České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Podobné dokumenty
DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Provozní manuál DNSSec pro registr.cz a e164.arpa

Automatická správa keysetu. Jaromír Talíř

Provozní manuál DNSSec pro registr.cz a e164.arpa

DNSSEC: implementace a přechod na algoritmus ECDSA

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

DNSSEC Pavel Tuček

Automatická správa KeySetu

Novinky v.cz registru a mojeid. Zdeněk Brůna

DNSSEC během 6 minut

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Útok na DNS pomocí IP fragmentů

Implementace DNSSEC v CZ.NIC, z.s.p.o.

Domain Name System (DNS)

Ondřej Caletka. 2. března 2014

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

DNSSEC na vlastní doméně snadno a rychle

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

Jmenné služby a adresace

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Falšování DNS s RPZ i bez

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Principy a správa DNS

IP telephony security overview

Knot DNS Knot Resolver

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Protokoly omezující moc certifikačních autorit

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

y s garantovaným odesílatelem a obsahem v praxi s využitím DKIM. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Ochrana soukromí v DNS

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

WrapSix aneb nebojme se NAT64. Michal Zima.

Principy a správa DNS

Výpis z registru doménových jmen.cz

Správa a provoz serveru Knot DNS

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Ondřej Caletka. 23. května 2014

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

Přehled služeb CMS. Centrální místo služeb (CMS)

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

DNS, DHCP DNS, Richard Biječek

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Serverové systémy Microsoft Windows

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

DNS. Počítačové sítě. 11. cvičení

Y36SPS Jmenné služby DHCP a DNS

Domain Name System (DNS)

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

ON-LINE MONITOROVÁNÍ EXPIRACE PODPISU DNSSEC

Pravidla technické komunikace

Výpis z registru doménových jmen.cz

Počítačové sítě 1 Přednáška č.10 Služby sítě

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Bezpečnost internetového bankovnictví, bankomaty

ENUM Nová dimenze telefonování. CZ.NIC z.s.p.o. Pavel Tůma / pavel.tuma@nic.cz

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

Analýza protokolů rodiny TCP/IP, NAT

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Jen správně nasazené HTTPS je bezpečné

SSL Secure Sockets Layer

DoS útoky v síti CESNET2

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

Centrální místo služeb (CMS)

TFTP Trivial File Transfer Protocol

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

DNSSEC a CSIRT. aneb co může udělat webhoster pro bezpečnější internet. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Centrální místo služeb (CMS)

Novinky u zařízení pro sériovou komunikaci. Michal Kahánek

OpenSSL a certifikáty

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

FRED & PostgreSQL. CZ.NIC, z.s.p.o. Jaromír Talíř <jaromir.talir@nic.cz>

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Správa linuxového serveru: DNS a DHCP server dnsmasq

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

DNS, jak ho (možná) neznáte

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

Překlad jmen, instalace AD. Šimon Suchomel

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Pravidla komunikace registrátora Web4u s.r.o.

Navyšování propustnosti a spolehlivosti použitím více komunikačních subsystémů

Služby správce.eu přes IPv6

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Digitální podepisování pomocí asymetrické kryptografie

Sdílené služby egov ČR 2016 a CMS 2.0. Ondřej Felix MV ČR Telč 2016

Referenční rozhraní. Jiří Kosek. Ministerstvo informatiky ČR. ISSS 25. března 2003

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

PDS. Obsah. protokol LDAP. LDAP protokol obecně. Modely LDAP a jejich funkce LDIF. Software pro LDAP. Autor : Petr Štaif razzor_at

Transkript:

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC Jiří Smítka jiri.smitka@fit.cvut.cz 14.2.2011 1/18

Proč je potřeba zabezpečit DNS Nezabezpečený protokol Druhy útoků: Buffer overflow/stack smashing, etc. MitM Útočník v cizí síti Chyby v DNS serverech Málo náhodnosti 14.2.2011 2/18

Chyby v DNS serverech Kaspureff Přesměroval kořenovou zónu na svoje NS Zneužití sekce ADDITIONAL (Další záznamy) DNS server vše přebral do cache Byl odsouzen 14.2.2011 3/18

Málo náhodnosti Každý pake má: ID v hlavičce DNS zprávy Zdrojový port v IP hlavičce 14.2.2011 4/18

Hlavička DNS zprávy 14.2.2011 5/18

Kaminsky-style útok Útok na resolvery (rekurzivní DNS servery) Útok z libovolné sítě Nutná podmínka: Možnost falšovat IP adresy zdroje Neexistující Ingress filtry (BCP 38) Uvnitř stejné sítě (např. hosting u ISP) 14.2.2011 6/18

Lehký úvod do DNSSECu Přidává do DNS zóny podpisy Asymetrická kryptografie Nešifruje na drátě Nové DNS (RR) záznamy RRSIG podpis záznamů (stejný vlastník, typ, třída) Pozor na platnost podpisů DNSKEY veřejná část klíče NSEC/NSEC3 ověřený záznam o neexistenci DS bezpečná delegace v nadřazené (parent) zóně 14.2.2011 7/18

Lehký úvod do DNSSECu DNSKEY klíče Nemají platnost, možnost rozlousknutí Key Signing Key (KSK) Silnější (více bitů), více dat Podepisují se jím pouze ostatní klíče Určený pro bezpečnou delegaci v nadřazené zóně Zone Signing Key (ZSK) Slabší (méně bitů), méně dat Podepisují se jím všechny záznamy v zóně Možnost měnit bez zásahu do nadřazené zóny 14.2.2011 8/18

Centrální registr pro.cz FRED - Open Source EPP protokol (over TCP) Extensible Provisioning Protocol Založený na XML RFC standard Standardní schémata nevyhovující Převážně vlastní schémata (kromě základu) 14.2.2011 9/18

Rozšíření.CZ pro DNSSEC Nové schéma v EPP Definuje objekt KEYSET 1-n DNSKEY záznamů 1-n technických kontaktů m:n mapovaní k doménovým jménům Jeden klíč může být použitý u více domén Automatické generování DS záznamů z DNSKEY DS je hash z domény+klíče Vkládají držitelé domén přes registrátory 14.2.2011 10/18

Podepsání.CZ Generování podepsané zóny.cz Kontrola validity vygenerované zóny Kontrola počtu změn Podepsání zóny pomocí dnssec-signzone Kontrola validity podepsané zóny Publikování zóny 14.2.2011 11/18

Podepsání.CZ - HSM Hardware Security Module SCA6000 Levná PCI karta (1000 EUR) Původně pouze binární ovladače pro Solaris a RHEL4 signzone je na Solarisu skoro řádově pomalejší :-( Nyní ovladače i pro Debian/Ubuntu, připravujeme nasazení 14.2.2011 12/18

Podepsání.CZ - Zónové transfery DNS servery pro.cz 6 NS záznamů ~10 lokalit Praha, Vídeň, Stockholm, Kalifornie, Londýn, Chile, Frakfurt,... ~26 fyzických serverů Každý lokalita 2 servery, (Praha 6 serverů) 14.2.2011 13/18

Podepsání.CZ - Zónové transfery Velikost zónového souboru: ~40MB před podepsáním ~240MB po podepsání Generování a podepsání zónového souboru: Každých 30 minut Každých 30 minut Přenos 20*240MB = ~4GB Tranzitní operátoři Kupte si více konektivity :) 14.2.2011 14/18

Podepsání.CZ - Zónové transfery AXFR vs. IXFR AXFR plný přenos zóny IXFR jen přenos rozdílů Pomůže IXFR? Podepsání každých 30 minut Nové RRSIG záznamy každých 30 minut Přenos rozdílů: smazat staré RRSIG vytvořit nové RRSIG Větší než AXFR! 14.2.2011 15/18

Podepsání.CZ - Zónové transfery Řešením je využít staré RRSIG Vlastní utility založené nad knihovnou ldns Postup: Vygenerovat novou zónu Vybrat všechny DNSSEC záznamy ze staré zóny Spojit dohromady Podepsat pomocí dnssec-signzone Využití stále platných podpisů Zahození již neplatných podpisů Jitter pro konec platnosti rozložení generování nových v čase Žádný problém s konektivitou :) 14.2.2011 16/18

DNSSEC v České republice Podporují jen někteří registrátoři Někteří registrátoři podepsali všechny své domény!!! WEB4U únor 2009 (15k+) ACTIVE 24 březen 2009 (100k+) Česká Republika je DNSSEC velmoc :-D 14.2.2011 17/18

Dotazy? 14.2.2011 18/18

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář