HRSP RPKI DNSS

Mara Oneiba Rodrguez M. Mrida, diciembre 2012.

HRSP
Hot Standby Router Protocol

-Protocolo propiedad de CISCO que permite el despliegue de routers redundantes tolerantes a fallos en una red. - Evita la existencia de puntos de fallo nicos en la red mediante tcnicas de redundancia y comprobacin del estado de los routers.

Se crea un grupo de routers en el que uno de ellos acta como maestro, enrutando el trfico, y los dems actan como respaldo a la espera de que se produzca un fallo en el maestro. HSRP es un protocolo que acta en la capa 3 del modelo OSI administrando las direcciones virtuales que identifican al router que acta como maestro en un momento dado.

Funcionamiento:

Entre los routers del grupo HSRP se intercambian mensajes hello para conocer el estado en el que se encuentran Estos mensajes utilizan la direccin multicast 224.0.0.2 y el puerto UDP 1985 Si el router maestro no enva mensajes tipo hello a los routers respaldo dentro de un periodo de tiempo, otro router del grupo se coloca como router maestro Esto consiste en que el nuevo router obtiene la direccin virtual que identifica al grupo

HSRP-Router maestro Se establece una prioridad en cada router. La prioridad por defecto es 100. El router de mayor prioridad es el que se establecer como activo. HSRP-Paso de respaldo a maestro
El router en espera toma el lugar del router maestro, una vez que el temporizador holdtime expira

Si el estado del router maestro pasa a down, el router decrementa su prioridad. As, el router respaldo lee ese decremento en forma de un valor presente en el campo de prioridad del paquete hello, y se convertir en el router maestro si ese valor es menor al suyo propio. Este proceso decremental puede ser configurado de antemano estableciendo un valor por defecto del decremento (normalmente, de 10 en 10).

HSRP-Topologa

HSRP-Configuracin topologa

HSRP-Configuracin topologa

RPKI

Infraestructura de Llaves Pblicas de Recursos

Es un conjunto de protocolos, estndares y sistemas que permiten verificar el derecho de uso de recursos numricos de Internet como lo son direcciones de IPv4, IPv6 y Sistemas Autnomos.

Objetivo

mejorar la seguridad y estabilidad del sistema de enrutamiento global de Internet.

Cmo funciona RPKI?

N Sistema Autnomo

El objetivo de RPKI es permitir que los sistemas autnomos intermedios puedan verificar la validez del AS de origen. El sistema prev la entrega a cada legtimo usuario de recursos de numeracin de un certificado digital firmado por su registro regional de Internet (LACNIC en el caso de Amrica Latina y el Caribe) el cual contiene una lista de los recursos asignados al usuario.

Beneficios de RPKI:
Con RPKI se usa una cadena de confianza donde puede certificarse que un recurso pertenece a una organizacin especfica.

El secuestro de recursos o rutas tambin conocido como hijacking ocurre cuando un sistema autnomo anuncia una direccin IP en las tablas de rutas globales sin tener autoridad para hacerlo.

YouTube en Asia debido a una ruta incorrectamente anunciada desde Pakistn.

Qu efectos tiene sobre el usuario la certificacin de los recursos? El usuario puede estar seguro que el trfico que origina recorre el camino adecuado y no es redirigido hacia equipos de ruteo maliciosos.

Beneficios de RPKI:
Con RPKI se usa una cadena de confianza donde puede certificarse que un recurso pertenece a una organizacin especfica.

El secuestro de recursos o rutas tambin conocido como hijacking ocurre cuando un sistema autnomo anuncia una direccin IP en las tablas de rutas globales sin tener autoridad para hacerlo.

YouTube en Asia debido a una ruta incorrectamente anunciada desde Pakistn.

LANIC- RPKI:
Los asociados de LACNIC podrn acceder al sistema en un modo hospedado, lo que significa que los certificados de recursos sern creados y mantenidos por LACNIC.

https://rpki.lacnic.net/

DNSS

Domain Name System Security

Extensiones de seguridad para el Sistema de Nombres de Dominio Es un conjunto de protocolos desarrollados por la IETF para Proteger al sistema de DNS de inyeccin de datos falsificados

Este conjunto de extensiones, provee a los clientes DNS (resolvers) la posibilidad de Validar la autenticidad de quien origina la respuesta a una consulta DNS, indicacin autenticidad de que la no existencia de informacin para los datos solicitados y de integridad de los datos transferidos.

URL SEGURA

Cmo funciona DNSS?

DNSSEC trabaja firmando digitalmente estos registros para la bsqueda de DNS mediante criptografa de clave pblica. El registro DNSKEY correcto se autentica a travs de una cadena de confianza, que comienza en un conjunto de claves pblicas de la zona raz del DNS, que es la tercera parte de confianza.

DNSS

No garantiza la confidencialidad de los datos; todas las respuestas de DNSSEC se autentican, pero no se encriptan.