Ochrana soukromí v DNS

Podobné dokumenty
Bezpečnější pošta aneb DANE for SMTP

Bezpečnější pošta díky DANE

Bezpečnější bezpečnější díky DANE

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

ové služby na IPv6-only

Falšování DNS s RPZ i bez

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

Stránka, doména, URL, adresa

Bezpečnost vzdáleného přístupu. Jan Kubr

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Dual-stack jako řešení přechodu?

Zajímavé funkce OpenSSH

Co nového v IPv6? Pavel Satrapa

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Ondřej Caletka. 2. března 2014

Jak se měří Internet

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Co musíte vědět o šifrování

Jak se měří Internet

BCOP aneb jak správně nasazovat

DNSSEC na vlastní doméně snadno a rychle

IP telephony security overview

Co musíte vědět o šifrování

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

ové služby a IPv6

Komunikace v sítích TCP/IP (1)

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Ondřej Caletka. 23. května 2014

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Jen správně nasazené HTTPS je bezpečné

Demo: Multipath TCP. 5. října 2013

DoS útoky v síti CESNET2

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Ondřej Caletka. 13. března 2014

StartSSL: certifikáty zdarma

Protokoly omezující moc certifikačních autorit

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Ondřej Caletka. 5. listopadu 2013

Ondřej Caletka. 27. března 2014

Let s Encrypt nahoďte šifrování na webu

Josef Hajas.

Seminář pro správce univerzitních sí4

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

InternetovéTechnologie

Ondřej Caletka. 21. října 2015

WrapSix aneb nebojme se NAT64. Michal Zima.

Automatická správa keysetu. Jaromír Talíř

Jak funguje SH Síť. Ondřej Caletka

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Inovace výuky prostřednictvím šablon pro SŠ

Co znamená IPv6 pro podnikovou informatiku.

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

PSK2-14. Služby internetu. World Wide Web -- www

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

DNSSEC na vlastní doméně snadno a rychle

X36PKO Úvod Protokolová rodina TCP/IP

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

CZ.1.07/1.5.00/

IPv6 na serveru Co by měl administrátor znát... Stanislav Petr

Audit bezpečnosti počítačové sítě

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

PB169 Operační systémy a sítě

Bezpečný router pro domácí uživatele. Bedřich Košata

Analýza otrávené DNS cache

TheGreenBow IPSec VPN klient

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Kontrolní seznam projektu a systémové požadavky Xesar 3.0

Certificate Transparency

OpenVPN. Ondřej Caletka.

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

Bezpečnost sítí

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Desktop systémy Microsoft Windows

Standardizace Internetu (1)

Současné problémy certifikačních autorit

Napadnutelná místa v komunikaci

Novinky v.cz registru a mojeid. Zdeněk Brůna

eduroam.cz - monitoring infrastruktury a detekce problémů

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

The Locator/ID Separation Protocol (LISP)

Vyšší odborná škola a Střední škola,varnsdorf, příspěvková organizace. Šablona 1 VY 32 INOVACE

Knot DNS Knot Resolver

Služby správce.eu přes IPv6

PB169 Operační systémy a sítě

Ve společnosti XXXXXXXXXX. Vzorová zpráva

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

InternetovéTechnologie

Poznámky k vydání. pro Kerio Control 7.2.1

Instalace a konfigurace

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Transkript:

Ochrana soukromí v DNS Ondřej Caletka 31. ledna 2019 Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 1 / 15

Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 2 / 15

Best Current Prac ce #188 Internet Engineering Task Force (IETF) S. Farrell Request for Comments: 7258 Trinity College Dublin BCP: 188 H. Tschofenig Category: Best Current Practice ARM Ltd. ISSN: 2070-1721 May 2014 Abstract Pervasive Monitoring Is an Attack Pervasive monitoring is a technical attack that should be mitigated in the design of IETF protocols, where possible. Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 3 / 15

Vznik pracovní skupiny DPRIVE ustavena v roce 2014 cílem je ochránit důvěrnost DNS zpráv primárně mezi koncovým systémem a resolverem Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 4 / 15

Opravdu potřebujeme nový protokol? už mnoho let máme IPsec je možné ho nakonfigurovat pro oportunis cké šifrování může šifrovat jen DNS, nebo veškerý provoz s danou adresou potřebujeme tedy vůbec nový VPN protokol jen pro DNS? Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 5 / 15

Opravdu potřebujeme nový protokol? už mnoho let máme IPsec je možné ho nakonfigurovat pro oportunis cké šifrování může šifrovat jen DNS, nebo veškerý provoz s danou adresou potřebujeme tedy vůbec nový VPN protokol jen pro DNS? No jasně, že ano! A hned dva! Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 5 / 15

Populární a nepopulární protokoly Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 6 / 15

Populární a nepopulární protokoly Nepopulární IPv6 DANE DANE IPSEC DNSSEC Populární IPv4 + NAT + PAT + ALG CAA záznamy ACME + Let s Encrypt TLS Split horizon DNS Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 6 / 15

Prostě to protunelujeme RFC 7766: DNS-over-TCP TCP může být protokolem první volby TCP spojení může být použito opakovaně dotazy je možno řetězit, server může vyřizovat paralelně diskuze o TCP Fast Open RFC 7858: DNS-over-TLS TLS tunel na portu tcp/853 oportunis cké i vynucené šifrování volitelná auten zace pomocí key pinningu Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 7 / 15

Podpora DNS-over-TLS Servery Unbound Knot DNS resolver Cloudflare Quad9 Google DNS Klien Android 9.0 Pie systemd-resolved Unbound Knot DNS resolver Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 8 / 15

Vlastnos DNS-over-TLS brání přinejmenším pasivnímu odposlechu lze na něj oportunis cky přejít auten zace DNS resolveru je problém port 853 lze snadno zablokovat resolver stále vidí veškerá data a může do nich zasahovat protokol lze použít k tunelování libovolných dat nešifrovaná DNS jména stále unikají v SNI hlavičkách TLS spojení Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 9 / 15

Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 10 / 15

DNS over HTTPS pracovní skupina DoH ustavena v září 2017 RFC 8484 vydáno v říjnu 2018 posílání binárních DNS zpráv uvnitř HTTPS spojení předchozí implementace provozované Google a Cloudflare používající JSON dva režimy: dedikovaný DoH server DoH mul plexované s jinými webovými službami Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 11 / 15

Vlastnos DoH přítomno ve Firefoxu a Chrome (za m skrytě) vyžaduje URL pro konfiguraci (DHCP nestačí) téměř nemožné zablokovat či kontrolovat DNS servery dostávají mnohem více metadat potenciál pro resolverless DNS přenos autorita vních DNS dat přímo z WWW serveru experiment Firefox Nightly a Cloudflare Trusted Recursive Resolver výkonová penalta je nepatrná problémy se split-horizon DNS Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 12 / 15

Shrnu DoT je jednoduchý upgrade stávající infrastruktury už funguje v Androidu 9.0 Pie zachovává moc nad DNS provozovateli sítě lze snadno zablokovat externí resolvery DoH je poměrně kontroverzní revoluce mění stávající pořádky má velkou podporu vlivných lidí DNSSEC je ortogonální k oběma zabezpečuje auten citu dat end-to-end může být nadbytečný pro resolverless DoH Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 13 / 15

Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 14 / 15

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz h ps://ondřej.caletka.cz Prezentace je již nyní k dispozici ke stažení. Ondřej Caletka (CESNET, z. s. p. o.) Ochrana soukromí v DNS 31. ledna 2019 15 / 15