DNSSEC DET NÄRMAR SIG...

Relevanta dokument
Tilläggs dokumentation 4069 Dns

Kvalitet i DNS. Lars-Johan Liman Autonomica AB OPTO-SUNET, Tammsvik 1. Vad är dålig kvalitet i DNS?

Internetdagarna NIC-SE Network Information Centre Sweden AB

DNS. Linuxadministration I 1DV417

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

DNSSEC-grunder. Rickard Bellgrim [ ]

Introduktion till protokoll för nätverkssäkerhet

DNS och IPv6 vänner eller fiender?

DNSSEC implementation & test

DNSSEC och säkerheten på Internet

Rotadministration och serverroller

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

Hur påverkar DNSsec vårt bredband?

! " #$%&' ( #$!

DNS-test. Patrik Fältström. Ulf Vedenbrant.

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

DNSSec. Garanterar ett säkert internet

Föreläsning 9 Transportprotokoll UDP TCP

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

DIG IN TO Nätverksteknologier

Avancerad DNS - Laborationer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Att Säkra Internet Backbone

Säker e-post Erfarenheter från Swedbank

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Innehållsförteckning:

F2 Exchange EC Utbildning AB

Vad är DNS? DNS. Vad är DNS? (forts.) Vad är DNS utåt? Vad är DNS internt? Vad är DNS internt? (forts.)

Jakob Schlyter

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad.

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

DIG IN TO Nätverkssäkerhet

F6 Exchange EC Utbildning AB

Modul 3 Föreläsningsinnehåll

Varför och hur införa IPv6 och DNSSEC?

SSL/TLS-protokollet och

Säker IP telefoni? Hakan Nohre, CISSP

Bordermail instruktionsmanual

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Konfigurering av eduroam

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Vad är DNSSEC? Förstudie beställd av II-stiftelsen

Konfiguration av Authoritative-Only DNS-server baserad på BIND

Anders Berggren, CTO. Säker, betrodd e-post

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

256bit Security AB Offentligt dokument

Föreläsningens innehåll. Säker kommunikation - Nivå. IPSec. IPSec - VPN. IPSec - Implementation. IPSec - Består av vad?

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

DNS Advanced Underleverantör: IP-Solutions

DNSSEC. Tester av routrar för hemmabruk. Joakim Åhlund & Patrik Wallström, Februari 2008

Konfigurera Microsoft Outlook 2007-klient.

Säker e-kommunikation

DNS. Måns Nilsson

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Tips: Titta på relevanta genomgångar på webbplatsen

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Konfiguration övriga klienter

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Autentisering och Code-Based Access Control

Linuxadministration I 1DV417 - Laboration 7 SSH-magi och systemtrolleri. Marcus Wilhelmsson 6 mars 2013

Java Secure Sockets Extension JSSE. F5 Secure Sockets EDA095 Nätverksprogrammering! Roger Henriksson Datavetenskap Lunds universitet

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

Staffan Hagnell FoU-chef..SE (Stiftelsen för Internetinfrastruktur)

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

Filleveranser till VINN och KRITA

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Installation xvis besökssystem, Koncern

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

Laboration 4 Rekognosering och nätverksattacker

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Det nya Internet DNSSEC

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Unix-miljöer i större sammanhang

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

LABORATIONSRAPPORT. Operativsystem 1 LABORATION 2. Oskar Löwendahl, Jimmy Johansson och Jakob Åberg. Utskriftsdatum:

We re Still running Rocksolid Internet Services

Domain Name System DNS

Grundläggande datavetenskap, 4p

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

Data Sheet - Secure Remote Access

Vägledning för införande av DNSSEC

DRAFT. CVS kurs laboration 1 Checka in, ut och uppdatera. Marcus Rejås. 17 november 2002

Avancerad SSL-programmering III

ARX på Windows Vista, Windows 7 eller Windows 2008 server

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Konfigurera Outlook för OCS

Practical WLAN Security

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Instruktion: Trådlöst nätverk för privata enheter

Nåbarhet på nätet. Hälsoläget i.se 2007

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

JobOffice SQL databas på server

IP-adresser, DNS och BIND

Transkript:

DNSSEC DET NÄRMAR SIG... Lars-Johan Liman, M.Sc. Netnod Internet Exchange Stockholm, Sweden

DNSSEC den eviga historien... T-shirt It s done! 1995... TREFpunkt 1999... Kurser i 10+ år...... men vad ska det vara bra för?

INFRASTRUKTUR

DNS är en viktig del av infrastrukturen! Alla ställen du surfar till. Alla ställen du skickar mail till. Många gånger när du ringer med VoIP. Sociala funktioner. Tillgång till databaser. T.ex. genom appar i nallen. Betalningar. Kreditkortssystem Marknadsföring...

DNS är en viktig del av infrastrukturen! Spamutskick. Distribution av malware (trojaner, virus,...) Skapande av botnets Döljande av illegal verksamhet (barnporr,...) Fast flux... Marknadsmässiga attacker... Namnförväxlingar, varumärkesutpressning,... DDoS attacker... DNS-reflexion Infrastruktur används av alla och för allt möjligt...... bra som dåligt!

Vissa saker kan man skydda sig emot! 1. Transaktionssignaturer (TSIG) 2. Secure DNS (DNSSEC) Olika ändamål! För bägge gäller: It takes two to tango.... men man måste börja någonstans med att...... att utnyttja skyddsmekanismer (ENKELT!)... att tillhandahålla skyddsmekanismer. (Tyvärr inte lika enkelt...)

DNS OCH SÄKERHET 9

DNS-transaktioner Zone data zone loading Master zone xfrs Slave Slave Slave 10

Zone data zone loading Master iterative queries Recursive nameservers zone xfrs recursive queries Slave Slave Slave Stub resolvers 11

dynamic updates Zone data zone loading Master iterative queries Recursive nameservers zone xfrs recursive queries Slave Slave Slave Stub resolvers 12

unauthorized updates Zone data corrupt zone data Master cache pollution Recursive nameservers impersonated master impersonated cache Slave Slave Slave Stub resolvers 13

unauthorized updates Zone data corrupt zone data Master cache pollution Recursive nameservers impersonated master impersonated cache Slave Slave Slave Stub resolvers Server security 14

Data security unauthorized updates Zone data corrupt zone data Master cache pollution Recursive nameservers impersonated master impersonated cache Slave Slave Slave Stub resolvers Server security 15

Serversäkerhet datasäkerhet Våra egna datorer kan vi konfigurera säkert. Andras datorer kan vi inte lita på. Ute på nätet måste data klara sig självt!

Data security unauthorized updates Zone data corrupt zone data Master cache pollution Recursive nameservers impersonated master impersonated cache Slave Slave Slave Stub resolvers Server security 15

Serversäkerhet TSIG Transaktionssignaturer (TSIG) Signaturer med symmetrisk kryptering. IDENTISK kryptonyckel på bägge sidor. IDENTISKA nycklar används för att skapa respektive för att verifiera signaturer. Bägge parter kan skapa och verifiera signaturer.

TSIG problem? Nyckeldistribution, nyckeldistribution, nyckeldistribution,... En viss nyckel bör endast användas av ett visst par av datorer. Jobbig administration om många parter. Tidsberoende! NTP is your friend...

Data security unauthorized TSIG updates Zone data corrupt zone data Master cache pollution Recursive nameservers impersonated TSIG master impersonated TSIG cache Slave Slave Slave Stub resolvers Server security 15

Datasäkerhet DNSSEC Secure DNS (DNSSEC) Signaturer med ASYMMETRISK kryptering. OLIKA kryptonycklar på bägge sidor. OLIKA nycklar används för att skapa respektive för att verifiera signaturer. Bara ena parten kan skapa signaturer Bara andra parten kan verifiera signaturer. Data bär med sig sin egen säkerhet i form av signaturer.

Foto: Gomér & Andersson AB, använt med tillstånd. www.netnod.se

DNSSEC problem? Nyckeldistribution, nyckeldistribution, nyckeldistribution,... En viss nyckel bör endast användas av ett visst par av datorer. Jobbig administration om många parter. Tidsberoende! NTP is your friend... Kräver konstant underhåll! Automatisera! Fler felkällor och fler felmoder. REFLEXIONSATTACKER! Har eg. inte med DNSSEC att göra.

Data security unauthorized TSIG updates Zone data corrupt zone data impersonated TSIG master Master cache pollution DNSSEC Recursive nameservers impersonated TSIG DNS cache SEC Slave Slave Slave Stub resolvers Server security 15

Cache pollution Utnyttjar det faktum att mellanliggande servrar mellanlagrar DNS-data. Lurar dem att lagra falska poster. Sätter långt bäst-före-datum på posterna, så de ligger kvar länge och förstör.

klient root resolver SE skurk cache

klient www.skurk.se. A? root resolver SE skurk

klient resolver www.skurk.se. A? se. NS! root SE se. NS skurk

klient root resolver www.skurk.se. A? skurk.se. NS! SE se. NS skurk.se. NS... skurk

klient www.skurk.se. A 10.1.2.3 root resolver www.skurk.se. A? SE www.skurk.se. A 10.1.2.3! se. NS skurk.se. NS www.skurk.se. A skurk

Teknisk djupdykning additional data Oftast behöver man skicka extra data för att resolvern skall kunna jobba vidare. Vanligast: IP-adreserna till nameservrarna för domänen man hänvisar till. glue records DNS-paket har en särskild avledning för sådan information: ADDITIONAL DATA. Header Query Answer Authority Additional

klient www.skurk.se. A? root resolver SE skurk

se. NS klient resolver www.skurk.se. A? se. NS! Header Query Answer Authority Additional root SE skurk ns.se. IN A 10.9.8.7

klient root se. NS skurk.se. NS... resolver www.skurk.se. A? skurk.se. NS! Header Query Answer Authority Additional SE skurk ns.se. IN A 10.9.8.7 ns.skurk.se. IN A 10.10.9.8

klient www.skurk.se. A 10.1.2.3 root resolver www.skurk.se. A? SE www.skurk.se. A 10.1.2.3! se. NS skurk.se. NS www.skurk.se. A ns.se. IN A 10.9.8.7 ns.skurk.se. IN A 10.10.9.8 Header Query Answer Authority Additional skurk

Det elaka tricket... Header Vad händer om man stoppar in NÅGOT ANNAT än det som faktiskt är nödvändigt?! Query www.skurk.se. A 10.33.44.55 Authority OBS! www.bank.com. A 10.66.66.66

klient www.skurk.se. A 10.1.2.3 root resolver www.skurk.se. A? SE www.skurk.se. A 10.1.2.3! se. NS skurk.se. NS www.skurk.se. A ns.se. A 10.9.8.7 ns.skurk.se. A 10.10.9.8 www.bank.com. A 10.66.66.66 Header Query Answer Authority Additional skurk Event, plats, YYYY-MM-DD, Föredragshållare, Ev. annan info

klient www.bank.com.? root resolver SE se. NS skurk.se. NS www.skurk.se. A skurk ns.se. A 10.9.8.7 ns.skurk.se. A 10.10.9.8 www.bank.com. A 10.66.66.66 Event, plats, YYYY-MM-DD, Föredragshållare, Ev. annan info

klient www.bank.com A 10.66.66.66 root resolver SE se. NS skurk.se. NS www.skurk.se. A skurk ns.se. A 10.9.8.7 ns.skurk.se. A 10.10.9.8 www.bank.com. A 10.66.66.66 Event, plats, YYYY-MM-DD, Föredragshållare, Ev. annan info

Kaminskybuggen Sätt att snabbt åstadkomma cache poisoning. Många parametrar i DNS-paketen lätt förutsägbara dåligt säkerhetstänk vid programmering. Parametrar i DNS-protokollet lätt gissade gammal protokolldesign (= inte programmerarnas fel!). Kan förgifta en cache på enstaka minuter.

klient 129834.bank.com. A? bank resolver se. NS skurk.se. NS www.bank.com. A 10.1.1.1 skurk ns.se. IN A 10.9.8.7 ns.skurk.se. IN A 10.10.9.8

klient resolver 129834.bank.com. A? bank se. NS skurk.se. NS www.bank.com. A 10.1.1.1 skurk ns.se. IN A 10.9.8.7 ns.skurk.se. IN A 10.10.9.8

klient resolver 129834.bank.com. NXDOMAIN!! <NXDOMAIN> bank se. NS skurk.se. NS 129834.bank.com. NXDOMAIN!! www.bank.com. A 10.66.66.66 ns.se. IN A 10.9.8.7 ns.skurk.se. IN A 10.10.9.8 Header Query Answer Authority Additional skurk

klient www.bank.com.? bank resolver se. NS skurk.se. NS www.bank.com. A 10.66.66.66 skurk ns.se. A 10.9.8.7 ns.skurk.se. A 10.10.9.8

klient www.bank.com A 10.66.66.66 bank resolver se. NS skurk.se. NS www.bank.com. A 10.66.66.66 skurk ns.se. A 10.9.8.7 ns.skurk.se. A 10.10.9.8

Skydd DNSSEC Programmakarna har höjt ribban en aning genom att införa mer slump i protokollets parametrar. Detta gör det svårare, men inte omöjligt. Det tar bara lite längre tid eller fler botar. Det enda riktiga skyddet heter DNSSEC.

DNSSEC som PKI DNSSEC kan användas för att distribuera kryptonycklar och certifikat på ett autentiserat sätt. SSHFP (secure finger print) för SSH identifierar datorer när man loggar in med SSH så att man vet att man har kommit till rätt dator. TLSA är en mer generell (nyare) posttyp för användning med TLS (POP, IMAP, LMTP, SMTP) men kan även transportera nyckelinformation och hela certifikat för andra ändamål (t.ex. S/MIME). SPF identifierar vilka datorer en domän skickar mail från, så att man kan identifiera spam som kommer från fel server. Många fler potentiella användningsområden. Ex: Autentisering vid domänregistreringsärenden.

EFTERMIDDAG

BIND OCH AUTOSIGNERING

BIND och validering I BIND 9.9.2 är det mycket enkelt: DNSSEC är påslaget per default. Rotnyckeln installeras i en egen liten fil vid make install. Tänk till runt DLV-nyckeln som också kommer med! Allt som behövs är att slå på validering med automagisk nyckeluppdatering. och att ta emot frågor.

Exempel på named.conf för validerande BIND 9.9.2 options { directory "/etc/domain"; dnssec-validate auto; allow-query { 10.0.0.0/8; }; }; Katalogen pekar ut var filen bind.keys finns och var filen managed-keys.bind (och.jnl) får läggas. Släpp inte in frågor från vem som helst. Extra viktigt när man kör DNSSEC, så att man inte bidrar till DDoS-attacker.

zone "test.liman.se" { type master; file "test.liman.se.zone"; update-policy local; auto-dnssec maintain; };

Auktoritativ server zone "test.liman.se" { type master; file "test.liman.se.zone"; update-policy local; auto-dnssec maintain; }; update-policy behövs, eftersom named använder dyndns för att rotera nycklar i zonen. auto-dnssec säger åt named att sköta hela nyckelruljansen.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss