DNSSEC na vlastní doméně snadno a rychle

Podobné dokumenty
DNSSEC na vlastní doméně snadno a rychle

Provozní manuál DNSSec pro registr.cz a e164.arpa

Věc C-95/04. British Airways plc v. Komise Evropských společenství

ZADÁVACÍ DOKUMENTACE

Outlook manuál. BeeOnline. Rychlý kontakt:

Principy a správa DNS - cvičení

FAKULTNÍ NEMOCNICE BRNO. Jihlavská 20, Brno tel:

ICT plán ZŠ praktické Bochov na rok 2009

Rozšířená nastavení. Kapitola 4

Pokyny k instalaci FRIATRACE Verze 5.3

VÝZVA K PODÁNÍ NABÍDKY NA PLNĚNÍ VEŘEJNÉ ZAKÁZKY MALÉHO ROZSAHU NA STAVEBNÍ PRÁCE

KVALIFIKAČNÍ DOKUMENTACE k veřejné zakázce zadávané podle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů

Výzva k podání nabídky na

Parlament České republiky Poslanecká sněmovna 3. volební období rozpočtový výbor. USNESENÍ z 51. schůze dne 3. října 2001

Český Aeroholding, a.s. dluhopisový program v maximálním objemu nesplacených dluhopisů Kč s dobou trvání programu 10 let

AP INVESTING, s.r.o., Palackého 12, Brno, tel.: , fax:

Ondřej Caletka. 2. března 2014

Server. Software serveru. Služby serveru

Smlouva o nájmu pozemku

Využití EduBase ve výuce 10

Manuál uživatele čipové karty s certifikátem

Oprava střechy a drenáže, zhotovení a instalace kované mříže kostel Sv. Václava Lažany

MĚSTO CHOTĚBOŘ. Trčků z Lípy 69, Chotěboř. Ing. Tomáš Škaryd, starosta města

NSA310. Příručka k rychlé instalaci. Multimediální server s jedním diskem. Výchozí přihlašovací údaje. Webová adresa: nsa310 Heslo: 1234

DOMOVNÍ ŘÁD. DOMOVNÍ ŘÁD Družstvo Tobrucká 713, družstvo 1 / 6

Kombinace solárního systému a kotle na biomasu 42/216

Vybrané změny v oblasti nemovitostí ve vztahu k energetice

Všeobecné podmínky provozu sběrných míst kolektivního systému Eltma

Centrum pro flexibilní zpracování plechových polotovarů (II)

Abeceda elektronického podpisu

Zadávací dokumentace. Příloha

ZŘÍZENÍ SAMOSTATNÉ METEOROLOGICKÉ STANICE

OBCHODNÍ PODMÍNKY O NÁKUPU CNG PROSTŘEDNICTVÍM KARET CNGvitall

Desetiminutový úklid 4 Třicetiminutový úklid 4 Hodinový úklid: 4 Úklid ve třech hodinách 5 Půldenní úklid 5

9. funkční období. (Navazuje na sněmovní tisk č. 590 z 6. volebního období PS PČR) Lhůta pro projednání Senátem uplyne 1.

Nákup zdravotnických pomůcek

VŠEOBECNÉ PODMÍNKY PRO POSKYTOVÁNÍ TELEKOMUNIKAČNÍCH SLUŽEB

KVALIFIKAČNÍ DOKUMENTACE k veřejné zakázce zadávané podle zákona č. 137/2006 Sb., o veřejných zakázkách, v platném znění

Obytná budova musí z hlediska elektrických rozvodů splňovat požadavky na:

(Nelegislativní akty) NAŘÍZENÍ

PŘÍLOHA Č. 2 RÁMCOVÉ SMLOUVY SOUPIS DOPROVODNÝCH BEZPLATNÝCH SLUŽEB. 1. Pravidla poskytování doprovodných bezplatných služeb

INTERNETOVÝ TRH S POHLEDÁVKAMI. Uživatelská příručka

DATOVÉ SCHRÁNKY. Seminární práce z předmětu Information and communication policy

Výzva k podání nabídky

ICT plán školy 2015/2016

Adresa příslušného úřadu: Městský úřad stavební úřad Náměstí T.G.M 89, sídlo Bratrská 358 (zámek) Lipník nad Bečvou

Město Týnec nad Sázavou K Náklí 404, Týnec nad Sázavou

Obec Nová Ves I. Výzva k podání nabídky

Odpájecí stanice pro SMD. Kontrola teploty, digitální displej, antistatické provedení SP-HA800D

Zabezpečení Uživatelská příručka

Zabezpečení. Uživatelská příručka

Město Břidličná. Nábřežní 452, Břidličná, tel. : IČ : , tajemnik@mu-bridlicna.cz

Příspěvky poskytované zaměstnavatelům na zaměstnávání osob se zdravotním postižením Dle zákona č. 435/2004 Sb., o zaměstnanosti, v platném znění.

MĚSTO BENEŠOV. Rada města Benešov. Vnitřní předpis č. 16/2016. Směrnice k zadávání veřejných zakázek malého rozsahu. Čl. 1. Předmět úpravy a působnost

KUPNÍ SMLOUVA. bankovní spojení: č.ú.:., vedený u

NAŘÍZENÍ STATUTÁRNÍHO MĚSTA LIBEREC č. 1/2013, kterým se vydává TRŽNÍ ŘÁD. Čl. 1. Předmět úpravy

FAKULTNÍ NEMOCNICE BRNO. Jihlavská 20, Brno tel:

ZADÁVACÍ DOKUMENTACE

LED svítidla - nové trendy ve světelných zdrojích

Stanovy sdružení JM Net, o. s. ve zněním platném od

veřejná zakázka na stavební prace s názvem: Sdružená kanalizační přípojka - Město Lázně Bělohrad

Výzva k podání nabídky včetně zadávací dokumentace na veřejnou zakázku malého rozsahu

Výzva k podání nabídky včetně zadávací dokumentace na veřejnou zakázku malého rozsahu

WD Passport TM. Přenosný PEVNÝ DISK. Příručka pro rychlou instalaci

5. VZORKY. Obsah. 5.1 Vzorky 5. VZORKY 52

Vyhrazená elektrická zařízení

POLICIE ČESKÉ REPUBLIKY KRAJSKÉ ŘEDITELSTVÍ POLICIE PLZEŇSKÉHO KRAJE. Č.j. KRPP /ČJ VZ-VZ Plzeň 7.října 2013

Ú Z E M N Í R O Z H O D N U T Í O Z MĚNĚ VYUŽITÍ ÚZEMÍ. r o z h o d n u t í o z měně využití území

Rada Asociace krajů České republiky. 6. zasedání Rady dne září 2013 v Ústí nad Labem 4. funkční období Rady TISK: 44

Návod na zřízení datové schránky právnické osoby nezapsané v obchodním rejstříku

Dodatek k Dotazníku k preventivním právním opatřením v Evropě. Úprava preventivních právních opatření v České republice. Důležitá vysvětlení:

Statut STATUT FONDU PRO DĚTI OHROŽENÉ ZNEČIŠTĚNÍM OVZDUŠÍ. Statutární město Ostrava odbor ochrany životního prostředí. Článek 1 Úvodní ustanovení

POZVÁNKA NA MIMOŘÁDNOU VALNOU HROMADU

Výzva k podání nabídky včetně zadávací dokumentace na veřejnou zakázku malého rozsahu

ZADÁVACÍ DOKUMENTACE SVAZEK 1

Západní město Stodůlky, Administrativní dům A2 plynovod 1.etapa

Usnesení o nařízení dražebního jednání (Elektronická dražba) usnesení o nařízení dražebního jednání (dražební vyhláška)

Výzva k podání nabídek

/2000 CZ Pro odbornou firmu. Montážní návod. Regulační přístroj Logamatic 41xx. Před montáží pečlivě přečíst

PROVOZNÍ ŘÁD. školní tělocvičny v Okříškách. Článek II. Rozsah a umístění. Článek III. Využití objektu

Obchodní podmínky. 1. Úvodní ustanovení. 2. Cena zboží a služeb a platební podmínky

ZNAK ČERVENÉHO KŘÍŽE, JEHO OCHRANA A UŽÍVÁNÍ

Výzva k podání nabídky včetně zadávací dokumentace na veřejnou zakázku malého rozsahu

Principy a správa DNS - cvičení

Výzva k podání nabídky včetně zadávací dokumentace na veřejnou zakázku malého rozsahu

Přihláška do Jezdeckého oddílu Blaťák Mažice, z.s.

Zadávací dokumentace

Záloha a obnovení Uživatelská příručka

ST-EC Elektrická trouba

DIGITÁLNÍ TECHNOLOGIE VE VZDĚLÁVÁNÍ. Daniela Růžičková, NÚV ICT ve školství,

TÉMA BAKALÁŘSKÉ PRÁCE

Zákon o elektronickém podpisu

ZADÁVACÍ DOKUMENTACE K ZAKÁZCE ZADÁVANÉ DLE PRAVIDEL PRO VÝBĚR DODAVATELŮ OPPI A SUBSIDIÁRNĚ DLE ZÁKONA Č. 137/2006 SB

Knihovny, autoři, nakladatelé a knihkupci a autorský zákon -

PRAVIDLA PRO PŘIDĚLOVÁNÍ BYTŮ V MAJETKU MĚSTA ODOLENA VODA

SMLOUVA KUPNÍ č. uzavřená podle 409 a následujících zák. č. 513/1991 Sb. (Obchodní zákoník)

Výzva k podání nabídky

DVR Uživatelský manuál. Uživatelský manuál DVR

KUPNÍ SMLOUVA LIMNIGRAFY

Veřejná zakázka zadávaná v otevřeném zadávacím řízení s názvem: Dodávka multifunkčních zařízení, včetně tiskového systému

Transkript:

DNSSEC na vlastní doméně snadno a rychle Ondřej Caletka 6. března 2016 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 1 / 19

O sdružení CESNET Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 2 / 19

Když se řekne DNSSEC systém end-to-end zabezpečení autenticity DNS zpráv majitel domény podepisuje, kdokoli může validovat hierarchická delegace důvery v nadřazené zóně je umístěn otisk klíče (DS záznam) otisk klíče kořenové zóny je součástí výbavy každého validátoru i u nepodepsané domény probíhá validace nadřazených zón až po podepsanou informaci, že další zóny podepsány nejsou Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 3 / 19

Validace v prohlížeči rozšíření DNSSEC a TLSA validátor obsahuje kompletní DNSSEC resolver kontroluje, zda se prohlížeč připojuje na správnou adresu nezasahuje do validace TLS spojení v prohlížeči Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 4 / 19

Validace na serveru / domácím routeru stačí aktuální BIND nebo Unbound konfigurace je obvykle připravena, stačí vložit klíč kořenové zóny režim plné rekurze nebo forwardování na nadřazený DNS server problémy s chybami v nadřazených serverech znemožňující validaci některých jmen režim plné rekurze špatně škáluje, vyžaduje nezasahování ISP do udp/53 provozu Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 5 / 19

Problém poslední míle DNSSEC z principu nechrání před útokem na poslední míli mezi validátorem a konzumentem specifikace nařizuje bezpečný kanál jsou-li pochybnosti o bezpečnosti kanálu, je nutné kritická data znovu validovat validace na vzdáleném serveru hlavně chrání server před otrávením své vlastní cache Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 6 / 19

DNSSEC detekuje, ale neopravuje Součástí specifikace DNSSEC není křišťálová koule. Validátory manipulaci detekují, ale nejsou schopny zmanipulovaná data opravit. Nejčastější příčiny nevalidních DNS dat: zastaralé verze rekurzivních DNS serverů nevhodné konfigurace firewallů captive portály chyba na straně držitele domény Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 7 / 19

DNSSEC na vlastním serveru vyrobit klíč(-e) klíči pravidelně podepisovat všechny DNS záznamy umístit otisk klíče do nadřazené zóny klíče pravidelně vyměňovat Zjednodušení s eliptickými křivkami použití eliptických křivek generuje krátké a silné klíče takové není třeba měnit dříve než za několik let pro celou doménu nám stačí jediný klíč Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 8 / 19

In-line signing v BIND 9.9 automaticky pravidelně podepisuje zónu nemění původní zónové soubory vyžaduje ruční generování klíčů Na nás tedy zbývá: 1 vygenertovat klíč 2 upravit konfiguraci 3 publikovat DS záznam v nadřazené zóně Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 9 / 19

Základem je dostatek entropie generování klíčů i podpisů potřebuje náhodná čísla standardně se používá /dev/random není-li v systému dostatečná entropie, celý BIND vytuhává použití /dev/urandom není bezpečné správné řešení: instalace haveged # apt-get install haveged Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 10 / 19

Výchozí stav Zónový soubor v /etc/bind $ORIGIN if.acad.cz. $TTL 60 @ IN SOA ns hostmaster 1 120 10 3600 60 @ IN NS ns ns IN A 192.0.2.53 IN AAAA 2001:db8::53 Konfigurace v named.conf.local zone "if.acad.cz" { type master; file "/etc/bind/if.acad.cz"; }; Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 11 / 19

Vygenerujeme klíče nutno upravit práva, aby BIND mohl číst privátní klíče symlinkujeme zónový soubor do pracovního adresáře # mkdir /etc/bind/keys # cd /etc/bind/keys # dnssec-keygen -a ECDSAP256SHA256 -fk if.acad.cz Generating key pair. Kif.acad.cz.+013+24937 # chmod g+r K*.private # ln -s /etc/bind/if.acad.cz /var/cache/bind/ Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 12 / 19

Upravíme konfiguraci Konfigurace zóny v named.conf.local zone "if.acad.cz" { type master; file "if.acad.cz"; inline-signing yes; auto-dnssec maintain; key-directory "/etc/bind/keys"; }; Po reloadu vzniknou v pracovním adresáři soubory: if.acad.cz.jnl žurnál změn v originálním souboru if.acad.cz.signed podepsaný zónový soubor if.acad.cz.signed.jnl žurnál podepsaného souboru Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 13 / 19

Máme podepsáno případné změny jsou automaticky podepisovány podpisy jsou automaticky obnovovány zbývá o tom dát vědět nadřazené zóně.cz,.eu registrátorovi předáme přímo veřejný klíč ostatní registrátorovi předáme DS záznam vygenerovaný z veřejného klíče a doménového jména # dnssec-dsfromkey /etc/bind/keys/kif.acad.cz.+013+24937.key if.acad.cz. IN DS 24937 13 1 CC4BE 9F723C071F263 if.acad.cz. IN DS 24937 13 2 C117A41CF0 100C416BFB6DB1B3D9189324 Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 14 / 19

On-line kontroly Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 15 / 19

Výměna klíče Publikace nového klíče # cd /etc/bind/keys # dnssec-keygen -a ECDSAP256SHA256 -fk if.acad.cz Generating key pair. Kif.acad.cz.+013+26322 # chmod g+r K*.private # rndc sign if.acad.cz stačí jednou za n let, kde n < 10 po publikaci jsou oba klíče aktivní, je možné změnit DS záznam (po určité době) Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 16 / 19

Deaktivace a vymazání původního klíče # cd /etc/bind/keys # dnssec-settime -I +1d -D +1W Kif.acad.cz.+013+24937 # chmod g+r K*.private v okamžiku deaktivace (-I) již klíč neslouží k podpisování, je ale přítomen pro účely ověření podpisů v okamžiku vymazání (-D) je klíč zcela odstraněn a všechny podpisy nahrazeny Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 17 / 19

Závěrem podepisování v BINDu představuje minimální nároky na úpravu stávajících nástrojů ve výchozím stavu se používá NSEC, možnost přepnout na NSEC3 Přechod na NSEC3 # rndc signing -nsec3param 1 0 10 0deafbee if.acad.cz Potřebuje vůbec vaše doména DNSSEC? Pokud na ní přijímate e-maily, pak bezpochyby ano. Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 18 / 19

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně snadno a rychle 6. března 2016 19 / 19

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář