Varför och hur införa IPv6 och DNSSEC? SSNF:s Årskonferens den 22 mars 2012 Linköping Erika Hersaeus Nätsäkerhetsavdelningen Post- och telestyrelsen Post- och telestyrelsen
Agenda Vad är IPv6? Varför IPv6? Hur gör jag för att införa IPv6? Vad är DNS och DNSSEC? Varför DNSSEC? Hur gör jag för att införa DNSSEC? Summering 2
Säkerställ kommunikation med alla på Internet 3
Varför införa IPv6? Den befintliga adressmängden för Internetadressering, IPv4, håller på att ta slut. 32-bitars adress -> 2^32 ~ 4 miljarder IPadresser. IPv4 och IPv6 kan inte kommunicera med varandra. Du bör därför ha stöd för såväl IPv4 som IPv6, dvs. dual stack. Ska dina kunder och deras verksamhet på Internet kunna kommunicera med och vara tillgänglig över hela Internet bör du ha stöd för IPv6 och IPv4, dual stack! Införandet blir inte enklare för att du väntar. 4
PTS webbplats stödjer både IPv4 och IPv6 5
PTS e-tjänster har stöd för IPv6 PTS publika e-tjänster samt i viktiga säkerhetsfunktioner har stöd för IPv6, nämligen: 1. Internetanslutning 2. Webbplats http://www.pts.se 3. E-tjänster under http://www.etjanster.pts.se 4. Brandvägg 5. DNS 6. E-postkommunikation 7. E-postfiltrering 6
Politisk målsättning Regeringens Digitala Agenda för Sverige hösten 2011: Alla myndigheter bör senast 2013 använda sig av DNSSEC och vara nåbar med IPv6. 7
Förutsättningar för införande av IPv6 Starta införandet i tid Ta beslut om införande och tillsätt ett införandeprojekt Börja i liten skala och utifrån och in Inför IPv6 vid sidan om IPv4 i fyra faser: 1. Planera 2. Inventera 3. Genomföra 4. Förvalta 8
Inför IPv6 i liten skala I första hand ska funktioner och tjänster som organisationen kommunicerar externt med inklusive säkerhetsfunktioner ha stöd för IPv6 vid sidan av IPv4, dvs. 1. Internetanslutning 2. Brandvägg 3. DNS 4. Webb 5. E-post 6. E-postfiltreringslösning (SPAM och anti-virus) 7. Etc. 9
Inför IPv6 i fyra steg 1. Inventera 2. Planera 3. Genomföra 4. Förvalta 10
1.Inventera 11
Inventera 1. Inventera och dokumentera IT-miljö: Berörda serverplattformar (mjukvara, hårdvara) Nätverksutrustning, nätverksstruktur och adressering på en mer övergripande nivå Klientplattformar (operativsystem och mjukvara) Tjänster och funktioner som ansvars för i egen regi samt funktioner som tredje part ansvarar för 12
Exempel på tjänster och funktioner att inventera 1. Internetanslutning 2. Brandvägg med säkerhetsfunktioner 3. DNS 4. Webben 5. E-post 6. E-postfiltreringslösning 7. Accesswitch 8. L3-switch 9. Accesspunkter för trådlösa nät 10. DHCPv6-server 11. VPN-lösning 12. Proxylösning 13. Administrationsverktyg 14. Övervakningsverktyg 13
Inventera forts. 1. Utred förslag på åtgärder för att införa IPv6 med bibehållen säkerhet och tillgänglighet 2. Anpassa ramavtal och upphandlingsunderlag med krav på bl.a. IPv6 3. Utred utbildningsbehov 14
2.Planera 15
Planera 1. Planera IPv6-adresser 2. Ta fram adressplan för IPv6 3. Beställ IPv6-internetanslutning från en internetleverantör 4. Upphandla ny utrustning och tjänster 5. Se över processer, rutiner och säkerhetskrav för att inkludera IPv6 16
3. Genomföra 17
Genomföra - Inför IPv6 utifrån och in 1. Aktivera IPv6-internetanslutning. 2. Fördela tilldelade adresser utifrån framtagen adressplan. 3. Konfigurera och sätt upp regler i brandvägg för IPv6. 4. Konfigurera och driftsätt routrar, switchar m.m. 5. Aktivera IPv6 i serverplattformar (DNS, webb, e- post, m.m.). 6. Möjliggör åtkomst till externa IPv6-tjänster för klientdatorer på det interna nätverket. 7. Kontrollera och övervaka. 18
Råd för fortsatt hög säkerhet och tillgänglighet Inför IPv6 på ett systematiskt, avgränsat och kontrollerat sätt. Drifta IPv6 med samma kvalitet och noggrannhet som för IPv4. Inför inte IPv6 utan att veta hur du gör Övervaka, anpassa nät och tjänster. 19
Konsekvenser på ekonomi Kostnader för införandet kan påverkas planera införandet! Kostnader: Utbildning Anskaffning av ny hårdvara och eller mjukvara Krav på säkerhet och tillgänglighet Konsultstöd Dubbla protokoll medför ökad komplexitet som medför ökade förvaltningskostnader Ca 120 konsulttimmar för PTS införande av IPv6 20
Vägledningen finns att hämta I PTS monter på SSNF:s årskonferens 2012. På PTS webbplats, www.pts.se/ipv6 En folder sammanfattar huvudbudskapen i vägledningen finns också att hämta i PTS monter här på SSNF:s årskonferens. Välkommen att komma förbi och hämta ett exemplar! 21
Domännamnssystemet 22
Domännamnssystemet Rotzonen.se.fr.org.com.uu.dn.pts.it 23
Vad är DNS och DNSSEC? DNS översätter ett domännamn till en IP-adress. Hierarkisk databas för att hantera namn- och adressrymd gällande domännamn (.com,.se,.fr,.edu,.org, osv.) Används för internetsurfande, e-post, IP-baserad telefoni, SIP, m.m. Inte ett säkert system. DNSSEC (Domain Name System Security Extensions) möjliggör säkrare domännamnsuppslagning på internet genom nyckelhantering och krypton, PKI (Public Key Infrastructure). 24
Domännamnssystemets funktion Rootzon Root slavservrar ISP Q: IP-adressen för www.pts.se? Olika ISP:er ISP.se-zon A: 210.121.211.200 OBS! Svaret kan vara falskt! ISP ISP IXP ISP Olika ISP:er.se slavservrar ISP pts.se-zon Lösning:Med DNSSEC kan svarets riktighet verifieras! ISP www.pts.se ISP ISP Olika ISP:er pts.se slavservrar
Varför DNSSEC? DNS en osäker infrastruktur. Förhindrar t.ex. Man In The Middle-attacker, cache poisoning. PTS har låtit DNSSEC-signera våra s.k. zoner pts.se, etjanster.pts.se sedan 2006 146 836.se-domäner är signerade per mars 2012 26
Hur inför man DNSSEC? Inventera domäner din organisation vill DNSSECsignera/säkra. Administration av namnserver i egen regi eller outsourcad? Outsourcad: Beställ DNSSEC som tjänst hos en s.k. registrar (återförsäljare av domännamn hos.se) och be dem dnssec-signera aktuella domännamn. I egen regi: --> 27
DNSSEC i egen regi Ladda ner och installera mjukvara så att era namnservrar stödjer DNSSEC. Flera etablerade open source DNS-system. Exempel är: BIND,(Internet Systems Consortium) http://www.isc.org/software/bind NSD (Name Server Daemon), Nlnetlabs, http://nlnetlabs.nl/projects/nsd/ Open DNSSEC, http://www.opendnssec.org/documentation/usingopendnssec/ 28
Att tänka på med DNSSEC Nyckelgenerering och -hantering: ZSK zone signing key KSK key signing key Intern zonfil -> auktoritativ namnserver Metoder för att publicera en ny zon på Internet (AFXR, IFXR) Tidsaspekter viktigt vid användning av DNSSEC, viktigare än för vanlig DNS. Rutiner/policier för nyckelhantering Rollover Regelbundet nyckelbyte för säker DNSSEC-hantering 29
Sammanfattning Ta beslut om att införa IPv6 vid sidan om IPv4 Tillsätt ett införandeprojekt Inför i liten skala, utifrån och in Inventera, Planera, Genomför och Förvalta DNS: För en mer tillförlitlig infrastruktur på Internet och bl.a. domännamnsuppslagning, se till att era domäner är DNSSEC-signerade. 30
Lycka till med DNSSEC- och IPv6-införande för era tjänster på Internet. 31
2012-03-22 Alla i Sverige ska ha tillgång till effektiva, prisvärda och säkra kommunikationstjänster.
Tack för er uppmärksamhet! Frågor? 33
Kontaktuppgifer: E-post: Erika.Hersaeus@pts.se Fast nr: 08-678 56 34 Mobilnr: 0707 60 56 34 34