Bezpečnější bezpečnější díky DANE

Podobné dokumenty
Bezpečnější pošta aneb DANE for SMTP

Bezpečnější pošta díky DANE

Ochrana soukromí v DNS

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

ové služby a IPv6

StartSSL: certifikáty zdarma

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

ové služby na IPv6-only

Co musíte vědět o šifrování

ové reputační systémy

Co musíte vědět o šifrování

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

Falšování DNS s RPZ i bez

DNSSEC na vlastní doméně snadno a rychle

Správa linuxového serveru: Úvod do poštovního serveru

Certificate Transparency

IP telephony security overview

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Ondřej Caletka. 2. března 2014

Jen správně nasazené HTTPS je bezpečné

DoS útoky v síti CESNET2

Správa a zabezpečení DNS

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Bezpečnostní problémy VoIP a jejich řešení

Informatika / bezpečnost

DNSSEC Pavel Tuček

Bezpečnost vzdáleného přístupu. Jan Kubr

Nastavení skenování do u Technický průvodce

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

Ondřej Caletka. 13. března 2014

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Ondřej Caletka. 23. května 2014

Stránka, doména, URL, adresa

OpenSSL a certifikáty

Bezpečnost. Michal Dočekal

Ondřej Caletka. 21. října 2015

Dual-stack jako řešení přechodu?

pomocí S/MIME ezprava.net s.r.o. 21. ledna 2015

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Rozdělení šifer Certifikáty a jejich použití Podání žádosti o certifikát. Martin Fiala digri@dik.cvut.cz

Ondřej Caletka. 27. března 2014

BCOP aneb jak správně nasazovat

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

DNSSEC na vlastní doméně snadno a rychle

Schéma e-pošty. UA (User Agent) rozhraní pro uživatele MTA (Message Transfer Agent) zajišťuje dopravu dopisů. disk. odesilatel. fronta dopisů SMTP

y s garantovaným odesílatelem a obsahem v praxi s využitím DKIM. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Certificate Transparency

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Protokoly omezující moc certifikačních autorit

Bezpečné placení na Internetu

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Linux jako mail server

Demo: Multipath TCP. 5. října 2013

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Elektronický podpis. Marek Kumpošt Kamil Malinka

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Jak se měří Internet

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

Analýza otrávené DNS cache

DNS, jak ho (možná) neznáte

Inovace bakalářského studijního oboru Aplikovaná chemie

Elektronický podpis na dokumentech DNV

Y36SPS Jmenné služby DHCP a DNS

DNSSEC: implementace a přechod na algoritmus ECDSA

SSL Secure Sockets Layer

Zajímavé funkce OpenSSH

Michaela Sluková, Lenka Ščepánková

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Automatická správa keysetu. Jaromír Talíř

Anonymní komunikace praktické příklady

Jak se měří Internet

Šifrování pro úplné začátečníky

Domain Name System (DNS)

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 8

Současné problémy certifikačních autorit

DNSSEC a CSIRT. aneb co může udělat webhoster pro bezpečnější internet. Ing. Tomáš Hála ACTIVE 24, s.r.o.

PSK2-16. Šifrování a elektronický podpis I

L i n u x j a k o r o u t e r, f i r e w a l l, D H C P s e r v e r, p r o x y a D N S c a c h e, 2. č á s t

ENUM Nová dimenze telefonování. CZ.NIC z.s.p.o. Pavel Tůma / pavel.tuma@nic.cz

Mobilní malware na platformě Android Přednáška 2. Ing. Milan Oulehla

IMPLEMENTACE SYSTÉMU GROUPWISE NA PEF ČZU V PRAZE IMPLEMENTATION OF THE SYSTEM GROUPWISE ON THE PEF ČZU PRAGUE. Jiří Vaněk, Jan Jarolímek

InternetovéTechnologie

Ondřej Caletka. 5. listopadu 2013

Pokročilé Webové služby a Caché security. Š. Havlíček

Administrace Unixu (Mailování)

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

DNSSEC během 6 minut

Projekt JetConf REST API pro vzdálenou správu

(5) Klientské aplikace pro a web, (6) Elektronický podpis

Bezpečnost sítí

ING Public Key Infrastructure ING PKI Postup při vydávaní certifikátů. Verze 5.2 květen 2012

Testovací SSL certifikát THAWTE

Provozní manuál DNSSec pro registr.cz a e164.arpa

Transkript:

Bezpečnější e-mail bezpečnější díky DANE Ondřej Caletka 8 listopadu 2015 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 30 Česko Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 1 / 23

O sdružení CESNET Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 2 / 23

Elektronická pošta starší než Internet přepojování zpráv hop-by-hop na internetu používá protokol SMTP E-mailová etiketa E-mail není důvěrný: Do e-mailu nepište nic, co byste nenapsali na zadní stranu pohlednice Vaše e-mailová korespondence se kdykoli může dostat do nepovolaných rukou zdroj Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 3 / 23

Princip SMTP To: bob@borg From alice@aorg Dear Bob 1 To: bob@borg From alice@aorg Dear Bob 5 Alice's MUA SMTP To: bob@borg From: alice@aorg POP3 4 Bob's MUA Dear Bob smtpaorg The Internet SMTP mxborg pop3borg mxborg 3 MX for borg? 2 DNS DNS nsborg Yzmo at the English language Wikipedia CC-BY-SA 30 Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 4 / 23

Kdo poslouchá? server odesílatele server příjemce kdokoli s odbočkou na kabelu Best Current Practice #188 Internet Engineering Task Force (IETF) S Farrell Request for Comments: 7258 Trinity College Dublin BCP: 188 H Tschofenig Category: Best Current Practice ARM Ltd ISSN: 2070-1721 May 2014 Abstract Pervasive Monitoring Is an Attack Pervasive monitoring is a technical attack that should be mitigated in the design of IETF protocols, where possible Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 5 / 23

Bezpečnější e-mail End-to-end S/MIME CMS PGP vysoká úroveň bezpečnosti obtížné použití Hop-by-hop DKIM SMTP over TLS bez přímé účasti uživatele jen proti třetím stranám Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 6 / 23

Oportunistické šifrování server signalizuje podporu STARTTLS klient naváže anonymní TLS spojení ověření identity se neprovádí vyhoví i slabé a nebezpečné šifry při selhání TLS spojení je doručeno bez šifrování odolné pouze proti pasivnímu odposlechu lze definovat cíle s vynuceným šifrováním např Gmail, Seznam, jak takový seznam získat a udržovat? Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 7 / 23

V ideálním světě všechny SMTP servery příjimají poštu šifrovaně každý SMTP server používá validní TLS certifikát od důvěryhodné autority předávání e-mailů je pak naprosto bezpečné nebo snad ne? Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 8 / 23

Princip SMTP To: bob@borg From alice@aorg Dear Bob 1 To: bob@borg From alice@aorg Dear Bob 5 Alice's MUA SMTP To: bob@borg From: alice@aorg POP3 4 Bob's MUA Dear Bob smtpaorg The Internet SMTP mxborg pop3borg mxborg 3 MX for borg? 2 DNS DNS nsborg Yzmo at the English language Wikipedia CC-BY-SA 30 Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 9 / 23

Ten DNSSEC bude asi fakt potřeba bez bezpečného DNS není možné věřit směrování MX záznamů certifikáty serverů by musely být vystaveny na jméno domény, pro kterou přijímají poštu což je stejně špatné, jako u dnešního webu pro e-maily velmi nepraktické bezpečné DNS může nést informaci o vynucení šifrování předávané pošty Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 10 / 23

TLSA záznam pro vynucení šifrování umístění otisku serverového certifikátu v DNS použití pro SMTPS standardizováno v RFC 7672 několik různých způsobů použití: 0 připíchnutí CA 1 připíchnutí koncového certifikátu 2 vložení nové CA 3 vložení koncového certifikátu bez ohledu na PKI Příklad _25_tcpmxexamplecom IN TLSA 3 1 1 AA793DA Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 11 / 23

Chování SMTP klienta start najdi MX záznam chyba chyba najdi TLSA záznam odlož do fronty je podepsaný? ano existuje? ano ne doruč s oportunistickým TLS bez kontroly ne chyba doruč s vynuceným TLS a kontrolou otisku certifikátu Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 12 / 23

Opt-in for security umístěním TLSA záznamu deklarujeme, že poštu přijímáme pouze šifrovaně validující klienti případný downgrade útok odhalí a zprávu nedoručí Postfix od 211 Exim ve vývoji OpenSMTPd ve vývoji na rozdíl od webu na SMTP serverech není problém s funkčností DNSSEC validace bezpečené spojení s validujícím DNS serverem je nutné (ideálně Unbound na localhost) doručování na adresy bez DNSSECu nebo bez TLSA záznamu funguje jako doposud nebo ne? Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 13 / 23

Problémy se zapnutou TLSA validací Chybná údržba TLSA záznamů správu TLSA záznamů je nutné přidat do workflow výměny certifikátů nejprve publikovat nový, pak změnit certifikát Rozbité autoritativní DNSSEC servery vrací nevalidní data pro neexistující záznamy chybu DNSSEC validace vyhodnotí SMTP klient jako podvrh a zprávu odloží Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 14 / 23

Testujeme nástrojem posttls-finger Bez TLSA záznamu Untrusted $ /usr/sbin/posttls-finger -c seznamcz posttls-finger: mx1seznamcz:25: Matched subjectaltname: mx1seznamcz posttls-finger: certificate verification failed for mx1seznamcz:25: untrusted issuer /C=US/O=thawte, Inc/OU=Certification Services Division/OU=(c) 2006 thawte, Inc - For authorized use only/cn=thawte Primary Root CA posttls-finger: Untrusted TLS connection established to mx1seznamcz:25: TLSv12 with cipher AES128-SHA (128/128 bits) S TLSA záznamem Verified $ /usr/sbin/posttls-finger -c cesnetcz posttls-finger: using DANE RR: _25_tcp IN TLSA 2 0 1 5C:42:8B:01:3B:2E:3F:0D:30 posttls-finger: postinocesnetcz:25: depth=1 matched trust anchor certificate sha256 digest 5C:42:8B:01:3B:2E:3F:0D:30 posttls-finger: Verified TLS connection established to postinocesnetcz:25: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 15 / 23

Měření SMTP-over-TLS Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 16 / 23

Stav DNSSEC pro MX záznamy DNSSEC 21,7% 1000 3618 No DNSSEC 78,3% Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 17 / 23

Servery podporující STARTTLS TLSA verified 1,1% 1168 No TLS support 25,3% TLS supported 73,6% 3400 Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 18 / 23

Typy certifikátů na SMTP serverech Self- Signed 14,1% Untrusted issuer 17,2% Trusted without matching name 7,9% 600 277 493 456 1662 Verified by domain name 13,1% Verified by server name 47,6% Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 19 / 23

TLSA Hall of Fame Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 20 / 23

Závěrem povolte šifrování na svých SMTP serverech nic to nestojí na typu certifikátu vůbec nezáleží bez DNSSECu nelze dosáhnout bezpečnosti e-mailu když už máte DNSSEC, TLSA nic nestojí provozovat validaci je bezpečné ale vyplatí se sledovat logy na výskyt chyby Server certificate not trusted Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 21 / 23

Kam dál? OPENPGPKEY a SMIMEA záznamy uložení veřejných PGP a S/MIME klíčů vyřeší problém získání klíče pro šifrování možnost transparentně šifrovat zprávu na serveru Autentizace klientského certifikátu použití např v reputačních systémech Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 22 / 23

Závěr Děkuji za pozornost Ondřej Caletka OndrejCaletka@cesnetcz https://ondřejcaletkacz Ondřej Caletka (CESNET, z s p o) Bezpečnější e-mail 8 listopadu 2015 23 / 23

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář