DNSSEC-grunder. Rickard Bellgrim rickardb@certezza.net [2012-05-23]

Relevanta dokument
DNSSec. Garanterar ett säkert internet

DNS Advanced Underleverantör: IP-Solutions

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

System för DNSSECadministration. Examensarbete Alexander Lindqvist Joakim Åhlund KTH

DNSSEC implementation & test

kirei Vägledning: DNSSEC för kommuner Rapport Regionförbundet i Kalmar län Kirei 2013:02 5 april 2013

OpenDNSSEC. Rickard Bondesson,.SE

Hälsoläget i.se. DNS och DNSSEC

OpenDNSSEC. Rickard Bondesson,.SE

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

Det nya Internet DNSSEC

DNS. Linuxadministration I 1DV417

Vägledning för införande av DNSSEC

DNSSEC DET NÄRMAR SIG...

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Varför och hur införa IPv6 och DNSSEC?

DNSSEC - Grunderna. Patrik Wallström,

Föreläsning 9 Transportprotokoll UDP TCP

Modul 3 Föreläsningsinnehåll

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

Internetdagarna NIC-SE Network Information Centre Sweden AB

DNSSEC Policy (DP) Denna DP gäller gemensamt för:

DNSSEC Våra erfarenheter

DNSSEC en säkerhetsförbättring av DNS -en studie om Svenska kommuners syn på DNSSEC

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Laboration 4 Rekognosering och nätverksattacker

DNS-test. Patrik Fältström. Ulf Vedenbrant.

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

! " #$%&' ( #$!

DNSSEC-rapport Regionförbundet i Kalmar Län

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Probably the best PKI in the world

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad.

Tilläggs dokumentation 4069 Dns

Föreläsning 6 Mål. Mänskor och IP adresser. Domain Name System (1/3) Numeriska adresser används i Internet

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Hur påverkar DNSsec vårt bredband?

Avancerad DNS - Laborationer

We re Still running Rocksolid Internet Services

Kvalitet i DNS. Lars-Johan Liman Autonomica AB OPTO-SUNET, Tammsvik 1. Vad är dålig kvalitet i DNS?

INFORMATIONSSÄKERHETSÖVERSIKT 2/2010

Föreläsning 10. Grundbegrepp (1/5) Grundbegrepp (2/5) Datasäkerhet. olika former av säkerhet. Hot (threat) Svaghet (vulnerability)

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Domain Name System DNS

DNSSEC. Tester av routrar för hemmabruk. Joakim Åhlund & Patrik Wallström, Februari 2008

LABORATIONSRAPPORT. Operativsystem 1 LABORATION 2. Oskar Löwendahl, Jimmy Johansson och Jakob Åberg. Utskriftsdatum:

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Jakob Schlyter

Krypteringteknologier. Sidorna ( ) i boken

uran: Requesting X11 forwarding with authentication uran: Server refused our rhosts authentication or host

Dynamisk DNS och varifrån det

DIG IN TO Nätverksteknologier

x Hur hamnade vi här och vad kan vi göra åt saken

Nätverksoperativsystem i Datornätverk (Windows Server) DVA202, VT Tentamen

Startguide för Administratör Kom igång med Microsoft Office 365

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

Robusthetstester och övervakning av DNS. Internetdagarna Rickard Dahlstrand

256bit Security AB Offentligt dokument

Vad är DNS? DNS. Vad är DNS? (forts.) Vad är DNS utåt? Vad är DNS internt? Vad är DNS internt? (forts.)

Specifikation av CA-certifikat för SITHS

19/5-05 Datakommunikation - Jonny Pettersson, UmU 2. 19/5-05 Datakommunikation - Jonny Pettersson, UmU 4

Föreläsning 9. Transportskiktet. User Datagram Protocol (1/2) Introduktion till modern telekommunikation Gunnar Karlsson, Bengt Sahlin 1

DNS. Måns Nilsson

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

INNEHÅLL 30 juni 2015

Blockkedjeteknikens fördelar och framtidens utmaningar I datahantering. Andreas de Blanche

Dagens Agenda. Klient- och Serveroperativsystem Installation av Windows Server Genomgång av Windows Server Roller och Funktioner Domänhantering DNS

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

Öppna standarder, dokumentformat & Sender Policy Framework. 25 Maj 2007 Stefan Görling, stefan@gorling.se

Användarhandledning. edwise Webbläsarinställningar

Java Secure Sockets Extension JSSE. F5 Secure Sockets EDA095 Nätverksprogrammering! Roger Henriksson Datavetenskap Lunds universitet

Föreläsning 10 Datasäkerhet grundbegrepp datasäkerhet i nätet. Säkerhet. Grundbegrepp (1/5) Modern telekommunikation

Rotadministration och serverroller

Anders Berggren, CTO. Säker, betrodd e-post

1. Beskriv hur DNS fungerar. Använd begrepp som root-servrar, topp-domäner mm. Och rita gärna.

Inventera mera! Tobbe Eklöv

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

... historia... I begynnelsen var ARPANET:

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

Uppdatera Easy Planning till SQL

Föreläsning 7. DD2390 Internetprogrammering 6 hp

LABORATION 2 DNS. Laboranter: Operativsystem 1 HT12. Martin Andersson. Utskriftsdatum:

1 Introduktion Detta dokument Förkortningar och ordförklaringar... 3

IPv6 och säkerhet.

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Avancerad SSL-programmering III

ANVÄNDARMANUAL ANSLUTA TILL REGION HALLAND VIA CITRIX

Linuxadministration 1 1DV417

Krypteringstjänster. Ladok-Inkubatordagar 02-03/4 BTH. Joakim Nyberg ITS Umeå universitet

Din manual NOKIA C111

Hälsoläget i.se 2009

Säkerhet. Beskrivning DNSSEC. Teknisk miljö på.se. Dokumentnummer: Senast sparat: 8 december 2008

Kerberos baserad Single Sign On, tillämpningsexempel

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Säkerhet. Olika former av säkerhet (företagsperspektiv [1])

Transkript:

DNSSEC-grunder Rickard Bellgrim rickardb@certezza.net [2012-05-23]

DNS. NS a.root-servers.net. a.root-servers.net.. NS m.root-servers.net. A 198.41.0.4 m.root-servers.net. A 202.12.27.33. (root).se net. NS a.gtld-servers.net. a.gtld-servers.net. A 192.5.6.30 net. NS b.gtld-servers.net. b.gtld-servers.net. AAAA 2001:503:231d::2:30.net.com certezza.net NS a.ns.ip-only.net. certezza.net NS b.ns.ipv6.ip-only.net. certezza.net NS ns1.certezza.net. ns1.certezza.net. AAAA 2a01:2b0:3001:4000::2 certezza.net www.certezza.net. A 82.99.51.133

DNS. (root) 2. www.certezza.net?.net 3. Fråga a.gtld-servers.net 4. www.certezza.net? Resolver 1. www.certezza.net? 5. Fråga ns1.certezza.net. certezza.net 6. www.certezza.net? 7. www.certezza.net har adress 82.99.51.133 8. www.certezza.net har adress 82.99.51.133 Användare

Sårbarheter Du kan inte lita på svaren Kategorier: Denial of Service Data integrity Protocol issues Cache poisoning, Query prediction System corruption Repository corruption Privacy Cache snooping NSEC walk

Attack. (root) 2. www.certezza.net?.net 3. Fråga a.gtld-servers.net.. 4. www.certezza.net? Resolver 1. www.certezza.net? 5. Fråga ns1.certezza.net. certezza.net 6. www.certezza.net? 7. www.certezza.net har adress 82.99.51.133 8. www.certezza.net har adress 66.66.66.66 7. www.certezza.net har adress 66.66.66.66 DNS UDP/53 UDP = Lätt att kapa Användare

Vad är DNSSEC? Domain Name System Security Extension Det ger: Data Origin Authentication Data Integrity Denial of Existence Genom att använda digitala signaturer

Vad löser DNSSEC? Löser: Poison attacker Man-in-the-middle mellan resolver och DNS Domänkapning (om DS fortfarande finns i förälderzon)? Löser inte DDOS Malware på sårbara siter Sårbar Resolver/DNS Kapning av hostfilen på klient

Krypto Assymetriskt krypto Privat nyckel Public nyckel KSK Key Signing Key det man litar på Signerar nycklarna ZSK Zone Signing Key Skapar signaturer i zonen

Algoritmer Olika DNSSEC algortitmer RSAMD5 DSA RSASHA1 DSA-NSEC3-SHA1 RSASHA1-NSEC3-SHA1 RSASHA256 RSASHA512 ECC-GOST ECDSAP256SHA256 ECDSAP384SHA384

NSEC/NSEC3 Proof of non-existence Skyddar mot DoS av enskilda domäner eller datatyper NSEC3 förhindrar uppräkning av zonen sakerhetsdagen.se. 3600 IN NSEC www.sakerhetsdagen.se. NS SOA MX RRSIG NSEC DNSKEY Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9.sakerhetsdagen.se. 3600 IN NSEC3 1 0 100 - RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR CNAME RRSIG sakerhetsdagen.se. IN NSEC3PARAM 1 0 100 -

sakerhetsdagen.se @ 3600 IN SOA ns1.certezza.net. support.certezza.se. 307111353 14400 3600 604800 3600 @ 3600 IN RRSIG SOA 7 2 3600 20101215102503 20101205092503 57123 sakerhetsdagen.se. bzdbah @ 3600 IN NS ns1.certezza.net. @ 3600 IN RRSIG NS 7 2 3600 20101215102157 20101205092503 57123 sakerhetsdagen.se. vkuhakyz1 @ 3600 IN A 82.99.51.133 @ 3600 IN RRSIG A 7 2 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. GcsNn9KdH @ 3600 IN DNSKEY 256 3 7 AwEAAdipsJYHrgRRwfK0l3+hqGoCZxZQorG0KsJXw+s2fd3KuLX5r1Sw 2meFos @ 3600 IN DNSKEY 257 3 7 AwEAAZhCop9d5NU85gb07H6YYYWyRUyjT+Phpmnq5z+NRMSW4L5qrx9k die @ 3600 IN RRSIG DNSKEY 7 2 3600 20101215093236 20101205090730 28828 sakerhetsdagen.se. kqi9 @ 3600 IN RRSIG DNSKEY 7 2 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. yfwx @ 0 IN NSEC3PARAM 1 0 100 - @ 0 IN RRSIG NSEC3PARAM 7 2 0 20101215093236 20101205090730 57123 sakerhetsdagen.se. w28omv www 3600 IN CNAME www.certezza.net. www 3600 IN RRSIG CNAME 7 3 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. QuvldZplYH Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9. sakerhetsdagen.se. 3600 IN NSEC3 1 0 100 - RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR CNAME RRSIG Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9. sakerhetsdagen.se. 3600 IN RRSIG NSEC3 7 3 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. ZVdofS8vLGqYZNaTe5mYdZhKUNsM RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR. sakerhetsdagen.se. 3600 IN NSEC3 1 0 100 - Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9 A NS SOA TXT RRSIG DNSKEY NSEC3PARAM RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR. sakerhetsdagen.se. 3600 IN RRSIG NSEC3 7 3 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. vqlb54cqifyrdjx1c

DS DS Delegation Signer Skapar en kedja från förälder till barnzon Pekar ut vilken nyckel som man kan lita på Förenklar spridningen av nycklar sakerhetsdagen.se. 3600 IN DS 4584 7 1 66092DD0F015CF211DE5CD4B3018E3DED4D3CEC3 sakerhetsdagen.se. 3600 IN DS 4584 7 2 FD771F1DD166037D142F443EAB46037CDE745FF648DA6EBDA86B6462 B1593FA3

Nyckelpublicering

Nyckelrullning Nycklar kan bytas ut Måste göras enligt en speciell procedur Olika steg Förpublicerad Aktiv Efterpublicerad Mjukvaran hjälper dig

Trust anchor managed-keys { "." 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcC jf FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfdauevpquyehg37nzwajq9vnmvdxp/vhl496m/qzxkjf5/efucp2gad X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnul q QxA+Uk1ihz0="; }; options { }; dnssec-enable yes; dnssec-validation yes;

DNS med DNSSEC. (root) RRSIG DS DNSKEY 2. www.certezza.net? +do.net 3. Fråga a.gtld-servers.net Resolver certezza.net RRSIG 4. www.certezza.net? +do DNSKEY DS 5. Fråga ns1.certezza.net. 6. www.certezza.net? +do RRSIG DNSKEY 7. www.certezza.net har adress 82.99.51.133 1. www.certezza.net? 8. www.certezza.net har adress 82.99.51.133 Användare

Firefox plugin

Säkerhet Skydda servern Hidden master Skydda nycklarna Hardware Security Module

Produkter DNS / Administration Microsoft Windows Server 2008 R2 BIND OpenDNSSEC Bluecat Infoblox MenandMice / Secure64 Infoweapons http://www.iis.se/en/domaner/teknik/dnssec/test-av-verktyg HSM AEP, Safenet, Thales, Utimaco http://www.opendnssec.org/wp-content/uploads/2011/01/a- Review-of-Hardware-Security-Modules-Fall-2010.pdf

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss