Det nya Internet DNSSEC Anne-Marie Eklund Löwinder kvalitets-och säkerhetschef.se (Stiftelsen för Internetinfrastruktur) amel@iis.se http://www.iis.se
Min agenda Kort om.se Vad är DNS? Vad är DNSSEC och hur fungerar det? Vad krävs för att införa DNSSEC? Verktyg Resurser DNSCHECK Fortsatt utveckling?
.SE:s två ben
Administration av domännamnsregistret En stor del av.se:s verksamhet är administration och teknisk drift av det nationella domännamnsregistret under.se. 903 841 domännamn (söndag, 11:12), i genomsnitt mer än 500 nyregistreringar per dag. 42 anställda. Omsättning 2008; 88 miljoner kronor..se står under tillsyn av: PTS genom Lagen om nationella toppdomäner på Internet i Sverige (SFS:2006:24). Länsstyrelsen genom Stiftelselagen
En typisk DNS-dialog
Hot mot DNS Hot mot DNS Källa: DNS Threat Analysis
Hot mot DNS - Attackträd Skydda infrastrukturen Anycast Lastbalansering Diversifierade plattformar NSD BIND FreeBSD Linux Övervakning
Hot mot DNS - Attackträd DNSSEC skyddar mot mycket men inte allt!
En långsiktig lösning
Vad är DNSSEC? DNS Security Extensions (DNSSEC) är ett säkrare sätt att göra uppslagningar på Internetadresser för exempelvis webb och e-post. Uppslagningar med DNSSEC är kryptografiskt signerade och skyddade mot manipulation under överföring. Domännamnsinnehavaren kan säkra sina domäner med DNSSEC.
Varför ville vi ha DNSSEC i.se? Öka dataintegriteten i DNS. Öka säkerheten för.se:s domäninnehavare och deras användare. En åtgärd mot pharming och andra DNS MITM attacker. Förstärker infrastrukturen för Internet. En tänkbar användning av DNSSEC är dessutom för säker distribution av attribut för andra säkerhetsprotokoll och lösningar. Efterfrågades av ansvarig myndighet, PTS. Behövs för att kunna lita på nya kritiska applikationer.
Projektstart 1999 Kunskap baserad på erfarenheter Knowledge built on experience Signering av.se-zonen september 2005 Nytt system för nyckel- hantering och zon- signering Standardutveckling Tillåter säkra delegeringar från early adopters,januari 2006 Mjukstart - Friendly users 16 februari 2007 2007, Resolveroperatörer Kommersiell lansering Manuell administration September, 2007.SE tar bort avgiften, Januari 2009 Automatisering av administration Skapa volumer Mars 2009 Ny affärsmodell för.se EPP Registrarer Hösten 2009 OpenDNSSEC
Lite siffror Antal DNSSEC-signerade domäner i.se-zonen: 1856 Antal registrarer som erbjuder DNSSEC i.se: 11 (OBS: deras marknadsandel 35 %) Antal signerade toppdomäner i världen: 12.cz.pr.museum(-).nu.li.ch.se.org.gov.th.bg.na Andra cctld:er - 65 svar från ännu inte publicerad undersökning: 25 % har infört eller är på väg att införa DNSSEC. 80 % har konkreta planer.
Vad har vi lärt oss? En hel del!
Nyckeladministration är kritiskt Zonfil Signe KSK ZSK ZSK KSK
För nyckeladministration krävs: Teknisk miljö för nyckelgenerering (POC). Rutiner för: Generering av nycklar (strikta och väldefinierade rutiner) Förvaring av nycklar (smarta kort, HSM) Användning av nycklar (KSK + ZSK) Byte av nycklar (frekvens och rutiner) Publicering av nycklar (vem måste veta) Krisrutin för akut nyckelbyte (planering)
Övervakning är viktigt Vårt övervakningssystem har kompletterats för att utföra basala DNSSEC-kontroller: Varnar för signaturer som är på väg att gå ut. Testar den extra DNSSEC-hanteringen i produktionen så att den görs korrekt. Kontrollerar äktheten hos vissa signaturer.
Hot och risker men också möjligheter Mänskliga faktorn misstag i samband med nyckeladministration. Mänskliga faktorn man litar för mycket på DNSSEC och glömmer bort andra säkerhetsaspekter. Mänskliga faktorn många förväntar sig mirakel av tekniken. Möjlighet: Få människor att börja tänka på säkerhet!
Verktyg för hjälp till självhjälp DNSCheck http://dnscheck.iis.se Verktyg för att kontrollera delegering i DNS Testar även för DNSSEC Kaminskytestet http://kaminskybuggen.se Testa domän Testa resolver
Utveckling av ny programvara OpenDNSSEC är ett samarbete mellan.se, Nominet, NLNet Labs, SIDN, SURFnet, Kirei och John Dickinson. http://opendnssec.se
Rootzonen signeras före utgången av 2009!
Frågor?