  Esta  representado  por  la  tupla:   •  Nombre  (www.empresa.com)   •  Clase  (IN)   •  Tipo  (A)   •  TTL  (86400  segundos)   •  Valor  (200.40.100.141)   34  
  • 35. Introducción  a  DNSSEC  (4)   –  Resource  Record  Sets  (RRSets)   •  DNSSEC opera firmando RRSets (no RR individuales) •  Un RRSet es un conjunto de resource records que comparten igual: –  Clase –  Tipo –  Nombre –  Ejemplo  de  RRSet  (TTL  omiGdo):   •  www IN A 200.40.241.100 •  www IN A 200.40.241.101 35  
  • 36. Introducción  a  DNSSEC  (5)   Firma  de  zona   •  Se  genera  un  par  de  claves  (publica  y  su   correspondiente  privada)  para  cada  zona   –  El  par  de  claves  es  propio  de  cada  zona  y  no  del  servidor   autoritaGvo   –  La  parte  privada  se  debe  mantener  bajo  custodia   •  La  privada  firma  los  RRSets  de  la  zona   –  La  publica  se  debe  publicar  en  DNS  mediante  un  registro   DNSKEY   •  La  privada  permite  verificar  las  firmas  de  los  RRSets   –  Un  RRSet  puede  tener  mulGples  firmas  generadas  con   diferentes  claves   36  
  • 37. Introducción  a  DNSSEC  (6)   •  La  firma  digital  de  un  RRSet  se  devuelve  en  forma  de   un  registro  RRSIG  que  es  parte  de  la  respuesta   •  Ejemplo:   ~ carlosm$ dig +dnssec www.nic.se ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1 ;; ANSWER SECTION: www.nic.se. 60 IN A 212.247.7.218 www.nic.se. 60 IN RRSIG A 5 3 60 20101021132001 20101011132001 23369 nic.se. HeeUZ5h5iExK5uU1SuNRIf2Dbmh2/ aWV8FkjmzixUzTAVrHv39PfmfnG DHdHoZxoz85hqqYiWb +t9EZh5+iqxQk8AxRDic9Nn6WxifOoWeS+IUKQ rVyqXf1NtkZvu1A325vwa8obtbeVGVkhqg6bDIjKYeHixjlQ4cRoFcEW Izk= ;; AUTHORITY SECTION: nic.se. 2974 IN NS ns3.nic.se. nic.se. 2974 IN NS ns2.nic.se. nic.se. 2974 IN NS ns.nic.se. nic.se. 3600 IN RRSIG NS 5 2 3600 20101021132001 20101011132001 23369 nic.se. GSzAUC3SC3D0G/ iesCOPnVux8WkQx1dGbw491RatXz53b7SY0pQuyT1W eb063Z62rtX7etynNcJwpKlYTG9FeMbDceD9af3KzTJHxq6B+Tpmmxyk 37   FoKAVaV0cHTcGUXSObFquGr5/03G79C/YHJmXw0bHun5ER5yrOtOLegU IAU=
  • 38. Cadena  de  confianza   •  ¿Como  puede  un  cliente  verificar  un  RRSet  de  una   cierta  zona?   –  Hace  una  consulta  por  el  DNSKEY  correspondiente   –  Realiza  los  calculos  correspondientes  y  los  compara  con   el  RRSIG     •  Si  coinciden,  la  firma  verifica,  de  lo  contrario,  no   •  Pero  ¿como  se  puede  confiar  en  la  DNSKEY  si  sale   de  la  misma  zona  que  queremos  verificar?   –  Necesitamos  verificar  la  cadena  de  confianza   38  
  • 39. Cadena  de  confianza  (ii)   •  Registro  DS  “Delega6on  Signature”   –  Los  registros  DS  “firman”  claves  de  zonas  hijas   –  De  esta  forma  uno  puede  verificar  el  DNSKEY  de  una  zona   buscando  un  registro  DS  en  la  zona  padre   •  El  registro  DS  conGene  un  hash  de  la  una  clave  pública   –  Es  decir,  del  contenido  de  un  registro  DNSKEY   •  Los  registors  DS  en  la  zona  padre  están  firmados  con   la(s)  claves  de  esa  zona   •  Para  completar  la  cadena  de  confianza  Gene  que  estar   firmada  la  raíz  del  DNS   39  
  • 40. Cadena  de  confianza  (iii)   •  Pero  ¿que  pasa  con  la  zona  raíz?   –  La  zona  raíz  no  Gene  “padre”  a  quien  ir  a  pedirle  un   registro  DS   –  La  raíz  del  DNS  esta  firmada  desde  julio  de  2010   •  [  hLp://www.root-­‐dnssec.org  ]   –  El  registro  DS  para  “.”  se  puede  obtener  fuera  de  banda   •  [  h|p://data.iana.org/root-­‐anchors/root-­‐anchors.xml  ]   •  .  IN  DS   49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1C DDE32F24E8FB5   40  
  • 41. ¡Gracias!   carlos  @  lacnic.net