Vägledning för införande av DNSSEC

Storlek: px
Starta visningen från sidan:

Download "Vägledning för införande av DNSSEC"

Transkript

1 Vägledning Version Vägledning för införande av DNSSEC Framtagen i samarbete mellan E-delegationen, Sveriges Kommuner och Landsting samt Kommunförbundet Stockholms Län. Vad vill uppnås med vägledningen? Mål: Ett införande av DNS Security Extensions (DNSSEC) ska vara genomfört senast sommaren Syfte: Att ge den enskilda myndigheten, kommunen eller landstinget en vägledning för att snabbt och smidigt kunna införa DNSSEC.

2 Innehållsförteckning Förord Inledning Syfte och mål Dokumentbeskrivning Målgrupp Sammanfattning Bakgrund Historik Teknisk översikt DNSSEC mellan klient och resolver Konsekvensanalys DNSSEC Konsekvenser av ett icke-införande Operativa frågeställningar Risker vid införande Vid utlokaliserad drift (outsourcing) Införande av DNSSEC Definiera införandeplan Införande vid utlokaliserad drift (outsourcing) Praktisk införandeplan DNSSEC Genomför konsekvensanalys Resurser Inventering Testbädd Utbildning Dokumentation och rutiner Nyckelhantering Signera en första zon Full signering Intern resolver och DNSSEC Drift och förvaltning Referenser

3 Förord Denna vägledning är framtagen i samarbete mellan E-delegationen, Sveriges Kommuner och Landsting (SKL) samt Kommunförbundet Stockholms län (KSL). Vägledningen är en första version vilken vi har för avsikt att uppdatera vid årsskiftet 2010/2011. Tips på förbättringar, tillägg och ändringar skickas till 3

4 1 Inledning 1.1 Syfte och mål Syftet är att ge den enskilda myndigheten, kommunen eller landstinget en vägledning för att snabbt och smidigt kunna införa DNS Security Extensions (DNSSEC). Målet är att ett införande ska vara genomfört senast sommaren Dokumentbeskrivning I dokumentet används ett system för texthänvisningar där varje hänvisning följs av ett nummer inom hakparenteser. Hänvisningarna beskrivs i referenslistan i avsnitt 7. För en mer teknisk djuplodande beskrivning av DNSSEC hänvisas läsaren bl.a. till källorna som finns i referenslistan i avsnitt Målgrupp Dokumentet är skrivet med IT-strateger, IT-chefer och IT-projektledare som målgrupp. Texten tar upp den tekniska bakgrunden till DNSSEC samt hur denna teknologi kan införas i den egna organisationen. 4

5 2 Sammanfattning Huvudsyftet med DNSSEC är att säkerställa att svaret på en DNS-fråga inte är förvrängt och att det kommer från korrekt källa. DNS används för att översätta domännamn till IP-adresser, t.ex. att har IP-adressen Det konkreta resultatet av att använda DNSSEC är att förfalskade och manipulerade svar upptäcks. Internetanvändare kan därmed förlita sig på att IPadressen i DNS-svaret verkligen motsvarar det domännamn som frågan avsåg. Risker med att inte använda DNSSEC är till exempel att: 1. externa parter som ska nå resurser på ett företag (webbservern, e-post etc.) istället blir styrda till ett annan server, t.ex. till en webbserver som satts upp av någon illvillig i syfte att locka av kreditkortsnummer etc. 2. interna tjänster styrs om till externa källor, vilket kan avslöja känslig information. Införande av DNSSEC har två dimensioner: 1 1. att man inför DNSSEC på sin egen externa DNS-server, 2. att man inför stöd för DNSSEC för den interna infrastrukturen, något som beröra brandväggar, routrar och servrar/datorer. I dagsläget är de flesta befintliga produkter (DNS-servrar, resolvrar och klienter) redan förberedda att hantera DNSSEC, så anskaffningskostnaden av ny utrustning kan hållas låg. Stor vikt bör läggas på att använda ett bra verktyg för att hantera DNS-uppdateringar på ett automatiserat sätt. Detta minskar administration och förvaltning av DNS. Rekommendation: Lägg resurser på utbildning, tester och labbmiljöer i början av införandeprojektet för att minimera driftstörningar. 1 Med andra ord menas att externa frågor mot organisationens externa DNS-servrar kan besvaras enligt DNSSEC och att den interna organisationens utrustning får DNSSEC-validerade svar på sina DNS-frågor. 5

6 3 Bakgrund DNSSEC (DNS Security Extensions) är ett viktigt tillägg för att råda bot på den tillförlitlighetsproblematik som finns med DNS utan signerade poster. 3.1 Historik DNS (Domain Name System) är världens största distribuerade databas och används av miljontals Internetanvändare varje minut. DNS används främst för att översätta domännamn till IP-adresser. Om exempelvis anges i användarens webbläsare så ställs automatiskt en fråga till angiven DNS-server som i sin tur kontrollerar om svaret för det efterfrågade domännamnet finns lagrat i minnet, vilket är fallet om frågan nyligen ställts. I annat fall rådfrågar DNS-servern andra servrar baserat på en given hierarki, och återkommer därefter med ett svar till klienten i form av en IP-adress. Processen är helt transparent och den normala användaren funderar inte över tekniken bakom detta. Det är därför inte förvånande att vanliga användare sällan är medvetna om hur lätt det är att attackera en DNS-fråga och lämna ett felaktigt svar. Det felaktiga svaret resulterar i att användaren når en falsk värdmaskin. Kanske en webbserver som ser identisk ut med den förväntade, men som i själva verket används för att fånga upp inloggningsinformation. Regeln är enkel, den som snabbast besvarar en DNS-fråga vinner, oavsett vem som svarar. År 2008 upptäckte säkerhetsforskaren Dan Kaminsky ett säkerhetshål i DNS[1] gällande det relativt låga antalet transaktionsidentiteter som används och att dessa går att gissa sig till för att sedan förfalska svaret som går tillbaka. Detta säkerhetshål var relativt lätt att täppa till men gjorde att DNSSEC fick fler anhängare som ansåg att något måste göras åt DNS protokollets dåliga säkerhet. Svenska.SE blev 2007 den första toppdomänen i världen att erbjuda en fullvärdig DNSSEC-tjänst[2]. Den 15 Juli 2010 signerades rot (.) zonen[3] vilket är ett viktigt steg i utbredningen av DNSSEC. 3.2 Teknisk översikt Behovet av att garantera äktheten i DNS och skydda mot modifiering av DNS är en av de viktigaste hörnstenarna för att säkra användningen av Internet. IETF släppte RFC i mars 1999 vilka innefattade tillägg till DNS för att skydda mot modifiering av DNS-data och garantera dess integritet[4]. Tilläggen går under benämningen DNS Security Extensions och kräver anpassade DNS-servrar och applikationer för att nyttjas fullt ut. Specifikationerna har uppdaterats och kompletterats ett flertal gånger sedan dess. RFC är de versioner som gäller idag[5]. DNSSEC baseras på kryptografiska funktioner för att hantera äkthet och förhindra modifiering. Detta bygger på två delar, en hash (checksumma) och 6

7 asymmetrisk kryptering. Tekniken har länge använts i andra protokoll och teknologier som SSL/TLS, PKI och IPSec. 2 En DNS-server som ställer en fråga till en signerad domän kan med domänens publika nyckel verifiera att exempelvis en adresspost är korrekt. Den digitala signaturen används för att verifiera att adressposten är äkta och inte förändrad. Vid användning av asymmetrisk kryptering 3 gäller det att kunna garantera att den publika nyckeln verkligen är den publika nyckel som den utges för att vara. En falsk domän, med falska signaturer och en falsk publik nyckel, kan potentiellt producera ett korrekt DNS-svar. För att garantera äktheten hos den publika nyckeln för en domän, så signeras den av den överliggande domänens nyckel som i sin zon publicerar en unik signatur för varje signerad underdomän. Exempelvis så signeras den publika nyckeln för zonen av zonen example.se. Den publika nyckeln för exempel.se signeras av.se som i sin tur signerats av rot-servrarna (.) (Se bild 1). Rotservrarnas publika nycklar är givna på förhand, på samma sätt som deras IP-adresser. Detta verifieringsscenario kallas för walking the chain of trust. Bild 1. Chain of trust Rotservrarnas publika nyckel är den enda som behövs för att kunna verifiera kedjan vilket löser problemet med distribution av nycklar. Det är viktigt att påpeka att DNSSEC inte krypterar DNS-information utan enbart signerar information så att mottagaren kan verifiera äktheten. DNSSEC använder sig normalt av två nyckelpar. Zone Signing Key (ZSK) - Signerar zondata Key Signing Key (KSK) - Signerar ZSK - Signeras av överliggande domän 2 Erkända teknologier för säkra förbindelser över Internet(SSL/TLS, IPSec) samt infrastruktur för certifikat (PKI). 3 Nyckelpar med matematiskt samband. Information krypterad med publik nyckel dekrypteras med privat nyckel. Information krypterad med privat nyckel dekrypteras med publik nyckel. Det senare brukar benämnas signering då publik nyckel delas med mottagaren som kan verifiera äkthet genom att dekryptera data med publik nyckel och jämföra det med datat i klartext. 7

8 Två nycklar används för att KSK, som är länken mellan föräldrazon och egen domän, inte ska behöva publiceras på nytt i föräldrazonen varje gång man förnyar nyckel för signering av den egna zonen. ZSK är normalt av kortare längd och byts oftare än den typiskt bitmässigt längre KSK. DNSSEC utökar den befintliga DNS-standarden med följande nya poster: DNSKEY Publika delen av det nyckelpar som signerar data RRSIG Signatur för en annan post i zonen (SOA, NS, A etc). NSEC Nästa signerade post. Funktion för att få signerade svar på poster som ej existerar (NX DOMAIN). NSEC3 Utökning av NSEC för att förhindra så kallad zone walking. 4 DS Delegering av signering. Föräldrazonen delegerar signering av underzon till den som äger den privata nyckeln som har den checksumma på publik nyckel som publiceras i denna post. Signering av zon För att DNS uppslag ska kunna verifieras med DNSSEC måste zonen signeras. Det går till på följande sätt. Signering av zon. (Se bild 2.) 1. Två nyckelpar genereras, KSK och ZSK. 2. Den publika delen av nycklarna publiceras i zonen som DNSKEY poster. 3. KSK signerar DNSKEY posterna. Signeringsdata publiceras i form av en eller flera RRSIG DNSKEY poster. 4. NSEC/NSEC3 poster skapas så att zonen kan ge signerade svar på poster som ej existerar (NX DOMAIN). 5. Om signerad delegering för underzon används så skapas DS poster för dessa med en checksumma av under zonens publika KSK nyckel. 6. ZSK signerar alla poster i zonen och skapar RRSIG för varje post. 4 Om enbart NSEC används är det möjligt att räkna ut vilka värdnamn som finns i zonen. En hackare kan på så vis skaffa sig information som inte är uppenbart publik om organisationens nätverk och tjänster. NSEC3 använder kryptografiska checksummor i DNS-posterna för att inte avslöja informationen. 8

9 Bild 2. Självsignerad. (rot) som i sin tur delegerar signering till zonen/toppdomänen.se som i sin tur delegerar signering till underzoner. Verifiering av uppslag För att DNSSEC ska ge någon effekt måste en resolver (funktion som utför DNS uppslag) verifiera signaturerna. Exempel där resolver ska slå upp (Se bild 3.): 1. Publika nyckeln för rotzonen distribueras via annat protokoll. Exempelvis signerad med PGP och publicerad via HTTP/S, FTP eller direkt via operativsystemet. 2. Resolver frågar. (rot) om namnserver för se. 3. DNS. (rot) svarar med namnserver post och DS för KSK i zonen se. samt RRSIG för DS-posten. 9

10 4. Resolver kontrollerar signaturerna med hjälp av nyckeln för rotzonen. 5. Resolver frågar namnservern hos se. om namnserver för exempel.se. 6. se. svarar med namnserver post samt DS för KSK i zonen exempel.se. och RRSIG för DS-posten. 7. Resolver frågar DNS se. om DNSKEY för se. 8. DNS se. svarar med de DNSKEY poster som finns i zonen. 9. Resolver kontrollerar att signaturerna stämmer och att nyckeln är den samma som. (rot) pekade ut som DS för se. 10. Resolver frågar DNS exempel.se. om A-post för 11. DNS exempel.se. svarar med A post samt RRSIG för A-posten. 12. Resolver frågar DNS exempel.se. om DNSKEY för exempel.se. 13. DNS exempel.se. svarar med de DNSKEY poster som finns i zonen. 14. Resolver kontrollerar att signaturer stämmer och att nyckeln är den samma som DNS se. pekade ut som DS för exempel.se. Bild 3. Exempel där resolver ska slå upp 10

11 När en resolver sätter flaggan 5 do till 1 innebär det att den, om möjligt, vill ha signerade poster från DNS-servern. 3.3 DNSSEC mellan klient och resolver Utifrån ovanstående tekniska förklaring till DNSSEC så är det således primärt externa zoner som signeras. Interna zoner kan också signeras, men det ger inte något större skydd då det i dagsläget inte görs någon verifikation på klientens sida av DNSSEC-svaret. En klient (arbetsstation, t.ex. med operativsystemet Windows 7) förlitar sig på att resolvern (oftast den interna DNS-servern) gör verifikationsarbetet och skickar tillbaka ett svar med AD-biten 6 satt/inte satt beroende på verifikationsresultatet. För ett säkert informationsflöde mellan klient och resolver (Last hop communication) utnyttjas krypteringsprotokollet IPsec mellan klienten och resolvern. Alla DNS-frågor går sålunda krypterat genom en IPsec-tunnel mellan klienten och resolvern. IPsec-tunneln är konfigurerad för att enbart sättas upp mellan klienten och betrodd motpart (DNS-servern); DNS-frågor kan alltså inte av misstag ställas mot annan än utsedd resolver. 5 Flaggor används i paketen mellan resolver och server för att signalera information enligt protokollstandarden. 6 AD-biten (Authenticated Data) används av resolvern för att i sitt svar till klienten markera att ett DNSSEC-svar har kontrollerats och anses vara autentiserat i enlighet med RFC Om den inte är satt, betyder det att verifikationen av svaret har misslyckats någonstans. 11

