DNSSEC-grunder. Rickard Bellgrim [ ]

Transkript

1 DNSSEC-grunder Rickard Bellgrim [ ]

2 DNS. NS a.root-servers.net. a.root-servers.net.. NS m.root-servers.net. A m.root-servers.net. A (root).se net. NS a.gtld-servers.net. a.gtld-servers.net. A net. NS b.gtld-servers.net. b.gtld-servers.net. AAAA 2001:503:231d::2:30.net.com certezza.net NS a.ns.ip-only.net. certezza.net NS b.ns.ipv6.ip-only.net. certezza.net NS ns1.certezza.net. ns1.certezza.net. AAAA 2a01:2b0:3001:4000::2 certezza.net A

3 DNS. (root) Fråga a.gtld-servers.net 4. Resolver Fråga ns1.certezza.net. certezza.net har adress har adress Användare

4 Sårbarheter Du kan inte lita på svaren Kategorier: Denial of Service Data integrity Protocol issues Cache poisoning, Query prediction System corruption Repository corruption Privacy Cache snooping NSEC walk

5 Attack. (root) Fråga a.gtld-servers.net Resolver Fråga ns1.certezza.net. certezza.net har adress har adress har adress DNS UDP/53 UDP = Lätt att kapa Användare

6 Vad är DNSSEC? Domain Name System Security Extension Det ger: Data Origin Authentication Data Integrity Denial of Existence Genom att använda digitala signaturer

7 Vad löser DNSSEC? Löser: Poison attacker Man-in-the-middle mellan resolver och DNS Domänkapning (om DS fortfarande finns i förälderzon)? Löser inte DDOS Malware på sårbara siter Sårbar Resolver/DNS Kapning av hostfilen på klient

8 Krypto Assymetriskt krypto Privat nyckel Public nyckel KSK Key Signing Key det man litar på Signerar nycklarna ZSK Zone Signing Key Skapar signaturer i zonen

9 Algoritmer Olika DNSSEC algortitmer RSAMD5 DSA RSASHA1 DSA-NSEC3-SHA1 RSASHA1-NSEC3-SHA1 RSASHA256 RSASHA512 ECC-GOST ECDSAP256SHA256 ECDSAP384SHA384

10 NSEC/NSEC3 Proof of non-existence Skyddar mot DoS av enskilda domäner eller datatyper NSEC3 förhindrar uppräkning av zonen sakerhetsdagen.se IN NSEC NS SOA MX RRSIG NSEC DNSKEY Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9.sakerhetsdagen.se IN NSEC RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR CNAME RRSIG sakerhetsdagen.se. IN NSEC3PARAM

11 IN SOA ns1.certezza.net. support.certezza.se IN RRSIG SOA sakerhetsdagen.se IN NS 3600 IN RRSIG NS sakerhetsdagen.se IN A 3600 IN RRSIG A sakerhetsdagen.se IN DNSKEY AwEAAdipsJYHrgRRwfK0l3+hqGoCZxZQorG0KsJXw+s2fd3KuLX5r1Sw 3600 IN DNSKEY AwEAAZhCop9d5NU85gb07H6YYYWyRUyjT+Phpmnq5z+NRMSW4L5qrx9k 3600 IN RRSIG DNSKEY sakerhetsdagen.se IN RRSIG DNSKEY sakerhetsdagen.se. 0 IN NSEC3PARAM IN RRSIG NSEC3PARAM sakerhetsdagen.se. w28omv www 3600 IN CNAME www 3600 IN RRSIG CNAME sakerhetsdagen.se. QuvldZplYH Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9. sakerhetsdagen.se IN NSEC RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR CNAME RRSIG Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9. sakerhetsdagen.se IN RRSIG NSEC sakerhetsdagen.se. ZVdofS8vLGqYZNaTe5mYdZhKUNsM RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR. sakerhetsdagen.se IN NSEC Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9 A NS SOA TXT RRSIG DNSKEY NSEC3PARAM RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR. sakerhetsdagen.se IN RRSIG NSEC sakerhetsdagen.se. vqlb54cqifyrdjx1c

12 DS DS Delegation Signer Skapar en kedja från förälder till barnzon Pekar ut vilken nyckel som man kan lita på Förenklar spridningen av nycklar sakerhetsdagen.se IN DS DD0F015CF211DE5CD4B3018E3DED4D3CEC3 sakerhetsdagen.se IN DS FD771F1DD166037D142F443EAB46037CDE745FF648DA6EBDA86B6462 B1593FA3

13 Nyckelpublicering

14 Nyckelrullning Nycklar kan bytas ut Måste göras enligt en speciell procedur Olika steg Förpublicerad Aktiv Efterpublicerad Mjukvaran hjälper dig

15 Trust anchor managed-keys { "." "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcC jf FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfdauevpquyehg37nzwajq9vnmvdxp/vhl496m/qzxkjf5/efucp2gad X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnul q QxA+Uk1ihz0="; }; options { }; dnssec-enable yes; dnssec-validation yes;

16 DNS med DNSSEC. (root) RRSIG DS DNSKEY do.net 3. Fråga a.gtld-servers.net Resolver certezza.net RRSIG do DNSKEY DS 5. Fråga ns1.certezza.net do RRSIG DNSKEY 7. har adress har adress Användare

17 Firefox plugin

18 Säkerhet Skydda servern Hidden master Skydda nycklarna Hardware Security Module

19 Produkter DNS / Administration Microsoft Windows Server 2008 R2 BIND OpenDNSSEC Bluecat Infoblox MenandMice / Secure64 Infoweapons HSM AEP, Safenet, Thales, Utimaco Review-of-Hardware-Security-Modules-Fall-2010.pdf

20