servicios de dns en lacnic arturo servín carlos m. martínez
Post on 15-Jan-2015
7 Views
Preview:
TRANSCRIPT
Servicios de DNS en LACNIC
Arturo Servín
Carlos M. Martínez
Agenda El sistema de DNS y los RIRs La nueva estructura de resolución de la zona
“.arpa” DNSSEC para el espacio reverso en LACNIC Planes a futuro
Anycasting
El rol de LACNIC en el DNS LACNIC asigna recursos de
numeración dentro de su área de servicio IPv4, IPv6, ASNs
Servicios DNS de LACNIC Resolución directa
Resolución de nombres para localización de servicios *.lacnic.net (www, whois, rpki, etc.) Otros servicios / proyectos
AMPARO, LACNOG
Resolución reversa LACNIC es el nodo intermedio entre sus
asociados y las zonas *.arpa
Resolución reversa en dos diapositivas Una consulta “reversa” en DNS comienza con
una dirección IP (v4 o v6) Se transforma en una consulta por un registro
de tipo “PTR” dentro de dos espacios de nombres de propósito especial En IPv4: *.in-addr.arpa En IPv6: *.ip6.arpa
Resolución reversa en dos diapositivas Consulta reversa para la IP 200.40.20.10
carlos$ dig -x 200.7.84.3
;; QUESTION SECTION:;3.84.7.200.in-addr.arpa. IN PTR
;; ANSWER SECTION:3.84.7.200.in-addr.arpa. 86400 IN PTR mail.lacnic.net.uy.
Resolución reversa en dos diapositivas Consulta reversa por la dirección
2001:13c7:7001:4000::3
carlos$ dig -x 2001:13c7:7001:4000::3
;; QUESTION SECTION:;3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. IN PTR
;; ANSWER SECTION:3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. 86400 IN PTR mail.lacnic.net.uy.
Gestión de recursos de numeración en Internet (i)
El espacio de nombres reverso se mapea naturalmente en el esquema de asignación de recursos por RIR
Resolución reversa en LACNIC
IANA0/8
LACNIC179/8
UY-ORG-1179.1.0.0/1
6
UY-ORG-2179.1.218.
0/24
RIPE
in-addr.arpa
179.in-addr.arpa
1.179.in-addr.arpa
218.1.179.in-addr.arpa
Resolución reversa en Internet Históricamente:
La zona in-addr.arpa era servida por un sub-conjunto de los root servers de DNS (A.root-servers.net, F.root-servers.net, etc.)
La zona ip6.arpa era servida por los servidores DNS de los RIRs (ns2.lacnic.net, sec1.apnic.net, etc.)
RFC 5855: “Nameservers for IPv4 and IPv6 Reverse Zones”, mayo de 2010 (J. Abley / T. Manderson) Crea un conjunto dedicado y estable de servers
para las zonas reversas A.in-addr-servers.arpa / A.ip6-servers.arpa B.in-addr-servers.arpa / B.ip6-servers.arpa
RFC 5855 en LACNIC LACNIC opera desde mediados de 2010 dos
raíces reversas D.in-addr-servers.arpa D.ip6-servers.arpa
Ambos están localizados en el datacenter de Sao Paulo
Algunas cifras: D.ip-6-servers.arpa tiene picos de ~350
queries/seg D.in-addr-servers.arpa tiene picos de ~2000
queries/seg
RFC 5855 en LACNIC D.in-addr-
servers.arpa D.ip6-servers.arpa
DNSSEC DNSSEC (Domain Name System Security
Extensions) es un conjunto de especificaciones que permiten asegurar (firmar) información contenida en zonas DNS
Muy brevemente: Se genera un par de claves (pública/privada) por
cada zona que se desee firmar La pública se publica en la propia zona
Registro DNSKEY La privada se usa para firmar la zona
Generar e incluir en la zona los registros RRSIG ¿Como se completa la cadena de confianza?
Publicando un registro DS en la zona padre
DNSSEC
parent.child.parent. IN DS <<DS Data>>
child2.parent. IN DS <<DS Data>>
child.parent. IN SOA (…)child.parent. IN RRSIG <<RRSIG
data>>child.parent. IN DNSKEY <<DNSKEY
data>>child2.parent. IN SOA (…)child2.parent. IN RRSIG <<RRSIG
data>>child2.parent. IN DNSKEY <<DNSKEY
data>>
DNSSEC para el espacio reverso LACNIC está trabajando para
implementar DNSSEC a nivel de las zonas reversas
Esto implica: Firmar las zonas de mas alto
nivel 181.in-addr.arpa (181/8), 179.in-
addr.arpa (179/8), y el resto de los /8 de LACNIC
0.8.2.ip6.arpa (2800::/12) y 3.1.1.0.0.2.ip6.arpa (2001:1200::/23)
Modificar el sistema de registro para que sus asociados puedan subir sus registros DS
IANA0/8
LACNIC179/8
UY-ORG-1179.1.0.0/1
6
UY-ORG-2179.1.218.0
/24
RIPE
DNSSEC para el espacio reverso Arquitectura de firma de zonas
DNSSEC en el Sistema de Registro El Sistema de Registro de LACNIC será
actualizado para recibir los registros “DS” de los asociados Tanto via web como via EPP
Planes 2012: Anycasting En LACNIC queremos distribuir copias anycast
de la resolución reversa en la región ¡Estamos a la búsqueda de partners! Ofrecemos
Copia anycast de D.in-addr-servers.arpa y D.ip6-server.arpa
Copya anycast de ns.lacnic.net (resolución reversa de la región LACNIC)
Copia anycast del repositorio RPKI de LACNIC
¡Muchas gracias por su atención!
Carlos M. Martínez (carlos @ lacnic.net)
top related