[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC
Carlos M. Martinez
carlosm3011 en gmail.com
Mar Ene 26 19:10:47 BRST 2016
En realidad, sobre el costo impuesto podemos charlar. Nosotros operamos
zonas firmadas desde hace 4 años y, la verdad, no sufrimos nada.
La clave es automatizar lo más posible y ser prolijos con la gestión de
los rollovers.
Disclaimer: las zonas nuestras son 'fáciles', ya que o bien son chicas,
o son zonas reversas de algunos varios miles de registros pero que
cambian relativamente poco entre publicación y publicación.
Acá en esta lista hay gente de varios ccTLDs de la región que han
firmado sus zonas y que no no se ve que hayan sufrido de gran manera
(han seguro trabajado mucho para firmar, pero despues de logrado, es
algo mantenible)
Creo que los temores sobre costo o peso de DNSSEC se basan en las
primeras experiencias donde no habían herramientas que permitieran
automatizar y había en general mucha menos experiencia.
s2
-Carlos
On 1/26/16 5:58 PM, Iván Arce wrote:
> no me genera temor, me genera rechazo. No veo qué valor agrega a DNS o,
> para ser más preciso, creo que el valor que agrega es ínfimo comparado
> con el costo que impone. Por eso, entre otras cosas, es que coincido con
> el diagnóstico de Ptacek. Como explique antes, me parece una cuestión de
> necesidad política y de negocios no una solución tecnológica adecuada
> para un problema concreto.
>
> ..por lo menos así lo veo yo...
>
>
> saludos,
>
> -ivan
>
>
> 2016-01-26 13:52 GMT-03:00 Christian O'Flaherty
> <christian.oflaherty en gmail.com <mailto:christian.oflaherty en gmail.com>>:
>
> >
> > Sinceramente, yo ya hace años que perdí todo interés en debatir sobre las
> > cualidades técnicas de DNSSEC, considero su despliegue como algo ya
> > imparable, una desgracia inevitable, con la misma certeza del envejecimiento
> > y la muerte de todo lo viviente.
>
> no debería generar temor si pensamos a DNSSEC como un adicional que
> agrega valor al DNS. Solo será necesario cambiar algo para los que
> necesitan esa funcionalidad. Puede ser una minoría la que necesite
> DNSSEC, pero puede ser muy útil para esos.
>
> El lado bueno de DNSSEC, es que esa funcionalidad adicional (confiar
> en la respuesta) te puede habilitar nuevos servicios. DANE es un buen
> ejemplo (y que el dueño de un dominio pueda publicar un certificado).
> Lamentablemente esto fue en contra de las CA y lograron frenarlo para
> HTTPS (los browser no lo incorporaron). Habrá otros usos para DANE...
>
> Los algoritmos usados ahora pueden ser débiles pero DNSSEC en eso es
> abierto...
> Coincido con las posibilidades de DoS adicionales. Seguramente tendrán
> solución a medida que aparezcan los problemas. También habrá que estar
> atentos a las posibilidades de amplificación de tráfico.
>
> Con respecto a la "centralización" de la raíz, y mirando el tema con
> optimismo... DNSSEC podría ayudar. Por que necesitamos servidores
> raíz? Qué tal si distribuimos la zona usando rsync, ftp, scp, http,
> etc. y cuando instalamos un BIND o similar nos ocupamos de configurar
> esa actualización del archivo raiz (no tiene que ser muy seguido).
> Teniendo la zona (bien) firmada por IANA uno podría confiar en el
> archivo aunque venga por bittorrent :-)
>
> Christian
>
> > Me involucré en este thread porque me pareció que podia aportar una visión
> > un poco distinta que enriquezca la discusión... y porqué sé que Fernando,
> > que es un pillo, mandó ese post original para provocarme :P
> >
> >
> > saludos,
> >
> > -ivan
> >
> >
> > 2016-01-25 17:43 GMT-03:00 Carlos M. Martinez <carlosm3011 en gmail.com <mailto:carlosm3011 en gmail.com>>:
> >>
> >>
> >> Tomando un poquito de distancia, también hay un facilismo importante en
> >> quejarse a posteriori de las cosas. Es re-fácil criticar con el diario
> >> del lunes. Seguro que hay cosas para mejorar en DNSSEC (y en el 100% de
> >> los protocolos y estándares técnicos), pero todos estos estándares y
> >> protocolos son construcciones iterativas e incrementales.
> >>
> >> El "perfecto enemigo de lo bueno" es uno de las principales cosas que
> >> hay que evitar, porque conduce inevitablemente a la parálisis.
> >>
> >> s2
> >>
> >> C.
> >>
> >>
> >
> > _______________________________________________
> > Seguridad mailing list
> > Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
> > https://mail.lacnic.net/mailman/listinfo/seguridad
> >
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
Más información sobre la lista de distribución Seguridad