OpenDNSSEC. Rickard Bondesson,.SE

Transkript

1 OpenDNSSEC Rickard Bondesson,.SE

2 Av vem?

3 Detta är OpenDNSSEC

4 Beskrivning OpenDNSSEC är en komplett DNSSEC zonsignerare som automatiserar hanteringen av DNSSEC-nycklar och signeringen av zonerer. Öppen mjukvara under BSD-licens. Enkel integrering med befintlig infrastruktur

5 Komponenter OpenDNSSEC har tre huvudkomponenter: 1. KASP - Key and Signing Policy, en policy som beskriver hur zonen ska signeras. KASP:en utförs av KASP Enforcer och skickas som en konfiguration till Signer. Skapa de nycklar som behövs i säkerhetsmodulen. Ta bort nycklar som inte behövs längre. Hantera alla tidsmarginaler vid publicering

6 Komponenter 2. Signer - sköter den automatiska signeringen av zonerna Omsignering då signaturer går ut.. Omsignering då nycklarna byts ut. Underhåll NSEC/NSEC3 kedjan. Uppdatera serienumret på zonen ändringar sker

7 Komponenter 3. HSM - en kryptografisk enhet som antingen är riktig hårdvara eller mjukvaran SoftHSM som levereras tillsammans med OpenDNSSEC. Flera säkerhetsmoduler kan finnas I systemet. Använder PKCS#11, gör det lättare är välja produkt efter kostnad, prestanda, och säkerhetsnivå

8 Övriga komponenter Det finns dock fler komponenter: 4. KASP Auditor - övervakar signeringsprocessen och att resultatet stämmer överens med den uppsatta policyn. Olika nivåer av granskning. Om zonen inte uppfyller den ställda policyn kan distributionen stoppas. De olika typerna av granskning finns specificerade på vår wiki. Implementerat i Ruby av personer utanför projektgruppen

9 Övriga komponenter 5. I/O adaptrar - för in- och utmatning av zondata. Zonöverföringar (AXFR, IXFR) Fil in/ut File repository (SVN) Säker filöverföring (SCP) Databas

10 Övriga komponenter 6. libhsm skapar ett lager runt all PKCS#11-hantering. Förenklar krypto-, sessions, och objekthanteringen för de övriga komponenterna

11 HSM Vad är en HSM? - Lägrar nycklar (huvudnycklar) i hårdvara - Genomför kryptografiskaoperationer med dessa nycklar Varför ska man använda en? - Säkerhet (FIPS) - Privata nycklar tillåts inte lämnas ut utanför HSM:en - Man vet var nycklar finns - Hastighet ,000 signaturer per sekund Är de dyra? - $50 - $50,

12 SoftHSM SoftHSM är en mjukvaruimplementation av en HSM tillgänglig genom PKCS#11-gränssnittet. Man kan använda den för att utforska PKCS#11 utan att införskaffa en riktig HSM. SoftHSM utvecklas som en del av OpenDNSSEC projektet. Använder Botan som kryptobibliotek samt SQLite för att lagra nyckelinformation. SoftHSM har utvecklats för att OpenDNSSEC ska kunna användas i en ren mjukvarumiljö

13 Hantering av nycklar Kommer från: draft-morris-dnsop-dnssec-key-timing-00.txt

14 Nyckelmetadata i KASP Information om nycklarna lagras i Metastore, så som datum då nyckeln skapades, då senast säkerhetskopierades, återkallades, och så vidare. En nyckel får också en globalt unik identifierare för att kunna hittas bland de olika HSM:erna. Detta för att sökvägen till en HSM inte är konstant över tiden

15 KASP kommandon Administratören ska bara behöva lägga till policyn och ha en möjlighet att rulla nycklar på kommando. Men ett riktigt CLI eller GUI interface har inte utvecklats ännu. Det finns ett CLI i testsyften

16 Arkitektur

17 Konfigurering Först behöver man en HSM. För att använda SoftHSM gör man följande: Skapa en token genom att lägga till en rad i softhsm.conf: 0:/home/user/my.db Initiera denna token genom kommandot: softhsm --init-token --slot 0 --label "Min token"

18 conf.xml <?xml version="1.0" encoding="utf-8"?> <Configuration> <RepositoryList> <Repository> <Name>softHSM</Name> <Module>/usr/local/lib/libsofthsm.so</Module> <PIN>1234</PIN> <RequireBackup/> </Repository> </RepositoryList> <Common> <Logging> <Syslog><Facility>local0</Facility></Syslog> </Logging> <PolicyFile>/etc/opendnssec/kasp.xml</PolicyFile> <ZoneListFile>/etc/opendnssec/zonelist.xml</ZoneListFile> </Common> <Enforcer> <Datastore><SQLite>/var/opendnssec/kasp.db</SQLite></Datastore> <Interval>PT3600S</Interval> <KeygenInterval>PT3M</KeygenInterval> <BackupDelay>P3D</BackupDelay> </Enforcer> <Signer> <WorkingDirectory>/var/dnssec/tmp</WorkingDirectory> <WorkerThreads>8</WorkerThreads> <SignerThreads>1</SignerThreads> <NotifyCommand>/usr/local/bin/my_nameserver_reload_command</NotifyCommand> </Signer> </Configuration>

19 kasp.xml <?xml version="1.0" encoding="utf-8"?> <KASP> <Policy name="default"> <Description>A default policy that will amaze you and your friends</description> <Signatures> <Resign>PT2H</Resign> <Refresh>P3D</Refresh> <Validity> <Default>P7D</Default> <Denial>P14D</Denial> </Validity>... <KSK> <Algorithm length="2048">5</algorithm> <Lifetime>P1Y</Lifetime> <Repository>softHSM</Repository> <Emergency>2</Emergency> <RFC5011/> </KSK>... <ZSK> <Algorithm length="1024">5</algorithm> <Lifetime>P14D</Lifetime> <Repository>softHSM</Repository>

20 zonelist.xml <?xml version="1.0" encoding="utf-8"?> <ZoneList> <Zone name="opendnssec.se"> <Policy>default</Policy> <SignerConfiguration>/var/opendnssec/config/opendnssec.se.xml </SignerConfiguration> <Adapters> <Input> <File>/var/dnssec/unsigned/opendnssec.se</File> </Input> <Output> <File>/var/dnssec/signed/opendnssec.se</File> </Output> </Adapters> </Zone> </ZoneList>

21 opendnssec.se.xml... <Keys> <TTL>PT3600S</TTL> <Key> <Flags>257</Flags> <Algorithm>5</Algorithm> <Locator>DFE7265B783F AA784C2F31D</Locator> <KSK/> <Publish/> </Key> <Key> <Flags>256</Flags> <Algorithm>5</Algorithm> <Locator>8D76C0C49FEB4A97B8E920C CE</Locator> <ZSK/> <Publish/> </Key> </Keys>... <SOA> <TTL>PT3600S</TTL> <Minimum>PT3600S</Minimum> <Serial>unixtime</Serial> </SOA>

22 Kvar att göra: Systemtester Hastighetstester Drifttester Användartester Paketera OpenDNSSEC

23 När? Version 1.0a1: Version 1.0a2: Version 1.0a3: Version 1.0b1: Version 1.0: 30 juli I fredags 28 augusti 10 september 2 oktober

24

25 Tack Frågor?