Falšování DNS s RPZ i bez

Podobné dokumenty
Ondřej Caletka. 2. března 2014

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Ondřej Caletka. 23. května 2014

DNSSEC na vlastní doméně snadno a rychle

Stránka, doména, URL, adresa

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Ochrana soukromí v DNS

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

DNS. Počítačové sítě. 11. cvičení

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Jmenné služby a adresace

DoS útoky v síti CESNET2

Y36SPS Jmenné služby DHCP a DNS

DNSSEC na vlastní doméně snadno a rychle

DNS, DHCP DNS, Richard Biječek

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

DNS, jak ho (možná) neznáte

Domain Name System (DNS)

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

Správa a provoz serveru Knot DNS

Bezpečnější pošta aneb DANE for SMTP

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Knot DNS Knot Resolver

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Dual-stack jako řešení přechodu?

Demo: Multipath TCP. 5. října 2013

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

Analýza otrávené DNS cache

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Automatická správa keysetu. Jaromír Talíř

Domain Name System (DNS)

Principy a správa DNS

Správa a zabezpečení DNS

DNS Domain Name System

Služby správce.eu přes IPv6

BCOP aneb jak správně nasazovat

Opensource antispamová ochrana

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Síť LAN. semestrální práce X32PRS Ondřej Caletka ČVUT V PRAZE, Fakulta Elektrotechnická

Filter online threats off your network

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

Site - Zapich. Varianta 1

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Knot DNS Resolver. Modulární rekurzivní resolver. Karel Slaný

DNSSEC Pavel Tuček

Bezpečnější pošta díky DANE

Principy a správa DNS

Bezpečnější bezpečnější díky DANE

ové služby a IPv6

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Popis nastavení DNS serveru Subjektu

Ondřej Caletka. 13. března 2014

Téma 2 - DNS a DHCP-řešení

StartSSL: certifikáty zdarma

Administrace Unixu (DNS)

Principy a správa DNS - cvičení

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Poslední aktualizace: 1. srpna 2011

Detektor anomálií DNS provozu

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

ISA seminární práce. Zadání č. 4 Konfigurace www serveru ISP

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

ové služby na IPv6-only

Principy a správa DNS - cvičení

Y36SPS: Domain name systém 1. Seznamte se s výchozími místy uložení konfiguračních souborů serveru bind9 v Debianu

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

Co musíte vědět o šifrování

Ondřej Caletka. 27. března 2014

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Jak se měří Internet


Jen správně nasazené HTTPS je bezpečné

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Překlad jmen, instalace AD. Šimon Suchomel

Adresářové služby, DNS

Zajímavé funkce OpenSSH

Linux jako broadband router (2)

HTTP hlavičky pro bezpečnější web

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

ové reputační systémy

DNSSEC během 6 minut

SSL Secure Sockets Layer

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Serverové systémy Microsoft Windows

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Co musíte vědět o šifrování

WPAD a bezpečnost v DNS

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Jak se měří Internet

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Počítačové sítě 1 Přednáška č.10 Služby sítě

Serverové systémy Microsoft Windows

Transkript:

Falšování DNS s RPZ i bez Ondřej Caletka 7. února 2017 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 1 / 14

Paul Vixie člen Síně slávy Internetu autor nejpoužívanějšího DNS serveru BIND zakladatel ISC, Farsight Security autor různých DNS rozšíření (DDNS, RRL, ) autor myšlenky DNS blacklistů autor návrhu Response Policy Zones Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 2 / 14

Vraťte mi zpátky DNS domény jsou příliš levné velká část doménových jmen neslouží dobré věci spamming, phishing, šíření malware C&C adresy botnetů algoritmicky generované adresy (DGA) váš vlastní DNS server se účastní nekalé činnosti pomáhá botnetům předávat zprávy komplikuje dohledatelnost Paul Vixie: Taking back the DNS Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 3 / 14

Response Policy Zone funkce také nazývána DNS firewall probíhá standardizace v IETF princip obdobný DNS blacklistům obsah zóny je rekurzivním serverem konzultován při každém dotazu není-li nic nalezeno, pokračuje rekurze normálně při nalezení shody je další zpracování řízeno typem záznamu v RPZ zóna musí být lokálně dostupná rekurzivnímu resolveru Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 4 / 14

Příklad zóny RPZ $ORIGIN RPZ.EXAMPLE.ORG. @ SOA ns.example.org admin.example org 1 27700 7200 NS localhost. 1.example.com CNAME. ; return NXDOMAIN *.1.example.com CNAME. ; return NXDOMAIN 2.example.com CNAME *. ; return NODATA 3.example.com CNAME rpz-drop. ; drop the query 4.example.com CNAME catchall.example.org. ;redirect Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 5 / 14

Akce RPZ NXDOMAIN CNAME. NODATA CNAME *. DROP CNAME rpz-drop. TCP-only CNAME rpz-tcp-only. Passthru CNAME rpz-passthru. Local data ostatní záznamy Wildcard CNAME CNAME *.<target domain> přeloží se jako CNAME <původní dotaz>.<target> Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 6 / 14

Spouště (levé strany) RPZ QNAME <dotazované doménové jméno> Client IP <mask>.<b4>.<b3>.<b2>.<b1>.rpz-client-ip Response IP <mask>.<b4>.<b3>.<b2>.<b1>.rpz-ip NSDNAME <jméno NS serveru>.rpz-nsdname NSIP <IP adresa NS serveru>.rpz-nsip IP adresy se spolu s maskou zapisují převráceně, podobně jako u reverzních DNS záznamů: <B1>.<B2>.<B3>.<B4>/<mask> spouště mají definované priority Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 7 / 14

Příklad konfigurace RPZ v BIND options { response-policy { zone "rpz.ten.cz"; }; }; zone "rpz.ten.cz" { type slave; masters { 2001:718:1:101::144:228; }; }; Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 8 / 14

Co se může pokazit RPZ se standardně uplatňuje pouze pro dotazy s RD=1, tedy od klientů požadujících rekurzivní zpracování RPZ se nepoužije, pokud klient vyžádá DNSSEC data pomocí DO=1 má se za to, že pokud o ně žádá, pak je i ověřuje některé implementace při nevalidních datech rapidně opakují dotazy Jak zajistit autenticitu RPZ zóny? DNSSEC se nedá použít pro AXFR TSIG používá sdílené tajemství, nevhodné pro veřejnou službu Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 9 / 14

Podpora v alternativních resolverech Unbound je plánována (leden 2016); zatím není podpora konfiguračních voleb local-data: konfiguraci lze generovat z RPZ zóny regulárním výrazem Knot DNS resolver částečná podpora implementována vyžaduje určitý formát zónového souboru problematická aktualizace zóny RPZ policy for unbound transform RPZ zone into local zone statements Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 10 / 14

Jak správně blokovat pozor na správnou interpretaci NODATA vs. NXDOMAIN NXDOMAIN znamená neexistenci jakékoli subdomény wildcard na pravé straně (CNAME *.target.) umožní zjistit konkrétní blokované jméno logováním dotazů zejména při blokování podle jiného kritéria má význam jen při současném logování DNS dotazů nemá vliv např. na HTTP hlavičky webserver, na který je přesměrováno, musí reagovat shodně na libovolnou URL pro zákonné blokování ideálně vracet HTTP 451 Nedostupné z právních důvodů Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 11 / 14

Testovací prostředí rpz.ten.cz veřejně dostupný testovací blacklist přesměrovává závadný obsah na *.poker.cesnet.cz zatím jediná testovací doména: blokovane.internetovehazardnihry.cz Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 12 / 14

Shrnutí mocná technologie s ohromnými možnostmi efektivně eliminuje i např. botnety, které používají každý den jiné doménové jméno snadná konfigurace v BIND obtížná podpora alternativních resolverů nedostupnost důvěryhodných veřejných RPZ blacklistů Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 13 / 14

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Prezentace je již nyní k dispozici ke stažení. Ondřej Caletka (CESNET, z. s. p. o.) Falšování DNS s RPZ i bez 7. února 2017 14 / 14

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář