DNSSEC - Grunderna. Patrik Wallström,

Relevanta dokument
DNSSEC-grunder. Rickard Bellgrim [ ]

DNSSec. Garanterar ett säkert internet

System för DNSSECadministration. Examensarbete Alexander Lindqvist Joakim Åhlund KTH

DNSSEC implementation & test

Vad är DNS? DNS. Vad är DNS? (forts.) Vad är DNS utåt? Vad är DNS internt? Vad är DNS internt? (forts.)

Vägledning för införande av DNSSEC

Hälsoläget i.se. DNS och DNSSEC

DNS. Måns Nilsson

Internetdagarna NIC-SE Network Information Centre Sweden AB

Tilläggs dokumentation 4069 Dns

DNSSEC och säkerheten på Internet

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

DNS Advanced Underleverantör: IP-Solutions

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

DNSSEC. Tester av routrar för hemmabruk. Joakim Åhlund & Patrik Wallström, Februari 2008

Jakob Schlyter

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

! " #$%&' ( #$!

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Säkerhet. Beskrivning DNSSEC. Teknisk miljö på.se. Dokumentnummer: Senast sparat: 8 december 2008

DNS-test. Patrik Fältström. Ulf Vedenbrant.

DNS. Måns Nilsson, KTHNOC/SUNET 16 september 2005

Robusthetstester och övervakning av DNS. Internetdagarna Rickard Dahlstrand

Krypteringteknologier. Sidorna ( ) i boken

Det nya Internet DNSSEC

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

kirei Vägledning: DNSSEC för kommuner Rapport Regionförbundet i Kalmar län Kirei 2013:02 5 april 2013

Avancerad DNS - Laborationer

DNSSEC DET NÄRMAR SIG...

DNS. Linuxadministration I 1DV417

Domain Name System DNS

DNS och IPv6 vänner eller fiender?

256bit Security AB Offentligt dokument

Säkerhet. Policy DNSSEC. Policy and Practice Statement. Dokumentnummer: Senast sparat: 8 december 2008

Varför och hur införa IPv6 och DNSSEC?

Kvalitet i DNS. Lars-Johan Liman Autonomica AB OPTO-SUNET, Tammsvik 1. Vad är dålig kvalitet i DNS?

Föreläsning 9 Transportprotokoll UDP TCP

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Hur påverkar DNSsec vårt bredband?

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

Rotadministration och serverroller

OpenDNSSEC. Rickard Bondesson,.SE

Metoder för sekretess, integritet och autenticering

OpenDNSSEC. Rickard Bondesson,.SE

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

Föreläsning 6 Mål. Mänskor och IP adresser. Domain Name System (1/3) Numeriska adresser används i Internet

Försättsblad till skriftlig tentamen vid Linköpings Universitet

DNSSEC Policy (DP) Denna DP gäller gemensamt för:

... historia... I begynnelsen var ARPANET:

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

En övergripande bild av SITHS

1 Introduktion Detta dokument Förkortningar och ordförklaringar... 3

Modul 3 Föreläsningsinnehåll

Grundfrågor för kryptosystem

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Introduktion till protokoll för nätverkssäkerhet

Datasäkerhet. Petter Ericson

Avancerad SSL-programmering III

Grundläggande krypto och kryptering

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

SSL/TLS-protokollet och

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Föreläsning 7. DD2390 Internetprogrammering 6 hp

Tildatenta Lösningsskiss

Kryptering. Krypteringsmetoder

DNSSEC en säkerhetsförbättring av DNS -en studie om Svenska kommuners syn på DNSSEC

Blockkedjeteknikens fördelar och framtidens utmaningar I datahantering. Andreas de Blanche

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

DIG IN TO Nätverksteknologier

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

IP-adresser, DNS och BIND

Anders Berggren, CTO. Säker, betrodd e-post

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Säker e-kommunikation

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

Nåbarhet på nätet. Hälsoläget i.se 2007

Vad man vill kunna göra. Lagra och skicka krypterad information Säkerställa att information inte manipuleras Signera sådant som man står för

Specifikation av CA-certifikat för SITHS

Hälsoläget i.se 2009

Protokollbeskrivning av OKI

1 Exempel på att kontrollera XML-signatur manuellt

Rekommendationer för införande av DNSSEC i kommuner och motsvarande verksamheter DNSSEC DNS

Keywords: anonymous p2p, networking, p2p implementations, peer-to-peer.

Systemkrav och tekniska förutsättningar

SSEK Säkra webbtjänster för affärskritisk kommunikation

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Försöksnomineringssystem 2013

iis.se Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie Eklund Löwinder, CISO

Föreläsning 10. Grundbegrepp (1/5) Grundbegrepp (2/5) Datasäkerhet. olika former av säkerhet. Hot (threat) Svaghet (vulnerability)

Manual för Fristående system för temperatur och luftfuktighetsmätning

Ändringar i utfärdande av HCC Funktion

Probably the best PKI in the world

Planering och RA/DHCPv6 i detalj

Transkript:

DNSSEC - Grunderna Patrik Wallström, R&D @.SE

DNS-hierarkin

DNS-hierarkin. (root)

DNS-hierarkin. NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. IN A. NS 192.203.230.10 D.ROOT-SERVERS.NET.. NS A.ROOT-SERVERS.NET.. NS C.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. IN A 128.8.10.90 A.ROOT-SERVERS.NET. IN C.ROOT-SERVERS.NET. A 198.41.0.4 IN A 192.33.4.12 A.ROOT-SERVERS.NET IN AAAA 2001:503:ba3e::2:30. NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. IN A 192.228.79.201. (root)

DNS-hierarkin. NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. IN A. NS 192.203.230.10 D.ROOT-SERVERS.NET.. NS A.ROOT-SERVERS.NET.. NS C.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. IN A 128.8.10.90 A.ROOT-SERVERS.NET. IN C.ROOT-SERVERS.NET. A 198.41.0.4 IN A 192.33.4.12 A.ROOT-SERVERS.NET IN AAAA 2001:503:ba3e::2:30. NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. IN A 192.228.79.201. (root) org. NS a0.org.afilias-nst.org. a0.org.afilias-nst.info. NS b0.org.afilias-nst.org. IN A 199.19.56.1 b0.org.afilias-nst.org. IN A 199.19.54.1 se. NS b.ns.se. b.ns.se. se. NS IN a.ns.se. A 192.36.133.107 a.ns.se. IN A 192.36.144.107.net.com.org.se.no

DNS-hierarkin. NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. IN A. NS 192.203.230.10 D.ROOT-SERVERS.NET.. NS A.ROOT-SERVERS.NET.. NS C.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. IN A 128.8.10.90 A.ROOT-SERVERS.NET. IN C.ROOT-SERVERS.NET. A 198.41.0.4 IN A 192.33.4.12 A.ROOT-SERVERS.NET IN AAAA 2001:503:ba3e::2:30. NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. IN A 192.228.79.201. (root) org. NS a0.org.afilias-nst.org. a0.org.afilias-nst.info. NS b0.org.afilias-nst.org. IN A 199.19.56.1 b0.org.afilias-nst.org. IN A 199.19.54.1 se. NS b.ns.se. b.ns.se. se. NS IN a.ns.se. A 192.36.133.107 a.ns.se. IN A 192.36.144.107.net.com.org.se.no iana.org. NS a.iana-servers.net. a.iana-servers.net. iana.org. NS ns.icann.org. IN A 192.0.34.43 ns.icann.org. IN A 92.0.34.126 iis.se. NS ns2.nic.se. ns2.nic.se. iis.se. NS IN ns.nic.se. A 194.17.45.54 ns.nic.se. IN A 212.247.7.228 iana.org iis.se

DNS-hierarkin. NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. IN A. NS 192.203.230.10 D.ROOT-SERVERS.NET.. NS A.ROOT-SERVERS.NET.. NS C.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. IN A 128.8.10.90 A.ROOT-SERVERS.NET. IN C.ROOT-SERVERS.NET. A 198.41.0.4 IN A 192.33.4.12 A.ROOT-SERVERS.NET IN AAAA 2001:503:ba3e::2:30. NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. IN A 192.228.79.201. (root) org. NS a0.org.afilias-nst.org. a0.org.afilias-nst.info. NS b0.org.afilias-nst.org. IN A 199.19.56.1 b0.org.afilias-nst.org. IN A 199.19.54.1 se. NS b.ns.se. b.ns.se. se. NS IN a.ns.se. A 192.36.133.107 a.ns.se. IN A 192.36.144.107.net.com.org.se.no iana.org. NS a.iana-servers.net. a.iana-servers.net. iana.org. NS ns.icann.org. IN A 192.0.34.43 ns.icann.org. IN A 92.0.34.126 iis.se. NS ns2.nic.se. ns2.nic.se. iis.se. NS IN ns.nic.se. A 194.17.45.54 ns.nic.se. IN A 212.247.7.228 iana.org www.iana.org. IN A 208.77.188.193 www.iana.org. IN AAAA 2620:0:2d0:1::193 iis.se www.iis.se. IN A 212.247.7.220

. (root)

. (root)

. (root) Totalt 168 servrar

. (root) Totalt 168 servrar VeriSign USC-ISI Cogent UMD NASA-ARC ISC DOD-NIC ARL Autonomica RIPE ICANN WIDE

. (root) Totalt 168 servrar VeriSign USC-ISI Cogent UMD NASA-ARC ISC DOD-NIC ARL Autonomica RIPE ICANN WIDE http://www.internic.net/zones/named.root

.SE

.SE

.SE Ca 150 namnservrar 4 Operatörer 3 Anycast-kluster

Slå upp i DNS. (root).com.org.se Cacheing resolver Klientdator iis.se iana.org

Slå upp i DNS DHCP server. (root).com.org.se Cacheing resolver Klientdator iis.se iana.org

Slå upp i DNS DHCP server. (root).com Cacheing resolver Klientdator.org.se 1 iis.se iana.org

Slå upp i DNS DHCP server. (root) 2.com Cacheing resolver Klientdator.org.se 1 iis.se iana.org

Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org.se 1 iis.se iana.org

Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 iis.se iana.org

Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 5 fråga ns.nic.se! iis.se iana.org

Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 5 fråga ns.nic.se! 6 iis.se iana.org

Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 5 fråga ns.nic.se! iis.se 6 7 www.iis.se fråga adress 212.247.7.210 iana.org

Slå upp i DNS DHCP server. (root) 2.com fråga a.ns.se! 3 Cacheing resolver Klientdator.org 1.se 4 5 fråga ns.nic.se! 8 www.iis.se har adressen 212.247.7.210 iis.se 6 7 www.iis.se fråga adress 212.247.7.210 iana.org

Blanda in krypto i mixen Assymetriska krypton: Assymetriska nyckalpar har en publik och privat del Skydda den privata nyckeln Publicera den publika nyckeln KSK: Nyckelsigneringsnyckeln - Vad man litar på Signerar Zonsigneringsnyckeln, ZSK ZSK: Zonsigneringsnyckeln Skapar signaturer av poster i zonen - RRSIG

DNSKEY och RRSIG KSK ZSK iis.se. IN DNSKEY 257 3 5 weaacq5uqe5vibnyvsngu20panweak2qxflgvuvqhzqabqv4sidaqs LNVHF61lcxe504jhPmjeQ656X6tdHpRz1DdPOukcIITjIRoJHqSXXyL6gUluZoDUK6vpxkGJx5m5n4boRTKCT UAR9rw2+IQRRTtb6nBwsC3pmf9IlJQjQMb1cQTb0UO7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMwQ4H9iK E9FhqPeIpzU9dnXGtJZCx9tWSZ9VsSLWBJtUwoE6ZfIoF1ioq qxfgl9jv1/6gkdxo3pmn2edhkp8aqoo/r +mrjyi0ve8jbxvhz12151dy wusxbgjalxk= iis.se. IN DNSKEY 256 3 5 AwEAAdancK9+0Il/tuXCBylBiUpNq4RGzDE2uQ6+nb6Un0myCJFzaN3 bzsmjau5xlt6vnaffzkrnkanu06j2zyjrbqucyfleq69gikobnsha46h 7uUDqM32KEL+KflIlQvFpXW2/ r835mp9+dtlsa860kf1n2ye/77i9qtc gbez5okf

DNSKEY och RRSIG KSK ZSK iis.se. IN DNSKEY 257 3 5 weaacq5uqe5vibnyvsngu20panweak2qxflgvuvqhzqabqv4sidaqs LNVHF61lcxe504jhPmjeQ656X6tdHpRz1DdPOukcIITjIRoJHqSXXyL6gUluZoDUK6vpxkGJx5m5n4boRTKCT UAR9rw2+IQRRTtb6nBwsC3pmf9IlJQjQMb1cQTb0UO7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMwQ4H9iK E9FhqPeIpzU9dnXGtJZCx9tWSZ9VsSLWBJtUwoE6ZfIoF1ioq qxfgl9jv1/6gkdxo3pmn2edhkp8aqoo/r +mrjyi0ve8jbxvhz12151dy wusxbgjalxk= iis.se. IN DNSKEY 256 3 5 AwEAAdancK9+0Il/tuXCBylBiUpNq4RGzDE2uQ6+nb6Un0myCJFzaN3 bzsmjau5xlt6vnaffzkrnkanu06j2zyjrbqucyfleq69gikobnsha46h 7uUDqM32KEL+KflIlQvFpXW2/ r835mp9+dtlsa860kf1n2ye/77i9qtc gbez5okf RRSIG RRSIG iis.se. IN RRSIG DNSKEY 5 2 3600 20090205084501 20090126084501 18937 iis.se. DiNYYelgXcgIi6+xevjgqSy/ilcWmu52LkcKk9AwoWbcBrf1Zag8gowv 8S0LWJjKUO2aYRy53VvU/nkI20AJBuec/ PYtEw7pK8Z3fMFspQZeqR8Z ktqv6+l5w1n1uukizrntfg5feh5zsdb5sol8yeyiuvscuhewmtkwon+m dwkob5ieb3iut57lgiqpxmogfrh9xor/drp299pvbq78dgmbcwhxqcvg orgy1xhbvfwndsqrnfmbxrxu6dwzitxscvhwgsimmve/rhkpdlcwl3uz WJ4vipACelaqjdqpZG2sLbfKpeK44WeMTiaSgypDQVnXdDaP0g7mMk3o 0xGLXQ== iis.se. IN RRSIG DNSKEY 5 2 3600 20090205084501 20090126084501 27345 iis.se. DLAB4SbzYw9YEs3rj0vE3eXmA6J3HiFIi0jgO3wVtnwnCzn9J5iSuTUn b1iujsk4tpwuf6tf4udo9l1laqpgyw +qlzekdfq+g02n1rvcsbdu8ppt MsgyCz6DV+TJ/oGkCVi4grUycj4q5rtCRToL4Icdx+F91moY0yW2LO6T qmw=

Signaturer? En signatur är en krypterad hash av data. Nyckeln som används för kryptering är den privata nyckeln och signaturen kan verifieras genom att dekryptera hashen med den publika nyckeln.

