DNS vs. Sicherheit. the long story. equinox. CryptoCon15, Leipzig ...

Größe: px

Ab Seite anzeigen:

Download "DNS vs. Sicherheit. the long story. equinox. CryptoCon15, Leipzig ..."

Gerda Baum
vor 8 Jahren
Abrufe

1 DNS vs Sicherheit the long story equinox CryptoCon15, Leipzig

2 Übersicht 1 Kurzwiederholung DNS 2 Was sind DNSsec 3 Nachteile von DNSsec 4 DANE & Vorteile von DNSsec

3 DNS "PirateBay ist gesperrt" "stell mal den DNS auf 8888"

4 ;; QUESTION SECTION: ;thepiratebayorg IN A ;; ANSWER SECTION: thepiratebayorg 3600 IN A

5 DNS Telefonbuch Name IP-Adresse Frage & Antwort, je ein Datenpaket hierarchisch organisiert

6 (root) NS d0orgafilias-nstorg NS ns1torprojectorg A Antwort von aroot-serversnet = ICANN org Antwort von d0orgafilias-nstorg = Afilias torproject Antwort von ns1torprojectorg = Tor www

7 Caches durchlaufen der Hierarchie dauert & belastet Server Ergebnisse zwischenspeichern WLAN-Router Provider PC Telefon aroot-serversnet d0orgafilias-nstorg ns1torprojectorg

8 Sicherheit Protokoll ist von 1987 Einzige Sicherheitsüberlegung war Ausfallschutz ( jeweils mehr als 1 Server)

9 Sicherheit Protokoll ist von 1987 Einzige Sicherheitsüberlegung war Ausfallschutz ( jeweils mehr als 1 Server) Anfang der 2000er begannen Fälschungsangriffe (unterschieben inkorrekter Antworten)

10 Cache Poisoning Zielname aussuchen Massenhaftes Senden von Antworten mit gefälschtem Absender (zuständiger DNS-Server) Auslösen einer Anfrage für Zielname Cache merkt sich falsche Antwort und liefert diese aus

11 WLAN-Router Provider PC Telefon aroot-serversnet d0orgafilias-nstorg ns1torprojectorg ns1torprojectorg (nicht)

12 DNSsec Sicherheitserweiterung (1994-) entwickelt Legt Verwendung von Schlüsseln und Unterschriften fest

13 DNSsec DNSKEY: Schlüssel (2 Arten) Key Signing Key - langlebig, sicher Zone Signing Key - kurzlebig, weniger sicher RRSIG: Unterschrift für Daten DS: Schlüssel(abdruck) des nächsten Servers

14 (root) NS d0orgafilias-nstorg NS ns1torprojectorg A org torproject www

15 NS d0orgafilias-nstorg NS ns1torprojectorg A (root) org torproject www DS E6C1716 DNSKEY + RRSIG DS CCB DNSKEY + RRSIG RRSIG

16 Beispiele

17 Probleme DNS arbeitet mit einzelnen Paketen Pakete haben Maximalgrößen Anfragen mit gefälschten Absendern möglich

18 Probleme Fälsche Absender von unliebsamem Ziel Sende (kurze) Anfrage DNS-Server schickt (lange) Antwort an unliebsames Ziel

19 Probleme Fälsche Absender von unliebsamem Ziel Sende (kurze) Anfrage DNS-Server schickt (lange) Antwort an unliebsames Ziel Rate Limiting

20 Probleme Fälsche Absender von unliebsamem Ziel Sende (kurze) Anfrage DNS-Server schickt (lange) Antwort an unliebsames Ziel Rate Limiting Schlüssel müssen möglichst kurz sein Elliptische Kurven

21 Probleme (2) Management der Krypto an Domainverwalter gebunden Braucht Support zb vom Serverhoster Politische Einflüsse auf Länderdomains

22 Probleme (3) Hoher Betriebsaufwand (Regelmässiger Schlüsseltausch) Kaputte Unterschriften kaputte Domains Kaputte Caches kaputte Domains against-dnssec/

23 "Vorteile" Sperrversuche werden als Sicherheitsbruch erkannt DPI-Kram, komische WLAN-Router & WLAN-Loginseiten können DNS nicht mehr "verbiegen"

24 Vorteile DANE Eindeutige Hierarchie Live-System

25 DANE Wenn die IP-Adresse schon unterschreiben ist kann auch das SSL/TLS-Zertifikat notiert & unterschrieben werden

26 DANE NS d0orgafilias-nstorg NS ns1torprojectorg A (root) org torproject www DS E6C1716 DNSKEY + RRSIG DS CCB DNSKEY + RRSIG RRSIG

27 DANE NS d0orgafilias-nstorg NS ns1torprojectorg (root) org torproject DS E6C1716 DNSKEY + RRSIG DS CCB DNSKEY + RRSIG A RRSIG www TLSA E _443_tcpwww X509 cert: EA:16:D6:DA:76:9B: /CN = *torprojectorg/

28 Eindeutige Hierarchie zu jedem Namen nur ein möglicher Unterschriftspfad laufend nachprüfbar bei Manipulationen eindeutig "Schuldiger"

29 DNSsec + Tor DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS Domainbesitzer User

30 DNSsec + Tor DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS tor tor tor tor tor tor tor tor Domainbesitzer mein Key? konsistente Keys? User

31 Live-System DNS-Antworten haben kurze Gültigkeit (Stunden, Tage) Unterschriften haben kurze Gültigkeit (Tage) Rückruf von gebrochenen Zertifikaten als automatisches Feature

32 Benutzbarkeit? Browsersupport fehlt leider Plugin von CZnic:

33 Benutzbarkeit? Browsersupport fehlt leider Plugin von CZnic: Domains mit DNSsec sehr selten Domainverwalter nur mässig interessiert

34 Fragen? Fragen?

Ähnliche Dokumente

DNS Grundlagen. ORR - November 2015. jenslink@quux.de. DNS Grundlagen 1

DNS Grundlagen. ORR - November 2015. jenslink@quux.de. DNS Grundlagen 1 DNS Grundlagen ORR - November 2015 jenslink@quux.de DNS Grundlagen 1 /me Freelancer Linux seit es das auf 35 Disketten gab IPv6 DNS und DNSSEC Monitoring mit Icinga, LibreNMS,... Netzwerke (Brocade, Cisco,