12 4 Konsekvensanalys DNSSEC E-delegationen publicerar på sin webbsajt 7 en lista över signerade myndighetsdomäner. Listan visar att det endast är ett mycket litet antal av myndighetsdomänerna i Sverige som är signerade. Ett stort DNSSEC-arbete väntar därför inom de närmaste åren, såväl administrativt som tekniskt. Denna konsekvensanalys är avsedd som en mall för de frågor som generellt är viktiga att besvara innan ett beslut om införande av DNSSEC fattas och genomförs. Generellt kan sägas att ett icke-införande på längre sikt torde vara en omöjlighet för samtliga svenska myndigheter. Det stora förtroendekapital som finns för material publicerat av det offentliga Sverige kan vid exempelvis en domänkapning såväl utnyttjas som skadas. Det är också mycket viktigt att myndighetsanställda kan validera DNS-svar med DNSSEC så snart som möjligt. 4.1 Konsekvenser av ett icke-införande De två huvudkonsekvenserna av att inte använda DNSSEC är att: de egna domänerna potentiellt kan kapas och utnyttjas för phishing, spridning av skadlig kod eller utsättas för defacement. 8 Om organisationen har en egen resolver kommer denna inte kunna validera DNS-svar från signerade domäner. I dagsläget är få domäner signerade men ur ett längre perspektiv är detta en mycket viktig konsekvens. Utöver detta kommer förmodligen webbläsarna att inom en snart framtid indikera om en domän är signerad eller inte på samma sätt som sker för SSL-certifikat. DNSSEC-stöd kommer då att vara en kvalitetstecken gentemot användaren. 4.2 Operativa frågeställningar Befintlig IT-infrastruktur, nätverk och applikationsportfölj Stöder organisationens registrar DNSSEC? Detta är en förutsättning för att en DSpost (Delegated Signer) vilket är ett kondensat av den egna publika nyckeln, ska kunna publiceras i föräldradomänen, exempelvis.se. Finns stöd för DNSSEC-signering och validering redan i befintlig DNSutrustning eller behöver ny hård- eller mjukvara inköpas? Finns en fungerande tidssynkronisering hos relevanta nätverkskomponenter? Detta är viktigt för att en korrekt validering av DNSSEC-signaturer ska kunna genomföras Defacement av en webbsajt innebär att innehållet byts ut av angriparen. Motiven är ofta politiska eller på annat sätt åsiktsrelaterade. 12

13 Det finns olika varianter av DNSSEC-signerare, se Review of Administrative Tools for DNSSEC [6]. Lösningsalternativen ställer olika krav på den interna DNSinfrastrukturen och denna kan behöva läggas om för att passa vissa alternativ. Eftersom DNSSEC-signaturer inkluderas i zonfilerna kommer dessas storlek att växa kraftigt, liksom storleken på DNS-svaren. Det bör utredas lokalt av organisationen huruvida detta har några effekter på nätprestanda eller val av DNSprotokoll (TCP istället för UDP). En policy och rutin för nyckelhantering bör etableras för att underlätta byte av signeringsnycklar. Utbildning av medarbetare Kunskapsnivån hos medarbetarnas som ska planera/införa/administrera/förvalta DNSSEC bör inventeras. Vilken utbildningsinsats krävs och hur och var kan den genomföras? 4.3 Risker vid införande Den största risken med att införa DNSSEC är att misstag görs vid byte av nycklar vilket kan medföra att organisationens domän inte går att validera, och alltså inte kan nås utifrån. Detta kan ske om DS-posten inte uppdateras korrekt vid byte av KSK. De flesta verktyg för DNSSEC-signering hanterar nyckelbyte automatiskt och kan konfigureras att notifiera administratören när posten behöver uppdateras. Om DNSSEC används för validering även på det interna nätet vid automatisk kommunikation mellan servrar, exempelvis för tidssynkronisering kan oväntade problem uppstå om valideringen misslyckas. För att minimera denna typ av problem stöder flera produkter notifiering via SNMP-fällor (Simple Network Management Protocol). Om organisationens resolver använder DNSSEC för validering är det viktigt att resolvern har tillgång till de senaste rotnycklarna. Planer finns på att inkludera rotnyckeluppdatering i de flesta operativsystem men dessa kan även behöva importeras manuellt för att säkerställa att validering fungerar som avsett. 4.4 Vid utlokaliserad drift (outsourcing) Det som ovan skrivet om att utföra en konsekvensanalys för den egna organisationen vid införande av DNSSEC är lika tillämpligt när organisationen har sin drift utlagd på annan part (outsourcing). Den största risken vid införande av DNSSEC i en utlokaliserad miljö, är att driftparten inte har (eller tänker skaffa sig) stöd för DNSSEC. Detta bör kunna undvikas genom att man som beställare har krav på stöd för DNSSEC vid upphandling (eller omförhandling) av sin driftmiljö. Observera att det kan vara relevant att veta vilken DNSSEC-lösning operatören erbjuder, då det kan ha inverkan vad gäller nyckelhantering osv. Det kan även vara aktuellt att ta in referenser på vilken erfarenhet de har av tekniken, andra DNSSECkunder etc. 13

14 5 Införande av DNSSEC Vid införande av DNSSEC är det är viktigt att förstå funktionen och dess komponenter. Här följer en handlingsplan för införande av DNSSEC. Införande av DNSSEC omfattar tre övergripande steg: Utredning av policy för DNSSEC. (Nyckellängder, nyckelrullningsmetod, förvaring av nycklar, etc.). Signering av organisationens publika zoner. Kontroll av signaturer för uppslag mot externa zoner. Policy kan utredas av säkerhetsansvarig tillsammans med ansvarig för DNS. Tekniska förändringar utförs av administratören i DNS infrastrukturen. Införandet av DNSSEC kan drivas i projektform om så önskas. 5.1 Definiera införandeplan Nedan är ett förslag till hur ett införande av DNSSEC kan gå till. Punkterna utvecklas närmare i avsnitt Genomför konsekvensanalys av ett DNSSEC-införande. Se avsnitt Avdela resurser för ett införande av DNSSEC. 3. Genomför en inventering av utrustning och applikationer. 4. Om möjligheten finns, sätt upp ett testnät/testbädd där funktionaliteten kan provas om osäkerhet finns för nivå av DNSSEC-stöd i system eller applikationer. 5. Vid behov, utbilda den personal som ska utföra konfigurationen av DNSSEC. 6. Se över dokumentation och rutiner kring hantering av DNSSEC, speciellt rutiner vid nyckelrullning. 7. Generera signeringsnycklar (KSK och ZSK). 8. Publicera DS-post för den publika delen av KSK i föräldrazon. 9. Signera (om möjligt) en mindre zon, eller testzon, för att se hur det fungerar i praktiken. 10. Signera övriga zoner i DNS:en och kontrollera förloppet och funktionaliteten. 11. Aktivera validering av DNSSEC i den interna resolvern. 12. Verifiera att förvaltningsrutiner etc. är framtagna och kan följas i praktiken. 5.2 Införande vid utlokaliserad drift (outsourcing) När driften av DNS är utlokaliserad, bör konsekvensanalysen genomföras av den beställande organisationen. Efter detta kan en beställning av funktionen DNSSEC göras. Hur det kan realiseras omfattas troligen av driftavtalet mellan parterna. Vid/under införandet bör beställaren bevaka att förvaltningsrutiner är framtagna och kan följas i praktiken (se punkt 12 ovan). 14

