DNSSEC Mechanizmy zabezpieczeń dla DNS. Jak wygląda teoria a jak rzeczywistość? Adam Obszyński
DNS Co to jest?
DNS to Książka telefoniczna Internetu? Klej / Spoiwo Internetu?
Krytyczna usługa sieciowa!
DNS to również problem Ataki bazujące na protokole DNS ciągle rosną 5 Tradycyjne rozwiązanie i zabezpieczenia DNS są przestarzałe i nieefektywne DNS nie może przestać działać nawet podczas ataku może wpłynąć na finanse i wizerunek
Dlaczego DNS jest łatwym celem ataku? DNS jest protokołem kluczowym dla Internetu Protokół DNS pozwala atakującym pozostać anonimowym DNS jako protokół jesy łatwy do wykorzystania jako źródło ataku Minimalne nakłady Maksymalny wpływ na usługę 6
Młotek1 dig ANY zing.zong.co.ua! ;;!QUESTION!SECTION:! ;zing.zong.co.ua.!!in!a!! ;;!ANSWER!SECTION:! zing.zong.co.ua.!86400!in!a!4.23.203.134! zing.zong.co.ua.!86400!in!a!80.252.221.127! [..]! zing.zong.co.ua.!86400!in!a!220.44.176.149! zing.zong.co.ua.!86400!in!a!220.236.27.48!! ;;!Query!time:!436!msec! ;;! ;;! ;;!MSG!SIZE!!rcvd:!3905!
Młotek2 awo@awormbp:~$!dig!pddns.info.!!grep!size! ;;!MSG!SIZE!!rcvd:!172!!! awo@awormbp:~$!dig!pddns.info.!mx!!grep!size! ;;!MSG!SIZE!!rcvd:!2779!!! pddns.info.!!3547!in!mx!0!16mobilemailserverrmobilemailserverrmobilemailserver.pddns.info.! pddns.info.!!3547!in!mx!0!3mobilemailserverrmobilemailserverrmobilemailserver.pddns.info.! pddns.info.!!3547!in!mx!0!35mobilemailserverrmobilemailserverrmobilemailserver.pddns.info.! pddns.info.!!3547!in!mx!0!2mobilemailserverrmobilemailserverrmobilemailserver.pddns.info.! pddns.info.!!3547!in!mx!0!22mobilemailserverrmobilemailserverrmobilemailserver.pddns.info.! pddns.info.!!3547!in!mx!0!19mobilemailserverrmobilemailserverrmobilemailserver.pddns.info.! pddns.info.!!3547!in!mx!0!28mobilemailserverrmobilemailserverrmobilemailserver.pddns.info.! pddns.info.!!3547!in!mx!0!23mobilemailserverrmobilemailserverrmobilemailserver.pddns.info.! pddns.info.!!3547!in!mx!0!14mobilemailserverrmobilemailserverrmobilemailserver.pddns.info.!!
Młotek3: 53 : 12533 awo@awormbp:~$!dig!any!34.30.46.207.inraddr.arpa! ;;!Truncated,!retrying!in!TCP!mode.!! ;!<<>>!DiG!9.10.0a2!<<>>!34.30.46.207.inRaddr.arpa!ANY!@8.8.8.8! ;;!global!options:!+cmd! ;;!Got!answer:! ;;!R>>HEADER<<R!opcode:!QUERY,!status:!NOERROR,!id:!4469! ;;!flags:!qr!rd!ra;!query:!1,!answer:!446,!authority:!0,!additional:!1!! ;;!ANSWER!SECTION:! 34.30.46.207.inRaddr.arpa.!3599!IN!PTR!officeliveblows.org.! 34.30.46.207.inRaddr.arpa.!3599!IN!PTR!winlive.nl.! 34.30.46.207.inRaddr.arpa.!3599!IN!PTR!winlive.us.! [...]!x!447!lines!;r)! 34.30.46.207.inRaddr.arpa.!3599!IN!PTR!officelivebites.org.! 34.30.46.207.inRaddr.arpa.!3599!IN!PTR!msdnlive.com.! 34.30.46.207.inRaddr.arpa.!3599!IN!PTR!officeRlive.info.!! ;;!Query!time:!98!msec! ;;! ;;!! ;;!MSG!SIZE!!rcvd:!12533!
To może zrezygnować z DNS?
Czy aby na pewno?
DNSSEC Co to jest?
Co to jest DNSSEC i co on właściwie robi?! Rozszerzenia bezpieczeństwa DNS DNS Security Extensions, oryginalnie opisane w RFC 2535 wspierane przez BIND od 1997 roku!! Aktualizacja definicji w roku 2005 w formie RFC 4033-4035 opisujących specyfikacje DNSSEC.! DNSSEC oferuje: Uwierzytelnia pochodzenie/źródło danych DNS: Weryfikuje czy dane zostały wysłane z poprawnego źródła i czy nie zostały podmienione w trakcie transmisji Jeżeli weryfikacja będzie błędna wysyłany jest komunikat SERVFAIL Weryfikuje integralność danych: Gwarantuje że dane nie zostały podmienione w trakcie transmisji Nawet potencjalnie ryzykowne źródła danych mogą być sprawdzone! Uwierzytelnia zaprzeczenie istnienia Jeżeli serwer, strefa/domena, rekord(y) nie istnieją DNSSEC pozwala to potwierdzić 13
Czego w DNS nie zapewnią nawet najlepsze praktyki?! Mimo że zalecenia/bcp pomagają zmniejszyć ryzyko nie mogą zlikwidować słabości protokołu DNS: Brak weryfikacji integralności danych Brak możliwości weryfikacji źródła danych Brak możliwości weryfikacji odpowiedzi negatywnych! Odporności na następujące ataki: DNS spoofing Cache Poisoning 14
Czego DNSSEC nam nie zapewni?! DNSSEC nie szyfruje danych DNS Rekordy DNS przesyłane są jawnym tekstem! DNSSEC nie chroni przed DoS i innymi atakami bezpośrednimi W sumie to trochę wspomaga ;-) 15
Jak DNSSEC działa widok z lotu ptaka! DNSSEC bazuje na kryptografii klucza publicznego Dwa zestawy kluczy (Key Signing Keys, Zone Signing Keys)! Używa kluczy prywatnych do podpisania RR w strefie DNS. Może to zweryfikować każdy posiadający klucz publiczny. DNSSEC używa algorytmów RSA/SHA! Dystrybucja kluczy i podpisów bazuje na nowych typach rekordów (Resource Records) DNSKEY, RRSIG, DS, NSEC, NSEC3, NSEC3PARAM! Na potrzeby DNSSEC dodano nowe flagi (DNS Header Flags) Checking Disabled (CD) Authenticated Data (AD) DNSSEC wymaga użycia EDNS0 (RFC2671) Używany jest też bit EDNS0 DO oznaczający DNSSEC OK! Dystrybucja kluczy bazuje na łańcuchu zaufania (chain of trust). Używana jest hierarchia DNS i Trust Anchors 16
DNSSEC Zasada działania
DNSSEC Chain of Trust Rozwiązywanie nazw Public Private Root KSK Root KSK Public Private.com KSK.com KSK Public Private.mojbank.com KSK.mojbank.com KSK https://www.iana.org/dnssec/files Trust Anchor (published by IANA) Public Private root zone signs Root ZSK Root ZSK signs refers Public Private.com zone signs.com ZSK.com ZSK signs refers Public Private.mojbank.com zone signs.mojbank.com ZSK.mojbank.com ZSK signs.com DS record.mojbank.com DS record signed www www KSK: Key Signing Key ZSK: Zone Signing Key DS: Delegation Signer
DNSSEC Detale
DNSSEC Klucze do królestwa! Zone Signing Key (ZSK) Oznaczenie 256 Używany do podpisywania danych strefy Każda strefa ma swój własny ZSK! Key Signing Key (KSK) Oznaczenie 257 Używany do podpisania DNSKEY w strefie Każda strefa ma swój własny KSK KSK jest również używany/nazywany Secure Entry Point (RFC3757)! Strefy są podwójnie podpisywane Dane DNS za pomocą ZSK ZSK jest podpisywany za pomocą KSK Klucze nie wygasają automatycznie ale mają oznaczenie daty aktywności/ usunięcia.
Podpisywanie strefy (Zone Signing)! Przygotowanie strefy Wszystkie nazwy zapisywane małymi literami! Sortowanie danych w strefie Rekordy sortujemy od prawej etykiety Sortowanie słownikowe Liczby przed literami Nieistniejące etykiety przed liczbami Przykład: mojbank.pl poprzedza 0.mojbank.pl poprzedza www.mojbank.pl-! Przeliczenie i dodanie do strefy rekordów DNSSEC
Sortowanie rekordów mojbank.pl.!86400!in!soa!ns1.mojbank.pl.!hostmaster.mojbank.pl.!(!!!!!!!!2014060902!!!!!!!!1h!!!!!!!!15m!!!!!!!!30d!!!!!!!!1h!)! mojbank.pl.!86400!in!ns!!ns1.mojbank.pl.! mojbank.pl.!86400!in!mx!!10!mail.mojbank.pl.! mojbank.pl.!3600!in!a!!192.168.0.1! mail.mojbank.pl.!86400!in!a!!192.168.0.2! ns1.mojbank.pl.!86400!in!a!!192.168.0.3! sub.mojbank.pl.!86400!in!ns!!ns1.sub.mojbank.pl.! www.mojbank.pl.!86400!in!cname!!mojbank.pl.!
Podpisywanie strefy dodane klucze mojbank.pl.!86400!in!soa!ns1.mojbank.pl.!hostmaster.mojbank.pl.!(!!!!!!!!2014060903!!!!!!!!1h!!!!!!!!15m!!!!!!!!30d!!!!!!!!1h!)! mojbank.pl.!!86400!in!dnskey!257!3!5!aweaafyh8eqw+! mojbank.pl.!!86400!in!dnskey!256!3!5!eesiesh2ewio+! mojbank.pl.!!86400!in!ns!!ns1.mojbank.pl.! mojbank.pl.!!86400!in!mx!10!mail.mojbank.pl.! mojbank.pl.!!3600!in!a!192.168.0.1! mail.mojbank.pl.!86400!in!a!192.168.0.2! ns1.mojbank.pl.!86400!in!a!192.168.0.3! sub.mojbank.pl.!86400!in!ns!ns1.sub.mojbank.pl.! www.mojbank.pl.!86400!in!cname!mojbank.pl.! ;31897! ;18165!
Podpisywanie strefy NSEC mojbank.pl.!86400!in!soa!ns1.mojbank.pl.!hostmaster.mojbank.pl.!(!!!!!!!!2014060904!!!!!!!!1h!!!!!!!!15m!!!!!!!!30d!!!!!!!!1h!)! mojbank.pl.!86400!in!dnskey!256!3!5!aweaafyh8eqw+!;31897! mojbank.pl.!86400!in!dnskey!257!3!5!eesiesh2ewio+!! ;18165! mojbank.pl.!86400!in!ns!ns1.mojbank.pl.! mojbank.pl.!86400!in!mx!10!mail.mojbank.pl.! mojbank.pl.!3600!in!a!192.168.0.1! mojbank.pl.!3600!in!nsec!mail.mojbank.pl.!soa!ns!mx!a!rrsig!nsec!dnskey! mail.mojbank.pl.!86400!in!a!192.168.0.2! mail.mojbank.pl.!3600!in!nsec!ns1.mojbank.pl.!a!rrsig!nsec! ns1.mojbank.pl.!86400!in!a!192.168.0.3! ns1.mojbank.pl.!3600!in!nsec!sub.mojbank.pl.!a!rrsig!nsec! sub.mojbank.pl.!86400!in!ns!ns1.sub.mojbank.pl.! sub.mojbank.pl.!3600!in!nsec!www.mojbank.pl.!ns!rrsig!nsec! www.mojbank.pl.!86400!in!cname!mojbank.pl.! www.mojbank.pl.!3600!in!nsec!mojbank.pl.!cname!rrsig!nsec!
Podpisywanie strefy generowanie RRSIG mojbank.pl.!86400!in!soa!ns1.mojbank.pl.!hostmaster.mojbank.pl.!(!!!!!!!!2014060905!!!!!!!!1h!!!!!!!!15m!!!!!!!!30d!!!!!!!!1h!)! mojbank.pl.!86400!in!dnskey!256!3!5!aweaafyh8eqw+! ;31897! mojbank.pl.!86400!in!dnskey!257!3!5!eesiesh2ewio+!! ;18165! mojbank.pl.!86400!in!ns!ns1.mojbank.pl.! mojbank.pl.!86400!in!mx!10!mail.mojbank.pl.! mojbank.pl.!3600!in!a!192.168.0.1! mojbank.pl.!3600!in!nsec!mail.mojbank.pl.!soa!ns!mx!a!rrsig!nsec!dnskey! mojbank.pl.!!!86400!in!rrsig!dnskey!5!3!180!20140428110136!20140424104538!31897!mojbank.pl.!xxxxxxx! mail.mojbank.pl.!86400!in!a!192.168.0.2! mail.mojbank.pl.!3600!in!nsec!ns1.mojbank.pl.!a!rrsig!nsec! ns1.mojbank.pl.!86400!in!a!192.168.0.3! ns1.mojbank.pl.!3600!in!nsec!sub.mojbank.pl.!a!rrsig!nsec! sub.mojbank.pl.!86400!in!ns!ns1.sub.mojbank.pl.! sub.mojbank.pl.!3600!in!nsec!www.mojbank.pl.!ns!rrsig!nsec! www.mojbank.pl.!86400!in!cname!mojbank.pl.! www.mojbank.pl.!3600!in!nsec!mojbank.pl.!cname!rrsig!nsec!!
Podpisywanie strefy generowanie RRSIG cd. mojbank.pl.!86400!in!soa!ns1.mojbank.pl.!hostmaster.mojbank.pl.!(!!!!!!!!2014060906!!!!!!!!1h!!!!!!!!15m!!!!!!!!30d!!!!!!!!1h!)! mojbank.pl.!!86400!in!dnskey!256!3!5!aweaafyh8eqw+! ;31897! mojbank.pl.!!86400!in!dnskey!257!3!5!eesiesh2ewio+!! ;18165! mojbank.pl.!!86400!in!ns!ns1.mojbank.pl.! mojbank.pl.!!86400!in!mx!10!mail.mojbank.pl.! mojbank.pl.!!3600!in!a!192.168.0.1! mojbank.pl.!!3600!in!nsec!mail.mojbank.pl.!soa!ns!mx!a!rrsig!nsec!dnskey! mojbank.pl.!86400!in!rrsig!dnskey!5!3!180!20140428110136!20140424104538!31897!mojbank.pl.!xxx! mojbank.pl.!86400!in!rrsig!dnskey!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! mojbank.pl.!86400!in!rrsig!ns!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! mojbank.pl.!86400!in!rrsig!mx!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! mojbank.pl.!86400!in!rrsig!a!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! mojbank.pl.!86400!in!rrsig!nsec!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! mail.mojbank.pl.!86400!in!a!192.168.0.2! mail.mojbank.pl.!3600!in!nsec!ns1.mojbank.pl.!a!rrsig!nsec! mail.mojbank.pl.!86400!in!rrsig!a!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! mail.mojbank.pl.!86400!in!rrsig!nsec!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! ns1.mojbank.pl.!86400!in!a!192.168.0.3! ns1.mojbank.pl.!3600!in!nsec!sub.mojbank.pl.!a!rrsig!nsec! ns1.mojbank.pl.!86400!in!rrsig!a!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! ns1.mojbank.pl.!86400!in!rrsig!nsec!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! sub.mojbank.pl.!86400!in!ns!ns1.sub.mojbank.pl.! sub.mojbank.pl.!3600!in!nsec!www.mojbank.pl.!ns!rrsig!nsec! sub.mojbank.pl.!86400!in!rrsig!ns!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! sub.mojbank.pl.!86400!in!rrsig!nsec!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! www.mojbank.pl.!86400!in!cname!mojbank.pl.! www.mojbank.pl.!3600!in!nsec!mojbank.pl.!cname!rrsig!nsec! www.mojbank.pl.!86400!in!rrsig!cname!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx! www.mojbank.pl.!86400!in!rrsig!nsec!5!3!180!20140428110136!20140424104538!18165!mojbank.pl.!xxx!
Podpisywanie strefy sortowanie
DNSSEC Lookaside Validation (RFC5074)! Nie wszystkie gtld/cctld są podpisane, nadrzędne rekordy DS nie mogą być sprawdzane.! DNSSEC Lookaside Validation Registrar (DLV) Umowny zbiór dodatkowych trust anchor dla stref Cache (Validating DNS) może zostać skonfigurowany aby sprawdzać zasoby DLV jeżeli tradycyjna walidacja od ROOT nie powiodła się. Dane z DLV są akceptowane jako zaufane ogniwo przy sprawdzaniu Chain of Trust! DLV dotyka problemów zaufania DLV utrzymywane przez ISC jest kontrolowane przez ISC itp. Czasami zasady bezpieczeństwa uniemożliwiają ufania DLV Automatycznie ufamy ISC i tym którzy im już zaufali.. https://dlv.isc.org/
DNSSEC Podsumowanie teorii! DNSSEC = DNS Security Extensions Wstecznie kompatybilne z tradycyjnym DNS! Wprowadza dodatkowe rekordy (RR) do DNS DNSKEY, DS, RRSIG, NSEC/NSEC3, and NSEC3PARAM! Używa poprzednio nieużywane flagi w nagłówkach DNS! Używa również flag udostępnionych przez rozszerzenie EDNS0! Używa kryptografii klucza publicznego Cyfrowe podpisy rekordów (RR) Gwarantuje że wiadomość była stworzona przez właściciela klucza Gwarantuje że wiadomość nie została zmieniona podczas transmisji! Dwa klucze kryptograficzne Zone Signing Key (ZSK) podpisuje rekordy w strefie Key Signing Key (KSK) podpisuje ZSK
DNSSEC Podsumowanie teorii cd.! Strefy DNS podpisujemy: Sortując rekordy Tworząc cyfrowe podpisy z wykorzystaniem ZSK Sygnatury są dodawane do strefy DNS! Resolver weryfikuje sygnatury przez: Pobieranie rekordów i kluczy w górę hierarchii DNS aż do ROOT. Jest to tzw. Łańcuch Zaufania - Chain of Trust Błąd/przerwa w łańcuchu powoduje błąd walidacji! Rekordy NSEC/NSEC3 udostępniają potwierdzenie nieistnienia! DNS Lookaside Validation pozwala wykorzystywać DNSSEC nawet gdy TLD jest bez DNSSEC.
DNSSEC W użyciu Czyli różne punkty widzenia
DNSSEC Punkty obserwacyjne :-)! Aby poznać lepiej DNSSEC trzeba dokonać trzech obeserwacji Dostawca treści / usługi Operator / ISP Użytkownik 32
DNSSEC Z perspektywy klienta/użytkownika
Przypadek 1: Mój serwer nie wie co to DNSSEC Najbardziej popularny! Działamy zgodnie z klasycznym DNS bez DNSSEC Ew. używamy plugin do przeglądarki który sprawdzi DNSSEC za pomocą innego serwera albo sam dokona pełnego odpytywania ( Without resolver ). FF, Safari, Chrome: https://www.dnssec-validator.cz/ Działa jak stary DNS, bez DNSSEC. 34
Przypadek 1: Mój serwer nie wie co to DNSSEC
Przypadek 2: Mój serwer rozumie DNSSEC! Prawie jak Yeti :-) Tzw. DNSSEC Validating Resolver Chroni nieświadomych resolver/klienta za pomocą SERVFAIL. Przypadek zapytania o rekord z błędną weryfikacją DNSSEC 36
Przypadek 2: Mój serwer rozumie DNSSEC! Prawie jak Yeti :-) Tzw. DNSSEC Validating Resolver Chroni nieświadomych resolver/klienta za pomocą SERVFAIL. Przypadek zapytania o rekord z poprawną weryfikacją DNSSEC 37
Przypadek 2: Mój serwer rozumie DNSSEC 38
DNSSEC Już prawie wkradł się do przeglądarek! Google Chrome od wersji 14 (wrzesień 2011) miało wsparcie dla DNSSEC.! Stan weryfikacji DNSSEC można było sprawdzić tylko dla https. Usunięto wsparcie: https://www.imperialviolet.org/2011/06/16/dnssecchrome.html 39
DNSSEC Teraz mamy tylko pluginy https://www.dnssec-validator.cz/ 40 Currently, Internet Explorer (IE), Mozilla Firefox (MF), Google Chrome/Chromium (GC), Opera (OP), Apple Safari (AS) are supported.
DNSSEC Z perspektywy operatora
DNSSEC Jak to wygląda na świecie! Matthäus Wander przeprowadził test sprawdzania DNSSEC w różnych krajach! http://www.vs.uni-due.de/wander/20130319_dnssec_validation/#19 42
DNSSEC na świecie badanie by Geoff Huston z APNIC http://stats.labs.apnic.net/dnssec Używają reklam google.com do dystrybucji zapytań
DNSSEC Jak sprawdzić operatora? http://dnssec.vs.uni-due.de/ => 44
DNSSEC Jak sprawdzić operatora? http://www.dnssec.cz/ VS http://test.dnssec-or-not.com/ http://dnssectest.sidnlabs.nl/ 45
DNSSEC Jak sprawdzić operatora? Są też aplikacje przykład DNSSEC Check z http://www.dnssec-tools.org/ 46
DNSSEC Z perspektywy dostawcy treści (e-commerce, finanse, banki, e-gov itp.).
DNSSEC Jaka jest stawka VAT? Geoff Huston z ostatniego DNS-OARC Meeting What if Everyone Did It? 48
DNSSEC Dostawcy treści https://www.cert.org/blogs/certcc/post.cfm?entryid=206 49
DNSSEC Jak? - Najlepiej zacząć od pilota (np. jedna mniej popularna strefa) - Ew. DNSSEC w trybie offline - Sprawdzić oprogramowanie DNS na serwerach - Sprawdzić FW, LB, IDS/IPS czy radzi sobie z EDNS0 i TCP:53 dla DNS - Potwierdzić czy Registrar wspiera DNSSEC - Jaka jest metoda dostarczania DS. - Jak wygląda aktualizacja DS i sytuacje awaryjne - Nic nie zastąpi doświadczenia zdobytego w realu. Jak w IPv6 ;-) - Przy większej skali / ważności warto zastosować urządzenia HSM. - Są już pierwsze przymiarki do audytowania DNSSEC: http://www.nlnetlabs.nl/downloads/publications/dns-audit-framework-1.0.pdf 50
DNSSEC Sprawdzamy czy wszystko jest OK - http://dnsviz.net/ - http://dnssec-debugger.verisignlabs.com/ 51
Na koniec trochę o 3 nogach czyli statystyka ;-)
DNSSEC NIST - egov IPv6 na DNS/MAIL/MAIL oraz DNSSEC http://fedv6-deployment.antd.nist.gov/cgi-bin/generate-com Monitorują USA GOV, USA EDU i 1070 domen z rynku komercyjnego 53
DNSSEC NIST ORG & COM IPv6 na DNS/MAIL/MAIL oraz DNSSEC http://fedv6-deployment.antd.nist.gov/cgi-bin/generate-com Monitorują USA GOV, USA EDU i 1070 domen z rynku komercyjnego 54
DNSSEC Stats Marc Lampo @ Linkedin DNSSEC group 38.1% http://www.dnssec.cz ~34% http://www.dnssec.nl
??? 56 http://www.roadsidemonster.com/
DNSSEC A jak używamy DNSSEC w kraju Perla (PL) ;-) Z ostatniego raportu NASK: [ ] pierwsze półrocze rejestr zakończył liczbą 2 491 276 nazw aktywnych w DNS [ ] 0,63% Z końcem pierwszego półrocza 2014 roku w rejestrze domeny.pl istniało 15851 nazw zabezpieczonych protokołem DNSSEC. [...] http://www.dns.pl/nask_q2_2014_raport.pdf 57
;-)
NA KONIEC
DNSSEC Ciekawostki - DANE (DNS-based Authentication of Named Entities) - Np. SMTP, Jabber/XMPP, SIP, SSLVPN, SDN Tools - Certyfikaty w DNS " - Dodatkowa weryfikacja Przykład z Postfix: https://ripe68.ripe.net/presentations/253- DANEs_don%27t_lie-20140512.pdf - SSHFP RR: SSH Key Fingerprints Przykład: http://www.phcomp.co.uk/tutorials/unix-and-linux/ssh-check-server-fingerprint.html RSA key fingerprint is ca:fe:aa:bb:56:f8:0c:04:12:5b:ef:4d:46:ad:09:23.! Matching host key fingerprint found in DNS.! Are you sure you want to continue connecting (yes/no)?! Więcej info o DANE by Scott Hogg: https://community.infoblox.com/blogs/2014/04/14/dns-based-authentication-named-entities-dane TLSA Checker: https://check.sidnlabs.nl/dane/ 60
DNSSEC dla mas - A ty? - Chciałbym konto w banku z DNSSEC - Chciałbym aby nasz GOV.PL używał DNSSEC - Chciałbym aby mój serwis e-mail używał DNSSEC - Co z bezpieczeństwem klientów? - Czy bez DNSSEC firma zrobiła wszystko co mogła? - Koszty utrzymania, szkolenia itd. - Ryzyko błędu / niedostępności - Brak zrozumienia u klientów/użytkowników 61
DNSSEC Jak poprawić popularność? - Promocje/zniżki opłat za domeny jeżeli włączamy DNSSEC - Standaryzacja odgórna np. gov.pl - Czesi mają od paru lat projekt IPv6 i DNSSEC dla Edu & Gov - W USA instytucje Gov miały czas do końca 2011 aby wdrożyć IPv6 i DNSSEC na styku z Internetem (czyli klientem) - Powinno nam zależeć aby podnosić bezpieczeństwo - Jak również na unikaniu manipulacji i polityki - Przykład Turcji gdyby twitter i facebook używał DNSSEC Potrzebny byłby jeszcze DNSSEC Validating server/resolver https://ripe68.ripe.net/presentations/158-bortzmeyer-google-dns-turkey.pdf
Pytania?