Signaturer? En signatur är en krypterad hash av data. Nyckeln som används för kryptering är den privata nyckeln och signaturen kan verifieras genom att dekryptera hashen med den publika nyckeln. En hash är en checksumma av en uppsättning data. Typiska checksummealgoritmer är MD5, SHA-1 och SHA-256. MD5 antas vara sårbar.

DNSSEC-signaturer fou$~>dig ns iis.se +dnssec ; <<>> DiG 9.4.2-P2 <<>> ns iis.se +dnssec ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34814 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 6 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;iis.se. IN NS ;; ANSWER SECTION: iis.se. 2272 IN NS ns.nic.se. iis.se. 2272 IN NS ns2.nic.se. iis.se. 2272 IN NS ns3.nic.se. iis.se. 2272 IN RRSIG NS 5 2 3600 20081204120501 20081124120501 51402 iis.se. ukl8umjacac0mifd9jtwgr5/2aoq4zrq3u+x7gmhdbcubwnrbl/v+bfw yajdowwuepvf30abdrslnfqrjb19/bt3rs2alqlhoqhbfgfuohnvp16d dqyvtjgxnufd+rr/e9iwegxwixifnj1xnt1gfaqmgihzhiuzu6dqommb tbi= ;; ADDITIONAL SECTION: ns.nic.se. 876 IN A 212.247.7.228 ns2.nic.se. 876 IN A 194.17.45.54 ns3.nic.se. 85433 IN A 212.247.3.83 ns.nic.se. 876 IN RRSIG A 5 3 3600 20081202051001 20081122051001 54675 nic.se. bb6j +7yhGzZORCtCMtFU9BDX8uVbn4ySh6+Ssh02xojzt+OnKdaUj4ZC c9yyqqefz2hzmy1t91lmhhp+38mslbas8lmtn8sl+k+aoknfa3dvsoox odoi0xxuffxxexnw/kbbupvdqgoqnhmsvamn721nas8xnqhkpctrwm24 fkg= ns2.nic.se. 876 IN RRSIG A 5 3 3600 20081202051001 20081122051001 54675 nic.se. FD5c3mS +ul4hmthhofo9jkvvgh/9h+ai5lz9snxzbijkx2z5ysqht3qp uchud5vz1trjkyr2hspkqjeihw3fp4bphucnp72b8g3jwxiu3rabwpgl xlyt7zb//5q/ jy72ppgtijnsrwvks/ghhjikk6/ng/itymvtiprhvtf5 RMI= ;; Query time: 1 msec ;; SERVER: 212.247.7.170#53(212.247.7.170) ;; WHEN: Thu Nov 27 14:52:09 2008 ;; MSG SIZE rcvd: 638

Zonfil utan DNSSEC @ IN SOA ns.nic.se. hostmaster.iis.se. ( 2009012701; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) NS ns.nic.se. NS ns2.nic.se. NS ns3.nic.se. MX 10 cleaner.prod.iis.se. $ORIGIN iis.se. www IN A 212.247.7.210

Fingeravtryck Ett fingeravtryck är en checksumma av en nyckel. Fingeravtryck publiceras ofta istllet för nycklar eftersom de är mycket kortare än en nyckel, och betydligt lättare att läsa.

Fingeravtryck Ett fingeravtryck är en checksumma av en nyckel. Fingeravtryck publiceras ofta istllet för nycklar eftersom de är mycket kortare än en nyckel, och betydligt lättare att läsa. AwEAAcq5u+qe5VibnyvSnGU20panweAk2QxflGVuVQhzQABQV4SIdAQs +LNVHF61lcxe504jhPmjeQ656X6t+dHpRz1DdPO/ukcIITjIRoJHqS+X XyL6gUluZoD +K6vpxkGJx5m5n4boRTKCTUAR9rw2+IQRRTtb6nBwsC3pmf9IlJQjQMb1cQTb0U O7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMwQ4H9iKE9FhqPeIpzU9dnXGtJZCx9t WSZ9VsSLWBJtUwoE6ZfIoF1ioqqxfGl9JV1/6GkDxo3pMN2edhkp8aqoo/R +mrjyi0ve8jbxvhz12151dywusxbgjalxk= 10DD1EFDC7841ABFDF630C8BB37153724D70830A

DS-poster DS - Delegation Signer. En DS-post (hashen av en DNSKEY) publiceras i förälderzonen för att delegera tillit till barnzonen.

DS-poster DS - Delegation Signer. En DS-post (hashen av en DNSKEY) publiceras i förälderzonen för att delegera tillit till barnzonen. Detta är vad som är publicerat för iis.se hos.se: iis.se. IN DS 18937 5 2 B5C422428DEA4137FBF15E1049A48D27FA5EADE64D2EC9F3B58A994A6ABDE543 iis.se. IN DS 18937 5 1 10DD1EFDC7841ABFDF630C8BB37153724D70830A

DS-poster DS - Delegation Signer. En DS-post (hashen av en DNSKEY) publiceras i förälderzonen för att delegera tillit till barnzonen. Detta är vad som är publicerat för iis.se hos.se: iis.se. IN DS 18937 5 2 B5C422428DEA4137FBF15E1049A48D27FA5EADE64D2EC9F3B58A994A6ABDE543 iis.se. IN DS 18937 5 1 10DD1EFDC7841ABFDF630C8BB37153724D70830A Två DS-poster - två algoritmer används för.se, SHA-1 och SHA-256. Både DS och NS signeras av föräldern.

DS-delegeringen DS.se: iis.se. IN DS 18937 5 2 B5C422428DEA4137FBF15E1049A48D27FA5EADE64D2EC9F3B58A994A6ABDE543 iis.se. IN DS 18937 5 1 10DD1EFDC7841ABFDF630C8BB37153724D70830A KSK iis.se: iis.se. IN DNSKEY 257 3 5 AwEAAcq5u +qe5vibnyvsngu20panweak2qxflgvuvqhzqabqv4sidaqs +LNVHF61lcxe504jhPmjeQ656X6t +dhprz1ddpo/ukciitjirojhqs+x XyL6gUluZoDU+K6vpxkGJx5m5n4boRTKCTUAR/9rw2+IQRRTtb6nBwsC 3pmf9IlJQjQMb1cQTb0UO7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMw Q4H9iKE9FhqPeIpzU9dnXGtJ +ZCx9tWSZ9VsSLWBJtUwoE6ZfIoF1ioq qxfgl9jv1/6gkdxo3pmn2edhkp8aqoo/r +mrjyi0ve8jbxvhz12151dy wusxbgjalxk=

DS-delegeringen DS.se: iis.se. IN DS 18937 5 2 B5C422428DEA4137FBF15E1049A48D27FA5EADE64D2EC9F3B58A994A6ABDE543 iis.se. IN DS 18937 5 1 10DD1EFDC7841ABFDF630C8BB37153724D70830A KSK iis.se: iis.se. IN DNSKEY 257 3 5 AwEAAcq5u +qe5vibnyvsngu20panweak2qxflgvuvqhzqabqv4sidaqs +LNVHF61lcxe504jhPmjeQ656X6t +dhprz1ddpo/ukciitjirojhqs+x XyL6gUluZoDU+K6vpxkGJx5m5n4boRTKCTUAR/9rw2+IQRRTtb6nBwsC 3pmf9IlJQjQMb1cQTb0UO7fYgXDZIYVul2LwGpKRrMJ6Ul1nepkSxTMw Q4H9iKE9FhqPeIpzU9dnXGtJ +ZCx9tWSZ9VsSLWBJtUwoE6ZfIoF1ioq qxfgl9jv1/6gkdxo3pmn2edhkp8aqoo/r +mrjyi0ve8jbxvhz12151dy wusxbgjalxk= Om du har flera KSK-nycklar kommer du också ha fler DS-poster i förälderzonen.

NSEC Proof of non-existance. Man vill också skydda sig från att någon genomför en DoSattack mot ett namn i DNS. Detta görs med NSEC.

NSEC Proof of non-existance. Man vill också skydda sig från att någon genomför en DoSattack mot ett namn i DNS. Detta görs med NSEC. iis.se. IN NSEC iis07.se. NS DS RRSIG NSEC iis.se. IN RRSIG NSEC 5 2 7200 20090131230405 20090126101756 28770 se. GK6JQNDTsHlI3z8v1QR2jHr2VNpzhyB2UYFCEASJJBINnRpaUpmnsE4 if9aoys4g50lly1zjb659by76hkmajdo6xwl0+llefx8zn9iv0snfd2gujygyjzlu9txg ZTsfC7HQcX1gZPjnq9BgE1YDHifJNZAqijBG83rtj 9Wc= NSEC pekar på nästa label (domännamn) i zonen.

En signerad zon

@ IN SOA ns.nic.se. hostmaster.iis.se. ( 2009012501 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 86400 ; minimum (1 day) En signerad zon ) RRSIG SOA 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. BGZ3AMUQ3GL3yowBrrLhV9Sa8s47nmXm2ci6ZjC4kCickw5Wo1d+zSPpV9SL4hVF0XwYOtP fnacgh7baask/jhdlmbzoi4o5zujv0eruj/u2or27weinuu+q5zeliprpy4pg654dz+0y9at 7NwvCkxliKoaVlweyU4UafyxA8U= ) NS ns.nic.se. NS ns2.nic.se. NS ns3.nic.se. RRSIG NS 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. spbcym62yib0ciibev+as97d/otxvy/97ev6jitcod4xuwmjaicuayofdypgteddafe8xk+w D1nwSJLAleA7uefzOOClCxS/pIJq8Hbh92nZ0VN30wTEHk8mb97ivWrRxAqUQaeINSOei5Zh /J8ymfL9X639SvO2y5jHiXeZ0JM= ) MX 10 cleaner.prod.iis.se. RRSIG MX 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. L+EZ/NDc5/PTDx6PLOkAUJOUdbd50bYAqNpA/WQq3s8l6g5she6A5IpgtR7BQ4zF2XtnDX0G ve7zxqi6iwe/pyd1ivxchi7nmgzk7siazfyl R7fFE+ZPSAfIHjAafD5scmk2OOIMaZzvhkk8 nyzqbccc0gvgurxsx8nycouzbtm= ) DNSKEY 257 3 5 ( BQEAAAABuM9XroBb7Qrrz3winhL2vgNOEKDqTwiajUt/lYn9Z6GlPjd2hAsubgm+tXGKs2qo kdfsvcovljiyra885ui2o2s5ellflcw4lijbedaaujxndvwwb8xf8tywxxh82fz9jqwqd+n6 E31w/aL0UlGuIh7PWE/lMj+O8iMv3croHScHkfVxtz9aF2fRI2QwXCjcrvS5i06Ss14Af2bB BUrX0y8cXKI9AulrWZIniWLIce6b88yzxPuqJaNjOg8LFC1tMsSm6aeEKErQgJaeMJheRo4P WFitdMB9FpCH/6ylVEbZJpm/hKOZp2uedh8AmxmSDhUM7bMngQmXD/qpgrApqQ== ) ; key id = 27840 RRSIG DNSKEY 5 2 3600 20090131030501 ( 20090125030501 53069 iis.se. Kco8fH1BINR2xVe4kTtFBbjKtLe0BFvhP9iZWxgR9DCqKVK5VzxnTcLAJGF8xjwq0W8IUZws GSgWyOsx7bzrfoMNlkutYP14nTJio5zjX4heSx2C4Dx33egg0IlM/iur52O7KWEF7AC7l+ra RP3GGTCu7Ls0kGc2GDGNxothr8A= ) NSEC www.iis.se. A NS SOA MX TXT AAAA RRSIG NSEC DNSKEY RRSIG NSEC 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. KOFHUf1ZB+e/AxGdMkTkq9W461AjFjxLHBrMRt5ULZ4+lfMsYHw5VSecMq61VabhXO5ziOCj B1vK4BYrUeC+xAMFWJzn6xsLMDj/MMjM5d2iZhjE1zPc2sX42M6er1fjF9rw3qjWCFTLdy8Z CTsiw0Ou7ESX6afYwkb7QkTdL9g= )

@ IN SOA ns.nic.se. hostmaster.iis.se. ( 2009012501 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 86400 ; minimum (1 day) En signerad zon ) RRSIG SOA 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. BGZ3AMUQ3GL3yowBrrLhV9Sa8s47nmXm2ci6ZjC4kCickw5Wo1d+zSPpV9SL4hVF0XwYOtP fnacgh7baask/jhdlmbzoi4o5zujv0eruj/u2or27weinuu+q5zeliprpy4pg654dz+0y9at 7NwvCkxliKoaVlweyU4UafyxA8U= ) NS ns.nic.se. NS ns2.nic.se. NS ns3.nic.se. RRSIG NS 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. spbcym62yib0ciibev+as97d/otxvy/97ev6jitcod4xuwmjaicuayofdypgteddafe8xk+w D1nwSJLAleA7uefzOOClCxS/pIJq8Hbh92nZ0VN30wTEHk8mb97ivWrRxAqUQaeINSOei5Zh /J8ymfL9X639SvO2y5jHiXeZ0JM= ) MX 10 cleaner.prod.iis.se. RRSIG MX 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. L+EZ/NDc5/PTDx6PLOkAUJOUdbd50bYAqNpA/WQq3s8l6g5she6A5IpgtR7BQ4zF2XtnDX0G ve7zxqi6iwe/pyd1ivxchi7nmgzk7siazfyl R7fFE+ZPSAfIHjAafD5scmk2OOIMaZzvhkk8 nyzqbccc0gvgurxsx8nycouzbtm= ) DNSKEY 257 3 5 ( BQEAAAABuM9XroBb7Qrrz3winhL2vgNOEKDqTwiajUt/lYn9Z6GlPjd2hAsubgm+tXGKs2qo kdfsvcovljiyra885ui2o2s5ellflcw4lijbedaaujxndvwwb8xf8tywxxh82fz9jqwqd+n6 E31w/aL0UlGuIh7PWE/lMj+O8iMv3croHScHkfVxtz9aF2fRI2QwXCjcrvS5i06Ss14Af2bB BUrX0y8cXKI9AulrWZIniWLIce6b88yzxPuqJaNjOg8LFC1tMsSm6aeEKErQgJaeMJheRo4P WFitdMB9FpCH/6ylVEbZJpm/hKOZp2uedh8AmxmSDhUM7bMngQmXD/qpgrApqQ== ) ; key id = 27840 RRSIG DNSKEY 5 2 3600 20090131030501 ( 20090125030501 53069 iis.se. Kco8fH1BINR2xVe4kTtFBbjKtLe0BFvhP9iZWxgR9DCqKVK5VzxnTcLAJGF8xjwq0W8IUZws GSgWyOsx7bzrfoMNlkutYP14nTJio5zjX4heSx2C4Dx33egg0IlM/iur52O7KWEF7AC7l+ra RP3GGTCu7Ls0kGc2GDGNxothr8A= ) NSEC www.iis.se. A NS SOA MX TXT AAAA RRSIG NSEC DNSKEY RRSIG NSEC 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. KOFHUf1ZB+e/AxGdMkTkq9W461AjFjxLHBrMRt5ULZ4+lfMsYHw5VSecMq61VabhXO5ziOCj B1vK4BYrUeC+xAMFWJzn6xsLMDj/MMjM5d2iZhjE1zPc2sX42M6er1fjF9rw3qjWCFTLdy8Z CTsiw0Ou7ESX6afYwkb7QkTdL9g= ) RRSIG RRSIG RRSIG KSK RRSIG NSEC RRSIG

@ IN SOA ns.nic.se. hostmaster.iis.se. ( 2009012501 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 86400 ; minimum (1 day) En signerad zon ) RRSIG SOA 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. BGZ3AMUQ3GL3yowBrrLhV9Sa8s47nmXm2ci6ZjC4kCickw5Wo1d+zSPpV9SL4hVF0XwYOtP fnacgh7baask/jhdlmbzoi4o5zujv0eruj/u2or27weinuu+q5zeliprpy4pg654dz+0y9at 7NwvCkxliKoaVlweyU4UafyxA8U= ) NS ns.nic.se. NS ns2.nic.se. NS ns3.nic.se. RRSIG NS 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. spbcym62yib0ciibev+as97d/otxvy/97ev6jitcod4xuwmjaicuayofdypgteddafe8xk+w D1nwSJLAleA7uefzOOClCxS/pIJq8Hbh92nZ0VN30wTEHk8mb97ivWrRxAqUQaeINSOei5Zh /J8ymfL9X639SvO2y5jHiXeZ0JM= ) MX 10 cleaner.prod.iis.se. RRSIG MX 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. L+EZ/NDc5/PTDx6PLOkAUJOUdbd50bYAqNpA/WQq3s8l6g5she6A5IpgtR7BQ4zF2XtnDX0G ve7zxqi6iwe/pyd1ivxchi7nmgzk7siazfyl R7fFE+ZPSAfIHjAafD5scmk2OOIMaZzvhkk8 nyzqbccc0gvgurxsx8nycouzbtm= ) DNSKEY 257 3 5 ( BQEAAAABuM9XroBb7Qrrz3winhL2vgNOEKDqTwiajUt/lYn9Z6GlPjd2hAsubgm+tXGKs2qo kdfsvcovljiyra885ui2o2s5ellflcw4lijbedaaujxndvwwb8xf8tywxxh82fz9jqwqd+n6 E31w/aL0UlGuIh7PWE/lMj+O8iMv3croHScHkfVxtz9aF2fRI2QwXCjcrvS5i06Ss14Af2bB BUrX0y8cXKI9AulrWZIniWLIce6b88yzxPuqJaNjOg8LFC1tMsSm6aeEKErQgJaeMJheRo4P WFitdMB9FpCH/6ylVEbZJpm/hKOZp2uedh8AmxmSDhUM7bMngQmXD/qpgrApqQ== ) ; key id = 27840 RRSIG DNSKEY 5 2 3600 20090131030501 ( 20090125030501 53069 iis.se. Kco8fH1BINR2xVe4kTtFBbjKtLe0BFvhP9iZWxgR9DCqKVK5VzxnTcLAJGF8xjwq0W8IUZws GSgWyOsx7bzrfoMNlkutYP14nTJio5zjX4heSx2C4Dx33egg0IlM/iur52O7KWEF7AC7l+ra RP3GGTCu7Ls0kGc2GDGNxothr8A= ) NSEC www.iis.se. A NS SOA MX TXT AAAA RRSIG NSEC DNSKEY RRSIG NSEC 5 2 86400 20090131030501 ( 20090125030501 53069 iis.se. KOFHUf1ZB+e/AxGdMkTkq9W461AjFjxLHBrMRt5ULZ4+lfMsYHw5VSecMq61VabhXO5ziOCj B1vK4BYrUeC+xAMFWJzn6xsLMDj/MMjM5d2iZhjE1zPc2sX42M6er1fjF9rw3qjWCFTLdy8Z CTsiw0Ou7ESX6afYwkb7QkTdL9g= ) RRSIG RRSIG RRSIG KSK RRSIG NSEC RRSIG KSK publiceras som DS hos föräldern DS

Nycklar i resolvern En resolver måste åtminstone ha en nyckel för att verifiera DNSSEC-poster. För.SE använder vi två överlappande KSK, där varje är giltig i två år. Year 1 Year 2 Year 3 Year 4 KSK n KSK n+1

Hämta nycklarna från.se http://iis.se/domains/sednssec/publickey -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 se. IN DNSKEY 257 3 5 ( AwEAAdKc1sGsbv5jjeJ141IxNSTdR+nbtFn+JKQpvFZE TaY5iMutoyWHa+jCp0TBBAzB2trGHzdi7E55FFzbeG0r +G6SJbJ4DXYSpiiELPiu0i+jPp3C3kNwiqpPpQHWaYDS 9MTQMu/QZHR/sFPbUnsK30fuQbKKkKgnADms0aXalYUu CgDyVMjdxRLz5yzLoaSO9m5ii5cI0dQNCjexvj9M4ec6 woi6+n8v1pomqaq9at5fd8a6taxzi8tdleunxygnwb8e VZEWsgXtBhoyAru7Tzw+F6ToYq6hmKhfsT+fIhFXsYso 7L4nYUqTnM4VOZgNhcTv+qVQkHfOOeJKUkNB8Qc= ); key id = 49678 se. IN DNSKEY 257 3 5 ( AwEAAeeGE5unuosN3c8tBcj1/q4TQEwzfNY0GK6kxMVZ 1wcTkypSExLCBPMS0wWkrA1n7t5hcM86VD94L8oEd9jn HdjxreguOZYEBWkckajU0tBWwEPMoEwepknpB14la1wy 3xR95PMt9zWceiqaYOLEujFAqe6F3tQ14lP6FdFL9wyC flv06k1ww+gqxyrdo6h+wejguvpeg33krzftlwvbf3aa ph2gxci4ok2+po2ckzfkoikie9zoxfrcbg9ml2iqrrns M4q3zGhuly4NrF/t9s9jakbWzd4PM1Q551XIEphRGyqc ba2jtu3/mcuvkfgrh7nxapz5doub7tkyyqgstlc= ); key id = 8779 -----BEGIN PGP SIGNATURE----- Version: PGP Desktop 9.8.3 (Build 4028) Charset: utf-8 wj8dbqfjqmz4/oxrkpra7psraqkyakcqzf2oamv1kwy3/5f27ioxicvmzacfx8by skp405q8kbbheyvykb5ge7k= =T8Is -----END PGP SIGNATURE-----

Exempel i BIND I din named.conf: trusted-keys { "se." 257 3 5 "AQOfYGgsIqyVeES+J9JWQ/ xzdk92szvn2ttxljedm5dgiqm0qfvc3cd6t3unhqf7ptqv8hf3qp/ 50yFEVttiGPVL4ctm3KFhaybJGz/1/AGkCdqmGPymAcVVvdBICCx165gusSsK5fF70j +Zm6r4NBsFMyUiIPLiMkKHPQE2pWDMLw=="; }; options { dnssec-enable yes; dnssec-validation yes; };

Slå upp DNS med DNSSEC. (root).com.org.se Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC iis.se iana.org

Slå upp DNS med DNSSEC. (root).com Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org.se 1 iis.se iana.org

Slå upp DNS med DNSSEC. (root) 2.com +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org.se 1 iis.se iana.org

Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org.se 1 iis.se iana.org

Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do iis.se iana.org

Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do 5 DS RRSIG fråga ns.nic.se! iis.se iana.org

Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do 5 DS fråga ns.nic.se! DNSKEY RRSIG iis.se iana.org

Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do 5 DS fråga ns.nic.se! DNSKEY RRSIG +do 6 iis.se iana.org

Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se 4 +do 5 DS fråga ns.nic.se! DNSKEY RRSIG iis.se +do 6 RRSIG 7 www.iis.se har adressen 212.247.7.210 iana.org

Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org 1.se iis.se 4 +do +do 6 5 fråga ns.nic.se! RRSIG DS 7 RRSIG DNSKEY DNSKEY www.iis.se har adressen 212.247.7.210 iana.org

Slå upp DNS med DNSSEC. (root) 2.com fråga a.ns.se! 3 +do Cacheing resolver konfigurerad för.se Klientdator omedveten om DNSSEC.org.se iis.se 4 +do +do 6 5 fråga ns.nic.se! RRSIG DS 7 RRSIG DNSKEY DNSKEY www.iis.se har adressen 212.247.7.210 1 8 www.iis.se har adressen 212.247.7.210 +ad iana.org

Vanliga konfigurationsfel Alla namnservrar kör inte DNSSEC Endast ZSK i zonfilen Inga signaturer

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss