Domeny Internetowe Zbigniew Jasioski
DNS Domain Name System Rozproszona baza danych Informacje o komputerach w sieci znajdują się na wielu serwerach DNS rozproszonych po całym świecie (.pl to: 6 serwerów unicast, 2 serwery anycast ) Główne zastosowanie: mapowanie nazw domenowych na adresy IP hostów Doskonałe środowisko do przechowywania innych informacji, np. danych teleadresowych ENUM Duża niezawodnośd Osiągnięta dzięki nadmiarowości serwerów DNS (minimalnie dwa) Doskonała skalowalnośd
Mapa serwerów http://www.dns.pl/map.html
Struktura DNS root C:\ cctld Moje dokumenty poziom I pl de com org arpa gtld Zdjęcia poziom II max 127 priv etykieta kowalscy.jpg poziom III kowalscy węzeł max 63 C:\Moje dokumenty\zdjęcia\kowalscy.jpg zdjecia zdjecia.kowalscy.priv.pl 0-9,a-z,- Domena jest poddrzewem przestrzeni nazw domen
Domeny IDN (Internationalized Domain Name) www.różyczka.pl www.xn--ryczka-bxa01i.pl xn-- ASCII Compatible Encoding prefix
Internet
DNS DNS ma już prawie 25 lat; wymyślony w 1986r DNS (RFC 1034, RFC 1035) nie jest doskonały Pierwsza luka odkryta w 1990r Wiele aplikacji zależy od DNS u Zagrożenia w DNS są dobrze znane RFC 3833 W sieci istnieją gotowe narzędzia do pobrania, umożliwiające przeprowadzenie różnych ataków na infrastrukturę DNS
Rozwiązywanie nazw Przechowywanie i utrzymywanie danych Przegląd zagrożeo związanych z DNS modyfikacja pliku strefy nieautoryzowana dynamcizne aktualizacja dynamiczne aktualizacje podszywanie się pod serwer podstawowy modyfikacja pliku strefy Zabezpieczenie serwera TSIG lub SIG0 zmodyfikowany plik strefy plik strefy serwer podstawowy serwery zapasowe cache poisoning spoofing Caching serwer cache poisoning spoofing Ochrona przesyłanych danych - DNSSEC cache impersonation spoofing resolver
Przegląd zagrożen związanych z DNS DNSSEC Experiences of.se Anne-Marie Eklund Löwinder
Przepływ danych Odpowiedzi przychodzą na ten sam port UDP z którego zostały wysłane Sekcja question duplikowana w odpowiedzi zgadza się z tą z zapytania Query ID odpowiedzi zgadza się z QID zapytania Sekcje authority i additional zawierają nazwy domenowe znajdujące się w domenie z zapytania
Przepływ danych Problem: QID = 16bit Obejście problemu: Randomizacja portów
Przegląd zagrożeo związanych z DNS Cache poisoning autorytatywny nameserver QID=1001, IP dla www.jakisbank.pl??? =10.0.0.1 atakujący QID=1000, QID=1001, IP dla IP www.jakisbank.pl =10.1.1.1??? podatny nameserver CACHE: IP www.jakisbank.pl =10.1.1.1
Przegląd zagrożeo związanych z DNS Kaminsky bug autorytatywny nameserver QID=1001, IP dla www123456.jakisbank.pl??? Qu: www1234567.jakisbank.pl A? An: empty Au: jakisbank.pl NS ns1.jakisbank.pl Ad: ns1.jakisbank.pl A 10.0.0.1 atakujący QID=1000 QID=1001 IP dla www1234567.jakisbank.pl??? Qu: www1234567.jakisbank.pl A? An: empty Au: jakisbank.pl NS ns1.jakisbank.pl Ad: ns1.jakisbank.pl A 10.1.1.1 podatny nameserver CACHE: jakisbank.pl NS ns1.jakisbank.pl ns1.jakisbank.pl A 10.1.1.1
Co nam daje DNSSEC Zapewnia integralnośd odpowiedzi DNS Daje możliwośd weryfikacji odpowiedzi negatywnych Nie szyfruje danych w pakietach DNS
Jak działa DNSSEC DNSSEC opiera się na kryptografii kluczy asymetrycznych Zabezpieczona strefa posiada swój klucz prywatny i klucz publiczny Klucz prywatny wykorzystywany jest do podpisywania danych przechowywanych w DNS Klucz publiczny jest używany do weryfikacji podpisanych danych i jest publikowany w zabezpieczonej strefie
Nowe rekordy DNS DNSKEY rekord zawiera klucz publiczny do weryfikacji podpisów (rekordów RRSIG) RRSIG podpis grupy rekordów NSEC/NSEC3 umożliwia weryfikację informacji o nieistnieniu rekordu lub o braku zabezpieczeo DS wskazuje na klucz podpisujący dane w strefie podrzędnej
Łaocuch zaufania Ufamy danym podpisanym przez ZSK Możemy zaufad ZSK jeśli jest podpisany przez KSK Ufamy KSK, jeśli jest wskazany przez rekord DS. w strefie nadrzędnej Ufamy rekordowi DS ze strefy nadrzędnej jeśli jest podpisany przez klucz ZSK z tej strefy, itd. Jeśli trafimy na klucz SEP (Secure Entry Point), któremu ufamy (jest zapisany w pliku konfiguracyjnym) to oznacza, że zbudowaliśmy łaocuch zaufania i dane są zweryfikowane poprawnie.
Łaocuch zaufania. (root) KSK ZSK DS.pl KSK ZSK DS com.pl KSK ZSK DS
Łaocuch zaufania. DS ZSK KSK pl DS ZSK KSK com DS ZSK KSK firma RRset ZSK KSK ZSK - Zone Signig Key KSK - Key Signing Key kierunek podpisywania rekordów DNS wskazania rekordów DS na klucz w strefie podrzędnej kierunek weryfikacji
DNSSEC problemy techniczne Zwiększony rozmiar odpowiedzi Większy plik strefy Weryfikowanie podpisów (obciążenie resolverów) Przechowywanie materiału kryptograficznego w bezpieczny sposób Oprogramowanie wspierające DNSSEC a Narzędzia do zarządzania kluczami Monitorowanie podpisanej strefy
DNSSEC problemy administracyjne Role (oficer bezpieczeostwa, operator) Transfer domeny (między Registrarami wspierającymi DNSSEC a) Transfer domeny (zabezpieczonej DNSSEC iem do Registrara, który nie wspiera) Ujednolicony model między Registrarami Implementacja DNSSEC a u ISP Specjalistyczna wiedza wymagająca szkoleo
Wdrożenie na świecie DNSSEC IN EUROPE Wim Degezelle, CENTR, 21st CENTR Admisnitrative workshop
Wdrożenie na świecie W chwili obecnej 28 rekordów DS znajduje się w strefie root:.be (Belgium),.bg (Bulgaria),.biz,.br (Brazil),.cat (Catalan community),.ch (Switzerland),.cz (Czech Republic),.dk (Denmark),.edu,.eu (European Union),.fr (France),.info,.li (Liechtenstein),.lk (Sri Lanka),.museum,.na (Namibia),.nu (Niue),.org,.pm (Saint Pierre and Miquelon),.pr (Puerto Rico),.re (Reunion),.se (Sweden),.tf (French Southern Territories),.th (Thailand),.tm (Turkmenistan),.uk (United Kingdom),.us (United States)
Wdrożenie na świecie http://secspider.cs.ucla.edu/ SecSpider the DNSSEC Monitoring Project
Narzędzia DNSViz (http://dnsviz.net/) Sandia National Laboratories
Narzędzia ZoneCheck (http://www.zonecheck.fr/), wersja command line oraz CGI/WEB, licencja GPL przygotowana przez Rejestr.fr DNSCheck (http://dnscheck.iis.se/), wersja comman line orac CGI/WEB, licencja GPL przygotowana przez Rejestr.se DNSSEC Validator (http://www.dnssecvalidator.cz/), plugin do FireFox a przygotowana przez Rejestr.cz
Polska na na tle EU 1.de 14 001 252 2.uk 8 966 685 3.nl 4 103 345 4.it 2 050 327 5.pl 1 975 717 6.fr 1 883 216 7.es 1 257 239 8.dk 1 101 074 9.be 1 091 862 10.se 1 060 405
Jak zarejestrowad nazwę domeny? Krajowy Rejestr Domen (Registry).pl rejestracja 9,90 pln, przedłużenie 40 pln Od Rejestratora (Registrar).pl rejestracja od 1 pln
Warunki przystąpienia do programu partnerskiego Wpłata zaliczki na konto pre-paid (10000 pln) Posiadanie technicznych warunków umożliwiających bezpieczne przechowywanie informacji o abonentach nazw domen internetowych Niewystępowanie nieuregulowanych należności, co najmniej na miesiąc przed podpisaniem porozumienia partner@dns.pl
Spory Sąd Polubowny ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji Sąd Arbitrażowy przy Krajowej Izbie Gospodarczej w Warszawie The World Intellectual Property Organization Arbitration and Mediation Center http://www.dns.pl/spory.html
Spory 2010 101 wniosków 2009 169 wniosków 2008 93 wnioski 2007 128 wniosków
Ciekawostki Pierwsza zarejestrowana domena na świecie: symbolics.com Najdłuższa polska domena: 31415926535897932384626433832795028841 9716939937510582097494459.pl Milionowa zarejestrowana domena w.pl galeria.radom.pl
Pytania? szopen@nask.pl