Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Relevanta dokument
kirei Kvalitetsgranskning DNSSEC Rapport Regionförbundet i Kalmar län Kirei 2012:13 10 januari 2013

IPv6- Inventering. Västkom Västra Götalands Län

DNSSEC. Slutrapport. Kalmar läns kommuner Kalmar län, det grönaste länet!

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

DNSSEC hos.se. Anne-Marie Eklund Löwinder

Det nya Internet DNSSEC

DNSSec. Garanterar ett säkert internet

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

Varför och hur införa IPv6 och DNSSEC?

Slutrapport för projekt finansierat av anslag 2:4 Krisberedskap avseende 2012

Dokumenttyp Riskanalys Område DNSSEC2012. DNSSEC 2012 RISKANALYS Version 0.1. Västervik Ort och datum. Stephen Dorch Analysledare

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Frågor och svar avslutande av.se registrar (last resort)

Brasklapp: REV:s rådgivande verksamhet omfattar egentligen inte något detaljerat IT-stöd, men eftersom många väghållare har behov av att effektivt

Många företag och myndigheter sköter sina betalningar till Plusoch

Slutrapport SKA fas två. Godkänd: Rev: Maj. Rapport SKA 1(8)

Frågor och svar avslutande av.nu registrar (last resort)

Får personer med psykiska funktionshinder ett bra stöd? LÄNSSTYRELSEN KALMAR LÄN INFORMERAR

! " #$%&' ( #$!

DNSSEC Policy (DP) Denna DP gäller gemensamt för:

Användarmanual för Pagero Kryptering

Verkligheten bakom gratis ISP DNS

Wiking Gruppen Wiking Webdesign 24h-webhosting Entreprenor.net

Installation av StruSofts låne-licensserver (nätverkslicens)

Att införa IPv6 internetprotokoll version 6 En praktisk vägledning

Köpguide för mobila växlar. Modern telefoni till företaget är långt ifrån vad det var för bara några år sedan.

Policy för användande av IT

Företagsamheten 2017 Kalmar län

Heartbleed. Lite smått och gott om heartbleedbuggen. Robert Malmgren

SÄKERHETSLÖSNINGAR TJÄNSTEFIERAD SÄKERHET

Varför ska min organisation införa IPv6 och hur kan vi gå till väga

A-pekaren behövs endast om ni vill kunna gå in på er hemsida utan www. Logga in på er IdrottOnline sida och klicka på Domänhantering i topbaren.

Bilaga Vi använder gärna bilder på våra webbsidor, det gör kommunikationen effektivare.

Eftersom det är kring.se vi främst diskuterar är det viktigt att vi kommer ihåg vad IIS är och varför de existerar.

Invånarpanelen: E-tjänster och tillgänglighet till hälsocentraler

Laboration 2 1DV416 Windowsadministraion I

earkiv Kalmar län Slutredovisning av projektet och dess resultat Anki Heimonen, projektledare 1

Felsökningsguide för Windows XP

Norton Internet Security

DNSSEC och säkerheten på Internet

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Välkommen till enkäten!

Anders Berggren, CTO. Säker, betrodd e-post

Internetsäkerhet. banktjänster. September 2007

Lathund Blanketthotell Komma igång

Program för skrivarhantering

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Tekniskt driftdokumentation & krishantering v.1.0

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Företagsklimatet i Hultsfreds kommun 2017

Vi hjälper allt från små företag till stora koncerner att ta hand om och effektivisera de ekonomiska processerna från beställning till betalning.

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Månadsstatistik Arbetsförmedlingen

BESLUT. Datum Regelverk för Region Skånes webbplatser

Rotadministration och serverroller

KVARSTÅENDE SÖKANDE TOTALT ,50% ARBETSLÖSA

Projektplan ansökan om medel

Guide inför ett. storageprojekt. Viktiga överväganden inför lagringskonsolidering

Hur påverkar DNSsec vårt bredband?

