DNSSEC implementation & test

Relevanta dokument
System för DNSSECadministration. Examensarbete Alexander Lindqvist Joakim Åhlund KTH

Internetdagarna NIC-SE Network Information Centre Sweden AB

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Varför och hur införa IPv6 och DNSSEC?

! " #$%&' ( #$!

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

DNSSec. Garanterar ett säkert internet

DNSSEC-grunder. Rickard Bellgrim [ ]

Säkerhet. Beskrivning DNSSEC. Teknisk miljö på.se. Dokumentnummer: Senast sparat: 8 december 2008

Det nya Internet DNSSEC

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Vägledning för införande av DNSSEC

OpenDNSSEC. Rickard Bondesson,.SE

Hur påverkar DNSsec vårt bredband?

OpenDNSSEC. Rickard Bondesson,.SE

DNSSEC DET NÄRMAR SIG...

DNSSEC Våra erfarenheter

Jakob Schlyter

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Microsoft Internet Information Services 7 / 7.5

Startguide för Administratör Kom igång med Microsoft Office 365

DNS Advanced Underleverantör: IP-Solutions

Ändringar i samband med aktivering av. Microsoft Windows Vista

DNS. Linuxadministration I 1DV417

Robusthetstester och övervakning av DNS. Internetdagarna Rickard Dahlstrand

Small Business Server 2011 SSL certifikat administration

DNSSEC hos.se. Anne-Marie Eklund Löwinder

Sjunet robust DNS. Teknisk Beskrivning

Termer och begrepp. Identifieringstjänst SITHS

Modul 3 Föreläsningsinnehåll

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

Kvalitet i DNS. Lars-Johan Liman Autonomica AB OPTO-SUNET, Tammsvik 1. Vad är dålig kvalitet i DNS?

Säkerhet. Policy DNSSEC. Policy and Practice Statement. Dokumentnummer: Senast sparat: 8 december 2008

Systemkrav och tekniska förutsättningar

Ökad tillit till Internet genom förbättrad säkerhet i domännamnssystemet

Termer och begrepp. Identifieringstjänst SITHS

Kundverifiering av SPs digitala signaturer

kirei Vägledning: DNSSEC för kommuner Rapport Regionförbundet i Kalmar län Kirei 2013:02 5 april 2013

Avancerad DNS - Laborationer

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

Byta bort SITHS-cert i frontend

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

9.4.0 W i n T i. Nyheter version 9.4.0

Telia Centrex Avancerad Svarsgrupp - administratörswebb. Handbok

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

E-legitimationsdagen. Metadata Underskriftstjänst Praktisk implementering och demo. Stefan Santesson

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

DNSSEC och säkerheten på Internet

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Oövervakade, tysta och administrativa installationer av RIB Huvudprogram

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

Hälsoläget i.se. DNS och DNSSEC

Net id OEM Användarhandbok för Windows

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Användarbeskrivning för Metadatatjänsten

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

DNSSEC Policy (DP) Denna DP gäller gemensamt för:

Utvärdering Kravspecifikation

Arbetsgivardeklaration via Öppet API

Active Directory Self-Service Bundle

Säker e-kommunikation

Region Skåne Granskning av IT-kontroller

CTM Release Notes 7.5.4

iis.se Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie Eklund Löwinder, CISO

Testning av Sambi. Testplan. Version PA5. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Tips: Titta på relevanta genomgångar på webbplatsen

Konfigurationer Videooch distansmöte Bilaga till Tekniska anvisningar

Laboration 4 Rekognosering och nätverksattacker

Säkerhetsbrister & intrång

progecad NLM Användarhandledning

Integration mot SPOR. Svenskt PeriOperativt Register 3.0

Krypteringteknologier. Sidorna ( ) i boken

Förutsättningar för övningar och praktiska prov avseende drift av Internet i Sverige oberoende av funktioner utomlands

Installationsguide fo r CRM-certifikat

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Linuxadministration I 1DV417 - Laboration 7 SSH-magi och systemtrolleri. Marcus Wilhelmsson 6 mars 2013

Avancerad SSL-programmering III

En övergripande bild av SITHS

Storegate Pro Backup. Innehåll

Telia Centrex IP Administratörswebb Handbok

Telia Centrex IP Administratörswebb. Handbok

Frobbit AB

Bakgrund Avgränsningar Begreppsförklaring Kortfattade anvisningar... 2

Utkast/Version (8) Användarhandledning - inrapportering maskin-till-maskin

DIGITAL DOKUMENTDISTRIBUTION EFFEKTIVA LÖSNINGAR FÖR ETT OPTIMALT DOKUMENTFLÖDE SHARP DOCUMENT SOLUTIONS

Manual Komma igång med Softphone-klient

ASSA CLIQ Web Manager

Bilaga Personsäkerhet Tillgänglighet till olika grupper av personer

Instruktion för integration mot CAS

IP-adresser, DNS och BIND

Net id Användarhandbok Windows. Version 1.2

Översikt. Installation av EasyPHP 1. Ladda ner från Jag använder Release Installera EasyPHP.

Hur ställer jag kraven

Transkript:

DNSSEC implementation & test Internetdagarna 2006

Uppdrag till Netlight från PTS Testa följande Implementation av DNSSEC Zonsignering och lokal aktivering (i master) Förtroendekedja från.se Aktivering i resolver Administration och funktionalitet Zon-ägaren Resolver Slutanvändare

Implementationsförfarande DNSSEC Internetdagarna 2006 Säker DNS 1. Säkerställande av namnserver-version 2. Lokal signering av zon 3. Införskaffande av klientcertifikat 4. Registrering av certifikat i KEYMAN (https://keyman.nic.se/) 5. Undertecknande av testavtal till.se 6. Avvakta verifiering och godkännande av certifikat från.se 7. Aktivera förtroendekedja från.se

Implementation DNSSEC, steg 1 Säkerställande av namnserver-version BIND 9.3.x eller senare: full funktionalitet Microsoft DNS mycket begränsad funktionalitet Ej signera eller verifiera zon-information Ej agera säkerhetsmedveten resolver (validera DNSSEC records) = ej användbart i detta sammanhang

Implementation DNSSEC, steg 2 Lokal signering av zon Aktivera DNSSEC, genom dnssec-enable yes i named.conf Generera nyckelpar (dnssec-keygen) Zone-signing key (ZSK) Key-signing key (KSK) Signera zon (dnssec-signzone) Konfigurera named.conf att läsa in den signerade zon-filen Fungerar mycket bra Grafiska verktyg finns, men även lätt vid manuell process

Implementation DNSSEC, steg 3-6 Internetdagarna 2006 Säker DNS Registrering hos.se Klientcertifikat (e-legitimation) krävs Uppladdning av certifikat till KEYMAN Koppling av certifikat mot domän Testavtal och godkännande av detta Aktivering av domän-administration Bra dokumentation och presentation! http://dnssec.iis.se/ Processen tog ca en vecka

Implementation DNSSEC, steg 7 Internetdagarna 2006 Säker DNS Aktivering av förtroendekedja från.se - KEYMAN

Implementation DNSSEC, steg 7 Internetdagarna 2006 Säker DNS KEYMAN (https://keyman.nic.se/) Enkel administration av förtroendekedja Automatisk inhämtning/verifiering av nyckel-information från zonfil

Administration DNSSEC, 1/2 Två tillägg till normal DNS-administration: Omsignering av zonen Vid uppdatering av zoninformation Då RRSIG går ut (ca 30 dagar) Byte av nycklar ZSK: förpubliceringsmetoden KSK: dubbelsignatursmetoden

Administration DNSSEC, 2/2 Omsignering av zoninformation Mycket lätt och snabbt Går att automatisera ganska lätt Byte av nycklar Fler-stegs-process Administration både på namnserver och i KEYMAN Kräver god ordning och dokumentation dock ej svårt Dagens grafiska verktyg saknar stöd för detta

Testutförande, 1/2 Testmiljö Master-DNS för zon nl.dnssectest.se (BIND 9.3.x) Epost- och webbserver för nl-dnssectest.se DNSSEC-medvetna resolvers (BIND 9.3.x + MS DNS) I alla testfall testades två saker: Access till en på servern liggande webbsida, http://www.nl-dnssectest.se/ Att skicka e-post till test@nl-dnssectest.se I alla testfall kontrollerades följande saker: Resultatet för användaren, dvs. kom vi fram till rätt webbsida och kom e-posten fram? Loggutskrift på resolver-dns Loggutskrift på master-dns

Testutförande, 2/2 Tre scenarion Utan förtroendekedja från.se till nl-dnssectest.se Med förtroendekedja från.se till nl-dnssectest.se Byte av nycklar (med förtroendekedja) Testvariabler (där användbart) Trusted keys inlagda i named.conf på resolver: Inga trusted keys korrekt.se nyckel felaktig.se nyckel korrekt nl-dnssectest.se nyckel felaktig nl-dnssectest.se nyckel Övriga variabler: cache/no-cache i resolver dnssec-must-be-secure på/av för domän nl-dnssectest.se i resolver hackat zon-record i nl-dnssectest.se master-dns ersätt IP med den för www.pts.se felaktig nyckel till nl-dnssectest.se hos.se helt ny zonsignering key rollover korrekt, men ny, nyckel till nl-dnssectest.se hos.se

Testresultat Dålig kommunikation till slutanvändaren Hantering av cache och loggning oklar Man är alltid beroende av att den som frågar använder DNSSEC Felaktiga/utdaterade nycklar ger stora konsekvenser Felaktig nyckel till.se hos resolver gör alla.se-domäner otillgängliga Ett par specialfall gav oväntat resultat = god koll på administration av nycklar krävs hos 3:e part (resolver) som vill använda DNSSEC

Slutsats DNSSEC är enkelt att implementera och, för den som är van DNS-administratör, hyfsat enkel att administrera KEYMAN bra verkyg för administration av förtroendekedja från.se God information på http://dnssec.iis.se/ BIND 9.3.x eller likvärdig krävs Automatiserade verktyg för administration behövs dock Avsaknad av fullt stöd i Microsoft DNS ett avbräck Informationen kring DNSSEC och de effekter som uppstår vid ett felaktigt DNSSECsvar obefintliga för både slutanvändaren och administratören av DNS-beroende applikationer (t.ex. e-post) DNSSEC känns därför i dagsläget enbart praktiskt användbar för de aktörer som är verksamma på de högre nivåerna i DNS-hierarkin, t.ex. toppdomäner och ISP:er.

Hela rapporten: http://www.pts.se/ Frågor kring implementation och test: Henrik Olofsson, Netlight Consulting AB henrik.olofsson@netlight.se 0735-418111

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss