1 / 18

Servicios de DNS en LACNIC

Servicios de DNS en LACNIC. Arturo Serv ín Carlos M. Martínez. Agenda. El sistema de DNS y los RIRs La nueva estructura de resolución de la zona “.arpa” DNSSEC para el espacio reverso en LACNIC Planes a futuro Anycasting. El rol de LACNIC en el DNS.

harsha
Download Presentation

Servicios de DNS en LACNIC

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Servicios de DNS en LACNIC Arturo Servín Carlos M. Martínez

  2. Agenda • El sistema de DNS y los RIRs • La nueva estructura de resolución de la zona “.arpa” • DNSSEC para el espacio reverso en LACNIC • Planes a futuro • Anycasting

  3. El rol de LACNIC en el DNS • LACNIC asignarecursos de numeracióndentro de suárea de servicio • IPv4, IPv6, ASNs • Servicios DNS de LACNIC • Resolucióndirecta • Resolución de nombresparalocalización de servicios • *.lacnic.net (www, whois, rpki, etc.) • Otrosservicios / proyectos • AMPARO, LACNOG • Resoluciónreversa • LACNIC es el nodointermedio entre susasociados y laszonas *.arpa

  4. Resoluciónreversa en dos diapositivas • Unaconsulta “reversa” en DNS comienza con unadirección IP (v4 o v6) • Se transforma en unaconsultapor un registro de tipo “PTR” dentro de dos espacios de nombres de propósito especial • En IPv4: *.in-addr.arpa • En IPv6: *.ip6.arpa

  5. Resoluciónreversa en dos diapositivas • Consultareversapara la IP 200.40.20.10 carlos$ dig -x 200.7.84.3 ;; QUESTION SECTION: ;3.84.7.200.in-addr.arpa. IN PTR ;; ANSWER SECTION: 3.84.7.200.in-addr.arpa. 86400 IN PTR mail.lacnic.net.uy.

  6. Resoluciónreversa en dos diapositivas • Consultareversapor la dirección 2001:13c7:7001:4000::3 carlos$ dig -x 2001:13c7:7001:4000::3 ;; QUESTION SECTION: ;3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. IN PTR ;; ANSWER SECTION: 3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.0.0.7.7.c.3.1.1.0.0.2.ip6.arpa. 86400 IN PTR mail.lacnic.net.uy.

  7. Gestión de recursos de numeración en Internet (i) • El espacio de nombres reverso se mapea naturalmente en el esquema de asignación de recursos por RIR

  8. Resoluciónreversa en LACNIC in-addr.arpa 179.in-addr.arpa 1.179.in-addr.arpa 218.1.179.in-addr.arpa

  9. Resoluciónreversa en Internet • Históricamente: • La zona in-addr.arpa era servidapor un sub-conjunto de los root servers de DNS (A.root-servers.net, F.root-servers.net, etc.) • La zona ip6.arpa era servidapor los servidores DNS de los RIRs (ns2.lacnic.net, sec1.apnic.net, etc.) • RFC 5855: “Nameservers for IPv4 and IPv6 Reverse Zones”, mayo de 2010 (J. Abley / T. Manderson) • Crea un conjuntodedicado y estable de servers paralaszonasreversas • A.in-addr-servers.arpa / A.ip6-servers.arpa • B.in-addr-servers.arpa / B.ip6-servers.arpa

  10. RFC 5855 en LACNIC • LACNIC opera desdemediados de 2010 dos raícesreversas • D.in-addr-servers.arpa • D.ip6-servers.arpa • Ambos estánlocalizados en el datacenter de Sao Paulo • Algunascifras: • D.ip-6-servers.arpa tienepicos de ~350 queries/seg • D.in-addr-servers.arpatienepicos de ~2000 queries/seg

  11. RFC 5855 en LACNIC • D.in-addr-servers.arpa • D.ip6-servers.arpa

  12. DNSSEC • DNSSEC (Domain Name System Security Extensions) es un conjunto de especificacionesquepermitenasegurar (firmar)informacióncontenida en zonas DNS • Muybrevemente: • Se genera un par de claves (pública/privada) porcadazonaque se deseefirmar • La pública se publica en la propiazona • RegistroDNSKEY • La privada se usaparafirmar la zona • Generar e incluir en la zona los registros RRSIG • ¿Como se completa la cadena de confianza? • Publicando un registro DS en la zona padre

  13. DNSSEC

  14. DNSSEC para el espacioreverso • LACNIC estátrabajandoparaimplementar DNSSEC a nivel de laszonasreversas • Estoimplica: • Firmarlaszonas de mas alto nivel • 181.in-addr.arpa (181/8), 179.in-addr.arpa (179/8), y el resto de los /8 de LACNIC • 0.8.2.ip6.arpa (2800::/12) y 3.1.1.0.0.2.ip6.arpa (2001:1200::/23) • Modificar el sistema de registroparaquesusasociadospuedansubirsusregistros DS

  15. DNSSEC para el espacioreverso • Arquitectura de firma de zonas

  16. DNSSEC en el Sistema de Registro • El Sistema de Registro de LACNIC seráactualizadopararecibir los registros “DS” de los asociados • Tanto via web como via EPP

  17. Planes 2012: Anycasting • En LACNIC queremosdistribuircopiasanycast de la resoluciónreversa en la región • ¡Estamos a la búsqueda de partners! • Ofrecemos • Copiaanycast de D.in-addr-servers.arpa y D.ip6-server.arpa • Copyaanycast de ns.lacnic.net (resoluciónreversa de la región LACNIC) • Copiaanycast del repositorio RPKI de LACNIC

  18. ¡Muchas gracias por su atención! Carlos M. Martínez (carlos @ lacnic.net)

More Related