[uylug-varios] DNSSEC .UY

Carlos Martinez Cagnazzo carlosmarcelomartinez at gmail.com
Wed May 16 06:42:11 PDT 2012 

Hola,

gracias Arturo por ahorrarme la busqueda en tools.ietf.org, que nos
sieimpre es muy amigable :-)))) DNSSEC es un conjunto de extensiones,
basadas en otras extensiones (EDNS-0) al protocolo original. Esto es lo
que hace que todo siga siendo compatible 'hacia atras' y que zonas
firmadas puedan coexistir con zonas no firmadas tranquilamente.

Las extensiones mas importantes son:

- EDNS0 permite usar paquetes UDP de hasta 4500 bytes (antes limitados a
512 bytes). Este punto es uno de los que en su momento mas problemas
causó debido a que ciertos firewalls 'inteligentes' (notar las
comillas), consideraban que los paquetes DNS solo eran de 512 bytes y
descartaban los fragmentos subsigiuentes, de esa manera truncando las
respuestas EDNS-0. Por suerte esto creo que esta solucionado.

- El flag AD en la sección de respuesta del paquete DNS (authenticated
data). Este flag a 1 marca que la respuesta que se esta entregando fue
validadada con DNSSEC

- Nuevos resource records: RRSIG (firma de RRs), DS (cadena de
confianza), DNSKEY (clave publica), NSEC - NSEC3 (negación de existencia
firmada)

Sobre la pregunta de Arturo, si, efectivamente para firmar el .com.uy
hace falta primero firmar el .uy. Si bien hay tecnicas que permitirian
hacer algo sin la cadena completa (se llama 'lookaside validation'), no
es la mejor idea, y lo mejor es apuntar a firmar la cadena completa.

La controversia sobre la enumeración de zonas arranca con NSEC, el
primer mecanismo para negacion de existencia que se propuso. NSEC3
complica bastante la enumeración de zonas. No se si me animo a decir que
la evita por completo, pero seguro que la hace mucho mas difícil. NSEC3
tiene su componente de complejidad también, incluyendo el aumento de
tamaño de las zonas firmadas y un 'costo' computacional bastante mas
alto. NSEC es mucho mas simple, pero hace muy facil la enumeracion de
zonas.

En ciertos casos, concretamente las zonas reversas (que son mi tema
actualmente), enumerar la zona es super-facil de todas maneras, por lo
que NSEC3 no se justifica, alcanza con usar NSEC. En zonas 'directas', y
mas en zonas como el .com o .com.uy, NSEC3 es un 'MUST'.

s2

Carlos

On 5/16/12 10:19 AM, Arturo Servin wrote:
> 	Secundo a Carlos y a Eduardo. Implementar DNSSEC a cualquier nivel no es trivial si lo quieres hacer bien protegiendo tus llaves y asegurando que firmas tus zonas. Hay varios ejemplos de ccTLDs y organizaciones que les ha fallado (y no por falta de experiencia).
>
> 	De los RFCs creo que son:
>
> 4033, 4034 y 4035 (tenia un sticker donde venian pero se daño hace tiempo) Como dices, no es un "nuevo protocolo" sino extensiones al actual.
>
> 	De NSEC3 no estoy seguro si resuelve el zone-enumeration por completo y si ya esta implementado en full. Al menos supongo que BIND y NSD lo soportan.
>
> 	Además del factor experiencia esta el factor costo. Quizá como organización puedas tener tus llaves en un HW convencional, pero a nivel TLD implica tener HSMs, los cuales no son nada baratos. 
>
> 	Finalmente, una pregunta. Aunque el .uy se firme, creo que para que el .com.uy funcione en DNSSEC lo debería firmar ANTEL, no?
>
> Slds
> as
>
>
> On 16 May 2012, at 07:17, Eduardo Trápani wrote:
>
>>> Ahora, tambien es cierto de que implementar DNSSEC a nivel de un TLD es
>>> un proyecto que no es trivial, requiere de un monton de esfuerzo y hay
>>> una cantidad importante de finezas con las que hay que tener mucho, pero
>>> mucho cuidado. Fijense cuantos ccTLDs de la region tienen implementado
>>> DNSSEC. Hasta donde recuerdo, 4 o 5 nomas.
>>>
>> Gracias, al fin alguien que sabe de esto.
>>
>> Una pregunta más técnica, ¿cuál es el DNSSEC que se está implementando?
>> Es decir, ¿cuáles son los RFC principales?  Porque veo en Wikipedia que
>> hay extensiones y modificaciones.  En particular me encantaría saber si
>> "Zone enumeration issue, controversy, and NSEC3" todavía es un problema.
>>
>> Eduardo.
>>
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy

More information about the Uylug-varios mailing list