DNSSEC in the Reverse Tree @LACNIC Carlos Martinez - @carlosm3011 - - PowerPoint PPT Presentation

dnssec in the reverse tree lacnic
SMART_READER_LITE
LIVE PREVIEW

DNSSEC in the Reverse Tree @LACNIC Carlos Martinez - @carlosm3011 - - PowerPoint PPT Presentation

Apr 06, 2023 352 likes •476 views

DNSSEC in the Reverse Tree @LACNIC Carlos Martinez - @carlosm3011 Why DNSSEC ? Securing the DNS system is both necessary and, right now, doable Root signed since 2010 No

slide-1
SLIDE 1

DNSSEC ¡in ¡the ¡Reverse ¡Tree ¡ @LACNIC

Carlos ¡Martinez ¡-­‑ @carlosm3011

slide-2
SLIDE 2

Why ¡DNSSEC ¡? ¡

  • Securing ¡the ¡DNS ¡system ¡is ¡both ¡necessary ¡

and, ¡right ¡now, ¡doable

– Root ¡signed ¡since ¡2010 – No ¡excuses!

  • A ¡signed ¡DNS ¡tree ¡can ¡also ¡be ¡an ¡enabler for ¡

new ¡applications

– DANE ¡WG

  • DNSSEC ¡does ¡not ¡solve ¡every problem ¡in ¡the ¡

DNS ¡system

– But ¡it ¡certainly ¡helps ¡a ¡lot

slide-3
SLIDE 3

DNSSEC ¡@LACNIC: ¡Timeline

  • 4Q ¡2010 ¡– 2Q ¡2011

– Training, ¡study, ¡tool ¡testing

  • 3Q ¡2011 ¡– 1Q ¡2012

– Experimental ¡zone ¡signing ¡

  • <lacnic>.ip6.arpa
  • A ¡few ¡forward ¡zones

– Trial ¡key ¡rollovers ¡and ¡technical ¡definitions

  • 4Q ¡2012 ¡– 1Q ¡2013

– Reverse ¡zones ¡signed ¡in ¡production

slide-4
SLIDE 4

DNSSEC ¡@LACNIC: ¡Status

  • Status ¡of ¡DNSSEC ¡in ¡the ¡reverse ¡tree ¡

@LACNIC:

– Reverse ¡zones ¡for ¡IANA-­‑allocated ¡LACNIC ¡space ¡ signed

  • ERX ¡/ ¡Legacy ¡depending ¡on ¡majority ¡holder

– DS ¡records ¡from ¡members

  • Currently ¡we ¡can ¡insert ¡DS ¡records ¡manually, ¡for ¡testing ¡

purposes

  • Please ¡do ¡
slide-5
SLIDE 5

Signer ¡Architecture

  • Hidden ¡signer ¡plus ¡public ¡masters
slide-6
SLIDE 6

DNSSEC ¡on ¡the ¡Cheap

  • Unless ¡your ¡zones ¡are ¡extremely ¡large, ¡you ¡

don’t ¡need ¡a ¡huge ¡investment ¡to ¡use ¡DNSSEC

  • Software

– BIND ¡9.9 – OpenDNSSEC – … ¡others ¡as ¡well

  • Hardware

– Almost ¡any ¡Linux ¡server ¡will ¡do ¡

slide-7
SLIDE 7

DNSSEC ¡on ¡the ¡Cheap ¡(II)

  • A ¡‘hidden ¡signer’ ¡setup ¡provides ¡a ¡reasonably ¡

secure ¡setup ¡without ¡huge ¡investments

dnssec-hs1 dns2.isp.net dns1.isp.net

slide-8
SLIDE 8

DNSSEC ¡on ¡the ¡Cheap

  • DNSSEC ¡Signing ¡in ¡the ¡Cloud

With ¡the ¡availability ¡of ¡not-­‑so-­‑expensive ¡cloud ¡ servers, ¡DNSSEC ¡signing ¡in ¡the ¡cloud ¡is ¡an ¡option

  • Example ¡setup

– Example ¡domain ¡“secure.xt6.us” – DNS ¡Servers: ¡ns2.he.net, ¡ns3.he.net ¡(thanks ¡ @HurricaneElectric!) – Hidden ¡signer: ¡“stratus.labs.lacnic.net”, ¡a ¡virtual ¡ server ¡hosted ¡@Rackspace

slide-9
SLIDE 9

Final ¡Remarks

  • The ¡root ¡is ¡signed! ¡Make ¡good ¡use ¡of ¡it!

– No ¡need ¡for ¡static, ¡out-­‑of-­‑band ¡trust ¡anchors – Making ¡the ¡DNS ¡more ¡secure ¡is ¡our ¡duty ¡as ¡ technical ¡community

  • Useful ¡signing ¡performance ¡is ¡possible ¡even ¡

with ¡commodity ¡hardware

– Unless ¡your ¡zones ¡are ¡really ¡huge

  • NSEC ¡vs NSEC3 ¡in ¡the ¡reverse ¡space? ¡

– NSEC3 ¡doesn’t ¡seem ¡to ¡make ¡a ¡lot ¡of ¡sense ¡here

slide-10
SLIDE 10

THANK YOU!