Basic DNS | WebinarAlberto Soto | Chair, LACRALOCarlos Álvarez | Sr. Manager, Security Engagement16 Abril 2015

| 2

Identificadores únicos de Internet:

Direcciones IP, MAC, dominios

Registro de nombres de

dominio

Resolución de nombres de

dominio

SSR en ICANN: qué hacemos y cómo

1 2

3 4

Temario

1. Identificadores únicos de Internet

Direcciones MAC, direcciones IP y nombres de dominio

| 4

Conectándose a una red local

• Todo dispositivo que se conecta a una red local tiene al menos una dirección MAC

4

Las direcciones MAC son identificadores únicos de 48 bits

Cada dispositivo recibe su dirección MAC al momento de su fabricación

Cada dirección MAC es única (salvo spoofing o falsificaciones)

| 5

Encuentre su dirección MAC

5

Sistema Operativo Método

Windows Ejecute cmd.exe, escriba getmac

Open BSD en Mac OS Xy Linux

Ejecute Terminal, escriba ifconfigbusque “ether xx:xx:xx:xx:xx”

iPhone Settings -> General -> About then scroll to WiFi Address

Android Settings -> About Tablet -> Statusbaje hasta Wi-Fi MAC address

| 6

Conectándose a una red IP

6

• Todo dispositivo que se conecta a una red IP DEBE tener una dirección dentro del Protocolo de Internet (IP)

• Dos clases de direcciones IP– Clase A o IP versión 4: son típicamente

representadas como números decimales separados por puntos. Ej: 192.168.2.1

– Clase AAAA or IP versión 6: son horribles series de caracteres hexadecimales con “:” como separadores. Ej.: fe80::226:bbff:fe11:5b32

6

| 7

Conectándose a Internet

77

• Los dispositivos deben saber cómo conectarse con otros por fuera de su red de área local– Un gateway da esta información usando el protocolo

DHCP (Dynamic Host Configuration Protocol)• Los dispositivos necesitan el gateway para enrutar

tráfico IP hacia y desde destinos en Internet

7

Alguien me ayuda a conectarme a

un red?

Bienvenido! Yo soy su gateway.• Mi dirección es 192.168.4.1• Su dirección IP es

192.168.4.94• Su subred es 255.255.252.0

| 8

Asociando direcciones MAC e IP

• Las direcciones MAC están asociadas al hardware pero las direcciones IP son obtenidas de forma dinámica

• Los dispositivos se pueden comunicar directamente con otros en su misma red local– El Address Resolution Protocol asocia las direcciones MAC

con las IP en la red local

8

Use this command

to see your ARP

table

| 9

Direcciones IP Públicas vs. Privadas

• Su dispositivo debe tener una dirección IP pública única para comunicarse con otros por fuera de su red local

• El enrutador asigna una dirección IP privada a los dispositivos (carrier grade NAT?)

9

ICANNGoogleeBayTwitter

Direcciones IP Privadas Direcciones IP Públicas

Ver RFC 3330 Special Use IP Addresses: https://tools.ietf.org/html/rfc3330

2. Resolución de nombres de dominio

| 11

Leyendo diario El País desde Argentina C:\WINDOWS\system32>tracert www.elpais.es Traza a la dirección a1749.g.akamai.net [23.67.250.136]

1 8 ms 8 ms 14 ms 10.20.128.1 2 10 ms 9 ms 9 ms cpe-181-47-254-33.telecentro-reversos.com.ar [181.47.254.33] 3 13 ms 12 ms 13 ms global-crossing-argentina-s-a.xe-0-1-0.ar3.eze1.gblx.net [208.178.195.210] 4 9 ms 12 ms 10 ms xe-0-1-0.ar3.eze1.gblx.net [208.178.195.209] 5 183 ms 193 ms 185 ms e5-1-70G.ar6.LAX1.gblx.net [67.17.111.65] 6 187 ms 187 ms 186 ms ix-20-0.tcore2.LVW-Los-Angeles.as6453.net [209.58.53.9] 7 221 ms 218 ms * if-2-2.tcore1.LVW-Los-Angeles.as6453.net [66.110.59.1] 8 * 218 ms 218 ms if-3-2.tcore1.PDI-Palo-Alto.as6453.net [66.198.127.25] 9 215 ms 213 ms 217 ms if-1-2.tcore1.NYY-New-York.as6453.net [66.198.127.6] 10 224 ms 226 ms 224 ms if-5-5.tcore1.NTO-New-York.as6453.net [216.6.90.6] 11 232 ms 225 ms 227 ms 63.243.128.10 12 223 ms 217 ms 221 ms a23-67-250-136.deploy.static.akamaitechnologies.com 23.67.250.136] Traza completa.

| 12

Leyendo el diario Le Fígaro desde ArgentinaC:\WINDOWS\system32>tracert www.lefigaro.frTraza a la dirección alteon-figaro.sdv.fr [212.95.67.222]

1 8 ms 12 ms 10 ms 10.20.128.1 2 13 ms 10 ms 8 ms cpe-181-47-254-33.telecentro-reversos.1.47.254.33]3 13 ms 18 ms 12 ms global-crossing-argentina-s-a.xe-0-1-0gblx.net [208.178.195.210] 4 11 ms 10 ms 9 ms xe-0-1-0.ar3.eze1.gblx.net [208.178.19 5 139 ms 145 ms 146 ms te0-7-0-16.ccr21.mia03.atlas.cogentco.4.13.61] 6 140 ms 140 ms 145 ms be2054.ccr21.mia01.atlas.cogentco.com.41] 7 148 ms 156 ms 151 ms be2122.ccr41.atl01.atlas.cogentco.com.193] 8 158 ms 157 ms 159 ms be2170.mpd21.dca01.atlas.cogentco.com.106] 9 158 ms 159 ms 178 ms be2113.ccr41.iad02.atlas.cogentco.com169] 10 236 ms 233 ms 234 ms be2231.ccr41.par01.atlas.cogentco.com.106]11 242 ms 241 ms 239 ms be2246.rcr21.sxb01.atlas.cogentco.com0.33]12 240 ms 243 ms 242 ms sdv-plurimedia.demarc.cogentco.com [14] 13 247 ms 246 ms 243 ms trix4.sdv.fr [212.95.69.240] 14 245 ms 251 ms 247 ms alteon-figaro.sdv.fr [212.95.67.222]

| 13

Domain Name System (DNS)

Como en varios idiomas, comenzamos a leer desde la derecha

uk.org.yourdomain.www

uk = cctld = cross country top level domain

Org = gtld = generic top level domain

Yourdomain = representativo de una persona, organización o empresa

Nombre de dominio = yourdomain.org.uk

URL = www.yourdomain.org.uk

Nombres de dominio

Top level domain

| 14

Domain Name System (DNS) =

Es el sistema que traduce el nombre de dominio (dirección alfanumérica) en una dirección numérica ( dirección IP), y viceversa.

Es decir el DNS RESUELVE nombres de dominio

Qué es el DNS

| 15

Cómo resuelve el DNS• A través de un navegador consulto la página web http://www.laempresa.com.co.• El navegador busca la información del dominio “laempresa.com.co”. • Internet está ordenada en forma de árbol invertido, si no encuentra la información en

su computadora, teléfono, Tablet, play station, reloj inteligente, heladera, etc., irá a buscarla a su Servidor de Conexión (DNS); de no estar, seguirá buscándola a niveles superiores, y en último lugar lo encontrará en un servidor que se denomina Servidor de Nombres Raíz (DNS).

• Todo se hará partiendo de letras (nombre de dominio) que son convertidas a números (direcciones IP) y luego reconvertidas a letras para darme la respuesta.

• Para esto existe un DNS primario (DNS1) que tiene información de dónde se puede buscar la página web solicitada, o una dirección de email (servidor de correo), etc.

• Si el servidor de nombre primario DNS1 no responde por alguna causa, existe un servidor secundario (DNS2).

• Luego de que la información es obtenida, comienza el camino inverso hasta llegar al dispositivo desde el cual hice la consulta y podré acceder a la página web solicitada, viéndola en mi pantalla.

| 16

Cómo funciona el DNS

Hace algunos años, yo desde Buenos Aires escribía una URL (Uniform Resource Locator, en español localizador uniforme de recursos), mi pedido viajaba hasta Estados Unidos, porque allí estaba el servidor de nombres de dominio (DNS) que tenía la información para RESOLVER el nombre de dominio. Luego se instaló un DNS en Buenos, que se actualizaba con el de Estados Unidos y la performance mejoró. Luego, ya no hace tanto tiempo, se instalaron servidores DNS en el interior de la Argentina. Y cada Internet Service provider tiene sus propios DNSs. Mejoró la performance, también se descongestionaron las redes internacionales. (hasta que llegaron Facebook, Twytter, Instagram, por mencionar algunas redes sociales….).

| 17

Lista de Root Servers

Hostname IP Addresses Managera.root-servers.net 198.41.0.4, 2001:503:ba3e::2:30 VeriSign, Inc.

b.root-servers.net 192.228.79.201, 2001:500:84::b University of Southern California (ISI)

c.root-servers.net 192.33.4.12, 2001:500:2::c Cogent Communications

d.root-servers.net 199.7.91.13, 2001:500:2d::d University of Maryland

e.root-servers.net 192.203.230.10 NASA (Ames Research Center)

f.root-servers.net 192.5.5.241, 2001:500:2f::f Internet Systems Consortium, Inc.

g.root-servers.net 192.112.36.4 US Department of Defence (NIC)

h.root-servers.net 128.63.2.53, 2001:500:1::803f:235 US Army (Research Lab)

i.root-servers.net 192.36.148.17, 2001:7fe::53 Netnod

j.root-servers.net 192.58.128.30, 2001:503:c27::2:30 VeriSign, Inc.

k.root-servers.net 193.0.14.129, 2001:7fd::1 RIPE NCC

l.root-servers.net 199.7.83.42, 2001:500:3::42 ICANN

m.root-servers.net 202.12.27.33, 2001:dc3::35 WIDE Project

3. Registro de nombres de dominio

| 19

Requisitos de los nombres de dominio

• Los dominios deben de estar formados tan sólo por letras y números (de la a a la z y del 0 al 9).

• También es válido el guión (-), pero no podrá estar situado como último ni como primer carácter del dominio.

• Los dominios no pueden contener espacios, puntos (., :) ni caracteres especiales como &, %, $, /, (, ), =, ?, ¿, “, !.

| 20

Registro de nombres de dominio

Los dominios deben registrarse:Registro: (del Inglés Registry) Es la base de datos central donde se almacenan todos los nombres de dominio. A esta base de datos tienen acceso los registradores.

Registrador: Es la organización que tiene acceso al Registro y por tanto lleva a cabo el registro de nombres de dominio. Está acreditada ante ICANN.

Registrante: Es la persona o entidad que compra un nombre de dominio, es decir, el propietario de un nombre de dominio.

Detalles para registrar un dominio: http://goo.gl/0YNWlQ

| 21

Registradores

• El sitio www.internic.net operado por ICANN ofrece información general acerca de los servicios de registro de nombres de dominio de Internet.

• Allí está el Directorio de registradores acreditados. • Lista alfabética según el nombre de la empresa u organización, • Lista por ubicación del registrador• Lista por idiomas admitidos).

• Además, ICANN ofrece una tabla con todos los registradores, sus ubicaciones y los diversos TLD que admiten en http://www.icann.org/en/registrars/accredited-list.html.

• También es posible registrar un nombre de dominio por medio de un revendedor que tenga un arreglo comercial con un registrador. ICANN no cuenta con una lista de revendedores de dominio, ya que no tiene ninguna relación contractual con ellos.

| 22

Leyendo diario El País desde Argentina C:\WINDOWS\system32>tracert www.elpais.es Traza a la dirección a1749.g.akamai.net [23.67.250.136]

1 8 ms 8 ms 14 ms 10.20.128.1 2 10 ms 9 ms 9 ms cpe-181-47-254-33.telecentro-reversos.com.ar [181.47.254.33] 3 13 ms 12 ms 13 ms global-crossing-argentina-s-a.xe-0-1-0.ar3.eze1.gblx.net [208.178.195.210] 4 9 ms 12 ms 10 ms xe-0-1-0.ar3.eze1.gblx.net [208.178.195.209] 5 183 ms 193 ms 185 ms e5-1-70G.ar6.LAX1.gblx.net [67.17.111.65] 6 187 ms 187 ms 186 ms ix-20-0.tcore2.LVW-Los-Angeles.as6453.net [209.58.53.9] 7 221 ms 218 ms * if-2-2.tcore1.LVW-Los-Angeles.as6453.net [66.110.59.1] 8 * 218 ms 218 ms if-3-2.tcore1.PDI-Palo-Alto.as6453.net [66.198.127.25] 9 215 ms 213 ms 217 ms if-1-2.tcore1.NYY-New-York.as6453.net [66.198.127.6] 10 224 ms 226 ms 224 ms if-5-5.tcore1.NTO-New-York.as6453.net [216.6.90.6] 11 232 ms 225 ms 227 ms 63.243.128.10 12 223 ms 217 ms 221 ms a23-67-250-136.deploy.static.akamaitechnologies.com 23.67.250.136] Traza completa.

| 23

Leyendo el diario Le Fígaro desde ArgentinaC:\WINDOWS\system32>tracert www.lefigaro.frTraza a la dirección alteon-figaro.sdv.fr [212.95.67.222]

1 8 ms 12 ms 10 ms 10.20.128.1 2 13 ms 10 ms 8 ms cpe-181-47-254-33.telecentro-reversos.1.47.254.33]3 13 ms 18 ms 12 ms global-crossing-argentina-s-a.xe-0-1-0gblx.net [208.178.195.210] 4 11 ms 10 ms 9 ms xe-0-1-0.ar3.eze1.gblx.net [208.178.19 5 139 ms 145 ms 146 ms te0-7-0-16.ccr21.mia03.atlas.cogentco.4.13.61] 6 140 ms 140 ms 145 ms be2054.ccr21.mia01.atlas.cogentco.com.41] 7 148 ms 156 ms 151 ms be2122.ccr41.atl01.atlas.cogentco.com.193] 8 158 ms 157 ms 159 ms be2170.mpd21.dca01.atlas.cogentco.com.106] 9 158 ms 159 ms 178 ms be2113.ccr41.iad02.atlas.cogentco.com169] 10 236 ms 233 ms 234 ms be2231.ccr41.par01.atlas.cogentco.com.106]11 242 ms 241 ms 239 ms be2246.rcr21.sxb01.atlas.cogentco.com0.33]12 240 ms 243 ms 242 ms sdv-plurimedia.demarc.cogentco.com [14] 13 247 ms 246 ms 243 ms trix4.sdv.fr [212.95.69.240] 14 245 ms 251 ms 247 ms alteon-figaro.sdv.fr [212.95.67.222]

4. Equipo de Seguridad, Estabilidad y Resiliencia de ICANN

Qué hacemos y cómo

| 25

SSR Team: qué hacemos y cómo

AnalyticsInvestigación y análisis: amenazas contra el DNS

Capability buildingEntrenamiento a agencias de policía, operadores de ccTLDs, operadores o a cargo de infraestructura de Internet

Trust-based collaborationParticipación en grupos sector privado + agencias de policía: visibilidad de inteligencia actionable. Mitigación, facilitación.

https://www.icann.org/resources/pages/is-ssr-2014-11-24-en

| 26

Reach us at:Email: engagement@icann.orgWebsite: icann.org

Thank You and Questions

gplus.to/icann

weibo.com/ICANNorg

flickr.com/photos/icann

slideshare.net/icannpresentations

twitter.com/icann

facebook.com/icannorg

linkedin.com/company/icann

youtube.com/user/icannnews

Engage with ICANN