iis.se Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie Eklund Löwinder, CISO

Relevanta dokument
Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Det nya Internet DNSSEC

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Säkerhet. Beskrivning DNSSEC. Teknisk miljö på.se. Dokumentnummer: Senast sparat: 8 december 2008

DNSSEC implementation & test

Internetdagarna NIC-SE Network Information Centre Sweden AB

System för DNSSECadministration. Examensarbete Alexander Lindqvist Joakim Åhlund KTH

! " #$%&' ( #$!

Vägledning för införande av DNSSEC

DNSSEC-grunder. Rickard Bellgrim [ ]

Varför och hur införa IPv6 och DNSSEC?

DNSSEC hos.se. Anne-Marie Eklund Löwinder

DNSSec. Garanterar ett säkert internet

Modul 3 Föreläsningsinnehåll

DNSSEC Våra erfarenheter

Rotadministration och serverroller

Jakob Schlyter

Microsoft Internet Information Services 7 / 7.5

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

Hur påverkar DNSsec vårt bredband?

Nuläget kring säkerhet och internet

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

OpenDNSSEC. Rickard Bondesson,.SE

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Termer och begrepp. Identifieringstjänst SITHS

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Bakgrund Avgränsningar Begreppsförklaring Kortfattade anvisningar... 2

Termer och begrepp. Identifieringstjänst SITHS

kirei Vägledning: DNSSEC för kommuner Rapport Regionförbundet i Kalmar län Kirei 2013:02 5 april 2013

Identifiering och autentisering. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Dokumentet är publicerat under Creative Common-licens Sverige

OpenDNSSEC. Rickard Bondesson,.SE

DNSSEC och säkerheten på Internet

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Ansökningsanvisning för SUNET TCS-certifikat via SLU CA.

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Säkerhet. Policy DNSSEC. Policy and Practice Statement. Dokumentnummer: Senast sparat: 8 december 2008

Konfigurering av eduroam

DNS Advanced Underleverantör: IP-Solutions

INLOGGNING FASTIGHETSPORTALEN UTAN SMART PHONE (EXTERNA ANVÄNDARE)

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

DNSSEC DET NÄRMAR SIG...

DNSSEC Policy (DP) Denna DP gäller gemensamt för:

Robusthetstester och övervakning av DNS. Internetdagarna Rickard Dahlstrand

Vem äger informationen outsourcad IT och ändrade säkerhetspolitiska förutsättningar

Instruktion för användande av Citrix MetaFrame

SecureCom Card Preparation System

Robust kommunikation, har vi det?

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder

ISO/IEC 20000, marknaden och framtiden

Rubrik. LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i

Probably the best PKI in the world

Krypteringstjänster. Ladok-Inkubatordagar 02-03/4 BTH. Joakim Nyberg ITS Umeå universitet

Identifierad och igenkänd, men sen då? Anne-Marie Eklund Löwinder Kvalitets- och

Digitalisering först till vilket pris?

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

Nåbarhet på nätet - Hälsoläget i.se 2014

INLOGGNING 1 (6) Det finns två sätt att logga in i Privera: Med engångslösenord till mobiltelefon Med engångslösenord till e-post

Byta bort SITHS-cert i frontend

Internetdagarna ICANN i ett nötskal. EU meddelande om ICANN. GAC och. Board of Directors

SUNET TCS. TREFpunkt 21. Kent Engström.

Säker e-kommunikation

E V - C E R T I F I K AT: VA R F Ö R A N V Ä N D A D E N S TA R K A S T E S S L AUTENTISERINGSPROCESS?

Bedrägerier på nätet hur undviker du att bli blåst? Anne-Marie Eklund Löwinder Säkerhetschef,.SE E-post:

SSEK Säkra webbtjänster för affärskritisk kommunikation

Krypteringteknologier. Sidorna ( ) i boken

Hälsoläget i.se 2013 fördjupning i kryptering av trafik på nätet

Momento Silverline. To further protect the environment Momento introduces a new coating for our impact sockets - Momento Silverline

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

Förändrade förväntningar

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

EU s dataskyddsförordning Krav, utmaningar och möjligheter. David Ahlén, Micro Focus Peter Olsson, Karlstads kommun Lars Nikamo, Micro Focus

Small Business Server 2011 SSL certifikat administration

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Internetutveckling. Staffan Hagnell. forsknings- och utvecklingschef.se

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Hälsoläget i.se. DNS och DNSSEC

Kvalitet i DNS. Lars-Johan Liman Autonomica AB OPTO-SUNET, Tammsvik 1. Vad är dålig kvalitet i DNS?

Beställning av certifikat v 2

Ändringar i utfärdande av HCC Funktion

Ändringar i samband med aktivering av. Microsoft Windows Vista

Startguide för Administratör Kom igång med Microsoft Office 365

Nåbarhet på nätet. Hälsoläget i.se 2007

Ökad tillit till Internet genom förbättrad säkerhet i domännamnssystemet

F6 Exchange EC Utbildning AB

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

Slide 4 PKCS#7. XMLDsig

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Rutinbeskrivning för beställning av certifikat

Metoder för sekretess, integritet och autenticering

Bring The Windows 7 Start Menu to Windows 10 with Classic Shell

Transkript:

iis.se Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie Eklund Löwinder, CISO amel@iis.se I @amelsec

Vem är jag? Anne-Marie Eklund Löwinder Chief Information Security Officer, IIS amel@iis.se @amelsec Invald i Internet Hall of Fame Ledamot Kungliga Svenska Ingenjörsvetenskapsakademien (IVA), Avdelning XII, Informationsteknik Styrelseledamot institutet för rättsinformatik, IRI, Stockholms universitet Medlem i MSB:s informationssäkerhetsråd

Kort om Internetstiftelsen i Sverige (IIS) Oberoende allmännyttig stiftelse med två huvudsakliga verksamhetsområden: Ansvar för drift och administration av toppdomänerna.se och.nu Främja utveckling och användning av internet i Sverige Som till exempel: Federationsoperatör för Skolfederation och Sambi Testorganisation för nya gtld:er på internet Bredbandskollen, Webbstjärnan, Internetdagarna, Internetmuseum, Internetstatistik, Internetguider med mera.

We live on trust; we are the trustees for the delegated domain, and have the duty to serve the community. (RFC 1591)

Nya RFC:er publiceras (2005): RFC4033, RFC4034, RFC4035 EMILEGRAPHICS, FLICKR CREATIVE COMMONS

2005 Sverige (.se) inför DNSSEC som den första toppdomänen i världen

Karola Riegler, Flickr CC-BY-ND via Wylio

Key Ceremony # 1

2010 Juni Första nyckelceremonin i Culpeper, Virginia Juli Ceremoni #2 i Los Angeles, Kalifornien Nyckelmaterial från ceremony #1 kopieras och lagras Q4/2010 KSR hanterad Den signerade rotzonen publicerades i DNS av VeriSign Tillitsankare för rotzonen publiceras av IANA

Första Root DNSSEC Design Team Joe Abley Mehmet Akcin David Blacka David Conrad Richard Lamb Matt Larson Fredrik Ljunggren Dave Knight Tomofumi Okubo Jakob Schlyter Duane Wessels

Hantering av DNSSEC i rotzonen ICANN (IANA sköter operativ drift) Kontrollerar nyckelsigneringsnyckeln (KSK), samma nyckel sedan starten 2010 KSK signerar varje kvartal zonsigneringsnyckel i en nyckelceremoni Verifierar och genomför ändringsärenden Verisign (distribuerar den signerade rotzonen) Hanterar zonsigneringsnyckeln som byts ut varje kvartal Skedde tidigare i enlighet med överenskommelse med US Department of Commerce NTIA, nu är det helt på ICANN:s ansvar

Nyckelgenerering och signeringsprocess av KSK för rotzonen De vägledande principerna bakom den övergripande designen är att resultatet måste vara trovärdigt och pålitligt vid varje tidpunkt

Revision och uppföljning Processer och rutiner ska revideras mot standarder som till exempel ISO/IEC 27002:2013, Information technology -- Security techniques -- Code of practice for information security controls

Hög säkerhetsnivå Systemen för rotzonen ska möta alla relevanta tekniska säkerhetskontroller enligt NIST SP 800-53 som krävs för HIGH IMPACT system

Engagemang från internetkollektivet Trovärdiga representanter från internetsamfundet har bjudits in och har en aktiv roll i nyckelhanteringsprocessen

iis.se

iis.se

Ansats för att skydda KSK

El Segundo, Los Angeles, CA iis.se

Terramark Data Center, Culpeper, VA

iis.se

Fysisk säkerhet

Fysiska säkerhetskontroller Två i förening Separation av arbetsuppgifter Extern övervakning Kameraövervakning Rörelse-, seismiska och andra sensorer och mycket mer

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

iis.se

ICANN-roller vid KSK-ceremonierna Ceremonimästare (CA) är den ICANN-medarbetare som leder ceremonin via skriptet Interna vittnen (IW) är ICANN-medarbetare som observerar och spelar in ceremonin och eventuella avvikelser Systemadministratör (SA) är teknikmedarbetare som ansvarar för IT-miljön Kassaskåpskontrollanter (Safe Security Controllers (SSC)) är medarbetare som hanterar kassaskåpen (öppnar och stänger)

DPS DNSSEC Säkerhetsdeklaration Beskriver processer och rutiner som har införts för signering respektive distribution av zonfilen generera, hantera, byta och distribuera DNS-nycklar i enlighet med fastställda krav Jämförbart med certificate practice statement (CPS) från en utfärdare (certification authority (CA)) av X.509-certifikat Följer strukturen i RFC 6841 https://tools.ietf.org/html/rfc6841

Spårbarhet och transparens Tredjepartsrevisorer granskar att ICANN agerar i enlighet med DPS Andra externa vittnen har också möjlighet att delta vid nyckelceremonierna En Systrust-granskning och -certifiering genomförs varje år sedan 2010 ICANN is committed to ensuring the security and stability of the Internet's unique identifier systems. As the DNSSEC Root Zone Key Signing Key (RZ KSK) manager, we are pleased to announce that ICANN's RZ KSK System has achieved SysTrust certification an audit by the international accounting firm, PricewaterhouseCoopers, LLP (PwC) to ensure we have appropriate internal controls in place to meet the availability, processing integrity and security objectives for our RZ KSK System.

Trusted Community Representatives (TCR) Aktiva roller i hanteringen av nyckelsigneringsnyckeln (KSK): Crypto Officers vars uppgift är att aktivera KSK Recovery Key Share Holders vars uppgift är att skydda delar av den symmetriska nyckel som använts för att kryptera en säkerhetskopia av KSK

Crypto Officer (CO) Har fysiska nycklar till säkerhetsboxar som innehåller smarta kort som används för att aktivera HSM ICANN kan inte generera en ny KSK eller signera ZSK:er utan närvaro från 3 av 7 CO Måste kunna resa till USA två gånger per år (per sajt)

Recovery Key Share Holder (RKSH) Har smarta kort som innehåller delar (M-of-N) av den nyckel som används för att kryptera KSK:n som lagras i HSM. 5 av 7 RKSH-kort tillsammans med ett smart kort med den krypterade KSK:n kan rekonstruera KSK:n i en ny HSM Det smarta kortet med den krypterade säkerhetskopian av KSK hanteras av ICANN. Måste kunna resa med kort framförhållning. Förhoppningsvis aldrig. Årlig inventering.

Community Representatives CO Alain Aina, BJ Nicolas Antoniello, UY Fabian Arbogast, TZ Anne-Marie Eklund Löwinder, SE Christopher Griffiths, US Frederico Neves, BR Gaurab Upadhaya, NP Olaf Kolkman, NL Robert Seastrom, US Vinton Cerf, US Andy Linton, NZ Carlos Martinez, UY Dmitry Burkov, RU Edward Lewis, US João Luis Silva Damas, PT Masato Minda, JP Ólafur Guðmundsson, IS Subramanian Moonesamy, MU CO Backup Christopher Griffiths, US Fabian Arbogast, TZ John Curran, US Nicolas Antoniello, UY Rudolph Daniel, UK Sarmad Hussain, PK Ólafur Guðmundsson, IS RKSH Bevil Wooding, TT Dan Kaminsky, US Jiankang Yao, CN Moussa Guebre, BF Norm Ritchie, CA Ondřej Surý, CZ Paul Kane, UK (5 BKP)

iis.se

Jag har INTE nyckeln till Internet!

Typer av nyckelceremonier Nyckelgenerering Generering av ny KSK Hantering av begäran om signering av ZSK (ZSK Signing Request (KSR)) Signering av ZSK för nästa kvartal Sker kvartalsvis Ömsom på västkusten, ömsom på östkusten

Tillitsankare för rotzonen Publiceras av ICANN på en webbplats som: XML-kodad och textformaterad DS-post För att underlätta automatisk hantering Signeringsbegäran av PKCS #10-certifikat (CSR) Som självsignerad publik nyckel

DNSSEC är idag en standardprocess

Nya aktiviteter ZSK ökade i storlek (1 oktober 2016) Planerades för att ske före Byte av KSK (nyckelrullning) Separata med ändå koordinerade aktiviteter iis.se

Viktiga datum! Nyckelceremonier Q4 2016 (oktober): generera ny KSK Q1 2017 (februari): KSK operationellt färdig Ändringar i DNS Ny KSK i rotzonen juli 2017 Ny KSK signerar DKSKEY RRset med början oktober 2017 Nuvarande KSK revokeras januari 2018 iis.se

Ceremoni # XXVII En ny KSK genererades vid den ceremonin baserad på ICANNs noggranna planering Ceremonidatum: 27 oktober 2016 Plats: ICANN Key Management Facility in Culpeper, VA, USA Alla detaljer om ceremonin och videoinspelning finns tillgänglig på https://www.iana.org/dnssec/ceremonies/27

Det går åt tonvis med pop corn.! https://www.iana.org/dnssec/ceremonies

iis.se

Varför byter man KSK i rotzonen? Primärt: beredskap och övning KSK har inget bäst före-datum Inga kända svagheter Ingen nyckel ska leva för evigt: det är dålig krypteringspraxis Fördel att öva processer och rutiner för nyckelrullning under normala och kontrollerade förhållanden Till skillnad mot onormala förhållanden, som när en nyckel röjts Stor utmaning Involverar oräkneliga deltagare Ingen testmiljö kan täcka alla möjliga fall iis.se

Byte av tillitsankare Tillitsankare konfigureras in direkt i validerare för DNSSEC OM automatiska uppdateringar av tillitsankare för DNSSEC (RFC 5011) är påslaget och fungerar så sker nyckelrullningen med automatik Annars krävs någon form av manuell hantering Lägg till den nya KSK:n före den 11 oktober 2017 (förutsatt att allt följer planen) Ta bort den gamla KSK:n vid ett senare tillfälle iis.se

Mer information om nyckelrullningen för rotzonen Mejllista: https://mm.icann.org/listinfo/ksk-rollover Följ ICANN på Twitter @ICANN Hashtag: #KeyRoll Webbplats: https://www.icann.org/kskroll iis.se

Användbara verktyg för DNSSEC Testa implementationen DNSSEC Analyzer från Verisign Labs DNSViz A DNS Visualization Tool från Sandia National Laboratories Använda DNSSEC i lokala system DNSSEC-Trigger lokal DNSSEC resolver för Windows, Mac OS X eller Linux DNSSEC Validator Add-on for Firefox DNSSEC Validator Extension for Google Chrome Verktyg för att sätta upp egna namnservrar OpenDNSSEC project DNSSEC-Tools project Verktyg för att testa DANE implementationer NIST s TLSA test tool DANE SMTP Validator iis.se

Kan jag kontrollera om en domän är signerad? Jajamensan! https://dnssec-name-and-shame.com/ http://zonemaster.se/

Aktuell statistik för toppdomäner med DNSSEC (2017-03-03, 16:20) Totalt 1 530 toppdomäner i rotzonen 1 385 TLD:er är signerade med DNSSEC 1 375 TLD:er har sina tillitsankare publicerade som DS-poster i rotzonen http://stats.research.icann.org/dns/tld_report/

Färsk statistik http://www.internetsociety.org/deploy360/dnssec/ iis.se

DNSSEC tillväxt i.se https://www.iis.se/domaner/statistik/tillvaxt/?chart=per-type iis.se

Andel resolvrar som validerar signaturer (per land) TLD Land Validerar DNSSEC Antal domäner SE Sweden, Northern Europe, Europe 82.97% 3 290 068 NO DK Norway, Northern Europe, Europe Denmark, Northern Europe, Europé 71,53% 1 455 481 53,48% 1 968 279 FI Finland, Northern Europe, Europé Källa: https://stats.labs.apnic.net/dnssec/xa 5,82% 922 177

Att införa DNSSEC har ett pris Det kan vara potentiellt dödligt för online-existensen om man gör fel Kräver mer uppmärksamhet och mer kunskap, framför allt för felsökning

iis.se

Kortsiktiga fördelar? Alltså som i JUST NU? I princip alla svenska internetoperatörer validerar dnssec-signaturer för sina kunder Om det hanteras korrekt skapar DNSSEC-signerade zoner högre säkerhet genom att förhindra mannen-imitten-attacker och cache-förgiftning

Långsiktiga fördelar Mer robust och mer pålitlig internetinfrastruktur Inga fler lögner i DNS Vi drar nytta av tillitstjänster som bygger på DNS Här hjälper DNSSEC. Nu när vi kan verifiera svar från en DNS-server kan vi också säkert lagra publika nycklar i DNSposter

iis.se

Och så några ord om lösenord. iis.se

Lösenordsparadoxen: Du vet att det är dåligt men du gör det i alla fall iis.se

Brukar du byta lösenord? iis.se

Vilka lösenord är vanligast? År password password 123456 123456 123456 123456 password password 12345678 12345678 12345 12345678 abc123 abc123 12345678 qwerty qwerty qwerty qwerty 12345 monkey monkey 123456789 123456789 letmein letmein 1234 football dragon dragon baseball 1234 111111 111111 dragon 1234567 baseball baseball football baseball

Dåliga lösenord Alldeles för många använder samma Det är enkelt att gissa för någon som känner dig Det är för kort och därmed enkelt att gå igenom alla kombinationer iis.se

Lösenord ska vara Unika per inloggning Långa (10 tkn eller fler) Komplexa Ovanliga (undvik de 1000 vanligaste) iis.se

Spara helst inte lösenord i webbläsare Använd en lösenordshanterare! iis.se

Är ditt lösenord röjt? iis.se

Tack så mycket! Frågestund? @amelsec amel@iis.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss