SlideShare uma empresa Scribd logo

Implementação do DNSSEC no iG

Wilson Lopes, profile picture
Wilson Lopes

O documento discute a implementação do DNSSEC no domínio ig.com.br, sendo o primeiro portal brasileiro a assinar seu domínio. Detalha a política e infraestrutura de chaves, ferramentas de administração e monitoramento, e estatísticas do desempenho dos servidores autoritativos e recursivos após a implantação.

1 de 16
Baixar para ler offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Implementação do DNSSEC Wilson Rogério Lopes wlopes@ig.com http://tisora.com.br GTER 32 - 12/2011
DNSSEC no iG Domínio ig.com.br assinado em 14 de maio de 2011 Primeiro portal brasileiro a ter o domínio assinado domínio:ig.com.br entidade: Internet Group do Brasil SA servidor DNS: dnssec1.ig.com.br status DNS: 26/11/2011 AA último AA: 26/11/2011 servidor DNS: dnssec2.ig.com.br status DNS: 26/11/2011 AA último AA: 26/11/2011 record DS: 56476 RSA/SHA-1FFC9F99278B14E76733A85... status DS: 24/11/2011 DSOK
Agenda Premissas DNS Autoritativo Política de chaves e assinaturas Infraestrutura, ferramentas e operação Estatísticas DNS Recursivo Infraestrutura Estatísticas Considerações Finais
Premissas Operação DNSSEC não pode ser um problema operacional Processo alinhado com a gerência de mudanças Confiabilidade e Monitoração Manter a confiabilidade da infra de DNS Reassinatura/Rollover automatizados Escalabilidade
Política de chaves e assinaturas KSK RSASHA1 1024 bits Assina todo o conteúdo da zona Rollover a cada 12 meses - método double-sign RRSIG's – assinaturas válidas por 30 dias Reassinatura automática
Autoritativo - Infraestrutura
Autoritativo - Ferramentas Pdnsadmin – Desenvolvimento interno Administração de zonas/registros Validação Provisionamento de zonas via rndc Email notificando as alterações Validações antes de cada publicação Integridade da zona Número de registros alterados Existência de registros importantes DSC – DNS Statistics Collector Clara visualização do uso do DNSSEC
Autoritativo - Ferramentas Verisign DNSSEC Analyzer http://dnssec-debugger.verisignlabs.com
Autoritativo - Estatísticas
Autoritativo - Estatísticas
Autoritativo - Estatísticas
Recursivo - Infraestrutura Atende aos clientes do dial iG Alguns milhares de clientes simultâneos Ancorada chave da raiz - Rollover automático Preocupações Servidores CPU - Custo da criptografia Memória - RRSET + RRSIG EDNS0 – Evitar aumento de consultas via TCP Clientes Latência nas respostas MTU – Clientes via túnel L2TP
Recursivo - Infraestrutura
Recursivo - Estatísticas CPU Aumento de consumo não relevante neste ambiente Devido à... 90% das queries em cache Os domínios mais consultados não estão assinados Cache dos registros já validados – DS, DNSKEY, RRSIG ENDS0 – edns-udp-size MTU - max-udp-size
Recursivo - Estatísticas
OBRIGADO ! Wilson Rogério Lopes Gerência de Datacenter wlopes@ig.com noc@ig.com

Mais conteúdo relacionado

PPTX
DNS - Domain Name System
Carlos Rodrigo de Araujo
 
PPTX
Filtro de conteúdo Proxy
Carlos Rodrigo de Araujo
 
PPS
Discurso De Gervasio Sanchez
arturo mendoza
 
PPT
Web 2.0
poloman
 
PPTX
AmoOR!*
guest453510
 
PDF
Plan De P..
guestad3b9be6
 
PPT
Tic ProjectProyecto TIC en un centro educativo
Borja Riobó
 
PPT
group argument (فعالیت بحث گروهی
Farkhondeh parsa
 
DNS - Domain Name System
Carlos Rodrigo de Araujo
 
Filtro de conteúdo Proxy
Carlos Rodrigo de Araujo
 
Discurso De Gervasio Sanchez
arturo mendoza
 
Web 2.0
poloman
 
AmoOR!*
guest453510
 
Plan De P..
guestad3b9be6
 
Tic ProjectProyecto TIC en un centro educativo
Borja Riobó
 
group argument (فعالیت بحث گروهی
Farkhondeh parsa
 

Destaque (20)

PPT
Simple Car
Farkhondeh parsa
 
PPT
Web 2.0
guest6ca9fd
 
PPTX
Cuadros y graficas 2
IE Simona Duque
 
PPTX
Maria isabel giraldo gomez
IE Simona Duque
 
XLSX
Viviana ramirez 9e
IE Simona Duque
 
PDF
Nuevo presentación de microsoft power point
IE Simona Duque
 
PPT
gtaIV
sensurados09
 
PPT
Calentamiento Global
guest9d72d2
 
PPS
Nature's Natural Beauty
Gretacalinda
 
DOCX
Formato de proyectos daniel rincon
IE Simona Duque
 
PPTX
Johan alexis el mejor mecanico
IE Simona Duque
 
PPS
Fantasy Illusions
Gretacalinda
 
DOCX
Williams shakespiare
ucv
 
DOCX
Ddddaaavvvviiiiddd
IE Simona Duque
 
PDF
Boletim BE Junho 2010
EB2 Mira
 
PPS
Adv 1 a 10 regina
Olga López Míguez
 
PPSX
Wildlife Beauty
Gretacalinda
 
PPT
Inteligencia Artificial
Mry Zamora
 
PDF
Cya grunt.js, hello gulp.js
Michael Douglas
 
PDF
Supéria Paraíso
EZTEC
 
Simple Car
Farkhondeh parsa
 
Web 2.0
guest6ca9fd
 
Cuadros y graficas 2
IE Simona Duque
 
Maria isabel giraldo gomez
IE Simona Duque
 
Viviana ramirez 9e
IE Simona Duque
 
Nuevo presentación de microsoft power point
IE Simona Duque
 
gtaIV
sensurados09
 
Calentamiento Global
guest9d72d2
 
Nature's Natural Beauty
Gretacalinda
 
Formato de proyectos daniel rincon
IE Simona Duque
 
Johan alexis el mejor mecanico
IE Simona Duque
 
Fantasy Illusions
Gretacalinda
 
Williams shakespiare
ucv
 
Ddddaaavvvviiiiddd
IE Simona Duque
 
Boletim BE Junho 2010
EB2 Mira
 
Adv 1 a 10 regina
Olga López Míguez
 
Wildlife Beauty
Gretacalinda
 
Inteligencia Artificial
Mry Zamora
 
Cya grunt.js, hello gulp.js
Michael Douglas
 
Supéria Paraíso
EZTEC
 
Anúncio

Implementação do DNSSEC no iG

  • 1. Implementação do DNSSEC Wilson Rogério Lopes wlopes@ig.com http://tisora.com.br GTER 32 - 12/2011
  • 2. DNSSEC no iG Domínio ig.com.br assinado em 14 de maio de 2011 Primeiro portal brasileiro a ter o domínio assinado domínio:ig.com.br entidade: Internet Group do Brasil SA servidor DNS: dnssec1.ig.com.br status DNS: 26/11/2011 AA último AA: 26/11/2011 servidor DNS: dnssec2.ig.com.br status DNS: 26/11/2011 AA último AA: 26/11/2011 record DS: 56476 RSA/SHA-1FFC9F99278B14E76733A85... status DS: 24/11/2011 DSOK
  • 3. Agenda Premissas DNS Autoritativo Política de chaves e assinaturas Infraestrutura, ferramentas e operação Estatísticas DNS Recursivo Infraestrutura Estatísticas Considerações Finais
  • 4. Premissas Operação DNSSEC não pode ser um problema operacional Processo alinhado com a gerência de mudanças Confiabilidade e Monitoração Manter a confiabilidade da infra de DNS Reassinatura/Rollover automatizados Escalabilidade
  • 5. Política de chaves e assinaturas KSK RSASHA1 1024 bits Assina todo o conteúdo da zona Rollover a cada 12 meses - método double-sign RRSIG's – assinaturas válidas por 30 dias Reassinatura automática
  • 7. Autoritativo - Ferramentas Pdnsadmin – Desenvolvimento interno Administração de zonas/registros Validação Provisionamento de zonas via rndc Email notificando as alterações Validações antes de cada publicação Integridade da zona Número de registros alterados Existência de registros importantes DSC – DNS Statistics Collector Clara visualização do uso do DNSSEC
  • 8. Autoritativo - Ferramentas Verisign DNSSEC Analyzer http://dnssec-debugger.verisignlabs.com
  • 12. Recursivo - Infraestrutura Atende aos clientes do dial iG Alguns milhares de clientes simultâneos Ancorada chave da raiz - Rollover automático Preocupações Servidores CPU - Custo da criptografia Memória - RRSET + RRSIG EDNS0 – Evitar aumento de consultas via TCP Clientes Latência nas respostas MTU – Clientes via túnel L2TP
  • 14. Recursivo - Estatísticas CPU Aumento de consumo não relevante neste ambiente Devido à... 90% das queries em cache Os domínios mais consultados não estão assinados Cache dos registros já validados – DS, DNSKEY, RRSIG ENDS0 – edns-udp-size MTU - max-udp-size
  • 16. OBRIGADO ! Wilson Rogério Lopes Gerência de Datacenter wlopes@ig.com noc@ig.com