Embed Size (px)
Citation preview
| 1
Tópicos sobre DNS e o seuprovedor na ICANN.
Episódio de hoje: Hyperlocal
Maio 2019IX Fórum Regional – Curitiba PR
Daniel Fink [email protected]
| 2| 2
O que é a ICANN?
| 3| 3
Corporaçãoda Internet
para Designaçãode Nomese Números
ICANN
| 4
Nossos parceiros
The Internet Corporation for AssignedNames andNumbers
ISOC
DomainName
System Operators
Root Server
Operators
NIC.brCGI.br
MRE
Latin America and Caribbean
Network Information
Center
International Organization for Standardization
World Wide Web Consortium
Institute of Electrical and Electronics Engineers
American Registry for
Internet Numbers
Réseaux IP Européens
Network Coordination
Centre
ISPs
Em coordenação com nossos parceiros, ajudamos a fazer a Internet funcionar.
Outros
OutrosOutros
| 5
Missão da ICANN
Coordena atribuiçõesna zona-raiz do DNS
Facilita a coordenação da operação e evolução dos servidores raiz do DNS
Colabora com outras entidades para prover registrosnecessários para o funcionamento da Internet de acordocom especificações.
Coordena políticas para nomes de dominio de segundo nível em gTLDs
Coordena a distribuiçãode blocos IP e númerosde AS
1
3
5
2
4
A missão da Corporação da Internet para Designação de Nomese Números (ICANN) é garantir a operação estável e segura dos
sistemas de identificadores exclusivos da Internet.Especificamente, a ICANN:
| 6
Estrutura da ICANN
| 7
O grupo dos provedores na ICANN
Representa o setor de conectividade, contribui nas diversasdiscussões técnicas e macropolíticas:
¤ Impacto do lançamento de novos nomes de domíniogenéricos¤ Universal Acceptance¤ Impactos dos novos gTLD’s
| 8
Seja um membro: www.ispcp.info
| 10
O que é DNSSEC?
¤ DNSSEC = “DNS Security Extensions”
¤ É um protocolo que está sendo
implantado atualmente para proteger
o Sistema de Nomes de Domínio
(DNS).
¤ O DNSSEC adiciona segurança ao
DNS ao incorporar criptografia de
chave pública na hierarquia do DNS,
resultando em uma PKI (Public Key
Infrastructure, infraestrutura de chave
pública) única e aberta para nomes de
domínio.
¤ Resultado de mais de uma década de
desenvolvimento de padrões abertos
| 11
Criptografia de Chave Pública e DNSSEC
| 12
Uso global de validação DNSSEC
https://stats.labs.apnic.net/dnssec/XA?hc=XA&hx=1&hg=0&hr=1&w=30&g=1
| 13| 13
Alternativa ao IMRSHyperlocal
| 14
Servidores Raiz e Operadores
A VerisignB University of Southern California Information Sciences InstituteC Cogent Communications, Inc.D University of MarylandE United States National Aeronautics and Space Administration
(NASA) Ames Research CenterF Information Systems Consortium (ISC)G United States Department of Defense (US DoD)
Defense Information Systems Agency (DISA)H United States Army (Aberdeen Proving Ground)I Netnod Internet Exchange i SverigeJ VerisignK Réseaux IP Européens Network Coordination Centre (RIPE NCC)L Internet Corporation For Assigned Names and Numbers (ICANN)M WIDE Project (Widely Integrated Distributed Environment)
| 15
Instâncias Anycast (aprox. 1000 cópias)
RFC 1546 1993
à No Brasil: 14 instaladaspelo NIC.br
| 16
E se mesmo assim algo der errado?
Ameaça de DDoSCapacidade de ataque > mecanismos de defesa
AlternativaDiminuir dependência dos servidores recursivos aosservidores raiz.
Como?Manter e usar uma cópia local da zona raiz
à Hyperlocal RFC 7706 2015
| 17
Hyperlocal
1 Cópia da Zona Raizjunto ao recursivo.
2 Consultas maisrápidas e discretas.
3 DNSSEC cada vezmais importante.
4 Como baixar a zona raiz de forma segura.
5 ‘Framework’ seráapresentado 2019
6 Arquivos de zona nãosão confidenciais
| 18
Exemplos de configuração
RFC 7706
1. BIND 9.9– Recursivo e Autoritativo
2. Unbound 1.4 and NSD 4– Softwares diferentes
3. Microsoft Windows Server 2012– Recursivo e Autoritativo
https://tools.ietf.org/html/draft-ietf-dnsop-root-loopback-05
