DNSSEC 22. 4. 2010. Pavel Tuček xtucek1@fi.muni.cz

Podobné dokumenty
DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

DNS, DHCP DNS, Richard Biječek

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Výpis z registru doménových jmen.cz

Překlad jmen, instalace AD. Šimon Suchomel

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Výpis z registru doménových jmen.cz

DNSSEC: implementace a přechod na algoritmus ECDSA

DNS. Počítačové sítě. 11. cvičení

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Domain Name System (DNS)

Automatická správa keysetu. Jaromír Talíř

Jmenné služby a adresace

Správa linuxového serveru: DNS a DHCP server dnsmasq

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Y36SPS Jmenné služby DHCP a DNS

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

DNSSEC během 6 minut

Domain Name System (DNS)

Provozní manuál DNSSec pro registr.cz a e164.arpa

Provozní manuál DNSSec pro registr.cz a e164.arpa

DNS Domain Name System

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Další nástroje pro testování

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

Implementace DNSSEC v CZ.NIC, z.s.p.o.

DNSSEC na vlastní doméně snadno a rychle

Počítačové sítě 1 Přednáška č.10 Služby sítě

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Automatická správa KeySetu

Poslední aktualizace: 1. srpna 2011

DNS, jak ho (možná) neznáte

Time-Stamp. protokol

Služby správce.eu přes IPv6

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Principy a správa DNS - cvičení

IP telephony security overview

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

Principy a správa DNS - cvičení

Serverové systémy Microsoft Windows

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Ondřej Caletka. 2. března 2014

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Sí DNS (Domain Name System)

Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Falšování DNS s RPZ i bez

Principy a správa DNS

L i n u x j a k o r o u t e r, f i r e w a l l, D H C P s e r v e r, p r o x y a D N S c a c h e, 2. č á s t

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Principy a správa DNS

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

}w!"#$%&'()+,-./012345<ya

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy

Knot DNS Knot Resolver

Novinky v.cz registru a mojeid. Zdeněk Brůna

Útok na DNS pomocí IP fragmentů

DNSSEC na vlastní doméně snadno a rychle

Bezpečnější pošta aneb DANE for SMTP

ové služby na IPv6-only

Serverové systémy Microsoft Windows

!"##$%&'&()*+,-./&0*(1&(&2)+34.50*6&2&78(94 EEE<(F*614BC<F2&

Téma 2 - DNS a DHCP-řešení

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Domény.cz ve statistikách

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Linux jako broadband router (2)

Serverové systémy Microsoft Windows

y s garantovaným odesílatelem a obsahem v praxi s využitím DKIM. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Adresářové služby, DNS

Bezpečnost vzdáleného přístupu. Jan Kubr

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

pozice výpočet hodnota součet je 255

DNS,BIND - jednoduche zaklady Jiri Kubina jiri.kubina@osu.cz Ver. 1.0 unor 2006

Elektronický podpis. Marek Kumpošt Kamil Malinka

15. DNS. Miroslav Spousta, Domain Name System. eklad ze snadno zapamatovatelných jmen na IP adresy. Historie

KLIENT PROTOKOLU DNS S GRAFICKÝM ROZHRANÍM VHODNÝ PRO DEMONSTRATIVNÍ ÚČELY

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

ENUM Nová dimenze telefonování. CZ.NIC z.s.p.o. Pavel Tůma / pavel.tuma@nic.cz

DHCP a DNS a jak se dají využít v domácí síti

ERP-001, verze 2_10, platnost od


KVALIFIKOVANÉ CERTIFIKÁTY

ON-LINE MONITOROVÁNÍ EXPIRACE PODPISU DNSSEC

Instalace Active Directory

Číslování a adresování v klasických a IP telefonních sítích

Hosting a doména. Pavel Urbánek. srovnání providerů a WP požadavky.

Inovace výuky prostřednictvím šablon pro SŠ

Protokoly omezující moc certifikačních autorit

Transkript:

DNSSEC 22. 4. 2010 Pavel Tuček xtucek1@fi.muni.cz

Obsah 1. Co je DNS a co zajišťuje? 2. Problémy DNS. 3. Co je DNSSEC a co přináší nového? 4. Principy, technologie a algoritmy použité v DNSSEC 5. Jak DNSSEC funguje 6. Literatura 2

Co je DNS a co zajišťuje? DNS = Domain Name System Základní záznamy, se kterými se na DNS setkáváme (pro doménu ics.muni.cz): A záznam (adress record) wsus IN A 147.251.12.110 AAAA záznam (IPv6 address record) wsus IN AAAA 2001:718:1c01:1:02e0:7dff:fe96:daa8 (vymyšlená) CNAME (canonical name record) sus IN CNAME wsus NS záznam (name server record) dior IN NS ns.ics.muni.cz IN NS ns1.ics.muni.cz. PTR záznam (pointer record) 10 IN PTR dior.ics.muni.cz. (v zóně 6.251.147.in-addr.arpa) Z dalších záznamů známe: MX (mail exchanger record), SOA (start of authority record), SRV (service record),... 3

Průběh dotazu www.wikipedia.org 4

Co je za problém se současným DNS? Na první problém upozornil již v roce 1990 Steven M. Bellovin a zatím poslední útok se nazývá DNS Cache poisoning otrávení lokální cache DNS. Útok se objevil v polovině roku 2008 a jednalo se o největší problém DNS za celou jeho existenci. 5

