Robert Schischka GovCERT.at / CERT.at

Transkript

1 CERT-Strukturen in Österreich und Maßnahmen zur DNS-SicherheitSicherheit Robert Schischka GovCERT.at / CERT.at

2

3 Teams in Österreich CERT.at nationales CERT GovCERT öffentliche Verwaltung Weitere Teams / tw. in Gründung Aconet CERT R-IT MA 14 KAV???

4 Kooperationen und Datenaustausch ACOnet CERT DFN Cert (Carmentis) Cert.br - spamtraps cert ssi.gouv.fr AusCERT - lost credentials SWITCH.ch FORTH-CERT FIRST, TI, Terena 4

5 Dienstleistungen Alerts & Warnings Berichte zu speziellen Themen (Conficker, stuxnet, ) Website monitoring (Defacments, XSSvulnerabilities) Sensorsysteme (im Aufbau) passiv DNS DNS am GovIX

6 Domain Name Service Einer der Basisdienste des Internets Verteilte Datenbank Input: Domain Name Output: Resource Record Sets A, AAAA, CNAME, MX, SRV, PTR, Liefert Kommunikationsparameter IP-Adressen Hostnamen Portnummern

7 Beispiel Domainverwaltung Kernfunktionen einer Registry: Domain-Grundbuch Datenbank mit den wesentlichen Kerndaten zu einer Domain Inhaber Kontakte Nameserver Künftig DNSSec-Schlüssel (hashes) Betrieb der Nameserverinfrastruktur Hier liegt die eigentliche Hochverfügbarkeitsanforderung (!)

8 Risikobeurteilung Registry-Interface Online-Schnittstelle zur Vergabe und Administration der Domain-Daten Wesentlicher Grundsatz ist hier die Gleichbehandlung first-come-first-served sollte die Schnittstelle ausfallen, stellt das keinen wesentliche Bedrohung dar solange alle gleichbehandelt werden (trotzdem wird natürlich ein hoher Servicegrad angestrebt)

9 Risikobeurteilung DNS Für den typischen Internet-Nutzer gilt: Funktioniert das DNS nicht, ist das Internet kaputt. Ausprobieren: Sperren Sie mal Port 53 auf der Firewall!

10

11 GovIX GovIX VLAN in der Aconet-Infrastruktur, BGP Route Server Relativ günstige Bandbreite Kommunikation innerhalb der öffentlicher Verwaltung unabhängig vom freien Internet. Kommunikation im Notfall Das Internet brennt! Schotten dicht nach Außen!

12 GovIX DNS IP Connectivity über den GovIX hilft. Geht auch das DNS im Notfall? Nameserver im GovIX erreichbar? Von bmxyz.gv.at? Von gv.at? Von at? Von der DNS-Root.?

13 GovIX ACOnet Österreichische Wissenschaftsnetz + jede Menge öffentliche Einrichtungen Doppelt redundantes Netz Basis Ethernet Preismodell für internen Verkehr sehr attraktiv GovIX VLAN im ACOnet Eingeschränkter Zugang Peering Network für die öffentliche Verwaltung Unabhängig vom public Internet

14 Redundanzen im DNS In das DNS Protokoll ist Redundanz eingebaut: ;; ANSWER SECTION: nic.at IN NS ns5.univie.ac.at. nic.at IN NS ns9.univie.ac.at. nic.at IN NS ns3ext.univie.ac.at. nic.at IN NS ns4ext.univie.ac.at. DNS ist ziemlich tolerant: So lange ein Nameserver antwortet, ist alles ok. Die Anzahl von NS Records ist aber beschränkt (~ 10).

15 Terminologie Unicast Paket an genau einen Empfänger Broadcast Jeder soll das Paket bekommen Multicast Jeder aus einer Gruppe soll das Paket bekommen Anycast Ein beliebiger aus einer Gruppe soll das Paket bekommen.

16 Anycast Ist kein neues Protokoll Grundidee: Mehrer Instanzen stellen den gleichen Dienst zur Verfügung. Alle verwenden die gleiche IP-Adresse. Das Routing Protokoll leitet eine Anfrage an die topologisch nächste Instanz.

17 Quelle: Packet Clearing House Geographic plot of user population density

18 Geographic plot of user population density Server deployment

19 Geographic plot of user population density Server deployment Traffic Flow

20 Geographic plot of user population density Server deployment Traffic Flow

21 Geographic plot of user population density Server deployment Traffic Flow

22 Geographic plot of user population density Server deployment Traffic Flow

23 Vorteile Bessere Antwortzeiten Skalierung der Leistung Ausfallssicherheit Robustheit gegen Denial-of-Service Mehr Kapazität Reduziert Effektivität von DDOS

24 Was hat das alles mit dem GovIX zu tun? GovIX ist ein vom öffentlichen Internet unabhängige Verbindung zwischen den Teilnehmern. Sollte man sich vom Internet abkoppeln müssen, so soll GovIX die Kommunikation sicherstellen. , WWW & co zwischen den Teilnehmer funktioniert aber nur, wenn auch das DNS funktioniert.

25 Daher Innerhalb des GovIX müssen Nameserver für folgende Domains erreichbar sein: Die Root-Zone (. ) Die österreichische cctld (.at ) gv.at alle Domains der GovIX Teilnehmer

26 Anycast kann hier helfen Weitere NS Records gehen nicht. Nameserver der Teilnehmer werden vielleicht sowieso über den GovIX erreichbar. Für den Rest (.,.at,.gv.at ): Anycast-Instanz innerhalb des GovIX Völlig transparent.

27 Daher GovCERT / nic.at (mit Uni Wien als technischer Partner) erbringen diesen Dienst für den GovIX : nic.at betreibt.at, die Daten sind vorhanden Fast analog gv.at Gute Kontakte zu den Root-Server Betreibern nic.at hat operative Erfahrung mit Anycast Anbindung an das ACOnet ist vorhanden Secondary Service für GovIX Teilnehmer

28

29 Status Aktuell im Testbetrieb.at,.gv.at im GovIX aktiv Mit friendly customer Prozeduren für das Secondary-Service sind in Arbeit

30 Fragen?