Sitio de Jorge Reyes Pérez

Ayer, 15 de julio de 2010 —dos semana después de la fecha original programada - 1 de julio— y como estaba programado, se comenzó a utilizar por todos los servidores raíz la Zona Raíz firmada.

Mis servidores DNS — ns1.dnssecns.net y ns2.dnssecns.net— recibieron la primera Zona Raíz firmada, con el número de serie 2010071501, a las 20:52UTC y 20:24UTC respectivamente, como se ve en los records de syslog y como estaba previsto que ocurriera entre las 19:30UTC y las 23:30UTC.

Jul 15 23:52:13 ftp named[2802]: zone ./IN: Transfer started.
Jul 15 23:52:15 ftp named[2802]: zone ./IN: transferred serial 2010071501

Jul 15 23:24:51 server2 named[10600]: zone ./IN: Transfer started.
Jul 15 23:24:53 server2 named[10600]: zone ./IN: transferred serial 2010071501

A continuación expongo la parte de la Zona Raíz firmada que se refiere a la misma Zona Raíz.

$ORIGIN .
$TTL 86400	; 1 day
@			IN SOA	a.root-servers.net. nstld.verisign-grs.com. (
				2010071501 ; serial
				1800       ; refresh (30 minutes)
				900        ; retry (15 minutes)
				604800     ; expire (1 week)
				86400      ; minimum (1 day)
				)
			RRSIG	SOA 8 0 86400 20100722000000 (
				20100714230000 41248 .
				iJEabLsGHtCq8qrfSbMIjzPpBLqXa0aD5cBsIp9Sf/NF
				0VJQQ4nl/v+j6NR6/KClkAz2VviWE4hLDzMWcil5qzZJ
				LvqduDedk3QV+mBKNy3OVPdNIeyxK/nYtxVBJMKbynJ8
				pBm0vAL3TW1+0JEfD7IG0do5t84+32hQd9MbVn0= )
$TTL 518400	; 6 days
			NS	a.root-servers.net.
			NS	b.root-servers.net.
			NS	c.root-servers.net.
			NS	d.root-servers.net.
			NS	e.root-servers.net.
			NS	f.root-servers.net.
			NS	g.root-servers.net.
			NS	h.root-servers.net.
			NS	i.root-servers.net.
			NS	j.root-servers.net.
			NS	k.root-servers.net.
			NS	l.root-servers.net.
			NS	m.root-servers.net.
			RRSIG	NS 8 0 518400 20100722000000 (
				20100714230000 41248 .
				ohs6B6xof3LrglEMni5/gz9NY5M8MWx0qNVpzo8Smzdq
				hA4gUGTzHW2O9kz7ZqZLZq6LXUF2Qg2eYoY9rfBjajq0
				PSZIzkpwWGVIF2hQnbtiDUwSRR/RliyBUsGyvom7LNug
				+527vQCCEu9GNWS9rSgqo2HY44+CYjqo0mpFY58= )
$TTL 86400	; 1 day
			NSEC	ac. NS SOA RRSIG NSEC DNSKEY
			RRSIG	NSEC 8 0 86400 20100722000000 (
				20100714230000 41248 .
				hRFnAY9bkRYKSVlnz8E1mG9QqRdoiK1UoMdPBO/mowHz
				JINUcFPYPXNSMt74pesK7B0FAu4jEvzG+rXgD0D0e+t9
				RQXQLVYTMHIdA2qN6x+ujFV/atbuVs+R8TAMUs1YO8fv
				FxWC/Be/eI63fzQXi7vy/kYOvujQF74jyjA8Es4= )
			DNSKEY	256 3 8 (
				AwEAAb1gcDhBlH/9MlgUxS0ik2dwY/JiBIpV+EhKZV7L
				ccxNc6Qlj467QjHQ3Fgm2i2LE9w6LqPFDSng5qVq1OYF
				yTBt3DQppqDnAPriTwW5qIQNDNFv34yo63sAdBeU4G9t
				v7dzT5sPyAgmVh5HDCe+6XM2+Iel1+kUKCel8Icy19hR
				) ; key id = 41248
			DNSKEY	257 3 8 (
				AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
				bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
				/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
				JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
				oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
				LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
				Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
				LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
				) ; key id = 19036
			RRSIG	DNSKEY 8 0 86400 20100725235959 (
				20100711000000 19036 .
				I4cENgcWP+mN7eoX8KqPhvOMcGB0MMOB6ooTbEKHPR9g
				k6sAcJvq04tCncwBNiMY3JxzHajsLmMermTL0sVmXj8j
				6Ba3eTX+t4CsdnUBFfk8zDyblIIlYwWKZ/x2aXmOjKIK
				MIC9w8Wnt8awoo45MWzlAT2wGU7gcCAKxJ+OFG/ev8eU
				XpNxpzRIQvuC7ZGOlELJrrTQCgubyMWOjGaY0MPzrei0
				Uwe92autHPcISBKghnp80zfLmkueSO8qmkbwHn6Jg5vF
				Q7mG/BKJ5mDXCX5kIjfBQPPe+I2FsGnl+2r9yAmT1n7x
				LzktKRwKpCwE265EUhDMq7e0P7gFkhgEPA== )

Continuar leyendo "Nace una estrella" »

Publicado por Jorge Reyes Pérez a las 10:40 PM
| Enlace permanente | Comentarios (0) |

En el centro (parado) - Mehmet Akcin, Critical Infrastructure Engineer, DNS Group, a la derecha -Richard Lamb, DNSSEC Program Manager, dando inicio a la KSK Ceremonia2.

Como he explicado anteriormente, DNSSEC es la capa de seguridad que se ha añadido al Sistema de Nombres de Dominios (Domain Name System—DNS), que consiste en firmar con llaves (claves) criptográficas los datos de los dominios (zona) y de esta forma autenticar los datos de la misma y que, por consiguiente, éstos no han sido alterados. Y como el DNS comienza con la Zona Raíz, la cadena de verificaciones de firmas comienza precisamente por ella, creando lo que se ha dado en llamar la cadena de autenticación, y la llave con la que se firmó la llave para firmar la Zona Raíz—el ancla de confianza (trust anchor, ing.).

La Zona Raíz es un fichero de texto, con un formato determinado, que contiene el listado de todos los dominios de primer orden - TLD—Top-level domain (Dominio de nivel superior) (.net, .com, .org, .cu, .bg, .es, … etc) de Internet. Ésta se actualiza por el ICANN (Internet Corporation for Assigned Names and Numbers) - más exactamente por su dependencia—IANA, en base a la información procesada y verificada que recibe de lo operadores de los TLD; luego el ICANN (IANA) remite un pedido de autorización para su publicación al U.S. DoC NTIA (United States Department of Comerce—National Telecommunications and Information Administartion) y después de concedido, el ICANN (IANA) transmite la Zona Raíz actualizada a la empresa VeriSign que es la encargada de mantener y firmar la Zona Raíz y distribuir ésta a los otros 11 operadores de servidores raíz, que en su conjunto operan 13 grupos de servidores raíz.

VeriSign firma la Zona Raíz con la llave ZSK (Zone Signing Key—Llave para firmar la zona); está establecido que VeriSign debe cambiar ésta cada tres meses. Pero antes de poner en uso una llave ZSK, VeriSign la debe mandar al ICANN para que éste la firme con su KSK (Key Signing Key - Llave para firmar llave) y es la ZSK firmada la que se utiliza para firmar la Zona Raíz jajajaja, ¿un poco engoroso. eh?. Y es precisamente al proceso de firmar la ZSK de VeriSign por parte del ICANN lo que se ha dado en llamar - KSK Ceremonia. Ésta se ejecuta según la Guía de la KSK Ceremonia de la Zona Raíz DNSSEC.

La Primera KSK Ceremonia (KSK Ceremony) tuvo lugar el 16 de junio de 2010 a las 13:00EDT (17:00UTC, 19:00CEDT, 20:00EEDT—Bulgaria), en las instalaciones de la Costa Este del ICANN en 18155 Technology Drive, Culpeper, VA 22701-3805. Y como ésta fue la primera ceremonia para firmar la primera ZSK de VeriSign, lo primero que se hizo fue generar la primera llave KSK y luego firmar con ella la ZSK que se utilizará durante el tercer trimestre de 2010—desde el 15 de julio de 2010 hasta el 30 de septiembre de 2010.
Fotos de esta ceremonia pueden ver aquí.

Continuar leyendo "KSK Ceremonia" »

Publicado por Jorge Reyes Pérez a las 9:33 PM
| Enlace permanente | Comentarios (0) |

El 12 de julio de 2010, a las 13:00PDT (20:00UTC, 22:00CEDT, 23:00EEDT), en las Instalaciones de la Costa Oeste del ICANN en El Segundo, CA 90245, se efectuará la segunda ceremonia KSK para la zona raíz. Éste será el último paso para la implementación de DNSSEC en el directorio raíz que será firmado y comenzará su uso en los servidores raíz a partir del 15 de julio de 2010.
Las imágenes en directo de esta ceremonia se podran ver en
http://dns.icann.org/ksk/stream/

Publicado por Jorge Reyes Pérez a las 4:19 PM
| Enlace permanente | Comentarios (0) |

Internet (la Red) es un organismo vivo, es un cúmulo de tecnologías que interactúan entre sí y se complementan. Con el paso del tiempo, algunas se hacen obsoletas y se dejan de aplicar, desaparecen; otras nuevas aparecen para responder a nuevas y crecientes necesidades para el tráfico en la Red y, en el tercer caso, a muchas de las que se utilizan, se les agregan posibilidades, funcionalidades y características nuevas.

El Sistema de Nombres de Dominios (Domain Name System - DNS), es una de las piedras angulares del funcionamiento de Internet, sin el cual éste no podría funcionar. DNS - es una base de datos distribuída por todos los servidores DNS dispersos por la Red, en cuyos registros se asocian las direcciones IP de las computadoras con los nombres de dominio. Pero DNS cojea en lo que a seguridad informática se refiere. Este problema de seguridad no es sólo del DNS, sino de la Red en general.

Internet fue creada y diseñada por los medios académicos de los E.E.U.U. (financiado por los militares), por personas serias y sin malas intenciones - la seguridad nunca fue un factor determinante en su diseño y construcción, a nadie se le ocurría hacer trampas. Las redes de computadoras de las universidades comenzaron a enlazarse unas con otras, le siguieron algunas redes de grandes empresas - la caja de Pandora se había abierto, Internet crecía con impetud y se extendía por toda la Tierra.

Es entonces cuando aparecen los malos y comienzan las prácticas indebidas y criminales en la Red. Internet tenía que reajustarse, había que crear tecnologías de seguridad. Es así como a finales de los años 90 comienza la creación de las Extensiones de Seguridad de DNS (DNS Security Extensions - DNSSEC), comienza su implementación limitada por las organizaciones que administran el funcionamiento de Internet para probarlas y hacer correcciones antes de aplicarlas a toda la Red. En 2007, Suecia y Bulgaria fueron los primeros países que implementaron DNSSEC en sus respectivos dominios (.se y .bg) y desde entonces va creciendo el número de dominios que aplican DNSSEC.

Como culminación y para su aplicación total en todo el Sistema de Nombres de Dominios, el 15 de julio, dentro de diez días, estará a disposición de todos los servidores DNS de la Red el directorio raíz firmado de todos los dominios de primer nivel de Internet. Recuerden esa fecha porque marcará un hito en la historia de Internet.
Después de esta introducción y evitando tecnicismos, llegamos al asunto en cuestión. Aplicar DNSSEC no es tarea fácil e implica a todos los administradores de red a todos los niveles. En muchos casos habrá que pasar a versiones nuevas de los programas/servidores que tienen las funcionalidades de DNSSEC; en otros casos habrá que pasarse a otro programa/servidor que tienen las funcionalidades de DNSSEC; en otros casos habrá que levantar nuevos servidores de DNS y lo fundamental - los administradores de redes tendrán que olvidarse de los días cómodos del DNS elemental y ponerse a estudiar las nuevas normas de DNSSEC y aplicarlas. La seguridad en Internet es una guerra y los administradores de red tenemos la obligación de proteger a nuestros usuarios y clientes.

Continuar leyendo "GoDaddy da marcha atrás" »

Publicado por Jorge Reyes Pérez a las 8:25 PM
| Enlace permanente | Comentarios (0) |

Después del éxito de la película inglesa St. Trinian's (Supercañeras: El internado puede ser una fiesta), apareció la segunda parte titulada St Trinian's 2: The Legend Of Fritton's Gold (St. Trinian's 2: La leyenda del oro de los Fritton). Sin embargo, resulta que ese baúl contiene ....... stotinkis búlgaros (centavos) :-)), monedas de 2 stotinkis. Aquí en Bulgaria nos estamos muriendo de la risa. ¿De dónde sacó el director de la película esas imágenes? 2 stotinkis equivalen a un céntimo de Euro; además la emisión de 1999 es de Cu-Al-Ni (cobre, aluminio y níquel) y las emisiones de 2000 y 2002 son con un núcleo de acero con una cubierta electrolítica - el oro brilla por su ausencia.

Aquí les pongo el trailer de St Trinian's 2: The Legend Of Fritton's Gold (St. Trinian's 2: La leyenda del oro de los Fritton) y si paran el video en el minuto 0:43, verán claramente los stotinkis.

Publicado por Jorge Reyes Pérez a las 1:57 PM
| Enlace permanente | Comentarios (1) |