Post on 03-Jun-2020
Resiliência do serviço DNS no ccTLD .PT
Assis Guerreiro | assis.guerreiro@dns.pt
DNS Resiliency: “The ability of the DNS to provide and maintain an acceptable level of name resolution service in the
face of faults and challenges to normal operations.”https://wiki ittc ku edu/resilinets wiki/index php/Definitionshttps://wiki.ittc.ku.edu/resilinets_wiki/index.php/Definitions
AGENDAAGENDA
DNS.PT
Serviço DNS
Infraestrutura DNS.PT
Resiliência do Serviço DNS de PTResiliência do Serviço DNS de .PT
Distribuição Geográfica de .PT
Servidores de Raiz
Ameaças - DNS
Distributed denial-of-service (DDoS)
DNS.PT
• Delegação .PT pela IANA à FCCN em 1988, primeiro domínio em 1991Delegação .PT pela IANA à FCCN em 1988, primeiro domínio em 1991
• Modelo Registry / Registrar
• Protocolo IPv6 em 2003
• Internationalized Domain Names (IDN’s) em 2005
• Certificação ISSO 9001:2000 desde 2007
C t d l ã d flit A bit 2008• Centro de resolução de conflitos Arbitrare em 2008
• DNSSEC em 2010
• Liberalização do registo de domínios .PT em 2012 iberali ação do registo de domínios .PT em 1
• Constituição da Associação DNS.PT – Associação privada sem fins lucrativos
• Sócios fundadores: FCT, ACEPI, DECO, IANA
• Sucede à FCCN na gestão do domínio .PT (Decreto-Lei 55/2013 de 17 de Abril)
• Atualmente mais de 560.000 domínios registados
P t l 143 E tid d R i t (100 N i i 43 I t i i )• Protocolo com 143 Entidades Registrars (100 Nacionais e 43 Internacionais)
www 25anos ptwww.25anos.pt
Serviço DNS
DNS - Domain Name SystemDNS Domain Name System
RFC 1034 - Domain Names, Concepts and Facilities by P. Mockapetris
RFC 1035 - Domain Names, Implementation and Specification by P. Mockapetris
Sistema que permite a conversão de endereços IP em nomes de fácil memorização, e vice versa
Base de dados hierárquica e distribuída
Solução DNSSEC no .PT
Infraestrutura DNS.PT
Solução DNSSEC no .PT
• AEP HSM Keypeer - FIPS 140-2, Level 4
• Bastidor Cofre com alarme de abertura de portas
• Ar Condicionado dedicado com alarme de variação térmica
• 2 níveis de acesso físico
S l té i íd i ilâ i i t d • Sala técnica com vídeo vigilância e registo de acessos
Resiliência do Serviço DNS de .PT
Servidores DNS de .PT sobre a gestão do DNS.PTServidores DNS de .PT sobre a gestão do DNS.PT
Lisboa ns.dns.pt 193.136.0.1 2001:690:a00:1016:905::1
Porto ns2.dns.pt 193.136.2.226 2001:690:a80:4001::100
Dell PowerEdge 1950
• Discos Hot-Plug redundantes em RAID 1g
• Rede Gigabit Ethernet redundante
• Fontes de alimentação Hot-Plug redundantes
Ramais de alimentação eléctrica distintos• Ramais de alimentação eléctrica distintos
• Localização Geográfica distinta
Resiliência do Serviço DNS de .PT
Servidores DNS de .PTServidores DNS de .PT
ns.dns.pt 193.136.0.1 2001:690:a00:1016:905:0:0:1
ns.dns.br 200.160.0.5 2001:12ff:0:a20:0:0:0:5
ns2.dns.pt 193.136.2.226 2001:690:a80:4001:0:0:0:100
2 i f 192 93 0 4 2001 660 3005 1 0 0 1 2ns2.nic.fr 192.93.0.4 2001:660:3005:1:0:0:1:2
auth200.ns.uu.net 195.129.12.82 2001:600:1c0:e000:0:0:35:2
auth210.ns.uu.net 195.129.12.74 2001:600:1c0:e001:0:0:35:2auth 1 .ns.uu.net 1 5.1 .1 .74 1:6 :1 :e 1: : :35:
ns-pt.nlnetlabs.nl 213.154.224.141 2001:7b8:206:1:0:0:4:141
sns-pb.isc.org 192.5.4.1 2001:500:2e:0:0:0:0:1
sns-pb.isc.org ISC SNS-PB Anycast Cloud (6 instâncias)
T t l d 13 i tâ iTotal de 13 instâncias
http://www.iana.org/domains/root/db/pt.htmlhttp://www.iana.org/domains/root/db/pt.html
Distribuição Geográfica de .PT
Servidores de Raiz
Delegações de TLD’s (ccTLD’s e gTLD’s) Temos as instâncias de:Delegações de TLD s (ccTLD s e gTLD s)
13 Servidor Autoritativos
374 Instâncias (Anycast)
Temos as instâncias de:
f.root-server.net
j.root-server.net
l.root-server.net
http://www.iana.org/domains/root/servers /http://www.iana.org/domains/root/servers /
Servidores de Raiz
http://www.root-servers.org/http://www.root servers.org/
Ameaças - DNS
http://wwwinternetsociety org/sites/default/files/bp dnsresiliency 201201 en 0 pdfTowards Improving DNS Security, Stability, and Resiliency
http://www.internetsociety.org/sites/default/files/bp-dnsresiliency-201201-en_0.pdf
Distributed denial-of-service (DDoS)
Distributed denial-of-service (DDoS)
- significativa para o DNS
- frequente
- difícil de mitigar
Soluções: overprovisioning, anycast, firewalls, redundância
Resiliência do Serviço DNS de .PT
Obrigado!g