Implementação do DNSSEC      Wilson Rogério Lopes          wlopes@ig.com           http://tisora.com.br         GTER 32 - ...
DNSSEC no iG Domínio ig.com.br assinado em 14 de maio de 2011 Primeiro portal brasileiro a ter o domínio assinadodomínio:i...
AgendaPremissasDNS Autoritativo    Política de chaves e assinaturas    Infraestrutura, ferramentas e operação    Estatísti...
PremissasOperação DNSSEC não pode ser um problema operacionalProcesso alinhado com a gerência de mudançasConfiabilidade e ...
Política de chaves e assinaturasKSK RSASHA1 1024 bits Assina todo o conteúdo da zona Rollover a cada 12 meses - método dou...
Autoritativo - Infraestrutura
Autoritativo - FerramentasPdnsadmin – Desenvolvimento interno Administração de zonas/registros Validação Provisionamento d...
Autoritativo - FerramentasVerisign DNSSEC Analyzer   http://dnssec-debugger.verisignlabs.com
Autoritativo - Estatísticas
Autoritativo - Estatísticas
Autoritativo - Estatísticas
Recursivo - InfraestruturaAtende aos clientes do dial iG   Alguns milhares de clientes simultâneosAncorada chave da raiz -...
Recursivo - Infraestrutura
Recursivo - EstatísticasCPU  Aumento de consumo não relevante neste ambiente   Devido à...   90% das queries em cache   Os...
Recursivo - Estatísticas
OBRIGADO !Wilson Rogério LopesGerência de Datacenterwlopes@ig.comnoc@ig.com
Próximos SlideShares
Carregando em…5
×

Implementação do DNSSEC no iG

268 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
268
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
1
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Implementação do DNSSEC no iG

  1. 1. Implementação do DNSSEC Wilson Rogério Lopes wlopes@ig.com http://tisora.com.br GTER 32 - 12/2011
  2. 2. DNSSEC no iG Domínio ig.com.br assinado em 14 de maio de 2011 Primeiro portal brasileiro a ter o domínio assinadodomínio:ig.com.brentidade: Internet Group do Brasil SAservidor DNS: dnssec1.ig.com.brstatus DNS: 26/11/2011 AAúltimo AA: 26/11/2011servidor DNS: dnssec2.ig.com.brstatus DNS: 26/11/2011 AAúltimo AA: 26/11/2011record DS: 56476 RSA/SHA-1FFC9F99278B14E76733A85...status DS: 24/11/2011 DSOK
  3. 3. AgendaPremissasDNS Autoritativo Política de chaves e assinaturas Infraestrutura, ferramentas e operação EstatísticasDNS Recursivo Infraestrutura EstatísticasConsiderações Finais
  4. 4. PremissasOperação DNSSEC não pode ser um problema operacionalProcesso alinhado com a gerência de mudançasConfiabilidade e Monitoração Manter a confiabilidade da infra de DNSReassinatura/Rollover automatizadosEscalabilidade
  5. 5. Política de chaves e assinaturasKSK RSASHA1 1024 bits Assina todo o conteúdo da zona Rollover a cada 12 meses - método double-signRRSIGs – assinaturas válidas por 30 diasReassinatura automática
  6. 6. Autoritativo - Infraestrutura
  7. 7. Autoritativo - FerramentasPdnsadmin – Desenvolvimento interno Administração de zonas/registros Validação Provisionamento de zonas via rndc Email notificando as alteraçõesValidações antes de cada publicação Integridade da zona Número de registros alterados Existência de registros importantesDSC – DNS Statistics Collector Clara visualização do uso do DNSSEC
  8. 8. Autoritativo - FerramentasVerisign DNSSEC Analyzer http://dnssec-debugger.verisignlabs.com
  9. 9. Autoritativo - Estatísticas
  10. 10. Autoritativo - Estatísticas
  11. 11. Autoritativo - Estatísticas
  12. 12. Recursivo - InfraestruturaAtende aos clientes do dial iG Alguns milhares de clientes simultâneosAncorada chave da raiz - Rollover automáticoPreocupações Servidores CPU - Custo da criptografia Memória - RRSET + RRSIG EDNS0 – Evitar aumento de consultas via TCP Clientes Latência nas respostas MTU – Clientes via túnel L2TP
  13. 13. Recursivo - Infraestrutura
  14. 14. Recursivo - EstatísticasCPU Aumento de consumo não relevante neste ambiente Devido à... 90% das queries em cache Os domínios mais consultados não estão assinados Cache dos registros já validados – DS, DNSKEY, RRSIGENDS0 – edns-udp-sizeMTU - max-udp-size
  15. 15. Recursivo - Estatísticas
  16. 16. OBRIGADO !Wilson Rogério LopesGerência de Datacenterwlopes@ig.comnoc@ig.com

×