Registro NSEC3

Como alternativa para presentarle al cliente una verificaci´on autenticada de no existencia de dominios y a su vez no divulgar informaci´on de la zona, la IETF empez´o a trabajar en un nuevo registro que podr´ıa usarse en lugar del registro NSEC para negar la existencia de un nombre de dominio y a su vez proteger de terceros la informaci´on de la zona, dicho registro es conocido como DNSSEC Hashed Authenticated Denial of Existence o NSEC3 debido a que representa una actualizaci´on sobre el registro NSEC en materia de seguridad y puede utilizarse en su lugar con servidores y clientes que manejen este registro. Dado que a´un no existe compatibilidad entre servidores que manejen NSEC3 y los que manejan solo NSEC, los registros NSEC3 pueden ser considerados como inseguros por entidades y clientes de DNS que no manejen dicho registro [13].

El registro NSEC3 al igual que el registro NSEC, lista los tipos de registros que corres- ponden alOwner Namedel paquete. La diferencia con el registro NSEC radica en que NSEC3 incluye un resumen producto de una funci´on de hash del nombre dominio que representa al siguiente dominio v´alido, en lugar de que dicho nombre vaya escrito en texto plano con en NSEC. El conjunto de registros NSEC3 una zona permite formar la cadena deOwner Names resumidos de toda la zona. Cabe recalcar que el ordenamiento se realiza de acuerdo al texto producido por la funci´on de resumen [13].

La protecci´on contra la enumeraci´on de zona es provista por NSEC3 en los res´umenes que se generan de los textos conformados por los Owner Names originales que son a˜nadidos al nombre de la zona. El registro NSEC3 tambi´en indica cual es la funci´on de hash utilizada para construir el resumen de la informaci´on [13].

ElOwner Name en un registro NSEC3 va escrito en forma de resumen, en base 32. Antes de resumir dicho campo, se le agrega a el nombre de zona. El valor para este tipo de registro es NN, tambi´en es independiente del campo de clase, pero dicha clase debe ser igual a la del Owner Name que va resumido. El valor del campo de TTL debe ser el mismo al valor que tenga el registro SOA en este mismo campo [13].

Los campos para este registro se definen a continuaci´on (cuadro 2.10) [13]:

El campo del algoritmo de resumen identifica al algoritmo matem´atico utilizado para generar elhash de la informaci´on que se va a presentar como resumida.

El campo de banderas es de 1 octeto de longitud y puede ser utilizado para indicar el procesamiento que se realiz´o sobre el registro. Hasta la ´ultima revisi´on de la especifi- caci´on solo existe la banderaOpt-Out definida que indica que el registro NSEC3 puede cubrir delegaciones de nombres que no est´en firmadas.

El campo de iteraciones define el n´umero de veces adicionales que la funci´on dehash se ejecut´o sobre la informaci´on. A mayor n´umero de iteraciones, mayor sera la protecci´on del resumen contra ataques de diccionario, pero el costo computacional se incrementa para el servidor y elresolver a la hora de validar la informaci´on.

El campo de longitud del campoSalt define la longitud del campo referido que puede oscilar entre 1 y 255 octetos.

El campo Salt es utilizado para agregarlo alOwner Name antes de aplicar la funci´on de hash para contrarrestar ataques de diccionario.

El campo de longitud dehash indica la longitud del campo del siguiente dominio (que va resumido por la funci´on de hash). Su valor oscila entre 1 y 255, refiri´endose a la longitud del campo del siguiente dominio v´alido.

El campo del siguiente dominio v´alido contiene el resumen delOwner Name ordenado de acuerdo a su valor dehash. El valor va en formato binario. Dicho campo contiene el valor de hash que sigue inmediatamente despu´es del Owner Name del registro NSEC3 dado. Si se trata del ´ultimo registro NSEC3 en la zona el valor corresponde al nombre de zona. A diferencia del campo deOwner Name a este registro no se le agrega el nombre de zona antes de calcular el resumen.

El campo de tipo de registros, identifica los valores de RRTYPE asociados al Owner Name del registro NSEC3.

Paralelamente al registro NSEC3, se utiliza el registro NSEC3PARAM que contiene par´ametros utilizados para calcular los valores del registro NSEC3 como el algoritmo dehash, las banderas, iteraciones, etc. La presencia de un registro de este tipo indica a los servidores

Hash Alg. Flags Iterations

Salt Length Salt

Hash Length Next Hashed Owner Name Type Bit Maps

Cuadro 2.10: RDATA de registro NSEC3

autoritativos que pueden utilizarlo para generar las respuestas de no existencia. Si dicho re- gistro est´a presente en un servidor ubicado en el nodo m´as alto de la zona con el campo de banderas en 0, entonces los registros de la zona deber´an de contar un registro NSEC3 que utilice esos par´ametros [13].

Hash Alg. Flags Iterations

Salt Length Salt

Cuadro 2.11: RDATA de registro NSEC3PARAM

En el cuadro 2.11 [13], se observa la estructura del registro NSEC3PARAM, donde con- tiene valores para par´ametros de registros NSEC3. Dichos valores son los mismos a los ya mencionados para el registro NSEC3. Actualmente la empresaVerisign termin´o de de aplicar pruebas ’piloto’ al prototipo de NSEC3 y la especificaci´on fue liberada a principios de este a˜no. En el ’piloto’, se manejan registros NSEC3 firmados para los dominios de alto nivel como .com y.net.