Správa a zabezpečení DNS

Podobné dokumenty
Ondřej Caletka. 2. března 2014

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Ondřej Caletka. 23. května 2014

DNS, jak ho (možná) neznáte

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Principy a správa DNS

Principy a správa DNS

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

Principy a správa DNS

Principy a správa DNS

Principy a správa DNS

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Principy a správa DNS

Falšování DNS s RPZ i bez

DNSSEC na vlastní doméně snadno a rychle

DNSSEC: implementace a přechod na algoritmus ECDSA

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Automatická správa keysetu. Jaromír Talíř

Bezpečnější pošta aneb DANE for SMTP

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Bezpečnější pošta díky DANE

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Provozní manuál DNSSec pro registr.cz a e164.arpa

DNS, DHCP DNS, Richard Biječek

Y36SPS Jmenné služby DHCP a DNS

Bezpečnější bezpečnější díky DANE

StartSSL: certifikáty zdarma

DNSSEC Pavel Tuček

Jmenné služby a adresace

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Novinky v.cz registru a mojeid. Zdeněk Brůna

Ochrana soukromí v DNS

DNSSEC na vlastní doméně snadno a rychle

DNSSEC během 6 minut

Analýza otrávené DNS cache

Principy a správa DNS - cvičení

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

DoS útoky v síti CESNET2

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Co musíte vědět o šifrování

Domain Name System (DNS)

Zajímavé funkce OpenSSH

Správa linuxového serveru: DNS a DHCP server dnsmasq

Útok na DNS pomocí IP fragmentů

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Principy a správa DNS - cvičení

Automatická správa KeySetu

DNS. Počítačové sítě. 11. cvičení

Jak se měří Internet

Co musíte vědět o šifrování

ové služby a IPv6

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

DNS Domain Name System

Knot DNS Knot Resolver

Jak se měří Internet

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Knot DNS Resolver. Modulární rekurzivní resolver. Karel Slaný

Služby správce.eu přes IPv6

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Počítačové sítě 1 Přednáška č.10 Služby sítě

Stránka, doména, URL, adresa

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

Jen správně nasazené HTTPS je bezpečné

BCOP aneb jak správně nasazovat

Správa a provoz serveru Knot DNS

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

DNSSEC a CSIRT. aneb co může udělat webhoster pro bezpečnější internet. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Dual-stack jako řešení přechodu?

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS


Serverové systémy Microsoft Windows

Serverové systémy Microsoft Windows

Implementace DNSSEC v CZ.NIC, z.s.p.o.

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Domain Name System (DNS)

Provozní manuál DNSSec pro registr.cz a e164.arpa

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

Ondřej Caletka. 13. března 2014

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Ondřej Caletka. 5. listopadu 2013

Principy a správa DNS - cvičení

Překlad jmen, instalace AD. Šimon Suchomel

Transkript:

Správa a zabezpečení DNS Ondřej Caletka 14 prosince 2015 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 30 Česko Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 1 / 41

Obsah 1 O službě DNS 2 Provozování rekurzivních serverů 3 Provozování autoritativních serverů 4 Údržba a kontrola dat 5 Útoky zneužívající DNS 6 DNSSEC jako bezpečné uložiště 7 Passive DNS Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 2 / 41

O službě DNS wwwcesnetcz? wwwcesnetcz! wwwcesnetcz? cz NS wwwcesnetcz? cesnetcz NS wwwcesnetcz? wwwcesnetcz! ROOT TLD cz SLD wwwcesnetcz stub resolver rekurzivní resolver autoritativní server Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 3 / 41

Tři druhy DNS nodů stub resolver knihovní funkce operačního systému s minimální cache v GNU C knihovně nepříliš robustní rekurzivní resolver řeší dotazy a kešuje odpovědi agresivní cache řízená TTL hodnotami validace DNSSEC dat robustní řešení nedostupnosti autoritativních serverů autoritativní server poskytuje data pouze ta, která má v databázi Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 4 / 41

Rekurzivní servery malá diverzita v implemetacích: BIND Unbound PowerDNS recursor neumí DNSSEC Dnsmasq je ve skutečnosti jen forwarder nutno zapnout validaci DNSSEC dělají to velcí operátoři, není se čeho bát ne všechny validátory podporují ECDSA podpisy nutno omezit povolené IP adresy pro dotazy a implementovat BCP 38 ve své síti Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 5 / 41

Problém řetězení resolverů s DNSSEC problematická validace žolíkových domén zejména, je-li forwardováno na zastaralý BIND automatizovaný test na http://wildcarddnssecjdemcz/ Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 6 / 41

Kompatibilita validátoru s ECDSA $ go run alg_repgo -r adns1cesnetcz Zone dnssec-testorg Qtype DNSKEY Resolver [adns1cesnetcz] debug=false verbose=false Prime= V DS : 1 2 3 4 1 2 3 4 ALGS : NSEC NSEC3 alg-1 : - - - - x x x x => RSA-MD5 OBSOLETE alg-3 : V V - - x x x x => DSA/SHA1 alg-5 : V V - - x x x x => RSA/SHA1 alg-6 : x x x x V V - - => RSA-NSEC3-SHA1 alg-7 : x x x x V V - - => DSA-NSEC3-SHA1 alg-8 : V V - - V V - - => RSA-SHA256 alg-10 : V V - - V V - - => RSA-SHA512 alg-12 : - - - - - - - - => GOST-ECC alg-13 : - - - - - - - - => ECDSAP256SHA256 alg-14 : - - - - - - - - => ECDSAP384SHA384 V == Validates - == Answer x == Alg Not specified T == Timeout S == ServFail O == Other Error DS algs 1=SHA1 2=SHA2-256 3=GOST 4=SHA2-384 https://githubcom/ogud/dnssec_alg_check Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 7 / 41

Root DNSSEC KSK rollover podpis kořenové zóny před pěti lety 15 7 2010 rolování kořenového klíče podle potřeby, nebo jednou za pět let vyžaduje aktualizaci trust anchor ve všech validátorech proběhne automaticky ve většině případů (RFC 5011) testovací prostředí na http://keyrollsystems/ podrobnosti rolování zatím nejsou stanoveny Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 8 / 41

Vysoká dostupnost rekurzivních serverů hodí se zejména v kombinaci s GNU stub resolverem tradiční HA pomocí linux-ha, pacemaker anycasting v rámci vlastní sítě zabezpečí i proti výpadku routeru CESNET2 R1 R2 ns-node1 192022/30 dummy0: 1920253/32 OSPF OSPF ns-node2 192026/30 dummy0: 1920253/32 Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 9 / 41

Autoritativní servery Mnoho slušných implemetací: BIND NSD Knot DNS YADIFA PowerDNS Klíčové vlastnosti: podpora DNSSEC včetně NSEC3 a ECDSA podpora dynamického DNS (ne-)podpora kombinace autoritativního a rekurzivního serveru Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 10 / 41

DNSSEC na autoritativních serverech Možné přístupy: 1 online podepisování DNS server drží privátní klíče podepisuje buď po načtení, nebo v reakci na dotaz snadná spolupráce s dynamic DNS možné problémy s přenosem na sekundární servery 2 externí podepisování DNS server má k dispozici zónu včetně předem vytvořených podpisů privátní klíče jsou potřeba pouze při změně dat hotové produkty jako OpenDNSSEC Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 11 / 41

Dynamické IPv6 záznamy běžná praxe v IPv4: vygenerování záznamů pro každou IP adresu pro IPv6 nemožné, zóna pro /64 zabere stovky EiB (2 60 ) řešením je dynamické generování, podporované v Knot DNS 15+ vyžaduje podporu ve všech autoritativních serverech zóny Příklad examplecz { file "/etc/knot/emptyzone"; query_module { synth_record "forward dyn- 60 2001:db8:1::/64"; synth_record "forward dyn- 60 192020/24"; } } Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 12 / 41

Zónové přenosy úplné (AXFR) a inkrementální (IXFR) rychlé notifikace zprávami NOTIFY ochrana celistvosti zpráv pomocí TSIG nutno zvyšovat sériové číslo zóny princip skrytý master veřejný slave hidden master public slave Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 13 / 41

Časování a synchronizace odpovědi serverů kešovány po TTL daného záznamu negativní odpovědi kešovány podle hodnoty SOA minimum nesynchronnost serverů vede ke split-brain: o odpovědi rozhoduje náhoda Za jak dlouho se změna nejpozději projeví? s NOTIFY bez NOTIFY nový SOA minimum SOA minimum + SOA refresh změna TTL starého TTL starého + SOA refresh Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 14 / 41

Proč nepoužívat obskurní DNS servery $ host wwwskvelabankacz wwwskvelabankacz has address 192027 Host wwwskvelabankacz not found: 3(NXDOMAIN) $ host wwwskvelabankacz Host wwwskvelabankacz not found: 3(NXDOMAIN) programátor nepředpokládal, že se někdo zeptá na MX záznam pro wwwskvelabankacz jeho implementace na takový dotaz vracela NXDOMAIN s TTL = 1 hodina BIND takovou odpověd nakešoval a po dobu TTL nevracel žádná data pro wwwskvelabankacz Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 15 / 41

Proč nekombinovat autoritativní a rekurzivní server na jedné IP adrese malá škála dostupného DNS software (BIND a PowerDNS - ale bez DNSSEC) nemožnost DNSSEC validace vlastních dat (data z disku se nikdy nevalidují) špatná data z oddelegovaných, ale nezrušených zón Veškerá pošta nám už chodí na nový server, kromě pošty od našeho bývalého registrátora Ta chodí stále na starý server Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 16 / 41

