DNSSEC - Grunderna. Patrik Wallström,

Transkript

1 DNSSEC - Grunderna Patrik Wallström,

2 DNS-hierarkin

3 DNS-hierarkin. (root)

4 DNS-hierarkin. NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. IN A. NS D.ROOT-SERVERS.NET.. NS A.ROOT-SERVERS.NET.. NS C.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. IN A A.ROOT-SERVERS.NET. IN C.ROOT-SERVERS.NET. A IN A A.ROOT-SERVERS.NET IN AAAA 2001:503:ba3e::2:30. NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. IN A (root)

5 DNS-hierarkin. NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. IN A. NS D.ROOT-SERVERS.NET.. NS A.ROOT-SERVERS.NET.. NS C.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. IN A A.ROOT-SERVERS.NET. IN C.ROOT-SERVERS.NET. A IN A A.ROOT-SERVERS.NET IN AAAA 2001:503:ba3e::2:30. NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. IN A (root) org. NS a0.org.afilias-nst.org. a0.org.afilias-nst.info. NS b0.org.afilias-nst.org. IN A b0.org.afilias-nst.org. IN A se. NS b.ns.se. b.ns.se. se. NS IN a.ns.se. A a.ns.se. IN A net.com.org.se.no

6 DNS-hierarkin. NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. IN A. NS D.ROOT-SERVERS.NET.. NS A.ROOT-SERVERS.NET.. NS C.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. IN A A.ROOT-SERVERS.NET. IN C.ROOT-SERVERS.NET. A IN A A.ROOT-SERVERS.NET IN AAAA 2001:503:ba3e::2:30. NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. IN A (root) org. NS a0.org.afilias-nst.org. a0.org.afilias-nst.info. NS b0.org.afilias-nst.org. IN A b0.org.afilias-nst.org. IN A se. NS b.ns.se. b.ns.se. se. NS IN a.ns.se. A a.ns.se. IN A net.com.org.se.no iana.org. NS a.iana-servers.net. a.iana-servers.net. iana.org. NS ns.icann.org. IN A ns.icann.org. IN A iis.se. NS ns2.nic.se. ns2.nic.se. iis.se. NS IN ns.nic.se. A ns.nic.se. IN A iana.org iis.se

7 DNS-hierarkin. NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. IN A. NS D.ROOT-SERVERS.NET.. NS A.ROOT-SERVERS.NET.. NS C.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. IN A A.ROOT-SERVERS.NET. IN C.ROOT-SERVERS.NET. A IN A A.ROOT-SERVERS.NET IN AAAA 2001:503:ba3e::2:30. NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. IN A (root) org. NS a0.org.afilias-nst.org. a0.org.afilias-nst.info. NS b0.org.afilias-nst.org. IN A b0.org.afilias-nst.org. IN A se. NS b.ns.se. b.ns.se. se. NS IN a.ns.se. A a.ns.se. IN A net.com.org.se.no iana.org. NS a.iana-servers.net. a.iana-servers.net. iana.org. NS ns.icann.org. IN A ns.icann.org. IN A iis.se. NS ns2.nic.se. ns2.nic.se. iis.se. NS IN ns.nic.se. A ns.nic.se. IN A iana.org IN A IN AAAA 2620:0:2d0:1::193 iis.se IN A

8 . (root)

9 . (root)

10 . (root) Totalt 168 servrar

11 . (root) Totalt 168 servrar VeriSign USC-ISI Cogent UMD NASA-ARC ISC DOD-NIC ARL Autonomica RIPE ICANN WIDE

12 . (root) Totalt 168 servrar VeriSign USC-ISI Cogent UMD NASA-ARC ISC DOD-NIC ARL Autonomica RIPE ICANN WIDE

