Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Administradores de redes, prepárense para la actualización de seguridad de Internet a DNSSEC.

Hacemos un atento llamado a todos los administradores de redes para realizar verificaciones de último minuto en sus servidores DNS, ruteadores y muros cortafuegos antes de que los servidores DNS principales de Internet (root servers) comiencen a funcionar con la actualización de seguridad DNSSEC mañana entre las 11:00 y 13:00 (tiempo central de México), es decir, entre 17:00 y 19:00 tiempo del meridiano de Greenwich.

Como informamos la semana pasada, este 5 de mayo la actualización de DNSSEC añadirá una firma digital a cada respuesta proveniente de los servidores DNS principales de Internet, donde los componentes encargados de resolver estarán configurados para solicitar respuestas firmadas (a través de establecer el octeto DO en las extensiones para DNS —configuración de EDNS) para las respuestas necesarias para una página de Internet, a fin de proporcionar un nivel adicional de seguridad para los usuarios de Internet y garantizar que éstos se están conectando a la página correcta.

Han surgido preocupaciones de que la actualización podría ocasionar algunos problemas a los administradores de redes que trabajan con equipos antiguos que o bien están configurados para rechazar respuestas de DNS mayores a 512 bytes o son incapaces de aceptar respuestas de DNS divididas en varios paquetes utilizando el protocolo TCP.

La más reciente actualización de ICANN respecto de la mejora hacia DNSSEC, publicada ayer, confirmó que el grupo de servidores J-Root será el último servidor DNS de los 13 principales en realizar la transición, mañana entre las 15:00 y 19:00 UTC.

ICANN ha dicho que es poco probable que haya efectos indeseables originados por los 12 servidores actualizados a la fecha. Sin embargo, se recomienda realizar una serie de pruebas utilizando las siguientes herramientas:

Para los administradores de DNS en redes corporativas, se recomienda revisar la configuración de sus equipos de red, particularmente si son capaces de gestionar respuestas con paquetes mayores a 512 bytes o solicitudes en múltiples paquetes a través del protocolo TCP.

Los operadores de servicio deben considerar si los cambios en el tamaño de paquetes UDP mejorará el desempeño en general y considerar si los componentes de resolución debieran ser configurados para solicitar la información de DNSSEC o ignorarlo en el corto plazo.

Usuarios de servicio ADSL, se recomienda considerar actualización de la programación en firme (firmware) de sus modems o bien desactivar el DNS de éstos y utilizar DNS externos.

Fuente: IT News.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/network-admins-prepararse-para-dnssec
  • Administradores de redes, prepárense para la actualización de seguridad de Internet a DNSSEC.
  • 1comentarios
  • Crea cuenta nueva
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.

  • Administradores de redes, prepárense para la actualización de seguridad de Internet a DNSSEC.
  • Escrito por:Oscar Hernández el  05/05/2010, 14:27

Saludos, ya hice mis pruebas tal como biene en el link, del resultado tengo algunas banderillas en rojo, no se si publicar todo el resultado, que tan risgoso será?

Result Summary
dsl-189-xxx-xxx-xxx-dyn.prod-infinitum.com.mx / 189.xxx.xxxx.xxx
Recorded at 10:13 EDT (14:13 UTC), May 05 2010. Permalink. Referrer. Client/server transcript.

Direct TCP connections to remote POP3 servers (port 110) succeed, but do not receive the expected content.

The applet received an empty response instead of our normal banner. This suggests that a firewall, proxy, or filter initially allowed the connection and then terminated it, either because it did not understand our server's reply or decided to block the service.

 

Your Downlink: We measured your downlink's receiving bandwidth at 220 Kbit/sec. This rate could be considered quite slow, and will affect your user experience if you perform large transfers.
Network buffer measurements (?): Uplink 3200 ms, Downlink 830 ms
We estimate your uplink as having 3200 msec of buffering. This is quite high, and you may experience substantial disruption to your network performance when performing interactive tasks such as web-surfing while simultaneously conducting large uploads. With such a buffer, real-time applications such as games or audio chat can work quite poorly when conducting large uploads at the same time.
 
 

---
Sabio no es aquel que dedica su vida a aprender sino el que la dedica a enseñar.