DNSSec. Garanterar ett säkert internet

Relevanta dokument
DNSSEC och säkerheten på Internet

DNSSEC-grunder. Rickard Bellgrim [ ]

Vägledning för införande av DNSSEC

Krypteringteknologier. Sidorna ( ) i boken

Internetdagarna NIC-SE Network Information Centre Sweden AB

Varför och hur införa IPv6 och DNSSEC?

DNSSEC implementation & test

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

256bit Security AB Offentligt dokument

Hur påverkar DNSsec vårt bredband?

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Systemkrav och tekniska förutsättningar

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

! " #$%&' ( #$!

INFORMATIONSSÄKERHETSÖVERSIKT 2/2010

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Guide för ansökan om.fi-domännamn

DNS-test. Patrik Fältström. Ulf Vedenbrant.

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

BlackBerry Internet Service. Version: Användarhandbok

Modul 3 Föreläsningsinnehåll

INFORMATIONSSÄKERHETSÖVERSIKT

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Jakob Schlyter

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, Internet började med ARPANET

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Laboration 4 Rekognosering och nätverksattacker

Startguide för Administratör Kom igång med Microsoft Office 365

Internetsäkerhet. banktjänster. September 2007

Internets historia i Sverige

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Hemmanätverk. Av Jan Pihlgren. Innehåll

Laboration 2 1DV416 Windowsadministraion I

Vad är DNSSEC? Förstudie beställd av II-stiftelsen

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Läs denna sekretesspolicy innan du använder AbbVies webbplatser, eller skickar personlig information till oss.

Din manual NOKIA

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Verkligheten bakom gratis ISP DNS

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Bredband på 1Mbit/s för alla

E V - C E R T I F I K AT: VA R F Ö R A N V Ä N D A D E N S TA R K A S T E S S L AUTENTISERINGSPROCESS?

SSL/TLS-protokollet och

Artikelnr. P CallPilot Message Networking Användarhandbok

INTEGRITETSPOLICY FÖR ENERVENT OY:S WEBBPLATS

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

DNSSEC DET NÄRMAR SIG...

Föreläsning 9 Transportprotokoll UDP TCP

Datasäkerhet. Petter Ericson

Dataskyddsförklaring

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Kom-igång-guide Administratör

Introduktion till protokoll för nätverkssäkerhet

Java Secure Sockets Extension JSSE. F5 Secure Sockets EDA095 Nätverksprogrammering! Roger Henriksson Datavetenskap Lunds universitet

DNS. Linuxadministration I 1DV417

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online.

Offentligt. Finlands Banks och Finansinspektionens skyddade e-post: anvisning för utomstående användare

Uppsägning av kontrakt för domännamn.

Introduktion till och AribaNetwork FAQ - vanliga frågor från leverantörer

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

RAPPORT OM DNS- TILLGÄNGLIGHETENS STATUS

Hälsoläget i.se. DNS och DNSSEC

8SSJLIW.RPELQHUDEHJUHSSPHGGHILQLWLRQHUS

Ändringar i utfärdande av HCC Funktion

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

Skapa aktörer och roller i Nationell katalog för produkter och avtal

Använda Outlook 2003 mot Exchange

Version 1.0 Januari Xerox Phaser 3635MFP Extensible Interface Platform

Protokollbeskrivning av OKI

IT för personligt arbete F2

Pengar är för de flesta av oss en begränsad resurs d v s vi har bara en begränsad summa pengar per vecka eller månad att hushålla med.

DIG IN TO Nätverkssäkerhet

SEKRETESSPOLICY. Hur vi använder och skyddar personlig information

Konfigurera Routern manuellt

Kundverifiering av SPs digitala signaturer

Prestige 660M. Snabbinstallation. Version 1.0

Datakursen PRO Veberöd våren 2011 internet

KOM IGÅNG-GUIDE. för att ta betalt på nätet. Vi gör det enkelt att ta betalt

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Extern åtkomst till Sociala system

Anmälan om att du har fått ett säkert e-postmeddelande

Domain Name System DNS

Denna Sekretesspolicy gäller endast för webbsidor som direkt länkar till denna policy när du klickar på "Sekretesspolicy" längst ner på webbsidorna.

Administration generellt

7 Microsofts grupphanteringsmodell i Windows NT-domäner

Att Säkra Internet Backbone

Installera din WordPress med 9 enkla steg

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

ÅTVID.NET Startinstruktioner

DATA CIRKEL VÅREN 2014

Practical WLAN Security

IP-adresser, DNS och BIND

Hälsoläget i.se 2013 fördjupning i kryptering av trafik på nätet

Kort om World Wide Web (webben)

En övergripande bild av SITHS

Transkript:

DNSSec Garanterar ett säkert internet

Vad är DNSSec? 2 DNSSec är ett tillägg i Domain Name System (DNS), som säkrar DNS-svarens äkthet och integritet. Tekniska åtgärder tillämpas vilket gör att den dator som lämnar en förfrågan (t.ex. en webbläsare) nu kan se om svaret från en internetadress i DNS verkligen kommer från den server som registrerats av oss som behörig. Samtidigt säkrar DNSSec att detta svar inte har modifierats när det sänts över internet. Enkelt uttryckt: DNSSec är en sorts försäkring som garanterar att internetanvändare endast visas till den webbsida som de verkligen tänkte koppla upp sig mot. Detta garanteras tack vare kryptografiska signaturer. Ingen information krypteras i DNSSec. All data förblir allmänt åtkomlig, liksom befintlig DNS.

Varför behövs DNSSec? Observanta läsare har säkert noterat att webbläsare ju redan har inbyggd teknik som skapats för att säkra att användaren kommer till korrekt webbsida. Webbsidor av denna typ är vanligen krypterade med SSL (Secure Sockets Layer), vilket visas i webbläsaren i form av en nyckelsymbol. DNSSec utvecklades inte för att ersätta SSL-kryptering. Tvärtom. DNSSec är ett komplement till SSL och förhindrar situationer där användaren hamnar på en felaktig server redan innan anslutningen har säkrats av SSL. 3

Hur fungerar DNS (Domain Name System)? Det internet vi känner idag 4 baseras på det globala Domain Name System. Vi sammanfattar nedan, helt kort, hur detta system fungerar. DNS kan ses som ett världsomspännande distribuerat telefonregister, som tilldelar de globalt unika domännamnen (www. dnssec.fi) motsvarande globalt unika internetadresser (87.239.124.120). Internetadresser, dvs. domännamn används därför att de är enklare att komma ihåg. För att inte de olika förfrågningarna alla ska hamna på samma server har DNS skapats med en hierarkisk struktur. Namnutrymmet är uppdelat i så kallade zoner. I fallet med www.dnssec.fi följs hierarkins toppnivå (root) av servrarna för Finland ( fi ) och därefter av DNSSecservrarna ( dnssec.fi ). De individuella zonernas ansvar delas upp (delegeras) inom hierarkin. Om du vill kontakta webbsidan www.dnssec.fi från din dator så undersöker din internetleverantörs server alla nivåer i hierarkin, den ena efter den andra. Varje nivå som inte har svaret på måladressen sänder ett meddelande till nivån under. Servern på den lägsta nivån i hierarkin kommer sedan till slut att kunna erbjuda svaret på adressen.

Domain Name System (DNS) har en hierarkisk struktur. Namnservrar för fi vidarebefordrar automatiskt förfrågningar för domännamn som slutar på fi (t.ex. dnssec.fi) till korrekt adress. Root.fi.com.org 5 dnssec.fi ficora.fi iana.org

Vad är syftet med DNSSec? 6 Tänk dig en situation där någon lyckas ändra uppgifter i telefonkatalogen. Du slår alltså upp numret till domännamnsservice vid Kommunikationsverket och hittar ett felaktigt nummer. Skulle du ha någon egentlig möjlighet att upptäcka detta? Antagligen inte. Ett sådant scenario skulle vara möjligt på internet om en angripare gjorde ändringar i den hierarki som beskrivs ovan. Om en angripare till exempel lyckas med att smuggla in inkorrekt data i din leverantörs server ( cache poisoning ) skulle du komma till en annan webbsida när du kontaktade www.dnssec.fi. Det är bäst att inte tänka på vad som skulle kunna hända om den förfalskade webbsidan tillhörde din bank. Eller om du skulle skicka ditt företags senaste strategi till en partners förfalskade e-postserver. Eftersom internet i dag används för en rad olika ändamål kan hacker-attacker få långtgående konsekvenser. DNSSec ger ett grundläggande skydd mot attacker av denna typ och inte bara när webbsidor kontaktas. DNSSec kan inte ge ett övergripande skydd mot nätfiske. Det ger dock ett effektivt skydd mot attacker på DNS. Detta är viktigt, eftersom de flesta nätfiskeattacker kan identifieras och förebyggas av uppmärksamma internetanvändare. Men till och med experter har svårt att upptäcka attacker mot DNS.

Hierarkin kan modifieras genom cache poisoning. Root.fi 7 dnssec.fi modifierad hierarki domain.fi dnssec.fi

DNSSec i detalj 8 Som redan har nämnts baseras DNSSec på kryptografiska signaturer med vilka de aktuella DNS-posterna signerats. Alla med ansvar för ett domännamn på internet kan skydda sin information med hjälp av DNSSec. All den information som en tjänsteleverantör är ansvarig för signeras med denna tjänsteleverantörs privata nyckel och signaturerna skrivs in i DNS (RRSIG record). Ett exempel med DNSSec: Din internetleverantörs namnserver följer återigen den bekanta hierarkin för att lösa en förfrågan. Denna gång kan den emellertid kontrollera, på grundval av de signaturer som erhålls, om ursprunget till svaren är korrekt och om ett svar har modifierats på vägen. Namnservern svarar endast om all information är korrekt. Hur kan alla dessa signaturer kontrolleras? För att sammanställa digitala signaturer genereras ett par nycklar. Ett par nycklar av detta slag består av en privat och en offentlig nyckel (asymmetriskt kryptosystem). Som namnet antyder är den privata delen hemlig och förblir hos ägaren. Den offentliga delen publiceras i DNS (DNSKEY record). Med hjälp av den offentliga nyckeln är det nu möjligt att kontrollera och validera en signatur som signerats med den privata nyckeln. Därför är det nödvändigt att ha förtroende för en offentlig nyckel innan du kan kontrollera signaturen. Eftersom det inte är möjligt att lita på alla nycklar på internet används en nyckel-hierarki liknande DNS-hierarkin ( chain of trust ). Detta kan verka förvirrande vid första anblicken, men dess enda syfte är att säkra att alla signaturer kan verifieras med en enda offentlig nyckel.

Med hjälp av DNSSec kan din internetleverantörs namnserver känna igen en hierarki som har modifierats med cache poisoning. www.dnssec.fi? Root 3 www.dnssec.fi? 2 Svar giltigt DNSserver, internetleverantör www.dnssec.fi? Varning! Svar ogiltigt 3 1 9.fi Svar giltigt domain.fi dnssec.fi dnssec.fi 4 www.dnssec.fi? Svar ogiltigt Användare

Chain of trust i detalj En avbildning av den offentliga nyckeln aviseras till nästa nivå i hierarkin i varje enskilt fall. Den högre nivån skriver in avbildningen i sin zon (DS record) och garanterar dess äkthet genom att underteckna den. Denna offentliga nyckel för denna nivå aviseras i sin tur till nästa överliggande nivå. I en chain of trust garanterar den överordnade nivån (t.ex. en namnserver för.fi) äktheten i datan från den underordnade nivån. 10 DNSKEY offentlig root-nyckel Root DNSKEY offentlig.fi-nyckel CHAIN OF TRUST.fi DNSKEY offentlig dnssec.fi-nyckel dnssec.fi fi. DS hash (DNSKEY) fi. RRSIG DS... signerad med privat root-nyckel dnssec.fi. DS hash (DNSKEY) dnssec.fi. RRSIG DS... signerad med privat.fi-nyckel www.dnssec.fi A 87.239.124.120 dnssec.fi. RRSIG A signerad med privat dnssec.fi-nyckel

Vad behöver jag för att använda DNSSec? Som internetanvändare behöver du inte göra någonting. Om din ADSL- eller kabelmodem-leverantör har stöd för DNSSec kommer alla signaturkontroller att göras på deras DNS-servrar. Om du är innehavare av ett domännamn måste din webbsideadministratör installera DNSSec åt dig. Eftersom användningen av DNSSec initialt inte kommer att vara så utspridd kommer det förmodligen till att börja med vara administratörer av webbsidor som kräver skydd (t.ex. banker) som kommer att skydda sina domännamn med DNSSec. 11 Broschyrens text baserar sig på materialet från the Swiss education and research network (www.switch.ch).

Kommunikationsverket Tfn 09 6966 700 (domännamnsservice) Tfn 09 69 661 (växel) PB 313 (Östersjögatan 3 A) 00181 Helsingfors Ytterligare uppgifter www.domain.fi www.kommunikationsverket.fi