13 .SE

14 .SE

15 .SE Ca 150 namnservrar 4 Operatörer 3 Anycast-kluster

16 Slå upp i DNS. (root).com.org.se Cacheing resolver Klientdator iis.se iana.org

17 Slå upp i DNS DHCP server. (root).com.org.se Cacheing resolver Klientdator iis.se iana.org

18 Slå upp i DNS DHCP server. (root).com Cacheing resolver Klientdator.org.se 1 iis.se iana.org

19 Slå upp i DNS DHCP server. (root) 2.com Cacheing resolver Klientdator.org.se 1 iis.se iana.org

20 Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org.se 1 iis.se iana.org

21 Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 iis.se iana.org

22 Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 5 fråga ns.nic.se! iis.se iana.org

23 Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 5 fråga ns.nic.se! 6 iis.se iana.org

24 Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 5 fråga ns.nic.se! iis.se fråga adress iana.org

25 Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 5 fråga ns.nic.se! 8 har adressen iis.se fråga adress iana.org

26 Blanda in krypto i mixen Assymetriska krypton: Assymetriska nyckalpar har en publik och privat del Skydda den privata nyckeln Publicera den publika nyckeln KSK: Nyckelsigneringsnyckeln - Vad man litar på Signerar Zonsigneringsnyckeln, ZSK ZSK: Zonsigneringsnyckeln Skapar signaturer av poster i zonen - RRSIG

27 DNSKEY och RRSIG KSK ZSK iis.se. IN DNSKEY weaacq5uqe5vibnyvsngu20panweak2qxflgvuvqhzqabqv4sidaqs LNVHF61lcxe504jhPmjeQ656X6tdHpRz1DdPOukcIITjIRoJHqSXXyL6gUluZoDUK6vpxkGJx5m5n4boRTKCT UAR9rw2+IQRRTtb6nBwsC3pmf9IlJQjQMb1cQTb0UO7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMwQ4H9iK E9FhqPeIpzU9dnXGtJZCx9tWSZ9VsSLWBJtUwoE6ZfIoF1ioq qxfgl9jv1/6gkdxo3pmn2edhkp8aqoo/r +mrjyi0ve8jbxvhz12151dy wusxbgjalxk= iis.se. IN DNSKEY AwEAAdancK9+0Il/tuXCBylBiUpNq4RGzDE2uQ6+nb6Un0myCJFzaN3 bzsmjau5xlt6vnaffzkrnkanu06j2zyjrbqucyfleq69gikobnsha46h 7uUDqM32KEL+KflIlQvFpXW2/ r835mp9+dtlsa860kf1n2ye/77i9qtc gbez5okf

28 DNSKEY och RRSIG KSK ZSK iis.se. IN DNSKEY weaacq5uqe5vibnyvsngu20panweak2qxflgvuvqhzqabqv4sidaqs LNVHF61lcxe504jhPmjeQ656X6tdHpRz1DdPOukcIITjIRoJHqSXXyL6gUluZoDUK6vpxkGJx5m5n4boRTKCT UAR9rw2+IQRRTtb6nBwsC3pmf9IlJQjQMb1cQTb0UO7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMwQ4H9iK E9FhqPeIpzU9dnXGtJZCx9tWSZ9VsSLWBJtUwoE6ZfIoF1ioq qxfgl9jv1/6gkdxo3pmn2edhkp8aqoo/r +mrjyi0ve8jbxvhz12151dy wusxbgjalxk= iis.se. IN DNSKEY AwEAAdancK9+0Il/tuXCBylBiUpNq4RGzDE2uQ6+nb6Un0myCJFzaN3 bzsmjau5xlt6vnaffzkrnkanu06j2zyjrbqucyfleq69gikobnsha46h 7uUDqM32KEL+KflIlQvFpXW2/ r835mp9+dtlsa860kf1n2ye/77i9qtc gbez5okf RRSIG RRSIG iis.se. IN RRSIG DNSKEY iis.se. DiNYYelgXcgIi6+xevjgqSy/ilcWmu52LkcKk9AwoWbcBrf1Zag8gowv 8S0LWJjKUO2aYRy53VvU/nkI20AJBuec/ PYtEw7pK8Z3fMFspQZeqR8Z ktqv6+l5w1n1uukizrntfg5feh5zsdb5sol8yeyiuvscuhewmtkwon+m dwkob5ieb3iut57lgiqpxmogfrh9xor/drp299pvbq78dgmbcwhxqcvg orgy1xhbvfwndsqrnfmbxrxu6dwzitxscvhwgsimmve/rhkpdlcwl3uz WJ4vipACelaqjdqpZG2sLbfKpeK44WeMTiaSgypDQVnXdDaP0g7mMk3o 0xGLXQ== iis.se. IN RRSIG DNSKEY iis.se. DLAB4SbzYw9YEs3rj0vE3eXmA6J3HiFIi0jgO3wVtnwnCzn9J5iSuTUn b1iujsk4tpwuf6tf4udo9l1laqpgyw +qlzekdfq+g02n1rvcsbdu8ppt MsgyCz6DV+TJ/oGkCVi4grUycj4q5rtCRToL4Icdx+F91moY0yW2LO6T qmw=

29 Signaturer? En signatur är en krypterad hash av data. Nyckeln som används för kryptering är den privata nyckeln och signaturen kan verifieras genom att dekryptera hashen med den publika nyckeln.

30 Signaturer? En signatur är en krypterad hash av data. Nyckeln som används för kryptering är den privata nyckeln och signaturen kan verifieras genom att dekryptera hashen med den publika nyckeln. En hash är en checksumma av en uppsättning data. Typiska checksummealgoritmer är MD5, SHA-1 och SHA-256. MD5 antas vara sårbar.

31 DNSSEC-signaturer fou$~>dig ns iis.se +dnssec ; <<>> DiG P2 <<>> ns iis.se +dnssec ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 6 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;iis.se. IN NS ;; ANSWER SECTION: iis.se IN NS ns.nic.se. iis.se IN NS ns2.nic.se. iis.se IN NS ns3.nic.se. iis.se IN RRSIG NS iis.se. ukl8umjacac0mifd9jtwgr5/2aoq4zrq3u+x7gmhdbcubwnrbl/v+bfw yajdowwuepvf30abdrslnfqrjb19/bt3rs2alqlhoqhbfgfuohnvp16d dqyvtjgxnufd+rr/e9iwegxwixifnj1xnt1gfaqmgihzhiuzu6dqommb tbi= ;; ADDITIONAL SECTION: ns.nic.se. 876 IN A ns2.nic.se. 876 IN A ns3.nic.se IN A ns.nic.se. 876 IN RRSIG A nic.se. bb6j +7yhGzZORCtCMtFU9BDX8uVbn4ySh6+Ssh02xojzt+OnKdaUj4ZC c9yyqqefz2hzmy1t91lmhhp+38mslbas8lmtn8sl+k+aoknfa3dvsoox odoi0xxuffxxexnw/kbbupvdqgoqnhmsvamn721nas8xnqhkpctrwm24 fkg= ns2.nic.se. 876 IN RRSIG A nic.se. FD5c3mS +ul4hmthhofo9jkvvgh/9h+ai5lz9snxzbijkx2z5ysqht3qp uchud5vz1trjkyr2hspkqjeihw3fp4bphucnp72b8g3jwxiu3rabwpgl xlyt7zb//5q/ jy72ppgtijnsrwvks/ghhjikk6/ng/itymvtiprhvtf5 RMI= ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Thu Nov 27 14:52: ;; MSG SIZE rcvd: 638

32 Zonfil utan IN SOA ns.nic.se. hostmaster.iis.se. ( ; serial ; refresh (3 hours) 3600 ; retry (1 hour) ; expire (1 week) ; minimum (1 day) ) NS ns.nic.se. NS ns2.nic.se. NS ns3.nic.se. MX 10 cleaner.prod.iis.se. $ORIGIN iis.se. www IN A

33 Fingeravtryck Ett fingeravtryck är en checksumma av en nyckel. Fingeravtryck publiceras ofta istllet för nycklar eftersom de är mycket kortare än en nyckel, och betydligt lättare att läsa.

34 Fingeravtryck Ett fingeravtryck är en checksumma av en nyckel. Fingeravtryck publiceras ofta istllet för nycklar eftersom de är mycket kortare än en nyckel, och betydligt lättare att läsa. AwEAAcq5u+qe5VibnyvSnGU20panweAk2QxflGVuVQhzQABQV4SIdAQs +LNVHF61lcxe504jhPmjeQ656X6t+dHpRz1DdPO/ukcIITjIRoJHqS+X XyL6gUluZoD +K6vpxkGJx5m5n4boRTKCTUAR9rw2+IQRRTtb6nBwsC3pmf9IlJQjQMb1cQTb0U O7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMwQ4H9iKE9FhqPeIpzU9dnXGtJZCx9t WSZ9VsSLWBJtUwoE6ZfIoF1ioqqxfGl9JV1/6GkDxo3pMN2edhkp8aqoo/R +mrjyi0ve8jbxvhz12151dywusxbgjalxk= 10DD1EFDC7841ABFDF630C8BB D70830A

35 DS-poster DS - Delegation Signer. En DS-post (hashen av en DNSKEY) publiceras i förälderzonen för att delegera tillit till barnzonen.

36 DS-poster DS - Delegation Signer. En DS-post (hashen av en DNSKEY) publiceras i förälderzonen för att delegera tillit till barnzonen. Detta är vad som är publicerat för iis.se hos.se: iis.se. IN DS B5C422428DEA4137FBF15E1049A48D27FA5EADE64D2EC9F3B58A994A6ABDE543 iis.se. IN DS DD1EFDC7841ABFDF630C8BB D70830A

37 DS-poster DS - Delegation Signer. En DS-post (hashen av en DNSKEY) publiceras i förälderzonen för att delegera tillit till barnzonen. Detta är vad som är publicerat för iis.se hos.se: iis.se. IN DS B5C422428DEA4137FBF15E1049A48D27FA5EADE64D2EC9F3B58A994A6ABDE543 iis.se. IN DS DD1EFDC7841ABFDF630C8BB D70830A Två DS-poster - två algoritmer används för.se, SHA-1 och SHA-256. Både DS och NS signeras av föräldern.

38 DS-delegeringen DS.se: iis.se. IN DS B5C422428DEA4137FBF15E1049A48D27FA5EADE64D2EC9F3B58A994A6ABDE543 iis.se. IN DS DD1EFDC7841ABFDF630C8BB D70830A KSK iis.se: iis.se. IN DNSKEY AwEAAcq5u +qe5vibnyvsngu20panweak2qxflgvuvqhzqabqv4sidaqs +LNVHF61lcxe504jhPmjeQ656X6t +dhprz1ddpo/ukciitjirojhqs+x XyL6gUluZoDU+K6vpxkGJx5m5n4boRTKCTUAR/9rw2+IQRRTtb6nBwsC 3pmf9IlJQjQMb1cQTb0UO7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMw Q4H9iKE9FhqPeIpzU9dnXGtJ +ZCx9tWSZ9VsSLWBJtUwoE6ZfIoF1ioq qxfgl9jv1/6gkdxo3pmn2edhkp8aqoo/r +mrjyi0ve8jbxvhz12151dy wusxbgjalxk=

39 DS-delegeringen DS.se: iis.se. IN DS B5C422428DEA4137FBF15E1049A48D27FA5EADE64D2EC9F3B58A994A6ABDE543 iis.se. IN DS DD1EFDC7841ABFDF630C8BB D70830A KSK iis.se: iis.se. IN DNSKEY AwEAAcq5u +qe5vibnyvsngu20panweak2qxflgvuvqhzqabqv4sidaqs +LNVHF61lcxe504jhPmjeQ656X6t +dhprz1ddpo/ukciitjirojhqs+x XyL6gUluZoDU+K6vpxkGJx5m5n4boRTKCTUAR/9rw2+IQRRTtb6nBwsC 3pmf9IlJQjQMb1cQTb0UO7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMw Q4H9iKE9FhqPeIpzU9dnXGtJ +ZCx9tWSZ9VsSLWBJtUwoE6ZfIoF1ioq qxfgl9jv1/6gkdxo3pmn2edhkp8aqoo/r +mrjyi0ve8jbxvhz12151dy wusxbgjalxk= Om du har flera KSK-nycklar kommer du också ha fler DS-poster i förälderzonen.

40 NSEC Proof of non-existance. Man vill också skydda sig från att någon genomför en DoSattack mot ett namn i DNS. Detta görs med NSEC.

41 NSEC Proof of non-existance. Man vill också skydda sig från att någon genomför en DoSattack mot ett namn i DNS. Detta görs med NSEC. iis.se. IN NSEC iis07.se. NS DS RRSIG NSEC iis.se. IN RRSIG NSEC se. GK6JQNDTsHlI3z8v1QR2jHr2VNpzhyB2UYFCEASJJBINnRpaUpmnsE4 if9aoys4g50lly1zjb659by76hkmajdo6xwl0+llefx8zn9iv0snfd2gujygyjzlu9txg ZTsfC7HQcX1gZPjnq9BgE1YDHifJNZAqijBG83rtj 9Wc= NSEC pekar på nästa label (domännamn) i zonen.

42 En signerad zon

43 @ IN SOA ns.nic.se. hostmaster.iis.se. ( ; serial ; refresh (3 hours) 3600 ; retry (1 hour) ; expire (1 week) ; minimum (1 day) En signerad zon ) RRSIG SOA ( iis.se. BGZ3AMUQ3GL3yowBrrLhV9Sa8s47nmXm2ci6ZjC4kCickw5Wo1d+zSPpV9SL4hVF0XwYOtP fnacgh7baask/jhdlmbzoi4o5zujv0eruj/u2or27weinuu+q5zeliprpy4pg654dz+0y9at 7NwvCkxliKoaVlweyU4UafyxA8U= ) NS ns.nic.se. NS ns2.nic.se. NS ns3.nic.se. RRSIG NS ( iis.se. spbcym62yib0ciibev+as97d/otxvy/97ev6jitcod4xuwmjaicuayofdypgteddafe8xk+w D1nwSJLAleA7uefzOOClCxS/pIJq8Hbh92nZ0VN30wTEHk8mb97ivWrRxAqUQaeINSOei5Zh /J8ymfL9X639SvO2y5jHiXeZ0JM= ) MX 10 cleaner.prod.iis.se. RRSIG MX ( iis.se. L+EZ/NDc5/PTDx6PLOkAUJOUdbd50bYAqNpA/WQq3s8l6g5she6A5IpgtR7BQ4zF2XtnDX0G ve7zxqi6iwe/pyd1ivxchi7nmgzk7siazfyl R7fFE+ZPSAfIHjAafD5scmk2OOIMaZzvhkk8 nyzqbccc0gvgurxsx8nycouzbtm= ) DNSKEY ( BQEAAAABuM9XroBb7Qrrz3winhL2vgNOEKDqTwiajUt/lYn9Z6GlPjd2hAsubgm+tXGKs2qo kdfsvcovljiyra885ui2o2s5ellflcw4lijbedaaujxndvwwb8xf8tywxxh82fz9jqwqd+n6 E31w/aL0UlGuIh7PWE/lMj+O8iMv3croHScHkfVxtz9aF2fRI2QwXCjcrvS5i06Ss14Af2bB BUrX0y8cXKI9AulrWZIniWLIce6b88yzxPuqJaNjOg8LFC1tMsSm6aeEKErQgJaeMJheRo4P WFitdMB9FpCH/6ylVEbZJpm/hKOZp2uedh8AmxmSDhUM7bMngQmXD/qpgrApqQ== ) ; key id = RRSIG DNSKEY ( iis.se. Kco8fH1BINR2xVe4kTtFBbjKtLe0BFvhP9iZWxgR9DCqKVK5VzxnTcLAJGF8xjwq0W8IUZws GSgWyOsx7bzrfoMNlkutYP14nTJio5zjX4heSx2C4Dx33egg0IlM/iur52O7KWEF7AC7l+ra RP3GGTCu7Ls0kGc2GDGNxothr8A= ) NSEC A NS SOA MX TXT AAAA RRSIG NSEC DNSKEY RRSIG NSEC ( iis.se. KOFHUf1ZB+e/AxGdMkTkq9W461AjFjxLHBrMRt5ULZ4+lfMsYHw5VSecMq61VabhXO5ziOCj B1vK4BYrUeC+xAMFWJzn6xsLMDj/MMjM5d2iZhjE1zPc2sX42M6er1fjF9rw3qjWCFTLdy8Z CTsiw0Ou7ESX6afYwkb7QkTdL9g= )

44 @ IN SOA ns.nic.se. hostmaster.iis.se. ( ; serial ; refresh (3 hours) 3600 ; retry (1 hour) ; expire (1 week) ; minimum (1 day) En signerad zon ) RRSIG SOA ( iis.se. BGZ3AMUQ3GL3yowBrrLhV9Sa8s47nmXm2ci6ZjC4kCickw5Wo1d+zSPpV9SL4hVF0XwYOtP fnacgh7baask/jhdlmbzoi4o5zujv0eruj/u2or27weinuu+q5zeliprpy4pg654dz+0y9at 7NwvCkxliKoaVlweyU4UafyxA8U= ) NS ns.nic.se. NS ns2.nic.se. NS ns3.nic.se. RRSIG NS ( iis.se. spbcym62yib0ciibev+as97d/otxvy/97ev6jitcod4xuwmjaicuayofdypgteddafe8xk+w D1nwSJLAleA7uefzOOClCxS/pIJq8Hbh92nZ0VN30wTEHk8mb97ivWrRxAqUQaeINSOei5Zh /J8ymfL9X639SvO2y5jHiXeZ0JM= ) MX 10 cleaner.prod.iis.se. RRSIG MX ( iis.se. L+EZ/NDc5/PTDx6PLOkAUJOUdbd50bYAqNpA/WQq3s8l6g5she6A5IpgtR7BQ4zF2XtnDX0G ve7zxqi6iwe/pyd1ivxchi7nmgzk7siazfyl R7fFE+ZPSAfIHjAafD5scmk2OOIMaZzvhkk8 nyzqbccc0gvgurxsx8nycouzbtm= ) DNSKEY ( BQEAAAABuM9XroBb7Qrrz3winhL2vgNOEKDqTwiajUt/lYn9Z6GlPjd2hAsubgm+tXGKs2qo kdfsvcovljiyra885ui2o2s5ellflcw4lijbedaaujxndvwwb8xf8tywxxh82fz9jqwqd+n6 E31w/aL0UlGuIh7PWE/lMj+O8iMv3croHScHkfVxtz9aF2fRI2QwXCjcrvS5i06Ss14Af2bB BUrX0y8cXKI9AulrWZIniWLIce6b88yzxPuqJaNjOg8LFC1tMsSm6aeEKErQgJaeMJheRo4P WFitdMB9FpCH/6ylVEbZJpm/hKOZp2uedh8AmxmSDhUM7bMngQmXD/qpgrApqQ== ) ; key id = RRSIG DNSKEY ( iis.se. Kco8fH1BINR2xVe4kTtFBbjKtLe0BFvhP9iZWxgR9DCqKVK5VzxnTcLAJGF8xjwq0W8IUZws GSgWyOsx7bzrfoMNlkutYP14nTJio5zjX4heSx2C4Dx33egg0IlM/iur52O7KWEF7AC7l+ra RP3GGTCu7Ls0kGc2GDGNxothr8A= ) NSEC A NS SOA MX TXT AAAA RRSIG NSEC DNSKEY RRSIG NSEC ( iis.se. KOFHUf1ZB+e/AxGdMkTkq9W461AjFjxLHBrMRt5ULZ4+lfMsYHw5VSecMq61VabhXO5ziOCj B1vK4BYrUeC+xAMFWJzn6xsLMDj/MMjM5d2iZhjE1zPc2sX42M6er1fjF9rw3qjWCFTLdy8Z CTsiw0Ou7ESX6afYwkb7QkTdL9g= ) RRSIG RRSIG RRSIG KSK RRSIG NSEC RRSIG

45 @ IN SOA ns.nic.se. hostmaster.iis.se. ( ; serial ; refresh (3 hours) 3600 ; retry (1 hour) ; expire (1 week) ; minimum (1 day) En signerad zon ) RRSIG SOA ( iis.se. BGZ3AMUQ3GL3yowBrrLhV9Sa8s47nmXm2ci6ZjC4kCickw5Wo1d+zSPpV9SL4hVF0XwYOtP fnacgh7baask/jhdlmbzoi4o5zujv0eruj/u2or27weinuu+q5zeliprpy4pg654dz+0y9at 7NwvCkxliKoaVlweyU4UafyxA8U= ) NS ns.nic.se. NS ns2.nic.se. NS ns3.nic.se. RRSIG NS ( iis.se. spbcym62yib0ciibev+as97d/otxvy/97ev6jitcod4xuwmjaicuayofdypgteddafe8xk+w D1nwSJLAleA7uefzOOClCxS/pIJq8Hbh92nZ0VN30wTEHk8mb97ivWrRxAqUQaeINSOei5Zh /J8ymfL9X639SvO2y5jHiXeZ0JM= ) MX 10 cleaner.prod.iis.se. RRSIG MX ( iis.se. L+EZ/NDc5/PTDx6PLOkAUJOUdbd50bYAqNpA/WQq3s8l6g5she6A5IpgtR7BQ4zF2XtnDX0G ve7zxqi6iwe/pyd1ivxchi7nmgzk7siazfyl R7fFE+ZPSAfIHjAafD5scmk2OOIMaZzvhkk8 nyzqbccc0gvgurxsx8nycouzbtm= ) DNSKEY ( BQEAAAABuM9XroBb7Qrrz3winhL2vgNOEKDqTwiajUt/lYn9Z6GlPjd2hAsubgm+tXGKs2qo kdfsvcovljiyra885ui2o2s5ellflcw4lijbedaaujxndvwwb8xf8tywxxh82fz9jqwqd+n6 E31w/aL0UlGuIh7PWE/lMj+O8iMv3croHScHkfVxtz9aF2fRI2QwXCjcrvS5i06Ss14Af2bB BUrX0y8cXKI9AulrWZIniWLIce6b88yzxPuqJaNjOg8LFC1tMsSm6aeEKErQgJaeMJheRo4P WFitdMB9FpCH/6ylVEbZJpm/hKOZp2uedh8AmxmSDhUM7bMngQmXD/qpgrApqQ== ) ; key id = RRSIG DNSKEY ( iis.se. Kco8fH1BINR2xVe4kTtFBbjKtLe0BFvhP9iZWxgR9DCqKVK5VzxnTcLAJGF8xjwq0W8IUZws GSgWyOsx7bzrfoMNlkutYP14nTJio5zjX4heSx2C4Dx33egg0IlM/iur52O7KWEF7AC7l+ra RP3GGTCu7Ls0kGc2GDGNxothr8A= ) NSEC A NS SOA MX TXT AAAA RRSIG NSEC DNSKEY RRSIG NSEC ( iis.se. KOFHUf1ZB+e/AxGdMkTkq9W461AjFjxLHBrMRt5ULZ4+lfMsYHw5VSecMq61VabhXO5ziOCj B1vK4BYrUeC+xAMFWJzn6xsLMDj/MMjM5d2iZhjE1zPc2sX42M6er1fjF9rw3qjWCFTLdy8Z CTsiw0Ou7ESX6afYwkb7QkTdL9g= ) RRSIG RRSIG RRSIG KSK RRSIG NSEC RRSIG KSK publiceras som DS hos föräldern DS

46 Nycklar i resolvern En resolver måste åtminstone ha en nyckel för att verifiera DNSSEC-poster. För.SE använder vi två överlappande KSK, där varje är giltig i två år. Year 1 Year 2 Year 3 Year 4 KSK n KSK n+1

47 Hämta nycklarna från.se BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 se. IN DNSKEY ( AwEAAdKc1sGsbv5jjeJ141IxNSTdR+nbtFn+JKQpvFZE TaY5iMutoyWHa+jCp0TBBAzB2trGHzdi7E55FFzbeG0r +G6SJbJ4DXYSpiiELPiu0i+jPp3C3kNwiqpPpQHWaYDS 9MTQMu/QZHR/sFPbUnsK30fuQbKKkKgnADms0aXalYUu CgDyVMjdxRLz5yzLoaSO9m5ii5cI0dQNCjexvj9M4ec6 woi6+n8v1pomqaq9at5fd8a6taxzi8tdleunxygnwb8e VZEWsgXtBhoyAru7Tzw+F6ToYq6hmKhfsT+fIhFXsYso 7L4nYUqTnM4VOZgNhcTv+qVQkHfOOeJKUkNB8Qc= ); key id = se. IN DNSKEY ( AwEAAeeGE5unuosN3c8tBcj1/q4TQEwzfNY0GK6kxMVZ 1wcTkypSExLCBPMS0wWkrA1n7t5hcM86VD94L8oEd9jn HdjxreguOZYEBWkckajU0tBWwEPMoEwepknpB14la1wy 3xR95PMt9zWceiqaYOLEujFAqe6F3tQ14lP6FdFL9wyC flv06k1ww+gqxyrdo6h+wejguvpeg33krzftlwvbf3aa ph2gxci4ok2+po2ckzfkoikie9zoxfrcbg9ml2iqrrns M4q3zGhuly4NrF/t9s9jakbWzd4PM1Q551XIEphRGyqc ba2jtu3/mcuvkfgrh7nxapz5doub7tkyyqgstlc= ); key id = BEGIN PGP SIGNATURE----- Version: PGP Desktop (Build 4028) Charset: utf-8 wj8dbqfjqmz4/oxrkpra7psraqkyakcqzf2oamv1kwy3/5f27ioxicvmzacfx8by skp405q8kbbheyvykb5ge7k= =T8Is -----END PGP SIGNATURE-----

48 Exempel i BIND I din named.conf: trusted-keys { "se." "AQOfYGgsIqyVeES+J9JWQ/ xzdk92szvn2ttxljedm5dgiqm0qfvc3cd6t3unhqf7ptqv8hf3qp/ 50yFEVttiGPVL4ctm3KFhaybJGz/1/AGkCdqmGPymAcVVvdBICCx165gusSsK5fF70j +Zm6r4NBsFMyUiIPLiMkKHPQE2pWDMLw=="; }; options { dnssec-enable yes; dnssec-validation yes; };

49 Slå upp DNS med DNSSEC. (root).com.org.se Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC iis.se iana.org

50 Slå upp DNS med DNSSEC. (root).com Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org.se 1 iis.se iana.org

51 Slå upp DNS med DNSSEC. (root) 2.com +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org.se 1 iis.se iana.org

52 Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org.se 1 iis.se iana.org

53 Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do iis.se iana.org

54 Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do 5 DS RRSIG fråga ns.nic.se! iis.se iana.org

55 Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do 5 DS fråga ns.nic.se! DNSKEY RRSIG iis.se iana.org

56 Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do 5 DS fråga ns.nic.se! DNSKEY RRSIG +do 6 iis.se iana.org

57 Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do 5 DS fråga ns.nic.se! DNSKEY RRSIG iis.se +do 6 RRSIG 7 har adressen iana.org

58 Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se iis.se 4 +do +do 6 5 fråga ns.nic.se! RRSIG DS 7 RRSIG DNSKEY DNSKEY har adressen iana.org

59 Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org.se iis.se 4 +do +do 6 5 fråga ns.nic.se! RRSIG DS 7 RRSIG DNSKEY DNSKEY har adressen har adressen ad iana.org

60 Vanliga konfigurationsfel Alla namnservrar kör inte DNSSEC Endast ZSK i zonfilen Inga signaturer