Det nya Internet DNSSEC

Transkript

1 Det nya Internet DNSSEC Anne-Marie Eklund Löwinder kvalitets-och säkerhetschef.se (Stiftelsen för Internetinfrastruktur)

2 Min agenda Kort om.se Vad är DNS? Vad är DNSSEC och hur fungerar det? Vad krävs för att införa DNSSEC? Verktyg Resurser DNSCHECK Fortsatt utveckling?

3 .SE:s två ben

4 Administration av domännamnsregistret En stor del av.se:s verksamhet är administration och teknisk drift av det nationella domännamnsregistret under.se domännamn (söndag, 11:12), i genomsnitt mer än 500 nyregistreringar per dag. 42 anställda. Omsättning 2008; 88 miljoner kronor..se står under tillsyn av: PTS genom Lagen om nationella toppdomäner på Internet i Sverige (SFS:2006:24). Länsstyrelsen genom Stiftelselagen

5 En typisk DNS-dialog

6 Hot mot DNS Hot mot DNS Källa: DNS Threat Analysis

7 Hot mot DNS - Attackträd Skydda infrastrukturen Anycast Lastbalansering Diversifierade plattformar NSD BIND FreeBSD Linux Övervakning

8 Hot mot DNS - Attackträd DNSSEC skyddar mot mycket men inte allt!

9 En långsiktig lösning

10 Vad är DNSSEC? DNS Security Extensions (DNSSEC) är ett säkrare sätt att göra uppslagningar på Internetadresser för exempelvis webb och e-post. Uppslagningar med DNSSEC är kryptografiskt signerade och skyddade mot manipulation under överföring. Domännamnsinnehavaren kan säkra sina domäner med DNSSEC.

11 Varför ville vi ha DNSSEC i.se? Öka dataintegriteten i DNS. Öka säkerheten för.se:s domäninnehavare och deras användare. En åtgärd mot pharming och andra DNS MITM attacker. Förstärker infrastrukturen för Internet. En tänkbar användning av DNSSEC är dessutom för säker distribution av attribut för andra säkerhetsprotokoll och lösningar. Efterfrågades av ansvarig myndighet, PTS. Behövs för att kunna lita på nya kritiska applikationer.

12 Projektstart 1999 Kunskap baserad på erfarenheter Knowledge built on experience Signering av.se-zonen september 2005 Nytt system för nyckel- hantering och zon- signering Standardutveckling Tillåter säkra delegeringar från early adopters,januari 2006 Mjukstart - Friendly users 16 februari , Resolveroperatörer Kommersiell lansering Manuell administration September, 2007.SE tar bort avgiften, Januari 2009 Automatisering av administration Skapa volumer Mars 2009 Ny affärsmodell för.se EPP Registrarer Hösten 2009 OpenDNSSEC

13 Lite siffror Antal DNSSEC-signerade domäner i.se-zonen: 1856 Antal registrarer som erbjuder DNSSEC i.se: 11 (OBS: deras marknadsandel 35 %) Antal signerade toppdomäner i världen: 12.cz.pr.museum(-).nu.li.ch.se.org.gov.th.bg.na Andra cctld:er - 65 svar från ännu inte publicerad undersökning: 25 % har infört eller är på väg att införa DNSSEC. 80 % har konkreta planer.

14 Vad har vi lärt oss? En hel del!

15 Nyckeladministration är kritiskt Zonfil Signe KSK ZSK ZSK KSK

16 För nyckeladministration krävs: Teknisk miljö för nyckelgenerering (POC). Rutiner för: Generering av nycklar (strikta och väldefinierade rutiner) Förvaring av nycklar (smarta kort, HSM) Användning av nycklar (KSK + ZSK) Byte av nycklar (frekvens och rutiner) Publicering av nycklar (vem måste veta) Krisrutin för akut nyckelbyte (planering)

17 Övervakning är viktigt Vårt övervakningssystem har kompletterats för att utföra basala DNSSEC-kontroller: Varnar för signaturer som är på väg att gå ut. Testar den extra DNSSEC-hanteringen i produktionen så att den görs korrekt. Kontrollerar äktheten hos vissa signaturer.

18 Hot och risker men också möjligheter Mänskliga faktorn misstag i samband med nyckeladministration. Mänskliga faktorn man litar för mycket på DNSSEC och glömmer bort andra säkerhetsaspekter. Mänskliga faktorn många förväntar sig mirakel av tekniken. Möjlighet: Få människor att börja tänka på säkerhet!

19 Verktyg för hjälp till självhjälp DNSCheck Verktyg för att kontrollera delegering i DNS Testar även för DNSSEC Kaminskytestet Testa domän Testa resolver

20 Utveckling av ny programvara OpenDNSSEC är ett samarbete mellan.se, Nominet, NLNet Labs, SIDN, SURFnet, Kirei och John Dickinson.

21 Rootzonen signeras före utgången av 2009!

22 Frågor?