Trygghet, service och delaktighet i hemmet genom digital teknik SLUTRAPPORT Version 1

iguide-arbetsflödet kan köras trots att iguide-knappen är inställd på OFF (AV)

Info till IT - dioevidence Nationell uppföljning inom sociala områden

IPv6 - Råd och Rön Myter och skrönor. Torbjörn

Arbetsförmedlingens månadsstatistik år. Symbolen Δ avser procentuell förändring mot motsvarande period föregående år.

Internetdagarna NIC-SE Network Information Centre Sweden AB

Kalendersynkronisering. med Exchange. Vitec Express juli 2014 INSTRUKTIONSMANUAL FRÅN VITEC

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Företagsklimatet i Kalmar kommun 2017

HemsidaExpress. När du vill ha en professionell hemsida snyggt, snabbt och enkelt!

Användarmanual för. Internetbokningen. Version 1.0

Säkerställ er tillgänglighet Kommunikationsrapporteringsverktyg

WEBBPLATSENS TILLGÄNGLIGHET

Energiflödet i Kalmar läns kommuner 2017

Staffan Hagnell FoU-chef..SE (Stiftelsen för Internetinfrastruktur)

Integritetspolicy SwedOffice.se

Mobiltjänster. Vi kan smartphones. den nya mobiltelefonin. Telefon:

Regelförenkling på kommunal nivå. Kalmar län

Vad är DNSSEC? Förstudie beställd av II-stiftelsen

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

Startguide för Administratör Kom igång med Microsoft Office 365

Läs denna sekretesspolicy innan du använder AbbVies webbplatser, eller skickar personlig information till oss.

Manual - Phonera Online Backup

30 år av erfarenhet och branschexperts

SVENSK ADRESSÄNDRINGS INTEGRITETSPOLICY

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

VERSION 3.2 KLIENTMANUAL NETALERT CS

Populärt på internet. 56 Kampanjguide

Projekt Informationssäkerhet

Manual för fjärrinloggning

Utvärdering av distansmötesverktyg via Internet.

Företagsamhetsmätning Kalmar län JOHAN KREICBERGS HÖSTEN 2010

Sjunet robust DNS. Teknisk Beskrivning

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

DNSSEC implementation & test

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID...

Transkript:

Kalmar Län 2013

Innehåll Förord...3 Före och efter...3 Vad är DNS och DNSSEC?...4 Att använda DNSSEC...4 Hindra attacker mot DNS-frågor...4 För välbesökta webb-platser...4 Fördjupande information...4 Projektresultat...5 Teknisk uppsättning...6 Teknik per kommun...6 Fortsatt förvaltning - stabilitet, övervakning, tester...7 Bibehålla stabiliteten...7 DP/DPS...8 DP DNSSEC Policy...8 DPS DNSSEC Policy statement...8

Förord Med Regionförbundet i Kalmar län som uppdragsgivare har Interlan drivit projekt för implementering av DNSSEC. Uppdraget har bestått i att utbilda, implementera och assistera till deltagande parter under införandet. Elva av länets tolv kommuner har varit deltagit i projektet. Alla deltagande kommuner har fått assistans i någon omfattning, förutom Mönsterås som skött sig själva. Vimmerby Kommun ingår i kommunalförbundet IT-sam och de har redan tidigare genomfört motsvarande aktivitet gemensamt inom förbundet. Före och efter Innan projektstart såg statusen på deltagande kommuners DNS:er inte så bra ut. Fyra av kommunerna hade en varning enligt DNSCHECK (http://dnscheck.iis.se). En kommun hade ett fel som kan innebära störningar när någon försöker nå den domänen. Utifrån en hemsida som kontrollerar och grafiskt redovisar status på DNS och DNSSEC hos kommuner (www.kommunermeddnssec.se) så framgår förändringen grafiskt före och efter projektet enligt nedan. Före projektstart Efter projektavslut Tolv kommuner är numera gröna vilket innebär att de är utan varningar och fel och är signerade med DNSSEC!

Vad är DNS och DNSSEC? Något förenklat och kortfattat så gör DNSSEC så att den som besöker en webbplats, eller tar emot ett mejl, verkligen kan vara säker på att webbplatsen eller mejlet kommer från den påstådda avsändaren. En domän blir alltså betydligt säkrare och trovärdigare med DNSSEC. Att använda DNSSEC för sitt domännamn kan därmed ses som en service till de som besöker din sida och nyttjar den information och de tjänster som finns där. Att använda DNSSEC DNSSEC bygger på nycklar och här utökas ansvaret för innehavaren av ett domännamn genom att denna skall administrera, publicera och signera sina DNS-data med dessa DNSSECnycklar. Naturligtvis kan man även låta en teknisk leverantör sköta om detta. Det senare skall dock göras på ett kontrollerat sätt så att domänägaren vet och säkerställer hur nycklarna hanteras och var detta sker. Hindra attacker mot DNS-frågor Med DNSSEC blir det lättare för en Internetanvändare att fastställa att man verkligen kommunicerar med rätt information eller tjänst, snarare än med en bedragare. Därmed minskar risken för att bli lurad vid till exempel bankaffärer eller shopping på nätet. Det är i sammanhanget viktigt att poängtera att DNSSEC inte stoppar alla typer av bedrägerier. Det är endast konstruerat för att förhindra attacker där angriparen manipulerar svar på DNS-frågor för att uppnå sitt mål. För välbesökta webb-platser En målgrupp för DNSSEC är alla som driver välbesökta webbplatser och där det kan finnas ett kommersiellt eller ideologiskt intresse för en angripare att styra över besökarna till sin egen webbplats. För den kategorin av användare är DNSSEC en viktig pusselbit i arbetet med att erbjuda besökarna en trygg och säker internetmiljö. Fördjupande information Börja med att läsa https://www.iis.se/lar-dig-mer/guider/dns-internets-vagvisare/safungerar-dns/ för att få förståelse för vad och hur en DNS är och fungerar. De övriga punkterna ovan är till stor del hämtad från http://www.sedirekt.se/registrera/dnssec/.

Projektresultat Projektet inleddes med en inventering. Alla deltagande kommuners domäner och registrarer inventerades utifrån ett definierat frågeformulär i syfte att se svagheter och brister för nuvarande och framtida önskad teknisk status och leverans. Utifrån inventeringen har mindre åtgärder vidtagits innan projektet övergått i själva införandet. När projektet slutförts så använder alla deltagande kommuner en bra registrar. Med en bra registrar avses en registrar som har ett GUI för att aktivera DNSSEC. Alla utom två kommuner har också spridit sina DNS:er över flera Internetoperatörer. Denna åtgärd ökar redundans och säkerhet. Samtliga kommuner i länet är, i enlighet med vad som finns redovisats tidigare i rapporten, gröna och föredömligt signerade utan fel för DNSSEC. Åtta av kommunerna använder dessutom Interlans DNS-tjänst för kommuner som behöver IPv6 på någon, se www.ipv6dns.se. Projektet får därmed anses genomfört och resultatet till fullo lyckat.

Teknisk uppsättning Av de 10 kommuner vi har haft insyn i och påverkan kring (Vimmerby och Mönsterås vet vi inget om annat än att de är gröna och klara) så använder alla den så kallade Hidden Master modellen. Hidden Master modellen är vedertagen och innebär att en DNS står gömd mot Internet och det är i den alla privata nycklar finns och det är även där som alla förändringar av domänerna sker. Från Hidden Master replikeras sedan alla förändringar till de synliga slavarna som är de DNS:er som är ansvariga för domänen ut mot Internet. hidden master ns.kommunen.se Synlig slav Extern{a} slavar Teknik per kommun En del kommuner valde Windows Server 2012 som teknisk plattform. Efter en del inkörningsproblem med buggar och brister i systemet så har även den plattformen blivit stabil. Att köra på denna plattform kräver dock att man sköter signeringen manuellt/schemalagt en gång per dag, tyvärr kan man inte förlita sig på Windows inbyggda hantering. Kör man däremot på Linux/BIND/ZKT så sköts det hela automatiskt av schemalagda jobb som ser till att omsignering sker enligt det intervall som respektive kommun själv väljer att använda sig av.

Fortsatt förvaltning - stabilitet, övervakning, tester När själva projektet nu slutförts och övergår i förvaltning av funktion så är det viktigaste att övervaka och se till att DNS:erna förblir stabila och att inget oförutsett inträffar med domänerna och DNSSEC. För Mörbylånga och Oskarshamn har det satts upp en egen övervakning för att se till att signeringen fungerar enligt tänkt förfarande. Även andra kommuner lär skall ha satt upp någon form av övervakning men i skrivande stund vet jag inte med närmare säkerhet vilka. Interlan har också på uppdrag av Regionförbundet i Kalmar satt upp övervakning och larmar till Borgholm, Nybro, Västervik om något inträffar. Den övervakningen tittar inte enbart på DNSSEC utan även på andra saker som kan inträffa och störa funktionen indirekt. De övriga nio kommunerna övervakas faktiskt också men de får inte egna larm skickade till sig. Under de sex månader som övervakningen nu skett så har inget större inträffat. Det har skett mindre saker som i det flesta fall rättat till sig själv med automatik. Bibehålla stabiliteten Vi har satt upp Linux/BIND/ZKT-system i sex år och utifrån den erfarenheten så vet vi att det är ett stabilt system. De större fel som inträffat på den plattformen har inte berott på DNSSEC utan på mänsklig faktor i form av inmatningsfel eller att kommunen delegerat sin domän fel hos sin registrar. Windows Server 2012 har vi inte lika mycket erfarenhet av och rekommendationen måste därför bli en starkare och frekventare övervakning. Oavsett plattform så är de viktigaste punkterna för stabiliteten följande: Se till att uppdatera operativsystemen, apt-get upgrade och Windows update Se till att ni vet vem och vilka som kan göra förändringar i DNS:en och att ni helst kan logga det till en extern loggserver där ingen kan ta bort och göra förändringar på loggarna Övervaka funktionaliteten Kör en dnscheck på http://dnscheck.iis.se då och då och se till att allt är grönt. Den programvaran går att hämta hem från https://github.com/dotse/dnscheck och scripta och använda i sin egen övervakning Titta kontinuerligt även på http://kommunermeddnssec.se och se att ni är grön Det är viktigt att kommunernas utpekade IT-tekniker bibehåller kompetensen nu när projektet är inne i skarp drift. Kompetensnivån bland kommunerna är mycket blandad och fortsatta gemensamma träffar där DNS diskuteras och erfarenheter delas är något att tänka på. Kanske även kompletterande utbildning.

DP/DPS DP DNSSEC Policy Denna del är i skrivande stund inte klar för granskning. DPS DNSSEC Policy statement En DPS som varje kommun ska fylla i och deklarera har skapats och kommunerna ska i den deklarera hur deras miljö förhåller sig till DPS:en. Förlagan för DPS:en är rapporten från Kirei Vägledning: DNSSEC för kommuner. I detta dokument så kommenterar vi inte denna rapport närmare. Den är skriven för tekniker som kan och vet hur DNS och DNSSEC ska sättas upp så den ger inte så mycket för en normal ITtekniker. Det skall dock sägas att nämnd rapport är ett bra underlag och en bra guide för den som kan men är lite osäker på vissa parametrar. DPS:en i sig är lite i samma stil och tar inte hänsyn till den blandade kompetens och personalnivå som Sveriges kommuner har. En del kommuner har mycket personal och moderna hjälpmedel och datahallar medan det hos andra kommuner ibland bara är enstaka personer som utgör IT-driften. En del av kraven i DPS:en kan även ligga ovanför ITavdelningens ansvarsområde och då i vissa fall innebära att det till exempel är kommunens säkerhetschef som ska ta besluten om de ska/kan följas eller inte.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss