DNS, jak ho (možná) neznáte

Podobné dokumenty
Ondřej Caletka. 23. května 2014

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Principy a správa DNS

Principy a správa DNS

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Ondřej Caletka. 2. března 2014

Principy a správa DNS

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Správa a zabezpečení DNS

Principy a správa DNS

Principy a správa DNS

Falšování DNS s RPZ i bez

DNS. Počítačové sítě. 11. cvičení

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Principy a správa DNS

Jmenné služby a adresace

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

Domain Name System (DNS)

DNSSEC na vlastní doméně snadno a rychle

DNSSEC Pavel Tuček

Y36SPS Jmenné služby DHCP a DNS

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

Principy a správa DNS - cvičení

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Správa a provoz serveru Knot DNS

DNS, DHCP DNS, Richard Biječek

Domain Name System (DNS)

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Administrace Unixu (DNS)

DNS Domain Name System

Překlad jmen, instalace AD. Šimon Suchomel

Poslední aktualizace: 1. srpna 2011

Principy a správa DNS - cvičení

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Útok na DNS pomocí IP fragmentů

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

Jak se měří Internet

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Y36SPS: Domain name systém 1. Seznamte se s výchozími místy uložení konfiguračních souborů serveru bind9 v Debianu

Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

Jak se měří Internet

DNSSEC na vlastní doméně snadno a rychle

StartSSL: certifikáty zdarma

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.


Linux jako broadband router (2)

Správa linuxového serveru: DNS a DHCP server dnsmasq

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

DHCP a DNS a jak se dají využít v domácí síti

Serverové systémy Microsoft Windows

Ochrana soukromí v DNS

Serverové systémy Microsoft Windows

Knot DNS Knot Resolver

Další nástroje pro testování

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

ové služby na IPv6-only

Analýza otrávené DNS cache

DNSSEC: implementace a přechod na algoritmus ECDSA

DNS,BIND - jednoduche zaklady Jiri Kubina jiri.kubina@osu.cz Ver. 1.0 unor 2006

Bezpečnější pošta aneb DANE for SMTP

DoS útoky v síti CESNET2

Počítačové sítě 1 Přednáška č.10 Služby sítě

ové služby a IPv6

Serverové systémy Microsoft Windows

Domain Name System. Hierarchie

Stránka, doména, URL, adresa

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Ondřej Caletka. 5. listopadu 2013

Provozní manuál DNSSec pro registr.cz a e164.arpa

Téma 2 - DNS a DHCP-řešení

Zajímavé funkce OpenSSH

Automatická správa keysetu. Jaromír Talíř

Bezpečnější pošta díky DANE

Síť LAN. semestrální práce X32PRS Ondřej Caletka ČVUT V PRAZE, Fakulta Elektrotechnická

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

15. DNS. Miroslav Spousta, Domain Name System. eklad ze snadno zapamatovatelných jmen na IP adresy. Historie

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

Jen správně nasazené HTTPS je bezpečné

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Semestrální projekt 2. část

Site - Zapich. Varianta 1

Směrování VoIP provozu v datových sítích

L i n u x j a k o r o u t e r, f i r e w a l l, D H C P s e r v e r, p r o x y a D N S c a c h e, 2. č á s t

Inovace bakalářského studijního oboru Aplikovaná chemie

Adresářové služby, DNS

Knot DNS Resolver. Modulární rekurzivní resolver. Karel Slaný

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

DNSSEC během 6 minut

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

Inovace výuky prostřednictvím šablon pro SŠ

Transkript:

DNS, jak ho (možná) neznáte Ondřej Caletka 11 listopadu 2014 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 30 Česko Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 1 / 35

O sdružení CESNET Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 2 / 35

Obsah 1 Letem světem DNS 2 DNSSEC jako bezpečné uložiště 3 Dynamické DNS 4 Passive DNS Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 3 / 35

O službě DNS wwwcesnetcz? wwwcesnetcz! wwwcesnetcz? cz NS wwwcesnetcz? cesnetcz NS wwwcesnetcz? wwwcesnetcz! ROOT TLD cz SLD wwwcesnetcz stub resolver rekurzivní resolver autoritativní server Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 4 / 35

Hierarchická struktura DNS zón Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 5 / 35

Pojmy z DNS zóna Část globální databáze, samostatně spravovaná Např: zóna cz spravovaná CZNIC autoritativní server Server poskytující odpovědi ze zón, které drží Např: ansniccz rekurzivní server/resolver Server, který dokáže postupnými dotazy zjistit odpověď na libovolný DNS dotaz Např: Google Public DNS 8888 stub resolver Knihovní funkce, tvoří rozhraní mezi aplikací a rekurzivním serverem Např: glibc Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 6 / 35

DNS zpráva Binární formát Společné záhlaví ID transakce Stavový kód Příznaky AA Authoritative Answer RD Recursion Desired RA Recursion Available TC TrunCated message Čtyři sekce s resource records QUERY dotaz ANSWER konečná odpověď AUTHORITY odkaz (referral) ADDITIONAL doplňující informace Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 7 / 35

DNS Resource Record Udržován v cache po dobu TTL Názvy domén jako spojový seznam labels Komprese opakujících se názvů ẉwwcesnetcz 3600 IN A 195113144230 Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 8 / 35

Typy záznamů A IPv4 adresa AAAA IPv6 adresa PTR Reverzní záznam Adresa se převrátí a připojí pod strom in-addrarpa, nebo ip6arpa MX Mail exchange - SMTP server CNAME Canonical Name - alias Nelze kombinovat s jiným typem RR pro stejné jméno Neměl by se řetězit SRV Hledání služeb (SIP, XMPP, atd) SSHFP SSH finger print TLSA TLS certifikát (DANE) Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 9 / 35

EDNS0 Historický limit UDP DNS paketu 512 B Později přidána rozšiřující hlavička jako záznam typu EDNS0 v poli ADDITIONAL Inzeruje podporovanou délku UDP paketu (např 4096 B) Obsahuje další příznak DO -- DNSSEC OK Větší UDP zpráva šetří používání TCP, zhoršuje ale následky zesilujících útoků EDNS0 může další volby: Informaci o klienské podsíti (problém CDN vs 8888) Informaci o podporovaných DNSSEC algoritmech Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 10 / 35

DNSSEC Rozšíření zajišťující autenticitu DNS dat Využívá princip elektronického podpisu Nepoužívá PKI model, důvěra je delegována hierarchicky Validaci provádějí obvykle rekurzivní resolvery K validaci je potřeba nakonfigurovat pevný bod důvěry (obvykle otisk klíče kořenové zóny) Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 11 / 35

Reverzní delegace Adresa se převrátí (IPv4 po oktetech, IPv6 po nibblech) a připojí pod strom in-addrarpa, nebo ip6arpa IPv4 serverexamplecom IN A 192021 120192in-addrarpa IN PTR serverexamplecom IPv6 serverexamplecom IN AAAA 2001:db8:123:456::1 1000000000000000\ 654032108bd01002ip6arpa IN PTR serverexamplecom Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 12 / 35

Delegace a subdelegace Způsob, jak je sestaven DNS strom Nadřazená zóna obsahuje NS záznam s adresou serveru s zónou nižší úrovně Např: cz IN NS ansniccz Pokud server pro zónu leží uvnitř stejné zóny, je třeba navíc GLUE záznam Např: ansniccz IN A 1940121 Tyto informace se použijí pouze pro prvotní nasměrování (priming) Po spojení s delegovaným serverem jsou v cache přepsány informacemi z cílové zóny Záznamy patřící do subdelegace DNS server ignoruje Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 13 / 35

Subdelegace příklad $ORIGIN examplecz $TTL 3600 @ IN SOA IN NS ns1 ; toto není delegace ns1 IN A 192021 sub IN NS nssub ; toto je delegace IN NS servernekdecz ; GLUE záznam - nutný nssub IN A 192022 ; nonsens - out-of-zone data servernekdecz IN A 192023 ; nonsens - data v delegované zóně, která nejsou GLUE serversub IN A 192024 Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 14 / 35

Reverzní classless delegace Problém: Rozsahy IPv4 adres jsou menší, než celá třída Zóna 20192in-addrarpa 128/25 IN NS serverexamplecom IN NS secondaryexamplecom 128 IN CNAME 128128/25 129 IN CNAME 129128/25 255 IN CNAME 255128/25 Zóna 128/2520192in-addrarpa 129 IN PTR serverexamplecom Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 15 / 35

Zónové přenosy Synchronizace autoritativních serverů Slave servery periodicky dotazují SOA master serveru Došlo-li ke zvýšení sériového čísla, požádají pomocí TCP o záznam typu AXFR, nebo IXFR Master server odpoví kompletním obsahem zóny (AXFR), nebo změnou proti předchozímu sériovému číslu (IXFR) Není-li master dlouho dostupný, zóna expiruje Master může upozornit slave servery zprávou NOTIFY Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 16 / 35

Zabezpečení přenosu pomocí TSIG Zabezpečení DNS dotazu elektronickým podpisem Využívá sdílené tajemství a algoritmus HMAC Lze použít např místo omezování IP adres pro zónové přenosy Vygenerování sdíleného tajemství $ openssl rand -base64 32 UKoj75Qy5BOGbOKxRDJhtKRQkdYXmrsIPcdy2nBchJI= Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 17 / 35

Časování a synchronizace odpovědi serverů kešovány po TTL daného záznamu negativní odpovědi kešovány podle hodnoty SOA minimum nesynchronnost serverů vede ke split-brain: o odpovědi rozhoduje náhoda Za jak dlouho se změna nejpozději projeví? s NOTIFY bez NOTIFY nový SOA minimum SOA minimum + SOA refresh změna TTL starého TTL starého + SOA refresh Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 18 / 35

DNSSEC jako bezpečné uložiště Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 19 / 35

SSHFP záznamy Umístění otisku serverového klíče do DNS vygenerování klíče $ ssh-keygen -r server server IN SSHFP 1 1 b2 16 server IN SSHFP 1 2 e9 a307881a26da5961f41ef41ccc server IN SSHFP 2 1 6c 57 server IN SSHFP 2 2 1e 44963ffbf82b1c028d365b859e server IN SSHFP 3 1 3f a3 server IN SSHFP 3 2 a9 9d7dd752bea56ff505281c7ed1 validace $ echo "VerifyHostKeyDNS yes" >> ~/ssh/config http://wwwrootcz/clanky/dnssec-jako-bezpecne-uloziste-ssh-klicu/ Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 20 / 35

TLSA záznamy (DANE) generujte pomocí utility swede zvolte usage podle vašeho vztahu s CA: 0 připíchnutí CA 1 připíchnutí koncového certifikátu 2 vložení nové CA 3 vložení koncového certifikátu bez ohledu na PKI pro free DV certifikáty se nejvíc hodí typ 3 http://wwwrootcz/clanky/pripichnete-si-ssl-certifikat-k-domene/ Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 21 / 35

Dynamické DNS Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 22 / 35

Dynamické IPv6 záznamy Běžná praxe v IPv4 spočívá ve vygenerování všech možných DNS záznamů Pro IPv6 nemožné, soubor pro jednu podsíť /64 by zabíral stovky EiB (2 60 ) Řešením je dynamické generování, podporované v Knot DNS 15+ Příklad examplecz { file "/etc/knot/emptyzone"; query_module { synth_record "forward dyn- 60 2001:db8:1::/64"; synth_record "forward dyn- 60 192020/24"; } } Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 23 / 35

Dynamické DNS Tradiční DNS servery načítají zónový soubor Změna dat vyžaduje změnu zónového souboru a reload serveru Dynamické DNS je rozšíření DNS protokolu o možnost aktualizace dat Server změny aplikuje automaticky a zvyšuje sériové číslo Po zapnutí DDNS není již nadále možné editovat zónové soubory Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 24 / 35

Zprovoznění DDNS 1 Nastavíme TSIG klíč 2 Povolíme dynamické aktualizace 3 Aktualizujeme utilitou nsupdate Příklad nsupdate > server n72nebulacesnetcz > update delete testexamplecom > update add testexamplecom 60 IN TXT "test" > send Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 25 / 35

Nsdiff Nevýhodou DDNS je ztráta formátování a komentářů ve zdrojových souborech Není možné kombinovat DDNS a editaci zónového souboru na jedné zóně Možným řešením je utilita nsdiff Ta porovná starou zónu s novou a vygeneruje skript pro nsupdate, který změny aplikuje $ nsdiff examplecom examplecomzone nsupdate Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 26 / 35

Passive DNS Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 27 / 35

Myšlenka passive DNS sbírat veřejná DNS data na rekurzivních DNS serverech zjišťovat, na co se lidé ptají nezjišťovat, kdo se ptá (ochrana soukromí) ukládat do databáze spolu s časovou značkou získat tak informace o historii DNS dat mít možnost pokládat inverzní DNS dotazy Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 28 / 35

Dva přístupy k passive DNS 1 zachytávání před rekurzivním serverem zaznamenávání každé uživatelské aktivity přesné sledování četnosti dotazů 2 zachytávání za rekurzivním serverem menší objem dat díky cache implicitní ochrana soukromí Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 29 / 35

Passive DNS za rekurzivním serverem stub resolver rekurzivní resolver autoritativní server wwwcesnetcz? wwwcesnetcz! wwwcesnetcz? cz NS wwwcesnetcz? cesnetcz NS wwwcesnetcz? wwwcesnetcz! ROOT TLD cz SLD wwwcesnetcz pdns DB Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 30 / 35

Technické provedení senzor sbírá DNS provoz pomocí PCAP knihovny v blízkosti DNS serveru je možné jej buď spustit na stejném stroji jako DNS server, nebo klonovat data switchi data se zapisují do binárních souborů po minutách soubory jsou posílány pomocí SCP do databáze Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 31 / 35

Databáze pdns 1 ISC/Farsight DNSDBinfo 2 BFK 3 CERTat založeno na PosgreSQL miliarda položek v databázi 100 GB RAM, data na SSD discích Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 32 / 35

Webové rozhraní pdns@certat Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 33 / 35

Příklady použití odhalení řídicích serverů botnetů, ve spolupráci s NetFlow také odhalení infikovaných stanic odpověď na otázky: jde o zneužití legitimní služby, nebo o cílený hosting škodlivého obsahu? jaké další weby jsou hostovány na stejné IP adrese? kontrola neoprávněného využití adresního prostoru (například sítě CESNET2) výzkum nad globálními DNS daty které domény jsou hostovány pouze na území jednoho státu? jak často se mění data v různých doménách? Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 34 / 35

Konec Děkuji za pozornost Ondřej Caletka OndrejCaletka@cesnetcz http://ondřejcaletkacz Ondřej Caletka (CESNET, z s p o) DNS, jak ho (možná) neznáte 11 listopadu 2014 35 / 35

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář