Hola a todos, estoy configurando un servicio de DNS parecido al que tenia el extinto editdns.net.
La verdad es que lo tengo todo listo, dominios dinámicos, transferencias de dominio, etc etc etc, pero tengo una duda porque quiero hacer mi DNS a prueba de bombas.
Necesitaría que algún :-) experto me pudiera decir cual es algoritmo de cifrado que me recomendaría
Por ejemplo una duda que tengo es el tema de las longitudes de clave para TSIG. yo he usado HMAC-SHA256 con 256 pero sinceramente me parece poco para una clave de autorización de transferencia.
He pensado algo del tipo dnssec-keygen -a DH -b 4096 -n HOST rndc-key y aunque tarda bastante tiempo me genera una clave inmensa que no se si servirá para hacer mas seguro mi dns o sólo para generar mas tráfico.
Por ahora lo que he visto en la documentación estos son los protocolos que se aceptan para autenticar cambios en IP dinamicas.
y para las transferencias de dominios solo son validos estos...
La verdad es que no se que protocolo usar que sea lo suficientemente seguro. ahora estoy usando HMAC-SHA256 para las transferencias y para los dominios dinamicos HMAC-MD5 -b 512, pero no se si es poco o mucho...
Parecerá de coña, pero he buscado en google y no he encontrado una comparativa donde se diga, pues mira, este es mejor o este peor o este tiene menos necesidades de calculo...
Gracias por vuestro tiempo..
La verdad es que lo tengo todo listo, dominios dinámicos, transferencias de dominio, etc etc etc, pero tengo una duda porque quiero hacer mi DNS a prueba de bombas.
Necesitaría que algún :-) experto me pudiera decir cual es algoritmo de cifrado que me recomendaría
Por ejemplo una duda que tengo es el tema de las longitudes de clave para TSIG. yo he usado HMAC-SHA256 con 256 pero sinceramente me parece poco para una clave de autorización de transferencia.
He pensado algo del tipo dnssec-keygen -a DH -b 4096 -n HOST rndc-key y aunque tarda bastante tiempo me genera una clave inmensa que no se si servirá para hacer mas seguro mi dns o sólo para generar mas tráfico.
Por ahora lo que he visto en la documentación estos son los protocolos que se aceptan para autenticar cambios en IP dinamicas.
Código [Seleccionar]
-b <key size in bits>:
RSAMD5: [512..4096]
RSASHA1: [512..4096]
NSEC3RSASHA1: [512..4096]
RSASHA256: [512..4096]
RSASHA512: [1024..4096]
DH: [128..4096]
DSA: [512..1024] and divisible by 64
NSEC3DSA: [512..1024] and divisible by 64
HMAC-MD5: [1..512]
HMAC-SHA1: [1..160]
HMAC-SHA224: [1..224]
HMAC-SHA256: [1..256]
HMAC-SHA384: [1..384]
HMAC-SHA512: [1..512]y para las transferencias de dominios solo son validos estos...
Código [Seleccionar]
For TSIG/TKEY, the
value must be DH (Diffie Hellman), HMAC-MD5, HMAC-SHA1, HMAC-SHA224, HMAC-SHA256, HMAC-SHA384, or HMAC-SHA512. These values are case insensitive..La verdad es que no se que protocolo usar que sea lo suficientemente seguro. ahora estoy usando HMAC-SHA256 para las transferencias y para los dominios dinamicos HMAC-MD5 -b 512, pero no se si es poco o mucho...
Parecerá de coña, pero he buscado en google y no he encontrado una comparativa donde se diga, pues mira, este es mejor o este peor o este tiene menos necesidades de calculo...
Gracias por vuestro tiempo..