DNSSEC-grunder Rickard Bellgrim rickardb@certezza.net [2012-05-23]
DNS. NS a.root-servers.net. a.root-servers.net.. NS m.root-servers.net. A 198.41.0.4 m.root-servers.net. A 202.12.27.33. (root).se net. NS a.gtld-servers.net. a.gtld-servers.net. A 192.5.6.30 net. NS b.gtld-servers.net. b.gtld-servers.net. AAAA 2001:503:231d::2:30.net.com certezza.net NS a.ns.ip-only.net. certezza.net NS b.ns.ipv6.ip-only.net. certezza.net NS ns1.certezza.net. ns1.certezza.net. AAAA 2a01:2b0:3001:4000::2 certezza.net www.certezza.net. A 82.99.51.133
DNS. (root) 2. www.certezza.net?.net 3. Fråga a.gtld-servers.net 4. www.certezza.net? Resolver 1. www.certezza.net? 5. Fråga ns1.certezza.net. certezza.net 6. www.certezza.net? 7. www.certezza.net har adress 82.99.51.133 8. www.certezza.net har adress 82.99.51.133 Användare
Sårbarheter Du kan inte lita på svaren Kategorier: Denial of Service Data integrity Protocol issues Cache poisoning, Query prediction System corruption Repository corruption Privacy Cache snooping NSEC walk
Attack. (root) 2. www.certezza.net?.net 3. Fråga a.gtld-servers.net.. 4. www.certezza.net? Resolver 1. www.certezza.net? 5. Fråga ns1.certezza.net. certezza.net 6. www.certezza.net? 7. www.certezza.net har adress 82.99.51.133 8. www.certezza.net har adress 66.66.66.66 7. www.certezza.net har adress 66.66.66.66 DNS UDP/53 UDP = Lätt att kapa Användare
Vad är DNSSEC? Domain Name System Security Extension Det ger: Data Origin Authentication Data Integrity Denial of Existence Genom att använda digitala signaturer
Vad löser DNSSEC? Löser: Poison attacker Man-in-the-middle mellan resolver och DNS Domänkapning (om DS fortfarande finns i förälderzon)? Löser inte DDOS Malware på sårbara siter Sårbar Resolver/DNS Kapning av hostfilen på klient
Krypto Assymetriskt krypto Privat nyckel Public nyckel KSK Key Signing Key det man litar på Signerar nycklarna ZSK Zone Signing Key Skapar signaturer i zonen
Algoritmer Olika DNSSEC algortitmer RSAMD5 DSA RSASHA1 DSA-NSEC3-SHA1 RSASHA1-NSEC3-SHA1 RSASHA256 RSASHA512 ECC-GOST ECDSAP256SHA256 ECDSAP384SHA384
NSEC/NSEC3 Proof of non-existence Skyddar mot DoS av enskilda domäner eller datatyper NSEC3 förhindrar uppräkning av zonen sakerhetsdagen.se. 3600 IN NSEC www.sakerhetsdagen.se. NS SOA MX RRSIG NSEC DNSKEY Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9.sakerhetsdagen.se. 3600 IN NSEC3 1 0 100 - RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR CNAME RRSIG sakerhetsdagen.se. IN NSEC3PARAM 1 0 100 -
sakerhetsdagen.se @ 3600 IN SOA ns1.certezza.net. support.certezza.se. 307111353 14400 3600 604800 3600 @ 3600 IN RRSIG SOA 7 2 3600 20101215102503 20101205092503 57123 sakerhetsdagen.se. bzdbah @ 3600 IN NS ns1.certezza.net. @ 3600 IN RRSIG NS 7 2 3600 20101215102157 20101205092503 57123 sakerhetsdagen.se. vkuhakyz1 @ 3600 IN A 82.99.51.133 @ 3600 IN RRSIG A 7 2 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. GcsNn9KdH @ 3600 IN DNSKEY 256 3 7 AwEAAdipsJYHrgRRwfK0l3+hqGoCZxZQorG0KsJXw+s2fd3KuLX5r1Sw 2meFos @ 3600 IN DNSKEY 257 3 7 AwEAAZhCop9d5NU85gb07H6YYYWyRUyjT+Phpmnq5z+NRMSW4L5qrx9k die @ 3600 IN RRSIG DNSKEY 7 2 3600 20101215093236 20101205090730 28828 sakerhetsdagen.se. kqi9 @ 3600 IN RRSIG DNSKEY 7 2 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. yfwx @ 0 IN NSEC3PARAM 1 0 100 - @ 0 IN RRSIG NSEC3PARAM 7 2 0 20101215093236 20101205090730 57123 sakerhetsdagen.se. w28omv www 3600 IN CNAME www.certezza.net. www 3600 IN RRSIG CNAME 7 3 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. QuvldZplYH Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9. sakerhetsdagen.se. 3600 IN NSEC3 1 0 100 - RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR CNAME RRSIG Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9. sakerhetsdagen.se. 3600 IN RRSIG NSEC3 7 3 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. ZVdofS8vLGqYZNaTe5mYdZhKUNsM RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR. sakerhetsdagen.se. 3600 IN NSEC3 1 0 100 - Q2KJOC6KRGTDPHI31SCAAKLAQK5TFLO9 A NS SOA TXT RRSIG DNSKEY NSEC3PARAM RQNPBG4QBL9V2JQCS8NNRCES9UE5B7AR. sakerhetsdagen.se. 3600 IN RRSIG NSEC3 7 3 3600 20101215093236 20101205090730 57123 sakerhetsdagen.se. vqlb54cqifyrdjx1c
DS DS Delegation Signer Skapar en kedja från förälder till barnzon Pekar ut vilken nyckel som man kan lita på Förenklar spridningen av nycklar sakerhetsdagen.se. 3600 IN DS 4584 7 1 66092DD0F015CF211DE5CD4B3018E3DED4D3CEC3 sakerhetsdagen.se. 3600 IN DS 4584 7 2 FD771F1DD166037D142F443EAB46037CDE745FF648DA6EBDA86B6462 B1593FA3
Nyckelpublicering
Nyckelrullning Nycklar kan bytas ut Måste göras enligt en speciell procedur Olika steg Förpublicerad Aktiv Efterpublicerad Mjukvaran hjälper dig
Trust anchor managed-keys { "." 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcC jf FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfdauevpquyehg37nzwajq9vnmvdxp/vhl496m/qzxkjf5/efucp2gad X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnul q QxA+Uk1ihz0="; }; options { }; dnssec-enable yes; dnssec-validation yes;
DNS med DNSSEC. (root) RRSIG DS DNSKEY 2. www.certezza.net? +do.net 3. Fråga a.gtld-servers.net Resolver certezza.net RRSIG 4. www.certezza.net? +do DNSKEY DS 5. Fråga ns1.certezza.net. 6. www.certezza.net? +do RRSIG DNSKEY 7. www.certezza.net har adress 82.99.51.133 1. www.certezza.net? 8. www.certezza.net har adress 82.99.51.133 Användare
Firefox plugin
Säkerhet Skydda servern Hidden master Skydda nycklarna Hardware Security Module
Produkter DNS / Administration Microsoft Windows Server 2008 R2 BIND OpenDNSSEC Bluecat Infoblox MenandMice / Secure64 Infoweapons http://www.iis.se/en/domaner/teknik/dnssec/test-av-verktyg HSM AEP, Safenet, Thales, Utimaco http://www.opendnssec.org/wp-content/uploads/2011/01/a- Review-of-Hardware-Security-Modules-Fall-2010.pdf