DNSSEC na vlastní doméně snadno a rychle

Podobné dokumenty
DNSSEC na vlastní doméně snadno a rychle

Falšování DNS s RPZ i bez

Ondřej Caletka. 2. března 2014

DNSSEC: implementace a přechod na algoritmus ECDSA

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Automatická správa keysetu. Jaromír Talíř

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

DNSSEC během 6 minut

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Principy a správa DNS - cvičení

Principy a správa DNS - cvičení

DNSSEC Pavel Tuček

Provozní manuál DNSSec pro registr.cz a e164.arpa

Principy a správa DNS

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

DNS, jak ho (možná) neznáte

Analýza otrávené DNS cache

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Ondřej Caletka. 23. května 2014

DNS. Počítačové sítě. 11. cvičení

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Správa a zabezpečení DNS

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

DHCP a DNS a jak se dají využít v domácí síti

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

Ochrana soukromí v DNS

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Principy a správa DNS

Automatická správa KeySetu

Domain Name System (DNS)

StartSSL: certifikáty zdarma

Útok na DNS pomocí IP fragmentů

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

DoS útoky v síti CESNET2

Dual-stack jako řešení přechodu?

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Jak se měří Internet

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

Bezpečnější pošta aneb DANE for SMTP

Co musíte vědět o šifrování

Principy a správa DNS

Principy a správa DNS

Novinky v.cz registru a mojeid. Zdeněk Brůna

Jak se měří Internet

Y36SPS: Domain name systém 1. Seznamte se s výchozími místy uložení konfiguračních souborů serveru bind9 v Debianu

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Knot DNS Knot Resolver

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

DNS, DHCP DNS, Richard Biječek

Bezpečnější pošta díky DANE

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

Principy a správa DNS

Principy a správa DNS - cvičení

Co musíte vědět o šifrování

Stránka, doména, URL, adresa

BCOP aneb jak správně nasazovat

Výpis z registru doménových jmen.cz

Provozní manuál DNSSec pro registr.cz a e164.arpa

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Správa a provoz serveru Knot DNS

Ondřej Caletka. 13. března 2014

Principy a správa DNS

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

Linux jako broadband router (2)

Zajímavé funkce OpenSSH

OpenSSL a certifikáty

Správa linuxového serveru: DNS a DHCP server dnsmasq

Ondřej Caletka. 5. listopadu 2013

DNSSEC a CSIRT. aneb co může udělat webhoster pro bezpečnější internet. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Ondřej Caletka. 27. března 2014

Bezpečnější bezpečnější díky DANE

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Ondřej Caletka. 21. října 2015

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Jen správně nasazené HTTPS je bezpečné

ové reputační systémy

Výpis z registru doménových jmen.cz

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Implementace DNSSEC v CZ.NIC, z.s.p.o.

Správa DNS zónových souborů v Gitu

Domain Report. Pokud není uvedeno jinak, statistiky prezentují stav k

Správa DNS zónových souborů v Gitu

Knot DNS Resolver. Modulární rekurzivní resolver. Karel Slaný

/ 1 / DR 2010 DOMAIN REPORT


Domain Name System (DNS)

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Počítačové sítě 1 Přednáška č.10 Služby sítě

Překlad jmen, instalace AD. Šimon Suchomel

Projekt Turris. Proč a jak? Ondřej Filip ondrej.filip@nic.cz Bedřich Košata bedrich.kosata@nic.cz / IT13.2

WrapSix aneb nebojme se NAT64. Michal Zima.

DNS Domain Name System

Administrace Unixu (DNS)

Bezpečný router pro domácí uživatele. Bedřich Košata

ČSOB Business Connector

Transkript:

DNSSEC na vlastní doméně snadno a rychle Ondřej Caletka 5. listopadu 2016 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 1 / 21

O sdružení CESNET Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 2 / 21

Když se řekne DNSSEC end-to-end zabezpečení autenticity DNS zpráv majitel domény podepisuje, kdokoli může validovat hierarchická delegace důvery v nadřazené zóně je umístěn otisk klíče (DS záznam) otisk klíče kořenové zóny je součástí validátoru i u nepodepsané domény probíhá validace nadřazených zón až po podepsanou informaci, že další zóny podepsány nejsou Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 3 / 21

Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 4 / 21

Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 5 / 21

Validace v prohlížeči rozšíření DNSSEC a TLSA validátor obsahuje kompletní DNSSEC resolver kontroluje, zda se prohlížeč připojuje na správnou adresu nezasahuje do validace TLS spojení v prohlížeči Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 6 / 21

Validace na serveru / domácím routeru stačí aktuální BIND, Unbound, nebo Knot DNS Resolver konfigurace je obvykle připravena, stačí vložit klíč kořenové zóny režim plné rekurze nebo forwardování na nadřazený DNS server problémy s chybami v nadřazených serverech znemožňující validaci některých jmen režim plné rekurze špatně škáluje, vyžaduje nezasahování ISP do udp/53 provozu Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 7 / 21

Problém poslední míle DNSSEC z principu nechrání před útokem na poslední míli mezi validátorem a konzumentem specifikace nařizuje bezpečný kanál jsou-li pochybnosti o bezpečnosti kanálu, je nutné kritická data znovu validovat validace na vzdáleném serveru hlavně chrání server před otrávením své vlastní cache Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 8 / 21

DNSSEC detekuje, ale neopravuje Součástí specifikace DNSSEC není křišťálová koule. Validátory manipulaci detekují, ale nejsou schopny zmanipulovaná data opravit. Nejčastější příčiny nevalidních DNS dat: zastaralé verze rekurzivních DNS serverů nevhodné konfigurace firewallů captive portály chyba na straně držitele domény Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 9 / 21

DNSSEC na vlastním serveru vyrobit klíč(-e) klíči pravidelně podepisovat všechny DNS záznamy umístit otisk klíče do nadřazené zóny klíče pravidelně vyměňovat Zjednodušení s eliptickými křivkami použití eliptických křivek generuje krátké a silné klíče takové není třeba měnit dříve než za několik let pro celou doménu nám stačí jediný klíč Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 10 / 21

In-line signing v BIND 9.9 automaticky pravidelně podepisuje zónu nemění původní zónové soubory vyžaduje ruční generování klíčů Na nás tedy zbývá: 1 vygenertovat klíč 2 upravit konfiguraci 3 publikovat DS záznam v nadřazené zóně Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 11 / 21

Základem je dostatek entropie generování klíčů i podpisů potřebuje náhodná čísla standardně se používá /dev/random není-li v systému dostatečná entropie, celý BIND vytuhává použití /dev/urandom není bezpečné správné řešení: instalace haveged # apt-get install haveged Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 12 / 21

Výchozí stav Zónový soubor v /etc/bind $ORIGIN openalt.acad.cz. $TTL 60 @ IN SOA oans.acad.cz. adm 1 120 10 3600 60 @ IN NS oans.acad.cz. ww IN A 192.0.2.53 IN AAAA 2001:db8::53 Konfigurace v named.conf.local zone "openalt.acad.cz" { type master; file "/etc/bind/openalt.acad.cz"; }; Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 13 / 21

Vygenerujeme klíče nutno upravit práva, aby BIND mohl číst privátní klíče symlinkujeme zónový soubor do pracovního adresáře # mkdir /etc/bind/keys # cd /etc/bind/keys # dnssec-keygen -a ECDSAP256SHA256 -fk openalt.acad.cz Generating key pair. Kopenalt.acad.cz.+013+24937 # chmod g+r K*.private # ln -s /etc/bind/openalt.acad.cz /var/cache/bind/ Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 14 / 21

Upravíme konfiguraci Konfigurace zóny v named.conf.local zone "openalt.acad.cz" { type master; file "openalt.acad.cz"; inline-signing yes; auto-dnssec maintain; key-directory "/etc/bind/keys"; }; Po reloadu vzniknou v pracovním adresáři soubory: openalt.acad.cz.jnl žurnál změn v originálním souboru openalt.acad.cz.signed podepsaný zónový soubor openalt.acad.cz.signed.jnl žurnál podepsaného souboru Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 15 / 21

Máme podepsáno případné změny jsou automaticky podepisovány podpisy jsou automaticky obnovovány zbývá o tom dát vědět nadřazené zóně.cz,.eu registrátorovi předáme přímo veřejný klíč ostatní registrátorovi předáme DS záznam vygenerovaný z veřejného klíče a doménového jména # dnssec-dsfromkey /etc/bind/keys/kopenalt.acad.cz.+013+24937.key openalt.acad.cz. IN DS 24937 13 1 CC4BE 9F723C071F263 openalt.acad.cz. IN DS 24937 13 2 C117A41CF0 100C416BFB6DB1B3D9189324 Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 16 / 21

On-line kontroly Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 17 / 21

Výměna klíče Publikace nového klíče # cd /etc/bind/keys # dnssec-keygen -a ECDSAP256SHA256 -fk openalt.acad.cz Generating key pair. Kopenalt.acad.cz.+013+26322 # chmod g+r K*.private # rndc sign openalt.acad.cz stačí jednou za n let, kde n < 10 po publikaci jsou oba klíče aktivní, je možné změnit DS záznam (po určité době) Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 18 / 21

Deaktivace a vymazání původního klíče # cd /etc/bind/keys # dnssec-settime -I +1d -D +1W Kopenalt.acad.cz.+013+24937 # chmod g+r K*.private v okamžiku deaktivace (-I) již klíč neslouží k podpisování, je ale přítomen pro účely ověření podpisů v okamžiku vymazání (-D) je klíč zcela odstraněn a všechny podpisy nahrazeny Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 19 / 21

Závěrem podepisování v BINDu představuje minimální nároky na úpravu stávajících nástrojů ve výchozím stavu se používá NSEC, možnost přepnout na NSEC3 Přechod na NSEC3 # rndc signing -nsec3param 1 0 10 0deafbee openalt.acad.cz Potřebuje vůbec vaše doména DNSSEC? Pokud na ní přijímate e-maily, pak bezpochyby ano. Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 20 / 21

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Ondřej Caletka (CESNET, z. s. p. o.) DNSSEC na vlastní doméně 5. listopadu 2016 21 / 21

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář