Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

Podobné dokumenty
Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Ondřej Caletka. 2. března 2014

Falšování DNS s RPZ i bez

Ondřej Caletka. 23. května 2014

Správa a zabezpečení DNS

Ochrana soukromí v DNS

DoS útoky v síti CESNET2

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Útok na DNS pomocí IP fragmentů

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Dual-stack jako řešení přechodu?

Služby správce.eu přes IPv6

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

DNSSEC na vlastní doméně snadno a rychle

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

DNS, jak ho (možná) neznáte

Principy a správa DNS

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Demo: Multipath TCP. 5. října 2013

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

WrapSix aneb nebojme se NAT64. Michal Zima.

Y36SPS Jmenné služby DHCP a DNS

Knot DNS Knot Resolver

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Jak se měří Internet

Zajímavé funkce OpenSSH

DNS, DHCP DNS, Richard Biječek

Bezpečnější pošta aneb DANE for SMTP

Analýza otrávené DNS cache

Jak se měří Internet

ové služby a IPv6

Principy a správa DNS

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Bezpečnostní projekt Případová studie

Principy a správa DNS

DNS. Počítačové sítě. 11. cvičení

Technická analýza kyberútoků z března 2013

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Domain Name System (DNS)

Jmenné služby a adresace

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

DNSSEC na vlastní doméně snadno a rychle

Novinky v.cz registru a mojeid. Zdeněk Brůna

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

JAK ČÍST TUTO PREZENTACI

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Počítačové sítě 1 Přednáška č.10 Služby sítě

Další nástroje pro testování

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

Architektura připojení pro kritické sítě a služby

FlowGuard 2.0. Whitepaper

BCOP aneb jak správně nasazovat

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Hesla včera, dnes a zítra

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta,

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Semestrální projekt do předmětu SPS

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Správa linuxového serveru: DNS a DHCP server dnsmasq

Access Control Lists (ACL)

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Autokonfigurace IPv6 v lokální sí

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

Architektura připojení pro kritické sítě a služby

Principy a správa DNS

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Detekce volumetrických útoků a jejich mi4gace v ISP

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Co znamená IPv6 pro podnikovou informatiku.

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Protokoly omezující moc certifikačních autorit

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Semestrální projekt 2. část

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

DNSSEC: implementace a přechod na algoritmus ECDSA

Principy a správa DNS

Bezpečný router pro domácí uživatele. Bedřich Košata

Transkript:

Infrastruktura DNS Ondřej Caletka 25. dubna 2018 Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 1 / 22

DNS: minutes to learn, a life me to master Shane Kerr Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 2 / 22

O službě DNS www.cesnet.cz? www.cesnet.cz.! www.cesnet.cz? cz. NS www.cesnet.cz? cesnet.cz. NS www.cesnet.cz? www.cesnet.cz.! ROOT. TLD cz. SLD cesnet.cz. stub resolver rekurzivní resolver autorita vní server Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 3 / 22

Klíčové prvky rekurzivní servery (resolvery) pouze pro interní použi validace DNSSEC podpisů požadavek na vysokou dostupnost dané IP adresy autorita vní servery veřejná služba několik replik kvůli robustnos ideálně globální anycast řešení, které používá kořenová zóna správně nastavená doba života záznamů Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 4 / 22

Vysoká dostupnost rekurzivních serverů hodí se zejména v kombinaci s GNU stub resolverem tradiční HA pomocí linux-ha, pacemaker anycas ng v rámci vlastní sítě zabezpečí i pro výpadku směrovače Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 5 / 22

Špatné umístění autorita vních serverů Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 6 / 22

Lepší umístění autorita vních serverů Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 7 / 22

Odrazný a zesilující útok založeno na falšování zdrojových adres útočník posílá dotazy jménem obě obět dostává nevyžádané odpovědi útočník DNS servery oběť Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 8 / 22

Příčinou je falšování zdrojových adres k útoku lze použít jakýkoli protokol rozdíly v paketovém a bajtovém zesilujícím faktoru protokol zesílení bajtů zesílení paketů DNS 28 54 1 5 NTP 556,9 100 SNMPv2 6,3 SSDP 30,8 Quake 63,9 Steam 5,5 Memcached až 51000 až 25000 TCP 1 1 zdroj: US-CERT TA14-017A Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 9 / 22

DNSSEC za nic nemůže There s a lot of urban legend out there about how DNSSEC makes DDoS worse because of DNSSEC s larger message size, and while this makes intui ve sense and sounds good, it is simply false. ( ) In short, no a ack requires DNSSEC, and thus any focus on DNSSEC as a DDoS risk is misspent energy. zdroj: Paul Vixie na dotaz What kinds of security vulnerabili es does providing DNSSEC expose? Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 10 / 22

Jak problém řešit? 1 zabránit falšování zdrojových adres BCP 38, BCP 84 nutno přesvědčit všechny na světě pozi vní vliv NATů 2 omezit zbytné velké odpovědi přidat další komplexitu do existujících protokolů 3 dělat obojí aspoň napůl bráníme falšování ve vlastní sí, abychom nebyli zdrojem útoku zabezpečujeme služby, aby neodrážely víc, než je nezbytně nutné Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 11 / 22

Omezení zesilujícího efektu rekurzivní servery povolujeme pouze z vlastní sítě autorita vní servery zapínáme response rate limi ng omezujeme výchozí velikost UDP bufferu Response Rate Limi ng Obecná technika limitování odpovědí autorita vních serverů na opakující se dotazy ze stejné adresy. Implementováno na vně v Knot DNS, NSD a BIND 9.9. Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 12 / 22

DNS cookies pro efek vnější RRL RFC 7873 rozšiřuje DNS protokol o jednoduchou auten zaci klientů a serverů s postupným zaváděním klient vygeneruje a pošle s dotazem ccookie = f(csecret, server IP) server vygeneruje a vrá s odpovědí scookie = f(ssecret, ccookie, client IP) klient dále přidává ccookie i scookie k dotazům, takže je jisté, že nejde o zfalšovanou adresu pokud cookie nesouhlasí, je příchozí dotaz podroben RRL a případně zahozen proza m těžko použitelné kvůli rozbitým autorita vním serverům Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 13 / 22

Společně pro porušování DNS standardů dohoda výrobců nejznámějších resolverů ISC (Bind) NLnetLabs (Unbound) PowerDNS CZ.NIC Labs (Knot DNS Resolver) cílem je eliminovat špatné implementace EDNS0 (z roku 1999) na autorita vních serverech resolvery vydané po 1. únoru 2019 nebudou obsahovat workaroundy chování autorita vního serveru je možné otestovat na https://ednscomp.isc.org Root.cz: Společně za zlepšení stability, rychlos a další rozšiřitelnos DNS ekosystému Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 14 / 22

Omezení velikos UDP odpovědi rozšíření EDNS0 zvětšuje délku UDP zpráv nad 512 B obvykle na 4096 B omezením velikos k ~1 kb snížíme účinnost zesilujícího útoku také se m zlepší situace resolverům s nefunkčním Path MTU Discovery příliš nízká hodnota může naopak rozbít resolvery bez TCP konek vity obzvláště při použi DNSSEC takto pos žených uživatelů je ~2 % (měření Geoffa Hustona) Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 15 / 22

Když jste pod útokem incident 18. 12. 2013 11:00 12:00 CET zahlcení hlavního DNS resolveru UDP pakety na náhodná čísla portů, obsahující 128 0x00 provoz přicházel ze všech zahraničních linek z náhodných adres pro oběť bez jednoduché možnos obrany Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 16 / 22

Útok náhodnými dotazy útočící botnet pokládá dotazy ve stylu <random string>.www.example.com dotaz je vždy přeposlán autorita vnímu serveru autorita vní server se pod náporem hrou rekurzivní server čeká na odpověď a zkouší dotazy opakovat rekurzivní resolver autorita vní servery útočník iree0foh.www.example.com? asdf.www.example.com? iree0foh.www.example.com? NXDOMAIN asdf.www.example.com? NXDOMAIN https://www.root.cz/clanky/utok-na-dns-nahodnymi-dotazy/ Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 17 / 22

Pře žení rekurzivních serverů fetches-per-server v BIND ratelimit v Unbound rekurzivní resolver iree0foh.www.e xample. com? w.exam ple.com? asdf.ww útočník ir asdee0f f.w oh.w ww w.ex w.e am xam ple pl.co e.co m? m? autorita vní servery iree0foh.www.example.com? iree0foh.www.example.com? asdf.www.example.com? asdf.www.example.com? asdf.www.example.com? NXD OM AIN nezabezpečené domácí routery Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 18 / 22

Pře žení autorita vních serverů Otázka: Proč používáme Anycast DNS? Odpověď: Pro odolnost vůči útokům, snížení latence je sekundární efekt. Otázka: Co tvoří většinu provozu? Odpověď: Odpad. Otázka: Kam bychom měli instalovat nové instance? Odpověď: Tam, kde chtějí správné odpovědi. ŠPATNĚ Odpověď: Tam, odkud se hrne odpad. Zdroj: Randy Bush @ DNS-WG Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 19 / 22

Ideální umístění autorita vních serverů Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 20 / 22

Shrnu pravidel pro kri cké služby zabezpečit rekurzivní servery ak vovat DNSSEC validaci blokovat příchozí provoz z internetu, povolit pouze DNS odpovědi zabezpečit autorita vní servery umís t před firewall dostatečně dimenzovat linku co nejvíce diverzitní repliky zabezpečit zónové přenosy (TSIG) společné zkontrolovat funkčnost TCP spojení omezit velikost UDP zpráv (ideálně na polovině serverů) zkontrolovat průchodnost ICMP zpráv (objevování MTU cesty) Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 21 / 22

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz h ps://ondřej.caletka.cz Prezentace je již nyní k dispozici ke stažení. Ondřej Caletka (CESNET, z. s. p. o.) Infrastruktura DNS 25. dubna 2018 22 / 22

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář