Algoritmos de cifrado para Bind9, cual es el mejor?

Iniciado por ediaz, 1 Agosto 2012, 17:06 PM

0 Miembros y 1 Visitante están viendo este tema.

ediaz

Hola a todos, estoy configurando un servicio de DNS parecido al que tenia el extinto editdns.net.

La verdad es que lo tengo todo listo, dominios dinámicos, transferencias de dominio, etc etc etc, pero tengo una duda porque quiero hacer mi DNS a prueba de bombas.

Necesitaría que algún :-) experto me pudiera decir cual es algoritmo de cifrado que me recomendaría

Por ejemplo una duda que tengo es el tema de las longitudes de clave para TSIG. yo he usado HMAC-SHA256 con 256 pero sinceramente me parece poco para una clave de autorización de transferencia.

He pensado algo del tipo dnssec-keygen -a DH -b 4096 -n HOST rndc-key y aunque tarda bastante tiempo me genera una clave inmensa que no se si servirá para hacer mas seguro mi dns o sólo para generar mas tráfico.

Por ahora lo que he visto en la documentación estos son los protocolos que se aceptan para autenticar cambios en IP dinamicas.

   -b <key size in bits>:
       RSAMD5: [512..4096]
       RSASHA1:        [512..4096]
       NSEC3RSASHA1:   [512..4096]
       RSASHA256:      [512..4096]
       RSASHA512:      [1024..4096]
       DH:             [128..4096]
       DSA:            [512..1024] and divisible by 64
       NSEC3DSA:       [512..1024] and divisible by 64
       HMAC-MD5:       [1..512]
       HMAC-SHA1:      [1..160]
       HMAC-SHA224:    [1..224]
       HMAC-SHA256:    [1..256]
       HMAC-SHA384:    [1..384]
       HMAC-SHA512:    [1..512]


y para las transferencias de dominios solo son validos estos...

For TSIG/TKEY, the
          value must be DH (Diffie Hellman), HMAC-MD5, HMAC-SHA1, HMAC-SHA224, HMAC-SHA256, HMAC-SHA384, or HMAC-SHA512. These values are case insensitive..


La verdad es que no se que protocolo usar que sea lo suficientemente seguro. ahora estoy usando HMAC-SHA256 para las transferencias y para los dominios dinamicos  HMAC-MD5 -b 512, pero no se si es poco o mucho...  :silbar:

Parecerá de coña, pero he buscado en google y no he encontrado una comparativa donde se diga, pues mira, este es mejor o este peor o este tiene menos necesidades de calculo...

Gracias por vuestro tiempo.. :)

APOKLIPTICO

Usá RSA con SHA-512 con clave de 4096, eso es re seguro.

Y para las transferencias de dominios, con HMAC-SHA256 es seguro, aunque si querés ponerle 512, también es seguro.
Saludos
APOKLIPTICO.
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.