15 6 Praktisk införandeplan DNSSEC 6.1 Genomför konsekvensanalys En konsekvensanalys tas fram för att skapa ett underlag till om ett projekt att införa DNSSEC ska genomföras och förutse risker mm med införandet, se avsnitt Resurser Följande resurser krävs vid införande av DNSSEC: Administratör av infrastruktur för DNS (Gäller även om DNS administreras externt av tredje part.) Administratörer av server och klient för verifiering av DNSSEC funktion. Testpersoner som kan utföra tester utanför den interna infrastrukturen, exempelvis från Internetuppkoppling i hemmet. 6.3 Inventering Innan arbetet med att signera zoner och konfigurera kontroll av uppslag påbörjas behöver infrastrukturen inventeras så att denna kan hantera DNSSEC. Åtminstone följande punkter kan vara lämpliga att se över: Intern resolver: - Hanteras DNSSEC? (Signaturkontroll av DNS-uppslag)? - Hantering av loggar för felsökning av DNSSEC? DNS server för organisationens publika zoner: - Hanteras signering och publicering av signerade DNS-poster? - Finns administrativa verktyg för att hantera nyckelpar och förnyelse av dessa? - Hur skyddas privata nycklar, behöver en hårdvarumodul för nyckellagring köpas in? - Om extern leverantör av DNS tjänst används, kan denna hantera DNSSEC? Rapporten A Review of Administrative Tools for DNSSEC, framtagen av CERTEZZA för.se (Stiftelsen för Internetinfrastruktur), kan vara bra referens vid inventeringsarbetet.[6] 6.4 Testbädd För att undvika störningar i DNS-tjänsten kan det vara bra att sätta upp en testbädd där man implementerar DNSSEC utanför produktionsmiljön för att upptäcka eventuella problem. Detta kan enkelt göras genom att sätta upp en kopia av 15

16 nuvarande DNS tjänst och sedan kopiera zondata från produktionsmiljön till testbädd. Sedan kan man i testmiljön skapa testnycklar, signera zondata och utföra övriga relevanta tester. Samma process fungerar för interna resolvers. Dock behöver man enbart sätta upp en kopia av nuvarande resolver och slå på verifiering av signerade DNS-svar och göra tester enligt testprotokoll. Denna testuppsättning behöver dock åtkomst till Internet för att nå rotservrarna. 6.5 Utbildning Administratörer av DNS-servrar bör läsa in sig på hur DNSSEC fungerar generellt samt inventera och planera hur organisationens nuvarande DNS infrastruktur hanterar eller bör hantera DNSSEC. Detta kan ske via utbildning eller genom att läsa produktdokumentation och de publika dokument som finns kring DNSSEC. 6.6 Dokumentation och rutiner Rutinerna kring hantering av DNS blir mer komplicerade med DNSSEC. Detta är några rutiner och regler som bör upprättas specifikt för DNSSEC: Hur privata nycklar skyddas Uppdatering av zondata (kräver signering) Förnyelse av KSK och ZSK Propagering av KSK/DS-post till toppdomän Uppdatering av rotzonens publika nyckel för caching/forwarding resolvers 9.SE:s deklaration av säkerhetsåtgärder och rutiner för DNSSEC är en bra referens vid detta arbete.[7] Dokumentation kring hur organisationens DNS-servrar är uppsatta för DNSSEC bör tas fram. 6.7 Nyckelhantering Hantera nyckelgenerering och hantering i enlighet med det som bestämts i punkt Signera en första zon Det första steget (om det inte finns någon testbädd enligt 6.4 tillgänglig för ändamålet) är att signera en mindre zon, kanske en gammal zon som inte används längre. Detta visar att använda verktyg fungerar som avsett och att DNSdelegeringen är korrekt. 9 Caching avser att resolver lagrar uppslag för att snabbare kunna ge svaret nästa gång samma information efterfrågas. Forwarding avser att resolver skickar vidare DNS frågor till server som kan ge svar på den information som efterfrågas. 16

17 6.9 Full signering När den initiala signeringen har gjorts, övergå till att signera alla de zoner som finns i DNS:en Intern resolver och DNSSEC Se till att den interna DNS-servern använder sig av DNSSEC och utför validering av DNS-uppslag Drift och förvaltning Driftsättning sker efter säkerställande att drift i produktionsmiljön kan hållas på en acceptabel nivå. Innan driftsättning bör backup och återställningsrutiner för utrustning som påverkas av förändringen verifieras. Detta för att säkerställa smidig återställning av system om driftsättning behöver återkallas. Underhåll bör ske enligt de rutiner som är rekommenderade under punkt

18 7 Referenser [1] Dougherty, Chad R, US-CERT, [2].SE (Stiftelsen för Internetinfrastruktur), [3] IANA, VeriSign Inc., / [4] IETF, [5] IETF, [6] Nilsson, Andreas, CERTEZZA, A Review of Administrative Tools for DNSSEC [7].SE (Stiftelsen för Internetinfrastruktur), DNSSEC Säkerhetsdeklaration (DPS) 18

DNSSec. Garanterar ett säkert internet

DNSSec. Garanterar ett säkert internet DNSSec Garanterar ett säkert internet Vad är DNSSec? 2 DNSSec är ett tillägg i Domain Name System (DNS), som säkrar DNS-svarens äkthet och integritet. Tekniska åtgärder tillämpas vilket gör att den dator

Läs mer

Varför och hur införa IPv6 och DNSSEC?

Varför och hur införa IPv6 och DNSSEC? Varför och hur införa IPv6 och DNSSEC? SSNF:s Årskonferens den 22 mars 2012 Linköping Erika Hersaeus Nätsäkerhetsavdelningen Post- och telestyrelsen Post- och telestyrelsen Agenda Vad är IPv6? Varför IPv6?

Läs mer

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef Överväganden Införandet av DNSSEC nödvändiggör en juridisk analys. Vilken riskexponering

Läs mer

Det nya Internet DNSSEC

Det nya Internet DNSSEC Det nya Internet DNSSEC Anne-Marie Eklund Löwinder kvalitets-och säkerhetschef.se (Stiftelsen för Internetinfrastruktur) amel@iis.se http://www.iis.se Min agenda Kort om.se Vad är DNS? Vad är DNSSEC och

Läs mer

DNSSEC Policy (DP) Denna DP gäller gemensamt för:

DNSSEC Policy (DP) Denna DP gäller gemensamt för: Författare: Stephen Dorch Sida: 1 av 17 DNSSEC Policy (DP) Denna DP gäller gemensamt för: Borgholms kommun org.nr. 212000-0795 Emmaboda kommun org.nr. 212000-0738 Hultsfreds kommun org.nr. 212000-0712

Läs mer

Modul 3 Föreläsningsinnehåll

Modul 3 Föreläsningsinnehåll 2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben

Läs mer

Hur påverkar DNSsec vårt bredband?

Hur påverkar DNSsec vårt bredband? Hur påverkar DNSsec vårt bredband? Mats Dufberg TeliaSonera 2005-10-27 Internetdagarna 2005, DNSsec 1 (?) Kundernas krav på sin operatör Snabb access Det finns en medvetenhet hos kunderna att det kan gå

Läs mer

DNSSEC och säkerheten på Internet

DNSSEC och säkerheten på Internet DNSSEC och säkerheten på Internet Per Darnell 1 Säkerheten på Internet Identitet Integritet Oavvislighet Alltså 2 Asymmetrisk nyckelkryptering Handelsbanken 3 Asymmetrisk nyckelkryptering 1 Utbyte av publika

Läs mer

Systemkrav och tekniska förutsättningar

Systemkrav och tekniska förutsättningar Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån

Läs mer

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor Kalmar Län 2013 Innehåll Förord...3 Före och efter...3 Vad är DNS och DNSSEC?...4 Att använda DNSSEC...4 Hindra attacker mot DNS-frågor...4 För välbesökta webb-platser...4 Fördjupande information...4 Projektresultat...5

Läs mer

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef amel@iis.se Twitter: amelsec

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef amel@iis.se Twitter: amelsec Transparens och förtroende Så gör vi Internet säkrare Anne-Marie Eklund Löwinder Säkerhetschef amel@iis.se Twitter: amelsec Icann, domännamnssystemet och nycklarna varför ska vi skydda DNS? Badwill och

Läs mer

Säker e-kommunikation 2009-04-22

Säker e-kommunikation 2009-04-22 Säker e-kommunikation 2009-04-22 Leif Forsman Logica 2008. All rights reserved Agenda - Inledning - Bakgrund och historik - Vilka risker och hot finns? - Vilka säkerhetslösningar finns det för att skydda

Läs mer

Hälsoläget i.se. DNS och DNSSEC

Hälsoläget i.se. DNS och DNSSEC Hälsoläget i.se DNS och DNSSEC 1 Om.SE:s satsningsområde Hälsoläget 2 2 Introduktion 3 2.1 Syftet med undersökningen 3 2.2 Om undersökningsgruppen 3 2.3 Avgränsningar 4 2.4 Testobjekt 4 3 Sammanfattning

Läs mer

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm Åtgärdsplan CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm Innehåll 1 Bakgrund... 3 1.1 Syfte... 3 1.2 Funktionen CRL... 3 1.3 Funktionen OCSP... 3 1.4 Rekommendationer... 3 1.5 Förkortningar

Läs mer

Startguide för Administratör Kom igång med Microsoft Office 365

Startguide för Administratör Kom igång med Microsoft Office 365 Startguide för Administratör Kom igång med Microsoft Office 365 Version 1.0 Introduktion Skapa ett MSPA-konto Aktivera Office 365 i Telia Business Apps Verifiera företagets domännamn Lägg till användare

Läs mer

Datasäkerhet. Petter Ericson pettter@cs.umu.se

Datasäkerhet. Petter Ericson pettter@cs.umu.se Datasäkerhet Petter Ericson pettter@cs.umu.se Vad vet jag? Doktorand i datavetenskap (naturliga och formella språk) Ordförande Umeå Hackerspace Sysadmin CS 07-09 (typ) Aktiv från och till i ACC m.fl. andra

Läs mer

DNSSEC DET NÄRMAR SIG...

DNSSEC DET NÄRMAR SIG... DNSSEC DET NÄRMAR SIG... Lars-Johan Liman, M.Sc. Netnod Internet Exchange Stockholm, Sweden DNSSEC den eviga historien... T-shirt It s done! 1995... TREFpunkt 1999... Kurser i 10+ år...... men vad ska

Läs mer

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala. Kapitel 10, 11 o 12: Nätdrift, Säkerhet Jens A Andersson Publika telenätet Digitalt lokalstation Trunknät Accessnät Analogt Analogt 2 Informationsöverföring Telenäten är digitala. PCM i lokalstationerna

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

Ökad tillit till Internet genom förbättrad säkerhet i domännamnssystemet

Ökad tillit till Internet genom förbättrad säkerhet i domännamnssystemet DATUM RAPPORTNUMMER 27 septermber 2006 PTS-ER-2006:36 ISSN 1650-9862 DIARIENR 06-11669 Ökad tillit till Internet genom förbättrad säkerhet i domännamnssystemet Införande och test av standarden DNSSEC Säkerhet

Läs mer

DNS-test. Patrik Fältström. Ulf Vedenbrant. paf@cisco.com. uffe@vedenbrant.se

DNS-test. Patrik Fältström. Ulf Vedenbrant. paf@cisco.com. uffe@vedenbrant.se DNS-test Patrik Fältström paf@cisco.com Ulf Vedenbrant uffe@vedenbrant.se Vad är dns-test? DNS-test är namnet på ett projekt som initierades av II-Stiftelsen dnscheck heter det programmet som Patrik skrev

Läs mer

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS Detta verk är licensierat under en Creative Commons ErkännandeIckekommersiell-IngaBearbetningar 2.5 Sverige http://creativecommons.org/licenses/by-nc-nd/2.5/se/

Läs mer

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008 Tekn.dr. Göran Pulkkis Överlärare i Datateknik Säker e-post Innehåll Principen för säker e-post Realisering av säker e-post Pretty Good Privacy (PGP) Secure / Multipurpose Internet Mail Extensions (S/MIME)

Läs mer

DNSSEC. Tester av routrar för hemmabruk. Joakim Åhlund & Patrik Wallström, Februari 2008

DNSSEC. Tester av routrar för hemmabruk. Joakim Åhlund & Patrik Wallström, Februari 2008 Tester av routrar för hemmabruk Joakim Åhlund & Patrik Wallström, Februari 2008 Innehållsförteckning Innehållsförteckning... 1 1 Introduktion... 2 1.1 Detta dokument... 2 1.2 Förkortningar & ordförklaring...

Läs mer

Domain Name System DNS

Domain Name System DNS Det här kapitlet behandlar DNS översiktligt. Det är ett utdrag ur ett mer omfattande kapitel i boken. Hur vi klarade oss innan DNS behandlas. Namnstrukturer och toppdomäner gås igenom. Hur DNS-frågor görs

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

Modul 6 Webbsäkerhet

Modul 6 Webbsäkerhet Modul 6 Webbsäkerhet Serverskript & Säkerhet Webbservrar & serverskript exponerar möjlighet för fjärranvändare att skicka data och köra kod vilket medför risker. Man ska aldrig lita på att alla vill göra

Läs mer

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan?

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan? WINDOWSdig Tekniken bakom Direct Access Så kopplar pl du upp g med Direct Access Direct Access Bakom kulisserna på Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig resurser sig.

Läs mer

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet? Interlan Primärt konsultbolag Web, mail och DNS som bisyssla Drygt 300 domäner och hemsidor 20 st. Gävle, Bollnäs, Övik Torbjörn Eklöv, torbjorn.eklov@interlan.se Varför DNSSEC 2007? Varför inte? Det verkade

Läs mer

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer. Lisa Hallingström Paul Donald

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer. Lisa Hallingström Paul Donald Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer Lisa Hallingström Paul Donald Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar mellan två

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar Innehållsförteckning 1 Inledning... 3 2 Inkopplingsalternativ... 4 2.1 Lokal gatekeeper ansluten till Central Sjunet SBC... 4 2.2

Läs mer

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished) School of humanities and informatics Datakommunikation Introduktion, 7,5 HP DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished) 1 Introduktion... 1 2 Topologi... 2 3 Del 1

Läs mer

Tilläggs dokumentation 4069 Dns

Tilläggs dokumentation 4069 Dns Tilläggs dokumentation 4069 Dns Magnus Larsson FMTS/UtbE/ElektrosystemA it-sektionen 4069 DNS- Tilläggsdokumentation 4069 DNS-Tilläggsdokumentation...2 Domäner och Zoner...3 C:\Mina Dokument\PowerFolders\Försvarsmakten,FMTS\Kurser\4069A,

Läs mer

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt -

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt - 20130619 1 (12)? 1.0 Godkänd Secure Manager Guide Hantera användarprofiler i tjänsten Telia Secure Manager Dokumentet beskriver hur du som administratör beställer och hanterar användarprofiler i administrationsportalen

Läs mer

DNSSEC hos.se. Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@iis.se @amelsec https://www.iis.se

DNSSEC hos.se. Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@iis.se @amelsec https://www.iis.se DNSSEC hos.se Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@iis.se @amelsec https://www.iis.se .SE först i världen.se signerade zonfilen 2005. Friendly users 2006 och full drift 2007. ICANN/IANA signerade

Läs mer

Kriswebb och Krisserver ur ett tekniskt perspektiv

Kriswebb och Krisserver ur ett tekniskt perspektiv Kriswebb och Krisserver ur ett tekniskt perspektiv Av Johan Olsson vid IT avdelningen på HTU Johan.Olsson@htu.se Definition av kriswebb Kriswebb är ett system som möjliggör snabb publicering av information

Läs mer

LABORATION 2 DNS. Laboranter: Operativsystem 1 HT12. Martin Andersson. Utskriftsdatum: 2012-09-12

LABORATION 2 DNS. Laboranter: Operativsystem 1 HT12. Martin Andersson. Utskriftsdatum: 2012-09-12 LABORATION 2 DNS Laboranter: Kurs: Klass: Operativsystem 1 HT12 DD12 Handledare: Hans Ericson Martin Andersson Utskriftsdatum: 2012-09-12 Mål, syfte, förutsättningar Mål Laborationen skall ge insikt i

Läs mer

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 F5 Exchange 2007 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 Spam Control and Filtering Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 2 Idag: Relaying Spamhantering och filtrering

Läs mer

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014. Joakim Nyberg ITS Umeå universitet

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014. Joakim Nyberg ITS Umeå universitet Krypteringstjänster LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014 Joakim Nyberg ITS Umeå universitet Projekt mål Identifiera de behov som finns av krypteringstjänster Utred funktionsbehov

Läs mer

Vägledning för införande av IPv6

Vägledning för införande av IPv6 Vägledning för införande av IPv6 Framtagen i samarbete mellan e-delegationen, Sveriges kommuner och Landsting samt Kommunförbundet i Stockholm Län IT-FORUM 2 (19) Innehållsförteckning Innehållsförteckning...

Läs mer

Äntligen säker e-post - dmarc är här

Äntligen säker e-post - dmarc är här DETTA ÄR EN UTSKRIFT FRÅN TECHWORLD Artikelns webbadress: http://techworld.idg.se/2.2524/1.534014/antligen-saker-e-post--dmarc-ar-har Publicerad 2013-11-21 16:20 Av Jan Hedström Äntligen säker e-post -

Läs mer

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson Spanning Tree Network Management Säkerhet Jens A Andersson Spanning Tree Att bygga träd av grafer som kan se ut hur som helst Hindra paket att gå runt i oändliga loopar Bygga effektiva transportvägar Spanning

Läs mer

Föreläsning 9 Transportprotokoll UDP TCP

Föreläsning 9 Transportprotokoll UDP TCP Föreläsning 9 Transportprotokoll UDP TCP Domain Name System (DNS) DHCP Tillämpningar 2002-11-06 Gunnar Karlsson, Bengt Sahlin 1 Transportskiktet Transportprotokoll otillförlitlig överföring: User Datagram

Läs mer

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 22 augusti 2013 Instruktioner Organisation och genomförande

Läs mer

NSL Manager. Handbok för nätverksadministratörer

NSL Manager. Handbok för nätverksadministratörer apple NSL Manager Handbok för nätverksadministratörer Den här handboken innehåller information om NSL Manager (Network Services Location Manager) och om hur man konfigurerar ett nätverk för användning

Läs mer

IPv6- Inventering. Västkom Västra Götalands Län

IPv6- Inventering. Västkom Västra Götalands Län Västkom Västra Götalands Län Interlan Gefle AB Filialkontor Telefon Telefax epost Säte Org.nr. Norra Kungsgatan 5 Bollnäs 026 18 50 00 026 18 50 70 info@interlan.se Gävle 5565447272 Innehåll Innehåll...

Läs mer

Rotadministration och serverroller

Rotadministration och serverroller Rotadministration och serverroller 1 Lars-Johan Liman liman@autonomica.se 2 Domännamn och DNS Domännamn är textsträngar. För att domännamn skall kunna användas måste de stoppas in i DNSdatabasen. Vem som

Läs mer

Tekis-FB 7.1.0. Systemkrav

Tekis-FB 7.1.0. Systemkrav 7.1.0 Systemkrav Systemkrav 2015-09-17 MAAN 2 (2) Systemkrav 7.1.0 Dokumentet beskriver de krav som systemet ställer på maskinvara och programvara i de servrar och klientdatorer som ska användas för systemet.

Läs mer

Avancerad DNS - Laborationer

Avancerad DNS - Laborationer Domain Name System com se arpa bunyip sunet kth 130 in-addr kaffe mocha sunic ftp 72 237 201 Avancerad DNS - Laborationer Skiss över domänstrukturen under laborationerna... 3 Lab 1. Laborationsförberedelser...

Läs mer

Handbok Pagero Internet för Handelsbanken

Handbok Pagero Internet för Handelsbanken Handbok Pagero Internet för Handelsbanken Med Pagero Internet skickar du enkelt och smidigt betalningar över Internet, direkt från ditt ekonomisystem till banken. 1 Innehåll Läsanvisning 2 Innan ni startar

Läs mer

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar

Läs mer

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Instruktion: Trådlöst utbildningsnät orebro-utbildning Instruktion: Trådlöst utbildningsnät orebro-utbildning Sida 2 av 19 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-utbildning... 4 2.1 Allmän information:... 4 2.2 Enkel anslutning

Läs mer

INFORMATIONSSÄKERHETSÖVERSIKT 2/2010

INFORMATIONSSÄKERHETSÖVERSIKT 2/2010 INFORMATIONSSÄKERHETSÖVERSIKT 2/2010 7.7.2010 1 CERT-FI informationssäkerhetsöversikt 2/2010 Inledning Facebook och andra sociala nätverkstjänster är mycket lockande platser för dem som sprider skadligt

Läs mer

Vad är DNS? DNS. Vad är DNS? (forts.) Vad är DNS utåt? Vad är DNS internt? Vad är DNS internt? (forts.)

Vad är DNS? DNS. Vad är DNS? (forts.) Vad är DNS utåt? Vad är DNS internt? Vad är DNS internt? (forts.) Vad är DNS? DNS Michael Westlund westlund@sunet.se Domain Name System Håller reda på domännamnen på Internet Världens mest distribuerade databas Trädstruktur 0-10-04 Michael Westlund

Läs mer

Windowsadministration I

Windowsadministration I NAMN: Betygsgränser: 3: 60% 4: 75% PERSONNUMMER: 5: 90% Windowsadministration I Lämna in svar på separata papper. Allmänt Uppgifterna är inte ordnade efter svårighetsgrad. Skriv namn, personnummer samt

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Anvisningar för klientdator vid inloggning med certifikat på smarta kort Anvisningar för klientdator vid inloggning med certifikat på smarta kort Revisionshistorik Version Författare Kommentar 0.1 Grundläggande dokument 0.2 Rättningar efter kommentarer från SecMaker, Inera

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

DNSSEC. Slutrapport. Kalmar läns kommuner 2013. Kalmar län, det grönaste länet!

DNSSEC. Slutrapport. Kalmar läns kommuner 2013. Kalmar län, det grönaste länet! Författare: Stephen Dorch Sida: 1 av 18 DNSSEC Slutrapport Kalmar läns kommuner 2013 Kalmar län, det grönaste länet! Författare: Stephen Dorch Sida: 2 av 18 Innehållsförteckning 1. Sammanfattning... 4

Läs mer

Policy Underskriftstjänst Svensk e-legitimation

Policy Underskriftstjänst Svensk e-legitimation Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION

Läs mer

Kursplaner för Administartör IT-System Innehåll

Kursplaner för Administartör IT-System Innehåll Kursplaner för Administartör IT-System Innehåll Hårdvara och operativsystem (15 Yhp)... 2 Advanced Enterprise System Administration (25 yhp)... 2 Advanced Linux Security (25 yhp)... 2 CCNA (35 yhp)...

Läs mer

Systemkrav WinServ II Edition Release 2 (R2)

Systemkrav WinServ II Edition Release 2 (R2) Systemkrav WinServ II Edition Release 2 (R2) Observera: Alla rekommendationer är aktuella vid den tid då dokumentet publicerades och visar den senaste informationen för nödvändig mjukvara. Systemkrav för

Läs mer

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24. Copyright (c) 2014 IIS

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24. Copyright (c) 2014 IIS Testning av Sambi Testplan Version PA12 Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24 Copyright (c) 2014 IIS Dokument kontroll Dokument information och säkerhet Skapad av Faktaansvarig Dokumentansvarig

Läs mer

Probably the best PKI in the world

Probably the best PKI in the world Probably the best PKI in the world Agenda TLS kort repetition Server- vs klient-autentisering Var passar PKI in i TLS? Asymmetrisk vs symmetrisk kryptering Vad är PKI Publik CA vs Privat CA Trust store

Läs mer

Sammanfattning och specifikationer för POT

Sammanfattning och specifikationer för POT 0.2 Sammanfattning och specifikationer för POT Kornhamnstorg 61 SE-111 27 Stockholm Sweden 00 00 Telefon: +46 (0)8 791 92 Telefax: +46 (0)8 791 95 www.certezza.net Innehållsförteckning 1 SAMMANFATTNING...

Läs mer

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

ÅTVID.NET Startinstruktioner

ÅTVID.NET Startinstruktioner ÅTVID.NET Startinstruktioner Dokumentet hjälper dig med nätverksinställningarna i PC:n Sida: 1(9) Innehållsförteckning Detta måste göras först sida 3 Konfiguration Windows 98 sida 3-5 Konfiguration Windows

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

IP-adresser, DNS och BIND

IP-adresser, DNS och BIND IP-adresser, DNS och BIND IP-adresser Alla datorer som är kopplade till ett lokalt nätverk måste ha en IP-adress som är unik för datorn. Om två datorer har samma IP-adress kan konflikter uppstå och göra

Läs mer

Nåbarhet på nätet. Hälsoläget i.se 2007

Nåbarhet på nätet. Hälsoläget i.se 2007 Innehållsförteckning 1 Introduktion...3 1.1 Detta dokument... 3 1.2 Förkortningar och ordförklaringar... 3 2 Sammanfattning...4 3 Om projektet...5 4 DNS-tjänst med kvalitet...6 4.1 Vad innebär kvalitet

Läs mer

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System mailto:rolf.aberg@simplex.se http://simplex.se 08-650 25 80

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System mailto:rolf.aberg@simplex.se http://simplex.se 08-650 25 80 Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System mailto:rolf.aberg@simplex.se http://simplex.se 08-650 25 80 1 Innehåll Vad används DNS till i en AD-domän? Vad händer i en AD-domän utan

Läs mer

DNS Internets vägvisare

DNS Internets vägvisare Björn Raunio DNS Internets vägvisare Tekniken som leder dig rätt på nätet DNS Internets vägvisare.se:s Internetguide, nr 12 Version 1.0 2009 Björn Raunio 2009 Texten skyddas enligt lag om upphovsrätt och

Läs mer

Riktlinjer: avveckling av AppleTalk-routing i LUNET

Riktlinjer: avveckling av AppleTalk-routing i LUNET LDC Roland Månsson 2001-02-20 Riktlinjer: avveckling av AppleTalk-routing i LUNET Bakgrund Ett beslut om att avveckla bl a AppleTalk-routingen inom LUNET är fattat och kommer att verkställas 15 januari

Läs mer

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad.

