DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

Podobné dokumenty
České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Provozní manuál DNSSec pro registr.cz a e164.arpa

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Automatická správa keysetu. Jaromír Talíř

DNSSEC: implementace a přechod na algoritmus ECDSA

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

DNSSEC během 6 minut

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Provozní manuál DNSSec pro registr.cz a e164.arpa

Novinky v.cz registru a mojeid. Zdeněk Brůna

Automatická správa KeySetu

Útok na DNS pomocí IP fragmentů

Implementace DNSSEC v CZ.NIC, z.s.p.o.

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

DNSSEC na vlastní doméně snadno a rychle

Knot DNS Knot Resolver

Ondřej Caletka. 2. března 2014

DNSSEC Pavel Tuček

Domain Name System (DNS)

DNS. Počítačové sítě. 11. cvičení

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Správa linuxového serveru: DNS a DHCP server dnsmasq

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Protokoly omezující moc certifikačních autorit

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Ondřej Caletka. 23. května 2014

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

DNS, DHCP DNS, Richard Biječek

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

Principy a správa DNS

y s garantovaným odesílatelem a obsahem v praxi s využitím DKIM. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Principy a správa DNS - cvičení

Principy a správa DNS

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

DNSSEC a CSIRT. aneb co může udělat webhoster pro bezpečnější internet. Ing. Tomáš Hála ACTIVE 24, s.r.o.

SSL Secure Sockets Layer

}w!"#$%&'()+,-./012345<ya

Falšování DNS s RPZ i bez

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Služby správce.eu přes IPv6

Správa a provoz serveru Knot DNS

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Co znamená IPv6 pro podnikovou informatiku.

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Popis nastavení DNS serveru Subjektu

Právní aspekty doménových jmen. BI201K Úvod do práva ICT I (jaro 2010)

Počítačové sítě 1 Přednáška č.10 Služby sítě

WrapSix aneb nebojme se NAT64. Michal Zima.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Domain Name System (DNS)

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Inovace výuky prostřednictvím šablon pro SŠ

Výpis z registru doménových jmen.cz

Správa a zabezpečení DNS

Principy a správa DNS - cvičení

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Jak se měří Internet

Jak se měří Internet

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Analýza protokolů rodiny TCP/IP, NAT

KLIENT PROTOKOLU DNS S GRAFICKÝM ROZHRANÍM VHODNÝ PRO DEMONSTRATIVNÍ ÚČELY

ENUM Nová dimenze telefonování. CZ.NIC z.s.p.o. Pavel Tůma / pavel.tuma@nic.cz

Doménový svět, jak to funguje? CZ.NIC z. s. p. o. Ondřej Filip Seminář MPO

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

DNSSEC na vlastní doméně snadno a rychle

FRED & PostgreSQL. CZ.NIC, z.s.p.o. Jaromír Talíř <jaromir.talir@nic.cz>

Pravidla komunikace registrátora Web4u s.r.o.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

DoS útoky v síti CESNET2

Novinky u zařízení pro sériovou komunikaci. Michal Kahánek

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

VŠB Technická univerzita Ostrava Fakulta elektroniky a informatiky. Semestrální práce. BGP Routing Registry - principy a využití Zdeněk Nábělek

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

Ochrana soukromí v DNS

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Digitální podepisování pomocí asymetrické kryptografie

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

Transkript:

DNSSEC u nás i ve světě CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz 28. 4. 2010 1

Obsah Proč je zapotřebí zabezpečení Lehký, ale jen velmi lehký úvod do DNSSECu DNSSEC v.cz Jak nasadit DNSSEC ve svojí zóně Implementace DNSSECu v CZ.NICu DNSSEC ve světě DNSSEC v kořenové zóně Konkurence pro DNSSEC 2

Proč je potřeba zabezpečit DNS Nezabezpečený protokol Druhy útoků: Buffer overflow/stack smashing, etc. MitM Útočník v cizí síti Chyby v DNS serverech Málo náhodnosti 3

Chyby v DNS serverech Kaspureff Přesměroval kořenovou zónu na svoje NS Zneužití sekce ADDITIONAL (Další záznamy) DNS server vše přebral do cache Byl odsouzen 4

Málo náhodnosti Každý paket má: ID v hlavičce DNS zprávy zdrojový port v IP hlavičce 5

Hlavička DNS zprávy 1 1 1 1 1 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ ID +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ QR Opcode AA TC RD RA Z RCODE +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ QDCOUNT +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ ANCOUNT +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ NSCOUNT +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ ARCOUNT +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 6

Kaminsky-style útok Útok na resolvery (rekurzivní DNS servery) Útok z libovolné sítě Nutná podmínka: Možnost falšovat IP adresy zdroje neexistující Ingress filtry (BCP 38) uvnitř stejné sítě (např. hosting u ISP) 7

Kaminsky-style útok Útok před Kaminskym: Malé časové okno k podvržení útoku První dotaz na jméno nebo vypadne z cache Útok Dana Kaminskeho: Neomezené časové okno Dotaz na neexistující jméno Cíl útoku v sekci AUTHORITY DNS server přepíše obsahem sekce AUTHORITY vlastní cache 8

Kaminsky-style útok Před: Náhodné ID v hlavičce (2^16) Statický zdrojový port Po: Náhodné ID v hlavičce (2^16) Náhodný zdrojový port (<2^16) Nedají se využít všechny 9

Kaminsky-style útok Před Po Neomezeně velké časové okno Neomezeně velké časové okno Malá náhodnost (2^16) Větší náhodnost (~2^31) Úspěšný útok v řádu sekund! Úspěšný útok v řádu dní! 10

Kaminsky-style útok Útočník pošle DNS dotaz: jfdsj.udp53.cz. IN A a začne posílat falešné odpovědi Falešná zdrojová adresa UDP paketu (Náhodný) zdrojový port Náhodné ID DNS zprávy Obsah: jfdsj.udp53.cz. IN NS www.udp53.cz. www.udp53.cz. IN A 10.0.0.1 11

Lehký úvod do DNSSECu Přidává do DNS zóny podpisy Asymetrická kryptografie Nešifruje na drátě Nové DNS (RR) záznamy RRSIG podpis záznamů (stejný vlastník, typ, třída) Pozor na platnost podpisů DNSKEY veřejná část klíče NSEC/NSEC3 ověřený záznam o neexistenci DS bezpečná delegace v nadřazené (parent) zóně 12

Lehký úvod do DNSSECu DNSKEY klíče Nemají platnost, možnost rozlousknutí Key Signing Key (KSK) Silnější (více bitů), více dat Podepisují se jím pouze ostatní klíče Určený pro bezpečnou delegaci v nadřazené zóně Zone Signing Key (ZSK) Slabší (méně bitů), méně dat Podepisují se jím všechny záznamy v zóně Možnost měnit bez zásahu do nadřazené zóny 13

Centrální registr pro.cz FRED - Open Source EPP protokol (over TCP) Extensible Provisioning Protocol Založený na XML RFC standard Standardní schémata nevyhovující Převážně vlastní schémata (kromě základu) 14

Rozšíření.CZ pro DNSSEC Nové schéma v EPP Definuje objekt KEYSET 1-n DNSKEY záznamů 1-n technických kontaktů m:n mapovaní k doménovým jménům Jeden klíč může být použitý u více domén Automatické generování DS záznamů z DNSKEY DS je hash z domény+klíče Vkládají držitelé domén přes registrátory 15

Podepsání.CZ Generování podepsané zóny.cz Kontrola validity vygenerované zóny Kontrola počtu změn Podepsání zóny pomocí dnssec-signzone Kontrola validity podepsané zóny Publikování zóny 16

Podepsání.CZ HSM Hardware Security Module SCA6000 Levná PCI karta (1000 EUR) Původně pouze binární ovladače pro Solaris a RHEL4 signzone je na Solarisu skoro řádově pomalejší :-( Nyní ovladače i pro Debian/Ubuntu, připravujeme nasazení 17

Podepsání.CZ Zónové transfery DNS servery pro.cz 6 NS záznamů ~10 lokalit Praha, Vídeň, Stockholm, Kalifornie, Londýn, Chile, Frakfurt,... ~26 fyzických serverů Každý lokalita 2 servery, (Praha 6 serverů) 18

Podepsání.CZ Zónové transfery Velikost zónového souboru: ~40MB před podepsáním ~240MB po podepsání Generování a podepsání zónového souboru: Každých 30 minut Každých 30 minut Přenos 20*240MB = ~4GB Tranzitní operátoři Kupte si více konektivity :) 19

Podepsání.CZ Zónové transfery AXFR vs. IXFR AXFR plný přenos zóny IXFR jen přenos rozdílů Pomůže IXFR? Podepsání každých 30 minut Nové RRSIG záznamy každých 30 minut Přenos rozdílů: smazat staré RRSIG vytvořit nové RRSIG Větší než AXFR! 20

Podepsání.CZ Zónové transfery Řešením je využít staré RRSIG Vlastní utility založené nad knihovnou ldns Postup: Vygenerovat novou zónu Vybrat všechny DNSSEC záznamy ze staré zóny Spojit dohromady Podepsat pomocí dnssec-signzone Využití stále platných podpisů Zahození již neplatných podpisů Jitter pro konec platnosti rozložení generování nových v čase Žádný problém s konektivitou :) 21

Jak nasadit DNSSEC (mini návod) Nástroje z Bind9 Vytvořit DNSSEC klíče (KSK, ZSK) # dnssec keygen a RSA SHA1 b 2048 ( f KSK) zone. # dnssec keygen a RSA SHA1 b 1024 zone. Vložit klíče do zóny: # cat Kzone*.key >> zone Pravidelně podepisovat zónu # dnssec signzone Změnit konfiguraci DNS serveru s/zone/zone.signed/ 22

Ještě jednodušeji Bind 9.7 Automatické přepodepisování DNS server musí mít přístup k privátní části klíče OpenDNSSEC 1.0.0 Plně automatizovaná správa podepsaných domén Plně automatizovaná správa klíčů Vybrat si správného registrátora 23

Jak nasadit DNSSEC co dál? Vložit DS záznam do nadřazené zóny V.CZ přes registrátora Vytvoření objektu KEYSET z DNSKEY záznamů Pravidelně se o zónu starat Neplatné podpisy způsobí smrt zóny Pokud resolver používá DNSSEC, nebudou záznamy v DNS dostupné 24

DNSSEC v České Republice Podporují jen někteří registrátoři Někteří registrátoři podepsali všechny své domény!!! WEB4U únor 2009 (15k+) ACTIVE 24 březen 2009 (100k+) Česká Republika je DNSSEC velmoc :-D 25

DNSSEC ve světě 2008.SE průkopníci, první nasazení DNSSECu v TLD.CZ příprava od ledna 2008, spuštění září 2008 Bulharsko, Portoriko podepsáno, ehm, ehm Kořenová zóna žádná činnost Léto 2008 Zveřejnění Kaminsky-style útoku Najednou urychlená činnost 26

DNSSEC ve světě 2009-2010 Spuštění ITAR Interim Trust Anchor Repository Každý měsíc přibývají nové a nové TLD Dočasné úložiště klíčů u IANA Do doby než bude podepsána kořenová zóna https://itar.iana.org/ Generické.gov,.org Speciální.museum Národní.ca,.pt,.ch,.li,.kz,.uk (1.3.2010) Mapa nasazení: http://www.xelerance.com/dnssec/ 27

DNSSEC ve světě 2009-2010 Verisign ohlásil podpis.com během tří let Některé TLD stále váhají.com je obrovská zóna ~10mio záznamů.at ohlásilo, že DNSSEC nebude implementovat Další TLD tiše pracují na implementaci OpenDNSSEC 28

Správa kořenové zóny ICANN IANA Ministerstvo obchodu/telekomunikační úřad Verisign Technický správce ICANNu DoC/NTIA Vývoj pravidel, atp., spousta politiky Soukromá firma Správci kořenových nameserverů 29

Správa kořenové zóny ICANN/IANA je administrativní správce kořenové zóny DoC IANA přijímá požadavky na změny v kořenové zóně Schvaluje změny v kořenové zóně Verisign Implementuje změny do kořenové zóny Posílá změny správcům jednotlivých NS 30

Správa kořenové zóny Správci kořenových nameserverů http://www.root-servers.org/ Kontrolují změny poslané Verisignem Publikují změny do kořenové zóny Univerzita, armáda, NASA Někteří nezávislí na americké vládě, např: Autonomica Švédsko WIDE Project Japonsko RIPE NCC Evropa VeriSign, Cogent soukromé společnosti 31

DNSSEC v kořenové zóně Pokud chce resolver ověřovat DNSSEC Musí mít tzv. Pevný bod důvěry Nyní pro každý podstrom, který chce validovat Ručně nakonfigurovaný důvěryhodný DNSSEC klíč Offline ITAR (periodicky stahovat seznam klíčů) Finální způsob: Konfigurace DNSSEC klíče pro kořenovou zónu Podobně jako předkonfigurovaný seznam DNS serverů 32

DNSSEC v kořenové zóně RIPE RIR - Regional Internet Registry pro Evropu Přiděluje IP čísla (a ASN) Iniciativa Sign the Root podzim 2009 RIPE 59 Lisabon Ohlášení podepsání kořenové zóny v létě 2010 33

DNSSEC v kořenové zóně http://www.root-dnssec.org/ DURZ Deliberately Unvalidateable Root Zone Formálně validní, ale jinak nepoužitelný klíč Podpisy záznamů, které nejsou validovatelné Ukázka # dig IN DNSKEY. @l.root servers.net.... 34

DNSSEC v kořenové zóně ICANN/IANA Správa KSK klíčů DoC NTIA Schvaluje navrhované změny v DS Schvaluje změny v klíčích VeriSign Správa ZSK klíčů Podepisování kořenové zóny 35

DNSSEC v kořenové zóně 36

DNSSEC v kořenové zóně KSK algoritmus RSA-SHA256 2048 bitů generuje ICANN/IANA aktivace KSK dohližitelé z řad internetové komunity (TCR) zálohy KSK distribuované mezi komunitu výměna jednou za 2-5 let výměna pomocí RFC5011 37

DNSSEC v kořenové zóně ZSK algoritmus RSA-SHA256 1024 bitů rotace každé 3 měsíce generuje VeriSign podepisuje ICANN/IANA pomocí KSK 38

DNSSEC v kořenové zóně harmonogram 1. prosince 2009 Interní začátek podepisování Pouze ICANN + Verisign V kořenové zóně nejsou vidět žádné změny Leden Květen 2010 27. ledna 2010 Postupné testování zátěže L.root-servers.net publikuje DURZ Zbývá poslední (J.root-servers.net) 5. května 2010 17.00 19.00 (UTC) 39

DNSSEC v kořenové zóně Proč postupné nasazení? Internetová prehistorie Původně DNS zpráva max. 512 oktetů RFC2671 EDNS0 odstraňuje omezení až do maximální velikosti UDP paketu prakticky se používá 4096 bajtů Spousta firewallů zapsala dobu 40

DNSSEC v kořenové zóně co dál? Květen Červen 2010 Analýza a finální rozhodnutí o nasazení 1. červenec 2010 Publikování správných klíčů Publikování správných podpisů Předtím Příprava na vkládání DS záznamů od TLD Vložení všech DS záznamů TLD do kořenové zóny Zrušení ITAR časem 41

DNSSEC projekty v CZ.NIC Labs DNSSEC Tester DNSSEC Validátor ODVR 42

DNSSEC Tester Testování lokální sítě na podporu DNSSEC Python aplikace (Linux, Mac OS X, Windows) Mnoho faktorů Podpora na firewallu (ADSL modem, WiFi, ) Podpora používaných resolverů Spolehlivé výsledky http://www.dnssec-tester.cz/ V laboratorním prostředí 43

DNSSEC Validátor Doplněk pro Mozilla Firefox http://www.dnssec-validator.cz/ Kontroluje a zobrazuje DNSSEC validaci URL Použití systémových nebo vlastních resolverů Vývoj: https://labs.nic.cz/dnssec-validator/

ODVR Otevřené DNSSEC Validující Resolvery Třetí na světě (+DNS OARC, Comcast) Validuje domény z ITARu Použití (resolv.conf): 217.31.204.130, 217.31.204.131 2001:1488:800:400::130, 2001:1488:800:400::131

Vyvíjej, Inovuj, Programuj Soutěž pro programátory Obdoba Google SoC Výsledek užitečný pro internetovou komunitu Open Source http://www.nic.cz/vip/ Uzávěrka dalšího kola: 30.dubna 2010!

47

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář