Varför och hur införa IPv6 och DNSSEC?



Relevanta dokument
Att införa IPv6 internetprotokoll version 6 En praktisk vägledning

Varför ska min organisation införa IPv6 och hur kan vi gå till väga

Varför ska vi införa IPv6 och hur gjorde PTS?

Att införa IPv6 - internetprotokoll version 6

Det nya Internet DNSSEC

Systemkrav och tekniska förutsättningar

DNSSEC implementation & test

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

IPv6- Inventering. Västkom Västra Götalands Län

! " #$%&' ( #$!

DNSSec. Garanterar ett säkert internet

Internetdagarna NIC-SE Network Information Centre Sweden AB

Att införa internetprotokollet IPv6

Att införa IPv6 - internetprotokoll version 6

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Säkerhet. Beskrivning DNSSEC. Teknisk miljö på.se. Dokumentnummer: Senast sparat: 8 december 2008

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Hur påverkar DNSsec vårt bredband?

DNSSEC-grunder. Rickard Bellgrim [ ]

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Vägledning för införande av DNSSEC

Jimmy Bergman Ansvarig för utveckling och roliga skämt vid kaffemaskinen

DNS-test. Patrik Fältström. Ulf Vedenbrant.

DNSSEC hos.se. Anne-Marie Eklund Löwinder

Laboration 2 1DV416 Windowsadministraion I

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

System för DNSSECadministration. Examensarbete Alexander Lindqvist Joakim Åhlund KTH

IPv6 och säkerhet.

Verkligheten bakom gratis ISP DNS

Det Nya Internet- IPv6

Installationsanvisningar

Hälsoläget i.se 2013 fördjupning i kryptering av trafik på nätet

SkeKraft Bredband Installationsguide

Ökad tillit till Internet genom förbättrad säkerhet i domännamnssystemet

Tips: Titta på relevanta genomgångar på webbplatsen

om trådlösa nätverk 1 I Om trådlösa nätverk

IPv6 Beredskap på svenska storföretag och myndigheter. En rapport från.se

Hälsoläget i.se nåbarhet på nätet

Att planera tekniken. Stöddokument för. Version: Ersätter : Tidigare dokument på orientering.se.

Rotadministration och serverroller

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

Anders Berggren, CTO. Säker, betrodd e-post

Inlämningsuppgift 12b Router med WiFi. Här ska du: Installera och konfigurera en trådlös router i nätverket.

Internets historia i Sverige

DNSSEC. Slutrapport. Kalmar läns kommuner Kalmar län, det grönaste länet!

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

TCP/IP och Internetadressering

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

DNSSEC och säkerheten på Internet

ÅTVID.NET Startinstruktioner

Planering och RA/DHCPv6 i detalj

Datum Vår referens Sida Dnr: (6) Handlingsplan för ett säkrare Internet i Sverige

DATALAGRINGSDIREKTIVET

Vägledning för anskaffning av robust elektronisk kommunikation

Övningar - Datorkommunikation

tillägg till AnvändarmANUAL För LarmSystemet Lansen Home Installera, Använda och Administrera

Måste Sveriges trygghetslarm bytas ut 2013?

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

Grundläggande nätverksteknik. F1: Introduk6on

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Vad är DNSSEC? Förstudie beställd av II-stiftelsen

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan?

Tentamen i ETSF15 Kommunikationssystem och Nätverk

Startguide för Administratör Kom igång med Microsoft Office 365

Grundläggande datavetenskap, 4p

Vägledning för anskaffning och upprätthållande av robust elektronisk kommunikation

Att Säkra Internet Backbone

Ja Nej Bas, (st)

Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning

Laboration 4 Rekognosering och nätverksattacker

Installationshandbok Bredband från Telia FiberLan

.SE Registry. Information. Ordlista. 18 mars, 2011

Trygghetslarm. - Vår trygga framtid? Alla i Sverige ska ha tillgång till effektiva, prisvärda och säkra kommunikationstjänster.

Kursplaner för Administartör IT-System Innehåll

Foto: Peter Westrup, Ulrika Ekblom, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Installationsanvisningar

Föreläsning 9 Transportprotokoll UDP TCP

IPv6. MarkCheck. Maj 2012

Setup Internet Acess CSE-H55N

Remissvar Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

RAPPORT OM DNS- TILLGÄNGLIGHETENS STATUS

Instruktion: Trådlöst utbildningsnät orebro-utbildning

We re Still running Rocksolid Internet Services

snabbmanual för installation av trådlöst bredband och telefoni

Enum som en komponent i NGN. Gert Öster Ericsson

Prislista Bredbandsbolaget

Avancerad DNS - Laborationer

Erfarenheter av eduroam införande. Michael Lööw

Tilläggs dokumentation 4069 Dns

Innehållsförteckning Introduktion Samtal Kvalitetsproblem Felsökning av terminal Fakturering Brandvägg

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

DNS. Linuxadministration I 1DV417

Platsbesök. Systemkrav

Proxy. Krishna Tateneni Översättare: Stefan Asserhäll

Uppstart av er bredbandsuppkoppling

Ändringar i samband med aktivering av. Microsoft Windows Vista

Installation av. Vitec Online

Välkommen till dataintroduktion. Föreläsare Stephan Kring Ansv. helpdesk & web

Transkript:

Varför och hur införa IPv6 och DNSSEC? SSNF:s Årskonferens den 22 mars 2012 Linköping Erika Hersaeus Nätsäkerhetsavdelningen Post- och telestyrelsen Post- och telestyrelsen

Agenda Vad är IPv6? Varför IPv6? Hur gör jag för att införa IPv6? Vad är DNS och DNSSEC? Varför DNSSEC? Hur gör jag för att införa DNSSEC? Summering 2

Säkerställ kommunikation med alla på Internet 3

Varför införa IPv6? Den befintliga adressmängden för Internetadressering, IPv4, håller på att ta slut. 32-bitars adress -> 2^32 ~ 4 miljarder IPadresser. IPv4 och IPv6 kan inte kommunicera med varandra. Du bör därför ha stöd för såväl IPv4 som IPv6, dvs. dual stack. Ska dina kunder och deras verksamhet på Internet kunna kommunicera med och vara tillgänglig över hela Internet bör du ha stöd för IPv6 och IPv4, dual stack! Införandet blir inte enklare för att du väntar. 4

PTS webbplats stödjer både IPv4 och IPv6 5

PTS e-tjänster har stöd för IPv6 PTS publika e-tjänster samt i viktiga säkerhetsfunktioner har stöd för IPv6, nämligen: 1. Internetanslutning 2. Webbplats http://www.pts.se 3. E-tjänster under http://www.etjanster.pts.se 4. Brandvägg 5. DNS 6. E-postkommunikation 7. E-postfiltrering 6

Politisk målsättning Regeringens Digitala Agenda för Sverige hösten 2011: Alla myndigheter bör senast 2013 använda sig av DNSSEC och vara nåbar med IPv6. 7

Förutsättningar för införande av IPv6 Starta införandet i tid Ta beslut om införande och tillsätt ett införandeprojekt Börja i liten skala och utifrån och in Inför IPv6 vid sidan om IPv4 i fyra faser: 1. Planera 2. Inventera 3. Genomföra 4. Förvalta 8

Inför IPv6 i liten skala I första hand ska funktioner och tjänster som organisationen kommunicerar externt med inklusive säkerhetsfunktioner ha stöd för IPv6 vid sidan av IPv4, dvs. 1. Internetanslutning 2. Brandvägg 3. DNS 4. Webb 5. E-post 6. E-postfiltreringslösning (SPAM och anti-virus) 7. Etc. 9

Inför IPv6 i fyra steg 1. Inventera 2. Planera 3. Genomföra 4. Förvalta 10

1.Inventera 11

Inventera 1. Inventera och dokumentera IT-miljö: Berörda serverplattformar (mjukvara, hårdvara) Nätverksutrustning, nätverksstruktur och adressering på en mer övergripande nivå Klientplattformar (operativsystem och mjukvara) Tjänster och funktioner som ansvars för i egen regi samt funktioner som tredje part ansvarar för 12

Exempel på tjänster och funktioner att inventera 1. Internetanslutning 2. Brandvägg med säkerhetsfunktioner 3. DNS 4. Webben 5. E-post 6. E-postfiltreringslösning 7. Accesswitch 8. L3-switch 9. Accesspunkter för trådlösa nät 10. DHCPv6-server 11. VPN-lösning 12. Proxylösning 13. Administrationsverktyg 14. Övervakningsverktyg 13

Inventera forts. 1. Utred förslag på åtgärder för att införa IPv6 med bibehållen säkerhet och tillgänglighet 2. Anpassa ramavtal och upphandlingsunderlag med krav på bl.a. IPv6 3. Utred utbildningsbehov 14

2.Planera 15

Planera 1. Planera IPv6-adresser 2. Ta fram adressplan för IPv6 3. Beställ IPv6-internetanslutning från en internetleverantör 4. Upphandla ny utrustning och tjänster 5. Se över processer, rutiner och säkerhetskrav för att inkludera IPv6 16

3. Genomföra 17

Genomföra - Inför IPv6 utifrån och in 1. Aktivera IPv6-internetanslutning. 2. Fördela tilldelade adresser utifrån framtagen adressplan. 3. Konfigurera och sätt upp regler i brandvägg för IPv6. 4. Konfigurera och driftsätt routrar, switchar m.m. 5. Aktivera IPv6 i serverplattformar (DNS, webb, e- post, m.m.). 6. Möjliggör åtkomst till externa IPv6-tjänster för klientdatorer på det interna nätverket. 7. Kontrollera och övervaka. 18

Råd för fortsatt hög säkerhet och tillgänglighet Inför IPv6 på ett systematiskt, avgränsat och kontrollerat sätt. Drifta IPv6 med samma kvalitet och noggrannhet som för IPv4. Inför inte IPv6 utan att veta hur du gör Övervaka, anpassa nät och tjänster. 19

Konsekvenser på ekonomi Kostnader för införandet kan påverkas planera införandet! Kostnader: Utbildning Anskaffning av ny hårdvara och eller mjukvara Krav på säkerhet och tillgänglighet Konsultstöd Dubbla protokoll medför ökad komplexitet som medför ökade förvaltningskostnader Ca 120 konsulttimmar för PTS införande av IPv6 20

Vägledningen finns att hämta I PTS monter på SSNF:s årskonferens 2012. På PTS webbplats, www.pts.se/ipv6 En folder sammanfattar huvudbudskapen i vägledningen finns också att hämta i PTS monter här på SSNF:s årskonferens. Välkommen att komma förbi och hämta ett exemplar! 21

Domännamnssystemet 22

Domännamnssystemet Rotzonen.se.fr.org.com.uu.dn.pts.it 23

Vad är DNS och DNSSEC? DNS översätter ett domännamn till en IP-adress. Hierarkisk databas för att hantera namn- och adressrymd gällande domännamn (.com,.se,.fr,.edu,.org, osv.) Används för internetsurfande, e-post, IP-baserad telefoni, SIP, m.m. Inte ett säkert system. DNSSEC (Domain Name System Security Extensions) möjliggör säkrare domännamnsuppslagning på internet genom nyckelhantering och krypton, PKI (Public Key Infrastructure). 24

Domännamnssystemets funktion Rootzon Root slavservrar ISP Q: IP-adressen för www.pts.se? Olika ISP:er ISP.se-zon A: 210.121.211.200 OBS! Svaret kan vara falskt! ISP ISP IXP ISP Olika ISP:er.se slavservrar ISP pts.se-zon Lösning:Med DNSSEC kan svarets riktighet verifieras! ISP www.pts.se ISP ISP Olika ISP:er pts.se slavservrar

Varför DNSSEC? DNS en osäker infrastruktur. Förhindrar t.ex. Man In The Middle-attacker, cache poisoning. PTS har låtit DNSSEC-signera våra s.k. zoner pts.se, etjanster.pts.se sedan 2006 146 836.se-domäner är signerade per mars 2012 26

Hur inför man DNSSEC? Inventera domäner din organisation vill DNSSECsignera/säkra. Administration av namnserver i egen regi eller outsourcad? Outsourcad: Beställ DNSSEC som tjänst hos en s.k. registrar (återförsäljare av domännamn hos.se) och be dem dnssec-signera aktuella domännamn. I egen regi: --> 27

DNSSEC i egen regi Ladda ner och installera mjukvara så att era namnservrar stödjer DNSSEC. Flera etablerade open source DNS-system. Exempel är: BIND,(Internet Systems Consortium) http://www.isc.org/software/bind NSD (Name Server Daemon), Nlnetlabs, http://nlnetlabs.nl/projects/nsd/ Open DNSSEC, http://www.opendnssec.org/documentation/usingopendnssec/ 28

Att tänka på med DNSSEC Nyckelgenerering och -hantering: ZSK zone signing key KSK key signing key Intern zonfil -> auktoritativ namnserver Metoder för att publicera en ny zon på Internet (AFXR, IFXR) Tidsaspekter viktigt vid användning av DNSSEC, viktigare än för vanlig DNS. Rutiner/policier för nyckelhantering Rollover Regelbundet nyckelbyte för säker DNSSEC-hantering 29

Sammanfattning Ta beslut om att införa IPv6 vid sidan om IPv4 Tillsätt ett införandeprojekt Inför i liten skala, utifrån och in Inventera, Planera, Genomför och Förvalta DNS: För en mer tillförlitlig infrastruktur på Internet och bl.a. domännamnsuppslagning, se till att era domäner är DNSSEC-signerade. 30

Lycka till med DNSSEC- och IPv6-införande för era tjänster på Internet. 31

2012-03-22 Alla i Sverige ska ha tillgång till effektiva, prisvärda och säkra kommunikationstjänster.

Tack för er uppmärksamhet! Frågor? 33

Kontaktuppgifer: E-post: Erika.Hersaeus@pts.se Fast nr: 08-678 56 34 Mobilnr: 0707 60 56 34 34