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad. Övningsprov Tillåtna hjälpmedel; penna, suddgummi, linjal. Lärare: Peter Steen Betygsgränser: KY(IG=17p, VG>=29p) Svar önskas på separat papper! Rita skisser och motivera dina svar! Frågorna skall

Läs mer

Instruktion: Trådlöst nätverk för privata enheter

Instruktion: Trådlöst nätverk för privata enheter Instruktion: Trådlöst nätverk för privata enheter orebro-byod Sida 2 av 21 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-byod... 4 2.1 Allmän information:... 4 2.2 Enkel

Läs mer

Kundverifiering av SPs digitala signaturer

Kundverifiering av SPs digitala signaturer 2014-08-28 Utgåva 8.0 1 (12) Kundverifiering av SPs digitala signaturer SP Sveriges Tekniska Forskningsinstitut SP IT 2014-08-28 Utgåva 8.0 2 (12) Versionshistorik Författare Utgåva Datum Kommentar Fredrik

Läs mer

Användarhandledning för The Secure Channel

Användarhandledning för The Secure Channel Användarhandledning för The Secure Channel 1 Inledning Det här dokumentet beskriver hur programvaran ska användas. Dokumentet beskriver programversion 1.6.1 av The Secure Channel. Användarhandledningen

Läs mer

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar med NAT...3

Läs mer

TIDOMAT smartone. Säkerhet via webben

TIDOMAT smartone. Säkerhet via webben TIDOMAT smartone Säkerhet via webben Säkerhetssystemet smartone: Har en webbserver integrerad i Centralenheten. Består av en Centralenhet och Dörrmiljöer samt valfria produkter som nätverkskamera och GSM

Läs mer

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2 SITHS Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2 Innehåll 1 Förberedelser för användning av SITHS Cert... 3 1.1 Förklaring... 3 1.2 Import av SITHS root i

Läs mer

VPN tjänst för Stockholm Stad

VPN tjänst för Stockholm Stad VPN tjänst för Stockholm Stad Guide för slutanvändare Company: Volvo Information Technology Issuer: System Connect Services Date: 2011-08-02 Issue: 1.3 INNEHÅLL 1. OM STOCKHOLM STADS VPN-TJÄNST... 3 1.1.

Läs mer

Många företag och myndigheter sköter sina betalningar till Plusoch

Många företag och myndigheter sköter sina betalningar till Plusoch 70 80 60 ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' 40 20 30 Manual 2 Installation Många företag och myndigheter sköter sina betalningar till Plusoch Bankgirot

Läs mer

PGP håller posten hemlig

PGP håller posten hemlig PGP håller posten hemlig Även den som har rent mjöl i påsen kan vilja dölja innehållet i sin e-post. Ett sätt är att kryptera den med PGP, Pretty Good Privacy, som har blivit en succé efter den inledande

Läs mer

Internets historia i Sverige

Internets historia i Sverige Internets historia i Sverige 1962 Det första modemet för telefonlinjer blev tillgängligt med en hastighet av 300 bit/s. 1978 Det första svenska elektroniska forumet började av Stockholms Datamaskincentral.

Läs mer

LABORATIONSRAPPORT. Operativsystem 1 LABORATION 2. Oskar Löwendahl, Jimmy Johansson och Jakob Åberg. Utskriftsdatum: 2012-09-25

LABORATIONSRAPPORT. Operativsystem 1 LABORATION 2. Oskar Löwendahl, Jimmy Johansson och Jakob Åberg. Utskriftsdatum: 2012-09-25 LABORATIONSRAPPORT Operativsystem 1 LABORATION 2 Laborant/er: Klass: Laborationsansvarig: Oskar Löwendahl, Jimmy Johansson och Jakob Åberg DD12 Hans Ericson, Martin Andersson Utskriftsdatum: 2012-09-25

Läs mer

Ondemand streaming via Amazon S3 och CloudFront

Ondemand streaming via Amazon S3 och CloudFront 1 Ondemand streaming via Amazon S3 och CloudFront CloudBox Presenter stödjer live- och ondemand streaming via Amazon Web Services. Den här manualen beskriver hur man laddar upp en videofilm för ondemand

Läs mer

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar

Läs mer

Krypteringstjänster. Ladok-Inkubatordagar 02-03/4 BTH. Joakim Nyberg ITS Umeå universitet

Krypteringstjänster. Ladok-Inkubatordagar 02-03/4 BTH. Joakim Nyberg ITS Umeå universitet Krypteringstjänster Ladok-Inkubatordagar 02-03/4 BTH Joakim Nyberg ITS Umeå universitet Projektet Informationssäkerhet och möjligheten till att enkelt kryptera information har blivit en allt mer viktig

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

Grundläggande datavetenskap, 4p

Grundläggande datavetenskap, 4p Grundläggande datavetenskap, 4p Kapitel 4 Nätverk och Internet Utgående från boken Computer Science av: J. Glenn Brookshear 2004-11-23 IT och medier 1 Innehåll Nätverk Benämningar Topologier Sammankoppling

Läs mer

Datakommunika,on på Internet

Datakommunika,on på Internet Webbteknik Datakommunika,on på Internet Rune Körnefors Medieteknik 1 2015 Rune Körnefors rune.kornefors@lnu.se Internet Inter- = [prefix] mellan, sinsemellan, ömsesidig Interconnect = sammanlänka Net =

Läs mer

Handbok. Pagero Internet för SEB

Handbok. Pagero Internet för SEB Handbok Pagero Internet för SEB Med Pagero Internet skickar du enkelt och smidigt betalningar över Internet, direkt från ditt ekonomisystem till banken. 1 Innehåll Läsanvisning 3 Innan ni startar 5 Vad

Läs mer

INFORMATIONSSÄKERHETSÖVERSIKT

INFORMATIONSSÄKERHETSÖVERSIKT INFORMATIONSSÄKERHETSÖVERSIKT 14.10.2008 CERT-FI informationssäkerhetsöversikt 3/2008 På sommaren publicerades en sårbarhet som gällde domännamntjänsten. Okorrigerad möjliggör denna sårbarhet att användaren

Läs mer

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Grundläggande nätverksteknik. F2: Kapitel 2 och 3 Grundläggande nätverksteknik F2: Kapitel 2 och 3 Kapitel 2 COMMUNICATING OVER THE NETWORK Grundstenar i kommunka;on Tre grundläggande element Message source The channel Message des;na;on Media Segmentering

Läs mer

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient) Eltako FVS 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient) Obegränsad flexibilitet och bekvämlighet i fastighetsautomation 1. Konfigurera åtkomst till din dator/nätverk

Läs mer

IP-baserade program. Telnet

IP-baserade program. Telnet Det här kapitlet behandlar några klassiska TCP/IP-baserade program. Främsta fokus är HTTP men även lite enklare applikationer som telnet och FTP behandlas. Kapitlet är tänkt att kunna läsas fristående

Läs mer

Vi hjälper allt från små företag till stora koncerner att ta hand om och effektivisera de ekonomiska processerna från beställning till betalning.

Vi hjälper allt från små företag till stora koncerner att ta hand om och effektivisera de ekonomiska processerna från beställning till betalning. Vi hjälper allt från små företag till stora koncerner att ta hand om och effektivisera de ekonomiska processerna från beställning till betalning. Med marknadens vassaste system och ett brett spektrum av

Läs mer