|
Título: Algoritmos de cifrado para Bind9, cual es el mejor? Publicado por: ediaz en 1 Agosto 2012, 17:06 pm Hola a todos, estoy configurando un servicio de DNS parecido al que tenia el extinto editdns.net.
La verdad es que lo tengo todo listo, dominios dinámicos, transferencias de dominio, etc etc etc, pero tengo una duda porque quiero hacer mi DNS a prueba de bombas. Necesitaría que algún :-) experto me pudiera decir cual es algoritmo de cifrado que me recomendaría Por ejemplo una duda que tengo es el tema de las longitudes de clave para TSIG. yo he usado HMAC-SHA256 con 256 pero sinceramente me parece poco para una clave de autorización de transferencia. He pensado algo del tipo dnssec-keygen -a DH -b 4096 -n HOST rndc-key y aunque tarda bastante tiempo me genera una clave inmensa que no se si servirá para hacer mas seguro mi dns o sólo para generar mas tráfico. Por ahora lo que he visto en la documentación estos son los protocolos que se aceptan para autenticar cambios en IP dinamicas. Código: -b <key size in bits>: y para las transferencias de dominios solo son validos estos... Código: For TSIG/TKEY, the La verdad es que no se que protocolo usar que sea lo suficientemente seguro. ahora estoy usando HMAC-SHA256 para las transferencias y para los dominios dinamicos HMAC-MD5 -b 512, pero no se si es poco o mucho... :silbar: Parecerá de coña, pero he buscado en google y no he encontrado una comparativa donde se diga, pues mira, este es mejor o este peor o este tiene menos necesidades de calculo... Gracias por vuestro tiempo.. :) Título: Re: Algoritmos de cifrado para Bind9, cual es el mejor? Publicado por: APOKLIPTICO en 2 Agosto 2012, 18:21 pm Usá RSA con SHA-512 con clave de 4096, eso es re seguro.
Y para las transferencias de dominios, con HMAC-SHA256 es seguro, aunque si querés ponerle 512, también es seguro. Saludos APOKLIPTICO. |