Cache poisoning Pole Query ID je dlouhé 16 bitů. 2 16 = 65536 6

Co přináší DNSSEC DNSSEC přináší rozšíření DNS o autentizovaný původ DNS odpovědí, autentizované popření existence a integritu dat. (RFC 4033-4035) DNSSEC využívá infrastrukturu veřejných klíčů (PKI). DNSSEC rozšiřuje současnou sadu záznamů o další čtyři: SIG záznam (Signature record) wsus IN SIG A 5 3 3600 20100501120000 20100401120000 (2539 ics.muni.cz Tjpdt...H6D) 5 použitý algoritmus (RSA/SHA1) 3 počet domén ve jméně, které se podepisuje (kořenová se nepočítá) 3600 doba životnosti záznamu 20100501120000 doba ukončení platnosti záznamu 20100401120000 doba zahájení platnosti záznamu 2539 značka pro rychlejší nalezení klíče ics.muni.cz doménové jméno podepisujícího Tjpdt...H6D vlastní podpis (v kódování BASE64) 7

Co přináší DNSSEC DNSSEC rozšiřuje současnou sadu záznamů o další čtyři: KEY záznam (Key record) ics.muni.cz. IN KEY 256 3 1 AQDv...GiDx IN KEY 256 3 5 CLgC...Yb6n SIG KEY 1 2 3600 20100501120000 20100401120000 (2539 ics.muni.cz BH1x...7Wq3) První dvě položky (příznak a protokol) jsou pevně dané, následuje algoritmus, pro který se klíč používá a hodnota klíče (v BASE64). Můžeme tedy rozlišit klíč pro podepisování informací v doméně (zone signing key, ZSK) a klíč pro podepisování jiných klíčů (key signing key, KSK). DS záznam (Delegation Signer record) muni.cz. IN DS 2539 1 1 239...1a9 Záznam obsahuje značku klíče, algoritmus, pro který se klíč používá, typ otisku a otisk ověřující platnost klíče, ke kterému se vztahuje. 8

Co přináší DNSSEC DNSSEC rozšiřuje současnou sadu záznamů o další čtyři: NSEC záznam (Next Secured record) wsus IN NSEC www.ics.muni.cz. A NSEC SIG SIG NSEC 5 3 3600 20100501120000 20100401120000 (2539 ics.muni.cz Tjpdt...H6D) Obsahuje informaci o doménovém jménu, které následuje za aktuálním (u posledního pak odkazuje na první) a seznam typů záznamů definovaných pro aktuální jméno. NSEC3 záznam (Next Secured record) (RFC 5155) 63ag+..fee IN NSEC iio2...lou A NSEC SIG SIG NSEC 5 3 3600 20100501120000 20100401120000 (2539 ics.muni.cz Tjpdt...H6D) Obsahuje hash doménového jména, které následuje za aktuálním (opět místo otevřeného záznamu obsahuje hash) a seznam typů záznamů definovaných pro aktuální jméno. 9

Překlad DNS jména a jeho ověření 10

Překlad DNS jména a jeho ověření V našem případě by ověřování A záznamů pro www.wikipedia.org postupovalo následně: 1. klient získá A záznamy a SIG záznam pro www.wikipedia.org 2. k jeho ověření potřebuje ZSK domény wikipedia.org (KEY záznam a jeho SIG) 3. k jeho ověření potřebuje KSK domény wikipedia.org 4. k jeho ověření potřebuje DS záznam pro wikipedia.org, který je uložen v doméně org 5. k jeho ověření potřebuje ZSK domény org 6. k jeho ověření potřebuje KSK domény org 7. k jeho ověření potřebuje DS záznam pro org z kořenové domény 8. pro jeho ověření potřebuje ZSK kořenové domény 9. pro jeho ověření potřebuje KSK kořenové domény, který by se měl dozvědět jinou cestou (např. z konfiguračního souboru) 11

Rozšíření DNSSEC První země, které přijaly DNSSEC: Brazílie, Bulharsko, Česká republika (2.), Puerto Rico a Švédsko (1.). Začátkem roku 2010 přešli na DNSSEC dva velcí doménoví registrátoři Active 24 a WEB4U, takže počet zabezpečených domén.cz stoupl ze 1400 na 94 tisíc. ČR je v současné době světovou velmocí v rámci DNSSEC. Zavedení DNSSEC v kořenové (root) úrovni DNS během roku 2010. 12

Dotazy? Dotazy? 13

Zdroje informací [1] RFC2535 - Domain Name System (DNS) Security Extensions http://tools.ietf.org/html/rfc2535 [2] RFC4033 - DNS Security Introduction and Requirements http://tools.ietf.org/html/rfc4033 [3] RFC4034 - Resource Records for the DNS Security Extensions http://tools.ietf.org/html/rfc4034 [4] RFC4035 - Protocol Modifications for the DNS Security Extensions http://tools.ietf.org/html/rfc4035 [5] RFC5155 - DNS Security (DNSSEC) Hashed Authenticated Denial of Existence http://tools.ietf.org/html/rfc5155 [6] Domain Name System Security Extensions; Wikipedia, The Free Encyclopedia http://en.wikipedia.org/wiki/domain_name_system_security_extensions 14

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář