Basic DNS | WebinarAlberto Soto | Chair, LACRALOCarlos Álvarez | Sr. Manager, Security Engagement16 Abril 2015
| 2
Identificadores únicos de Internet:
Direcciones IP, MAC, dominios
Registro de nombres de
dominio
Resolución de nombres de
dominio
SSR en ICANN: qué hacemos y cómo
1 2
3 4
Temario
1. Identificadores únicos de Internet
Direcciones MAC, direcciones IP y nombres de dominio
| 4
Conectándose a una red local
• Todo dispositivo que se conecta a una red local tiene al menos una dirección MAC
4
Las direcciones MAC son identificadores únicos de 48 bits
Cada dispositivo recibe su dirección MAC al momento de su fabricación
Cada dirección MAC es única (salvo spoofing o falsificaciones)
| 5
Encuentre su dirección MAC
5
Sistema Operativo Método
Windows Ejecute cmd.exe, escriba getmac
Open BSD en Mac OS Xy Linux
Ejecute Terminal, escriba ifconfigbusque “ether xx:xx:xx:xx:xx”
iPhone Settings -> General -> About then scroll to WiFi Address
Android Settings -> About Tablet -> Statusbaje hasta Wi-Fi MAC address
| 6
Conectándose a una red IP
6
• Todo dispositivo que se conecta a una red IP DEBE tener una dirección dentro del Protocolo de Internet (IP)
• Dos clases de direcciones IP– Clase A o IP versión 4: son típicamente
representadas como números decimales separados por puntos. Ej: 192.168.2.1
– Clase AAAA or IP versión 6: son horribles series de caracteres hexadecimales con “:” como separadores. Ej.: fe80::226:bbff:fe11:5b32
6
| 7
Conectándose a Internet
77
• Los dispositivos deben saber cómo conectarse con otros por fuera de su red de área local– Un gateway da esta información usando el protocolo
DHCP (Dynamic Host Configuration Protocol)• Los dispositivos necesitan el gateway para enrutar
tráfico IP hacia y desde destinos en Internet
7
Alguien me ayuda a conectarme a
un red?
Bienvenido! Yo soy su gateway.• Mi dirección es 192.168.4.1• Su dirección IP es
192.168.4.94• Su subred es 255.255.252.0
| 8
Asociando direcciones MAC e IP
• Las direcciones MAC están asociadas al hardware pero las direcciones IP son obtenidas de forma dinámica
• Los dispositivos se pueden comunicar directamente con otros en su misma red local– El Address Resolution Protocol asocia las direcciones MAC
con las IP en la red local
8
Use this command
to see your ARP
table
| 9
Direcciones IP Públicas vs. Privadas
• Su dispositivo debe tener una dirección IP pública única para comunicarse con otros por fuera de su red local
• El enrutador asigna una dirección IP privada a los dispositivos (carrier grade NAT?)
9
ICANNGoogleeBayTwitter
Direcciones IP Privadas Direcciones IP Públicas
Ver RFC 3330 Special Use IP Addresses: https://tools.ietf.org/html/rfc3330
2. Resolución de nombres de dominio
| 11
Leyendo diario El País desde Argentina C:\WINDOWS\system32>tracert www.elpais.es Traza a la dirección a1749.g.akamai.net [23.67.250.136]
1 8 ms 8 ms 14 ms 10.20.128.1 2 10 ms 9 ms 9 ms cpe-181-47-254-33.telecentro-reversos.com.ar [181.47.254.33] 3 13 ms 12 ms 13 ms global-crossing-argentina-s-a.xe-0-1-0.ar3.eze1.gblx.net [208.178.195.210] 4 9 ms 12 ms 10 ms xe-0-1-0.ar3.eze1.gblx.net [208.178.195.209] 5 183 ms 193 ms 185 ms e5-1-70G.ar6.LAX1.gblx.net [67.17.111.65] 6 187 ms 187 ms 186 ms ix-20-0.tcore2.LVW-Los-Angeles.as6453.net [209.58.53.9] 7 221 ms 218 ms * if-2-2.tcore1.LVW-Los-Angeles.as6453.net [66.110.59.1] 8 * 218 ms 218 ms if-3-2.tcore1.PDI-Palo-Alto.as6453.net [66.198.127.25] 9 215 ms 213 ms 217 ms if-1-2.tcore1.NYY-New-York.as6453.net [66.198.127.6] 10 224 ms 226 ms 224 ms if-5-5.tcore1.NTO-New-York.as6453.net [216.6.90.6] 11 232 ms 225 ms 227 ms 63.243.128.10 12 223 ms 217 ms 221 ms a23-67-250-136.deploy.static.akamaitechnologies.com 23.67.250.136] Traza completa.
| 12
Leyendo el diario Le Fígaro desde ArgentinaC:\WINDOWS\system32>tracert www.lefigaro.frTraza a la dirección alteon-figaro.sdv.fr [212.95.67.222]
1 8 ms 12 ms 10 ms 10.20.128.1 2 13 ms 10 ms 8 ms cpe-181-47-254-33.telecentro-reversos.1.47.254.33]3 13 ms 18 ms 12 ms global-crossing-argentina-s-a.xe-0-1-0gblx.net [208.178.195.210] 4 11 ms 10 ms 9 ms xe-0-1-0.ar3.eze1.gblx.net [208.178.19 5 139 ms 145 ms 146 ms te0-7-0-16.ccr21.mia03.atlas.cogentco.4.13.61] 6 140 ms 140 ms 145 ms be2054.ccr21.mia01.atlas.cogentco.com.41] 7 148 ms 156 ms 151 ms be2122.ccr41.atl01.atlas.cogentco.com.193] 8 158 ms 157 ms 159 ms be2170.mpd21.dca01.atlas.cogentco.com.106] 9 158 ms 159 ms 178 ms be2113.ccr41.iad02.atlas.cogentco.com169] 10 236 ms 233 ms 234 ms be2231.ccr41.par01.atlas.cogentco.com.106]11 242 ms 241 ms 239 ms be2246.rcr21.sxb01.atlas.cogentco.com0.33]12 240 ms 243 ms 242 ms sdv-plurimedia.demarc.cogentco.com [14] 13 247 ms 246 ms 243 ms trix4.sdv.fr [212.95.69.240] 14 245 ms 251 ms 247 ms alteon-figaro.sdv.fr [212.95.67.222]
| 13
Domain Name System (DNS)
Como en varios idiomas, comenzamos a leer desde la derecha
uk.org.yourdomain.www
uk = cctld = cross country top level domain
Org = gtld = generic top level domain
Yourdomain = representativo de una persona, organización o empresa
Nombre de dominio = yourdomain.org.uk
URL = www.yourdomain.org.uk
Nombres de dominio
Top level domain
| 14
Domain Name System (DNS) =
Es el sistema que traduce el nombre de dominio (dirección alfanumérica) en una dirección numérica ( dirección IP), y viceversa.
Es decir el DNS RESUELVE nombres de dominio
Qué es el DNS
| 15
Cómo resuelve el DNS• A través de un navegador consulto la página web http://www.laempresa.com.co.• El navegador busca la información del dominio “laempresa.com.co”. • Internet está ordenada en forma de árbol invertido, si no encuentra la información en
su computadora, teléfono, Tablet, play station, reloj inteligente, heladera, etc., irá a buscarla a su Servidor de Conexión (DNS); de no estar, seguirá buscándola a niveles superiores, y en último lugar lo encontrará en un servidor que se denomina Servidor de Nombres Raíz (DNS).
• Todo se hará partiendo de letras (nombre de dominio) que son convertidas a números (direcciones IP) y luego reconvertidas a letras para darme la respuesta.
• Para esto existe un DNS primario (DNS1) que tiene información de dónde se puede buscar la página web solicitada, o una dirección de email (servidor de correo), etc.
• Si el servidor de nombre primario DNS1 no responde por alguna causa, existe un servidor secundario (DNS2).
• Luego de que la información es obtenida, comienza el camino inverso hasta llegar al dispositivo desde el cual hice la consulta y podré acceder a la página web solicitada, viéndola en mi pantalla.
| 16
Cómo funciona el DNS
Hace algunos años, yo desde Buenos Aires escribía una URL (Uniform Resource Locator, en español localizador uniforme de recursos), mi pedido viajaba hasta Estados Unidos, porque allí estaba el servidor de nombres de dominio (DNS) que tenía la información para RESOLVER el nombre de dominio. Luego se instaló un DNS en Buenos, que se actualizaba con el de Estados Unidos y la performance mejoró. Luego, ya no hace tanto tiempo, se instalaron servidores DNS en el interior de la Argentina. Y cada Internet Service provider tiene sus propios DNSs. Mejoró la performance, también se descongestionaron las redes internacionales. (hasta que llegaron Facebook, Twytter, Instagram, por mencionar algunas redes sociales….).
| 17
Lista de Root Servers
Hostname IP Addresses Managera.root-servers.net 198.41.0.4, 2001:503:ba3e::2:30 VeriSign, Inc.
b.root-servers.net 192.228.79.201, 2001:500:84::b University of Southern California (ISI)
c.root-servers.net 192.33.4.12, 2001:500:2::c Cogent Communications
d.root-servers.net 199.7.91.13, 2001:500:2d::d University of Maryland
e.root-servers.net 192.203.230.10 NASA (Ames Research Center)
f.root-servers.net 192.5.5.241, 2001:500:2f::f Internet Systems Consortium, Inc.
g.root-servers.net 192.112.36.4 US Department of Defence (NIC)
h.root-servers.net 128.63.2.53, 2001:500:1::803f:235 US Army (Research Lab)
i.root-servers.net 192.36.148.17, 2001:7fe::53 Netnod
j.root-servers.net 192.58.128.30, 2001:503:c27::2:30 VeriSign, Inc.
k.root-servers.net 193.0.14.129, 2001:7fd::1 RIPE NCC
l.root-servers.net 199.7.83.42, 2001:500:3::42 ICANN
m.root-servers.net 202.12.27.33, 2001:dc3::35 WIDE Project
3. Registro de nombres de dominio
| 19
Requisitos de los nombres de dominio
• Los dominios deben de estar formados tan sólo por letras y números (de la a a la z y del 0 al 9).
• También es válido el guión (-), pero no podrá estar situado como último ni como primer carácter del dominio.
• Los dominios no pueden contener espacios, puntos (., :) ni caracteres especiales como &, %, $, /, (, ), =, ?, ¿, “, !.
| 20
Registro de nombres de dominio
Los dominios deben registrarse:Registro: (del Inglés Registry) Es la base de datos central donde se almacenan todos los nombres de dominio. A esta base de datos tienen acceso los registradores.
Registrador: Es la organización que tiene acceso al Registro y por tanto lleva a cabo el registro de nombres de dominio. Está acreditada ante ICANN.
Registrante: Es la persona o entidad que compra un nombre de dominio, es decir, el propietario de un nombre de dominio.
Detalles para registrar un dominio: http://goo.gl/0YNWlQ
| 21
Registradores
• El sitio www.internic.net operado por ICANN ofrece información general acerca de los servicios de registro de nombres de dominio de Internet.
• Allí está el Directorio de registradores acreditados. • Lista alfabética según el nombre de la empresa u organización, • Lista por ubicación del registrador• Lista por idiomas admitidos).
• Además, ICANN ofrece una tabla con todos los registradores, sus ubicaciones y los diversos TLD que admiten en http://www.icann.org/en/registrars/accredited-list.html.
• También es posible registrar un nombre de dominio por medio de un revendedor que tenga un arreglo comercial con un registrador. ICANN no cuenta con una lista de revendedores de dominio, ya que no tiene ninguna relación contractual con ellos.
| 22
Leyendo diario El País desde Argentina C:\WINDOWS\system32>tracert www.elpais.es Traza a la dirección a1749.g.akamai.net [23.67.250.136]
1 8 ms 8 ms 14 ms 10.20.128.1 2 10 ms 9 ms 9 ms cpe-181-47-254-33.telecentro-reversos.com.ar [181.47.254.33] 3 13 ms 12 ms 13 ms global-crossing-argentina-s-a.xe-0-1-0.ar3.eze1.gblx.net [208.178.195.210] 4 9 ms 12 ms 10 ms xe-0-1-0.ar3.eze1.gblx.net [208.178.195.209] 5 183 ms 193 ms 185 ms e5-1-70G.ar6.LAX1.gblx.net [67.17.111.65] 6 187 ms 187 ms 186 ms ix-20-0.tcore2.LVW-Los-Angeles.as6453.net [209.58.53.9] 7 221 ms 218 ms * if-2-2.tcore1.LVW-Los-Angeles.as6453.net [66.110.59.1] 8 * 218 ms 218 ms if-3-2.tcore1.PDI-Palo-Alto.as6453.net [66.198.127.25] 9 215 ms 213 ms 217 ms if-1-2.tcore1.NYY-New-York.as6453.net [66.198.127.6] 10 224 ms 226 ms 224 ms if-5-5.tcore1.NTO-New-York.as6453.net [216.6.90.6] 11 232 ms 225 ms 227 ms 63.243.128.10 12 223 ms 217 ms 221 ms a23-67-250-136.deploy.static.akamaitechnologies.com 23.67.250.136] Traza completa.
| 23
Leyendo el diario Le Fígaro desde ArgentinaC:\WINDOWS\system32>tracert www.lefigaro.frTraza a la dirección alteon-figaro.sdv.fr [212.95.67.222]
1 8 ms 12 ms 10 ms 10.20.128.1 2 13 ms 10 ms 8 ms cpe-181-47-254-33.telecentro-reversos.1.47.254.33]3 13 ms 18 ms 12 ms global-crossing-argentina-s-a.xe-0-1-0gblx.net [208.178.195.210] 4 11 ms 10 ms 9 ms xe-0-1-0.ar3.eze1.gblx.net [208.178.19 5 139 ms 145 ms 146 ms te0-7-0-16.ccr21.mia03.atlas.cogentco.4.13.61] 6 140 ms 140 ms 145 ms be2054.ccr21.mia01.atlas.cogentco.com.41] 7 148 ms 156 ms 151 ms be2122.ccr41.atl01.atlas.cogentco.com.193] 8 158 ms 157 ms 159 ms be2170.mpd21.dca01.atlas.cogentco.com.106] 9 158 ms 159 ms 178 ms be2113.ccr41.iad02.atlas.cogentco.com169] 10 236 ms 233 ms 234 ms be2231.ccr41.par01.atlas.cogentco.com.106]11 242 ms 241 ms 239 ms be2246.rcr21.sxb01.atlas.cogentco.com0.33]12 240 ms 243 ms 242 ms sdv-plurimedia.demarc.cogentco.com [14] 13 247 ms 246 ms 243 ms trix4.sdv.fr [212.95.69.240] 14 245 ms 251 ms 247 ms alteon-figaro.sdv.fr [212.95.67.222]
4. Equipo de Seguridad, Estabilidad y Resiliencia de ICANN
Qué hacemos y cómo
| 25
SSR Team: qué hacemos y cómo
AnalyticsInvestigación y análisis: amenazas contra el DNS
Capability buildingEntrenamiento a agencias de policía, operadores de ccTLDs, operadores o a cargo de infraestructura de Internet
Trust-based collaborationParticipación en grupos sector privado + agencias de policía: visibilidad de inteligencia actionable. Mitigación, facilitación.
https://www.icann.org/resources/pages/is-ssr-2014-11-24-en
| 26
Reach us at:Email: [email protected]: icann.org
Thank You and Questions
gplus.to/icann
weibo.com/ICANNorg
flickr.com/photos/icann
slideshare.net/icannpresentations
twitter.com/icann
facebook.com/icannorg
linkedin.com/company/icann
youtube.com/user/icannnews
Engage with ICANN
Top Related