On-line kontroly http://dnsviznet http://dnschecklabsniccz DNSKEY alg=8, id=19036 DNSKEY alg=8, id=35886 DNSKEY alg=8, id=59085 DNSKEY alg=8, id=49656 DNSKEY alg=8, id=55565 DS digest alg=2 DS digest algs=1,2 (2013-09-27 13:10:47 UTC) net (2013-09-27 13:48:05 UTC) DNSKEY alg=10, id=60313 DNSKEY alg=10, id=27793 DNSKEY alg=10, id=24360 DNSKEY alg=10, id=890 DNSKEY alg=10, id=3782 cesnet/mx cesnet/soa cesnet (2013-09-27 15:24:13 UTC) Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 17 / 41

Pravidelné údržby DNS serverů kontrola, že jsou zóny stále nadelegovány kontrola shody delegace s NS záznamy v zóně Vlastní řešení http://ldnshealthjdemcz xargs /dnsservercheckpy serverexamplecom < list_of_domainstxt examplecz: server serverexamplecom not in delegation nor zone apex examplecom: server serverexamplecom delegated, but not in zone apex examplenet: server serverexamplecom not in delegation nor zone apex List of domains, which should be deleted from server config: examplecz examplenet Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 18 / 41

Útoky zneužívající DNS Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 19 / 41

Potírání zesilujících útoků implementujte BCP 38 (a nuťte ostatní) neotvírejte rekurzivní servery do světa a zkontrolujte taky NTP servery a zařízení se SNMP na autoritativních serverech zapněte RRL Response Rate Limiting Obecná technika limitování odpovědí autoritativních serverů na opakující se dotazů ze stejné adresy Implementováno nativně v Knot DNS a NSD, existují patche pro BIND 9 Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 20 / 41

Omezení velikosti UDP odpovědi rozšíření EDNS0 zvětšuje délku UDP zpráv nad 512 B obykle na 4096 B omezením velikosti k ~1 kb snížíme účinnost zesilujícího útoku také se tím zlepší situace resolverům s nefunkčním Path MTU Discovery příliš nízká hodnota může naopak rozbít resolvery bez TCP konektivity obzvláště při použití DNSSEC takto postižených uživatelů je ~2 % (měření Geoffa Hustona) Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 21 / 41

Útok náhodnými dotazy princip nová forma útoku zneužívající otevřené rekurzivní resolvery pro rekurzivní resolver připomíná Slowloris útok postihuje zároveň rekurzivní i autoritativní servery útočící botnet pokládá dotazy ve stylu <random string>wwwobetcom dotaz je vždy přeposlán autoritativnímu serveru autoritativní server se buď pod náporem zhroutí, nebo zasáhne rate limiting rekurzivní server čeká na odpověď a zkouší dotazy opakovat http://wwwrootcz/clanky/utok-na-dns-nahodnymi-dotazy/ Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 22 / 41

Náhodné dotazy důsledky a obrana Důsledky zahlcení serverů dotazy DoS rekurzivních resolverů, např BIND: maximum 1000 současně probíhajících rekurzí každá rekurze používá jeden file descriptor pro víc než ~4000 rekurzí přestává být spolehlivý Obrana definování prázdných SLD zón obětí na rekurzoru riziko zablokování významných domén jako in-addrarpa, nebo couk volba ratelimit v Unbound, fetches-per-server v BIND Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 23 / 41

DNSSEC jako bezpečné uložiště Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 24 / 41

Problém důvěryhodnosti PKI modelu mnoho důvěryhodných certifikačních autorit různé úrovně ověření, stejný cílový efekt důkladné ověření (extended validation, ) základní oveření (organization validation, ) bez ověřování identity (Domain control Validation, ) kterákoli autorita může kterýkoli certifikát na druhou stranu nízký počet vydaných falešných certifikátů velmi účinné útoky bez nutnosti falešných certifikátů (phishing, rom-0, ) Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 25 / 41

Certificate pinning s DANE možnost určit, který certifikát má být pro dané jméno platný vyžaduje DNSSEC čtyři typy použití (usage) TLSA záznamu 0 kontrola certifikační autority 1 kontrola koncové entity 2 vložení certifikační autority 3 vložení koncové entity Příklad TLSA záznamu _443_tcpwww IN TLSA 3 1 1 5C4 6099 Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 26 / 41

DANE jako zvýšení zabezpečení PKIX omezení množiny povolených certifikačních autorit (Usage: 0), nebo certifikátů (Usage: 1) vynucení certifikační autority s přísnou politikou PKIX validace je stále nutná Tip: Umístěte do DNS otisk certifikátu své nejbližší autority Tu pak pomocí CNAME odkazujte ze všech svých služeb terenasslca2 IN TLSA 0 0 1 2FF183 BE43 _443_tcpwww IN CNAME terenasslca2 _443_tcpwww2 IN CNAME terenasslca2 _143_tcpimap IN CNAME terenasslca2 Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 27 / 41

DANE jako alternativa k PKIX vynucení konkrétní autority (Usage: 2), nebo certifikátu (Usage: 3), bez vazby na PKI možnost ušetřit za DV certifikáty v režimu vkládání nové autority je nutné, aby server kořenový certifikát posílal během handshake zatím spíše nepoužitelné, málo validujících klientů Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 28 / 41

DANE pro bezpečné předávání pošty PKIX neumožňuje šifrované předávání pošty často nevalidní certifikát nezabezpečená vazba doména MX záznam není k dispozici uživatel, který by odsouhlasil varování DNSSEC a DANE dokáží bezpečnost vynutit bezpečená vazba doména MX záznam otisk certifikátu v DNS, nezávislost na PKI zpětně kompatibilní bez možnosti downgrade útoků bez TLSA: oportunistické šifrování bez kontroly s TLSA: šifrování vynuceno selhání DNSSEC: zpráva odložena podporováno v Postfixu od verze 211 Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 29 / 41

Validace TLSA záznamů rozšíření od CZNIC pro prohlížeče neovlivňuje chování prohlížeče, neumí nahradit PKIX odhalí sítě, které rozbíjejí DNSSEC Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 30 / 41

SSHFP záznamy pro bezpečné SSH SSH standardně vede seznam známých serverů DNS záznam typu SSHFP umožňuje ukládat otisky serverových klíčů do DNS validující klient pak ověří identitu serveru automaticky Vytvoření záznamu $ ssh-keygen -r serverexamplecom Zapnutí validace $ echo 'VerifyHostKeyDNS yes' >> ~/ssh/config http://wwwrootcz/clanky/dnssec-jako-bezpecne-uloziste-ssh-klicu/ Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 31 / 41

Passive DNS Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 32 / 41

Myšlenka passive DNS Sbírat veřejná DNS data na rekurzivních DNS serverech Zjišťovat, na co se lidé ptají Nezjišťovat, kdo se ptá (ochrana soukromí) Ukládat do databáze spolu s časovou značkou Získat tak informace o historii DNS dat Mít možnost pokládat inverzní DNS dotazy Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 33 / 41

Dva přístupy k passive DNS 1 Zachytávání před rekurzivním serverem zaznamenávání každé uživatelské aktivity přesné sledování četnosti dotazů 2 Zachytávání za rekurzivním serverem menší objem dat díky cache implicitní ochrana soukromí Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 34 / 41

Passive DNS za rekurzivním serverem stub resolver rekurzivní resolver autoritativní server wwwcesnetcz? wwwcesnetcz! wwwcesnetcz? cz NS wwwcesnetcz? cesnetcz NS wwwcesnetcz? wwwcesnetcz! ROOT TLD cz SLD wwwcesnetcz pdns DB Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 35 / 41

Technické provedení senzor sbírá DNS provoz pomocí PCAP knihovny v blízkosti DNS serveru je možné jej buď spustit na stejném stroji jako DNS server, nebo klonovat data switchi data se zapisují do binárních souborů po minutách soubory jsou posílány pomocí SCP do databáze Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 36 / 41

Webové rozhraní pdns@certat Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 37 / 41

Příklady použití Odhalení řídicích serverů botnetů, ve spolupráci s NetFlow také odhalení infikovaných stanic Odpověď na otázky: jde o zneužití legitimní služby, nebo o cílený hosting škodlivého obsahu? jaké další weby jsou hostovány na stejné IP adrese? Kontrola neoprávněného využití adresního prostoru (například sítě CESNET2) Výzkum nad globálními DNS daty které domény jsou hostovány pouze na území jednoho státu? jak často se mění data v různých doménách? Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 38 / 41

Přístup k databázi přístup k pdns databázi CERTat je omezen pro: výzkumníky CERT/CSIRT komunitu provozovatele senzorů existuje návrh standardního formátu pro snadnou kombinaci dat z různých Passive DNS systémů zapojení dalších českých ISP je vítáno kontaktujte L A Kaplana kaplan@certat Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 39 / 41

Závěrem DNS není jen UDP/53 DNS není nejvíce 512 B bez DNSSECu nelze bezpečně předávat e-maily Školení Principy a správa DNS a DNSSEC jednodenní školení teorie a praxe správy DNS serverů princip a implementace DNSSEC Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 40 / 41

Závěr Děkuji za pozornost Ondřej Caletka OndrejCaletka@cesnetcz https://ondřejcaletkacz Ondřej Caletka (CESNET, z s p o) Správa a zabezpečení DNS 14 prosince 2015 41 / 41

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář