[LACNIC/Seguridad] [LACNIC/Anuncios] DNSSEC - LACNIC inicia despliegue / LACNIC beggins deployment / LACNIC começa desdobramento
Nicolas Antoniello
nantoniello en gmail.com
Mie Ene 19 22:30:50 BRST 2011
Estimados,
Mu buena noticia. Creo que es necesario seguir avanzando en este
sentido en la región... y promover al menos que los diferentes
"resolvers" manejen DNSSEC para que efectivamente se complete la
cadena de confianza.
Esto es mucho mas simple que firmar las zonas de los "registry" (solo
hay que "descargar" el trust anchor de los root y poco mas...).
Les consulto a quienes ya tienen esto implementado si tienen
estadísticas del aumento de carga sobre la CPU de los servidores
(recursivos) por el manejo de DNSSEC?
Saludos,
Nicolas
2011/1/19 Carlos Martinez-Cagnazzo <carlosm3011 en gmail.com>:
> [English below]
> Português abaixo]
> ===============
>
> LACNIC comienza despliegue de DNSSEC
>
>
> Desde el día 17 de enero de 2011 el dominio “proyectoamparo.net”, una
> de las zonas DNS directas operadas por LACNIC está firmada con el
> protocolo DNSSEC.
>
> DNSSEC (Domain Name System Security) es un conjunto de técnicas y
> protocolos definidos por la IETF en las RFCs 4033, 4034 y 4035 con el
> objetivo de brindar seguridad a una pieza crítica de la
> infraestructura de Internet como es el Sistema de Nombres de Dominio o
> DNS.
>
> DNSSEC introduce en la arquitectura del sistema de nombres de dominio
> el uso de material criptográfico de tal forma que un cliente puede
> validar las respuestas que esta recibiendo a sus consultas por nombres
> de dominio así como también validar la cadena de delegación de
> dominios.
>
> Este hito marca el comienzo del despliegue en producción de DNSSEC en
> las zonas DNS operadas por LACNIC, el cual abarcará durante 2011 todas
> las zonas directas y principalmente todas las zonas reversas operadas
> por LACNIC, incluyendo la posibilidad para que los miembros de LACNIC
> que así lo deseen puedan también firmar sus zonas reversas y publicar
> sus registros de delegación segura.
>
> Este despliegue, apoyado en los procesos de firma de la raíz, de los
> dominios NET y ORG permite a la región seguir mejorando la calidad y
> seguridad de su infraestructura crítica.
>
>
> Referencias:
> [1] RFC 4033 “DNS Security Introduction and Requirements” -
> http://www.ietf.org/rfc/rfc4033.txt
> [2] RFC 4034 “Resource Records for the DNS Security Extensions” -
> http://www.ietf.org/rfc/rfc4034.txt
> [3] RFC 4035 “Protocol Modifications for the DNS Security Extensions”
> – http://www.ietf.org/rfc/rfc4035.txt
> [4] Comunicado de prensa sobre la firma de la raíz -
> http://www.icann.org/en/announcements/announcement-4-16jun10-en.htm
> [5] Comunicado de prensa sobre la firma de .NET -
> https://press.verisign.com/easyir/customrel.do?easyirid=AFC0FF0DB5C560D3&version=live&prid=697413&releasejsp=custom_97
>
>
> ==========
> LACNIC Begins DNSSEC Deployment
>
>
> As of January 17, 2011, the “proyectoamparo.net” domain, one of the
> direct DNS zones maintained by LACNIC, is being signed with the DNSSEC
> protocol.
>
> DNSSEC (Domain Name System Security) consists of a set of techniques
> and protocols defined by the IETF through RFCs 4033, 4034 and 4035
> with the aim of providing security to a critical piece of Internet
> infrastructure – the Domain Name System or DNS.
>
> DNSSEC introduces the use of cryptographic material in the domain name
> system architecture in a way such that clients can validate the
> responses to their DNS queries as well as the domain delegation chain.
>
> This milestone marks the beginning of the production deployment of
> DNSSEC in the DNS zones operated by LACNIC. During 2011, it will
> extend to all direct zones and particularly all reverse zones operated
> by LACNIC, also making it possible for those LACNIC members who wish
> to do so to sign their own reverse zones and publish their secure
> delegation records.
>
> Supported by the NET and ORG domain root signing processes, this
> deployment allows the region to continue improving the quality and
> security of its critical infrastructure.
>
>
> References:
> [1] RFC 4033 “DNS Security Introduction and Requirements” -
> http://www.ietf.org/rfc/rfc4033.txt
> [2] RFC 4034 “Resource Records for the DNS Security Extensions” -
> http://www.ietf.org/rfc/rfc4034.txt
> [3] RFC 4035 “Protocol Modifications for the DNS Security Extensions”
> – http://www.ietf.org/rfc/rfc4035.txt
> [4] Press release on the signing of the root zone -
> http://www.icann.org/en/announcements/announcement-4-16jun10-en.htm
> [5] Press release on the signing of the .NET zone -
> https://press.verisign.com/easyir/customrel.do?easyirid=AFC0FF0DB5C560D3&version=live&prid=697413&releasejsp=custom_97
>
>
> ==========
> LACNIC começa desdobramento do DNSSEC
>
> Desde o dia 17 de janeiro de 2011, o domínio “proyectoamparo.net”, uma
> das zonas DNS directas operadas pelo LACNIC está assinada com o
> protocolo DNSSEC.
>
> DNSSEC (Domain Name System Security) é um conjunto de técnicas e
> protocolos definidos pela IETF nas RFCs 4033, 4034 e 4035 com o
> objetivo de oferecer segurança a uma peça crítica da infra-estrutura
> da Internet como é o Sistema de Nomes de Domínio ou DNS.
>
> DNSSEC introduz na arquitetura do sistema de nomes de domínio o uso de
> material criptográfico de modo que um cliente pode validar as
> respostas que está recebendo para suas consultas por nomes de domínio
> assim como também validar a cadeia de delegação de dominios.
>
> Este fato marca o início do desdobramento em produção do DNSSEC nas
> zonas DNS operadas pelo LACNIC, o qual vai abranger durante 2011 todas
> as zonas diretas e principalmente todas as zonas reversas operadas
> pelo LACNIC, incluindo a possibilidade para que os membros do LACNIC
> que assim o quiserem possam também assinar suas zonas reversas e
> publicar seus registros de delegação segura.
>
> Esse desdobramento aprovado nos processos de assinatura da raíz dos
> domínios NET e ORG permite continuar melhorando a qualidade e
> segurança da infra-estrutura crítica da região.
>
>
> Referências:
> [1] RFC 4033 “DNS Security Introduction and Requirements” -
> http://www.ietf.org/rfc/rfc4033.txt
> [2] RFC 4034 “Resource Records for the DNS Security Extensions” -
> http://www.ietf.org/rfc/rfc4034.txt
> [3] RFC 4035 “Protocol Modifications for the DNS Security Extensions”
> – http://www.ietf.org/rfc/rfc4035.txt
> [4] Comunicado de imprensa sobre a assinatura da raíz -
> http://www.icann.org/en/announcements/announcement-4-16jun10-en.htm
> [5] Comunicado de imprensa sobre a assinatura de .NET -
> https://press.verisign.com/easyir/customrel.do?easyirid=AFC0FF0DB5C560D3&version=live&prid=697413&releasejsp=custom_97
> -------------
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
Más información sobre la lista de distribución Seguridad