DNS Seguro

Pablo Allietti pablo en lacnic.net
Jue Jun 24 11:14:27 CLT 2004


On Thu, Jun 24, 2004 at 10:18:57AM -0400, Horst von Brand wrote:
> "Jose Saavedra P." <jsaavedra en cuprum.cl> dijo:
> 

me parece que te estas refiriendo a DNSsec  ?? esta en panales todavia
IETF Drafts bind 9 tiene un patch para dnssec 

el ultimo fue

    Title           : DNSSEC Operational Practices
        Author(s)       : O. Kolkman, R. Gieben
        Filename        :draft-ietf-dnsop-dnssec-operational-practices-01.txt
        Pages           : 23
        Date            : 2004-5-14

mas informacion chequea

http://www.ietf.org/html.charters/dnsop-charter.html


> [Please _no_ HTML!]
> 
> > Alguien de ustedes conoce una distribuci=F3n para DNS seguro.
> 
> Define "DNS seguro"...
> 
> Para instalar DNS debes considerar lo siguiente:
> 
> - Como siempre que es un servicio, preocuparse de tener todo al dia,
>   instalacion minimal, configuracion cuidadosa de cortafuegos local, manejo
>   cuidadoso de passwords y cuentas en la maquina
> - Como es un servicio critico, preocuparse de la calidad de los componentes
>   (no, el tarro que el portero esta dando de baja _no_ es carta, por mucho
>   que tenga capacidad de sobra)
> - Siempre es sano tener los relojes sincronizados, via NTP. Para ello tienes
>   nuestro permiso de recurrir a (un subconjunto de) ntp[0-3].inf.utfsm.cl
>   mas algun(os) otro(s) para sazonar. Si son muchos tarros, instalate unos
>   dos alla como servidores de tiempo (la carga es minima, requiere acceso
>   confiable a Internet; en mi experiencia los relojes de las Sun son
>   extremadamente precisos, los de los PC en general son como la mona). Para
>   Windows hay una cosa llamada NetTime que si funciona (el artilugio at hoc
>   de WinXP vale callampa seca)
> - Servidores autorizados (primarios, secundarios) _nunca_ deben permitir
>   consultas recursivas, para eso pones otro tarro como NS cache
> - Elige una version moderna, como RHEL 3 o White Box, o Fedora Core 2, o
>   los ultimos SuSE o Mandrake, ojala "Enterprise" (porque tienes menos que
>   preocuparte del inevitable "upgrade" por fin de la vida de la
>   distribucion, claro que eso cuesta $$$)
> - DNS cache requiere memoria como condenado (bastante RAM + harto swap para
>   estas aplicaciones esta OK porque no son criticos en rendimento), y muy
>   buena conexion a la red. CPU no es tan importante.
> -- 
> Dr. Horst H. von Brand                   User #22616 counter.li.org
> Departamento de Informatica                     Fono: +56 32 654431
> Universidad Tecnica Federico Santa Maria              +56 32 654239
> Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513
---end quoted text---

-- 

Pablo Allietti

LACNIC 

Registro de Direcciones de Internet para America Latina y el Caribe
Registro de Enderecamento de Internet para America Latina e Caribe
Latin American and Caribbean Internet Addresses Registry




Más información sobre la lista de distribución Linux