190 likes | 375 Views
Servicios de DNS en LACNIC. Arturo Serv ín Carlos M. Martínez. Agenda. El sistema de DNS y los RIRs La nueva estructura de resolución de la zona “.arpa” DNSSEC para el espacio reverso en LACNIC Planes a futuro Anycasting. El rol de LACNIC en el DNS.
E N D
Servicios de DNS en LACNIC Arturo Servín Carlos M. Martínez
Agenda • El sistema de DNS y los RIRs • La nueva estructura de resolución de la zona “.arpa” • DNSSEC para el espacio reverso en LACNIC • Planes a futuro • Anycasting
El rol de LACNIC en el DNS • LACNIC asignarecursos de numeracióndentro de suárea de servicio • IPv4, IPv6, ASNs • Servicios DNS de LACNIC • Resolucióndirecta • Resolución de nombresparalocalización de servicios • *.lacnic.net (www, whois, rpki, etc.) • Otrosservicios / proyectos • AMPARO, LACNOG • Resoluciónreversa • LACNIC es el nodointermedio entre susasociados y laszonas *.arpa
Resoluciónreversa en dos diapositivas • Unaconsulta “reversa” en DNS comienza con unadirección IP (v4 o v6) • Se transforma en unaconsultapor un registro de tipo “PTR” dentro de dos espacios de nombres de propósito especial • En IPv4: *.in-addr.arpa • En IPv6: *.ip6.arpa
Resoluciónreversa en dos diapositivas • Consultareversapara la IP 200.40.20.10 carlos$ dig -x 200.7.84.3 ;; QUESTION SECTION: ;3.84.7.200.in-addr.arpa. IN PTR ;; ANSWER SECTION: 3.84.7.200.in-addr.arpa. 86400 IN PTR mail.lacnic.net.uy.
Resoluciónreversa en dos diapositivas • Consultareversapor la dirección 2001:13c7:7001:4000::3 carlos$ dig -x 2001:13c7:7001:4000::3 ;; QUESTION SECTION: ;3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. IN PTR ;; ANSWER SECTION: 3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. 86400 IN PTR mail.lacnic.net.uy.
Gestión de recursos de numeración en Internet (i) • El espacio de nombres reverso se mapea naturalmente en el esquema de asignación de recursos por RIR
Resoluciónreversa en LACNIC in-addr.arpa 179.in-addr.arpa 1.179.in-addr.arpa 218.1.179.in-addr.arpa
Resoluciónreversa en Internet • Históricamente: • La zona in-addr.arpa era servidapor un sub-conjunto de los root servers de DNS (A.root-servers.net, F.root-servers.net, etc.) • La zona ip6.arpa era servidapor los servidores DNS de los RIRs (ns2.lacnic.net, sec1.apnic.net, etc.) • RFC 5855: “Nameservers for IPv4 and IPv6 Reverse Zones”, mayo de 2010 (J. Abley / T. Manderson) • Crea un conjuntodedicado y estable de servers paralaszonasreversas • A.in-addr-servers.arpa / A.ip6-servers.arpa • B.in-addr-servers.arpa / B.ip6-servers.arpa
RFC 5855 en LACNIC • LACNIC opera desdemediados de 2010 dos raícesreversas • D.in-addr-servers.arpa • D.ip6-servers.arpa • Ambos estánlocalizados en el datacenter de Sao Paulo • Algunascifras: • D.ip-6-servers.arpa tienepicos de ~350 queries/seg • D.in-addr-servers.arpatienepicos de ~2000 queries/seg
RFC 5855 en LACNIC • D.in-addr-servers.arpa • D.ip6-servers.arpa
DNSSEC • DNSSEC (Domain Name System Security Extensions) es un conjunto de especificacionesquepermitenasegurar (firmar)informacióncontenida en zonas DNS • Muybrevemente: • Se genera un par de claves (pública/privada) porcadazonaque se deseefirmar • La pública se publica en la propiazona • RegistroDNSKEY • La privada se usaparafirmar la zona • Generar e incluir en la zona los registros RRSIG • ¿Como se completa la cadena de confianza? • Publicando un registro DS en la zona padre
DNSSEC para el espacioreverso • LACNIC estátrabajandoparaimplementar DNSSEC a nivel de laszonasreversas • Estoimplica: • Firmarlaszonas de mas alto nivel • 181.in-addr.arpa (181/8), 179.in-addr.arpa (179/8), y el resto de los /8 de LACNIC • 0.8.2.ip6.arpa (2800::/12) y 3.1.1.0.0.2.ip6.arpa (2001:1200::/23) • Modificar el sistema de registroparaquesusasociadospuedansubirsusregistros DS
DNSSEC para el espacioreverso • Arquitectura de firma de zonas
DNSSEC en el Sistema de Registro • El Sistema de Registro de LACNIC seráactualizadopararecibir los registros “DS” de los asociados • Tanto via web como via EPP
Planes 2012: Anycasting • En LACNIC queremosdistribuircopiasanycast de la resoluciónreversa en la región • ¡Estamos a la búsqueda de partners! • Ofrecemos • Copiaanycast de D.in-addr-servers.arpa y D.ip6-server.arpa • Copyaanycast de ns.lacnic.net (resoluciónreversa de la región LACNIC) • Copiaanycast del repositorio RPKI de LACNIC
¡Muchas gracias por su atención! Carlos M. Martínez (carlos @ lacnic.net)