Hola a todos, estoy configurando un servicio de DNS parecido al que tenia el extinto editdns.net.
La verdad es que lo tengo todo listo, dominios dinámicos, transferencias de dominio, etc etc etc, pero tengo una duda porque quiero hacer mi DNS a prueba de bombas.
A ver si alguien que conozca DNS me puede dar algún consejo sobre todo con el tema de la transferencia de dominios entre maestros y esclavos.
Ahora estoy usando la versión de DNS que viene con debian por defecto más unos toques para que funcione correctamente, no tengo intencion de hacerlo muchisimo más seguro ante ataques, (lo cual no seria mala idea) simplemente quiero asegurarme de estoy haciendo las cosas correctamente.
Por ejemplo una duda que tengo es el tema de las longitudes de clave para TSIG. yo he usado HMAC-SHA256 con 256 pero sinceramente me parece poco para una clave de autorización de transferencia.
He pensado algo del tipo dnssec-keygen -a DH -b 4096 -n HOST rndc-key y aunque tarda bastante tiempo me genera una clave inmensa que no se si servirá para hacer mas seguro mi dns o sólo para generar mas tráfico.
Por ahora lo que he visto en la documentacion estos son los protocolos que se aceptan.
-b <key size in bits>: RSAMD5: [512..4096] RSASHA1: [512..4096] NSEC3RSASHA1: [512..4096] RSASHA256: [512..4096] RSASHA512: [1024..4096] DH: [128..4096] DSA: [512..1024] and divisible by 64 NSEC3DSA: [512..1024] and divisible by 64 HMAC-MD5: [1..512] HMAC-SHA1: [1..160] HMAC-SHA224: [1..224] HMAC-SHA256: [1..256] HMAC-SHA384: [1..384] HMAC-SHA512: [1..512]
y para las transferencias de dominios solo son validos.
For TSIG/TKEY, the value must be DH (Diffie Hellman), HMAC-MD5, HMAC-SHA1, HMAC-SHA224, HMAC-SHA256, HMAC-SHA384, or HMAC-SHA512. These values are case insensitive..
La verdad es que no se que protocolo usar que sea lo suficientemente seguro. ahora estoy usando HMAC-SHA256.
Alguien conoce algún manual o oscura opción para hacer mejor y mas seguro su funcionamiento en Debian? O algo que describa los protocolos de encriptación para que sepa cual es el mejor a usar?
Gracias anticipadas por las respuestas y viva Debian!! :-)
P.D. Si alguien quiere probarlos son ns1.pk25.com ns2.pk25.com ns3.pk25.com ... como supondréis sólo resuelve dominios de pk25.com tipo www.pk25.com, etc.
La verdad es que me gustaría tener la posibilidad de tener más repartida geográficamente la carga, pero bueno. no me el sueldo para más.
Hola a todos, estoy configurando un servicio de DNS parecido al que tenia el extinto editdns.net.
La verdad es que lo tengo todo listo, dominios dinámicos, transferencias de dominio, etc etc etc, pero tengo una duda porque quiero hacer mi DNS a prueba de bombas.
A ver si alguien que conozca DNS me puede dar algún consejo sobre todo con el tema de la transferencia de dominios entre maestros y esclavos.
Ahora estoy usando la versión de DNS que viene con debian por defecto más unos toques para que funcione correctamente, no tengo intencion de hacerlo muchisimo más seguro ante ataques, (lo cual no seria mala idea) simplemente quiero asegurarme de estoy haciendo las cosas correctamente.
Por ejemplo una duda que tengo es el tema de las longitudes de clave para TSIG. yo he usado HMAC-SHA256 con 256 pero sinceramente me parece poco para una clave de autorización de transferencia.
He pensado algo del tipo
dnssec-keygen -a DH -b 4096 -n HOST rndc-keyy aunque tarda bastante tiempo me genera una clave inmensa que no se si servirá para hacer mas seguro mi dns o sólo para generar mas tráfico.Por ahora lo que he visto en la documentacion estos son los protocolos que se aceptan.
-b <key size in bits>:RSAMD5: [512..4096]
RSASHA1: [512..4096]
NSEC3RSASHA1: [512..4096]
RSASHA256: [512..4096]
RSASHA512: [1024..4096]
DH: [128..4096]
DSA: [512..1024] and divisible by 64
NSEC3DSA: [512..1024] and divisible by 64
HMAC-MD5: [1..512]
HMAC-SHA1: [1..160]
HMAC-SHA224: [1..224]
HMAC-SHA256: [1..256]
HMAC-SHA384: [1..384]
HMAC-SHA512: [1..512]
y para las transferencias de dominios solo son validos.
For TSIG/TKEY, thevalue must be DH (Diffie Hellman), HMAC-MD5, HMAC-SHA1, HMAC-SHA224, HMAC-SHA256, HMAC-SHA384, or HMAC-SHA512. These values are case insensitive..
La verdad es que no se que protocolo usar que sea lo suficientemente seguro. ahora estoy usando HMAC-SHA256.
Alguien conoce algún manual o oscura opción para hacer mejor y mas seguro su funcionamiento en Debian? O algo que describa los protocolos de encriptación para que sepa cual es el mejor a usar?
Gracias anticipadas por las respuestas
y viva Debian!! :-)
P.D. Si alguien quiere probarlos son ns1.pk25.com ns2.pk25.com ns3.pk25.com ... como supondréis sólo resuelve dominios de pk25.com tipo www.pk25.com, etc.
La verdad es que me gustaría tener la posibilidad de tener más repartida geográficamente la carga, pero bueno. no me el sueldo para más.
sls!