DNS & DNSSEC. Simon Mittelberger. DNS und DNSSEC. Eine Einführung. 12. und 13. Januar, und 13. Januar, / 66

Größe: px
Ab Seite anzeigen:

Download "DNS & DNSSEC. Simon Mittelberger. DNS und DNSSEC. Eine Einführung. 12. und 13. Januar, 2011. 12. und 13. Januar, 2011 1 / 66"

Transkript

1 DNS und Eine Einführung 12. und 13. Januar, und 13. Januar, / 66

2 DNS Infrastruktur DNS DNS Angriffe DDOS Domain Name System DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

3 Gliederung DNS Infrastruktur DNS DNS Angriffe DDOS 1 DNS Infrastruktur DNS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

4 Gliederung DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 1 DNS Infrastruktur DNS 2 DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

5 Gliederung DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 1 DNS Infrastruktur DNS 2 DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache-Poisoning und 13. Januar, / 66

6 Domain Name System DNS Warum DNS? Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

7 Domain Name System DNS Infrastruktur Warum DNS? DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

8 Domain Name System DNS Infrastruktur DNS DNS Angriffe DDOS Warum DNS? Aufgaben DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

9 Domain Name System DNS Infrastruktur DNS DNS Angriffe DDOS Warum DNS? Aufgaben Domain IP DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

10 Domain Name System DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing Warum DNS? Aufgaben Domain IP Domain IP DNS-Cache- Poisoning 12. und 13. Januar, / 66

11 Domain Name System DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Warum DNS? Aufgaben Domain IP Domain IP Ein weltweites System 12. und 13. Januar, / 66

12 für DNS DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

13 für DNS DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

14 für DNS DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

15 für DNS DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

16 Nameserver DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

17 Nameserver DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

18 Nameserver DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

19 Nameserver DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

20 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

21 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

22 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

23 Infrastruktur DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

24 Infrastruktur DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

25 Infrastruktur DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

26 Infrastruktur DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

27 Infrastruktur DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

28 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

29 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

30 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

31 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

32 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

33 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

34 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

35 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

36 DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

37 DNS DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning A IPv4-Adresse AAAA IPv6-Adresse NS Authoritativer Nameserver MX Mailserver für die Domain CNAME Definition von Aliasen SOA Administrative Daten der Zone (z.b: Seriennummer,...) SPF Berechtigt Mailserver zum versenden von Mails PTR Auflösung von IP-Adressen nach Namen 12. und 13. Januar, / 66

38 DNS Angriffe DNS Ist DNS sicher? Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

39 DNS Angriffe DNS Ist DNS sicher? Was passiert bei einem Angriff? Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

40 DNS Angriffe DNS Infrastruktur Ist DNS sicher? Was passiert bei einem Angriff? Ziel nicht erreichbar DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

41 DNS Angriffe DNS Infrastruktur DNS Ist DNS sicher? Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

42 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS Ist DNS sicher? Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

43 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification Ist DNS sicher? Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

44 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS 12. und 13. Januar, / 66

45 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS DNS-Amplification 12. und 13. Januar, / 66

46 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS DNS-Amplification DNS-Spoofing 12. und 13. Januar, / 66

47 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS DNS-Amplification DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

48 DDOS DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

49 DDOS DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

50 DDOS DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

51 DNS Amplification DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

52 DNS Amplification DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

53 DNS Amplification DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

54 DNS-Spoofing DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

55 DNS-Spoofing DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

56 DNS-Spoofing DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

57 DNS-Spoofing DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

58 DNS-Cache-Poisoning DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

59 DNS-Cache-Poisoning DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

60 DNS-Cache-Poisoning DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

61 DNS-Cache-Poisoning DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

62 DNS-Cache-Poisoning DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

63 DNS-Cache-Poisoning DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

64 DNS-Cache-Poisoning DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

65 DNS-Cache-Poisoning DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

66 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS DNS-Amplification DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

67 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS DNS-Amplification DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

68 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS - Ziel nicht erreichbar, Rechner außer Gefecht DNS-Amplification DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

69 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS - Ziel nicht erreichbar, Rechner außer Gefecht DNS-Amplification - Rechner außer Gefecht DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

70 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS - Ziel nicht erreichbar, Rechner außer Gefecht DNS-Amplification - Rechner außer Gefecht DNS-Spoofing - Falsches Ziel wird erreicht DNS-Cache-Poisoning 12. und 13. Januar, / 66

71 DNS Angriffe DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS - Ziel nicht erreichbar, Rechner außer Gefecht DNS-Amplification - Rechner außer Gefecht DNS-Spoofing - Falsches Ziel wird erreicht DNS-Cache-Poisoning - Falsches Ziel wird erreicht 12. und 13. Januar, / 66

72 Fragen? DNS Infrastruktur DNS DNS Angriffe DDOS DNS Amplification DNS-Spoofing DNS-Cache- Poisoning 12. und 13. Januar, / 66

73 AC Hash-Algorithmus Anwendung Certificate PKI PKI Asymmetric Cryptography 12. und 13. Januar, / 66

74 Gliederung AC Hash-Algorithmus Anwendung Certificate PKI PKI 4 Asymmetric Cryptography Hash-Algorithmus Anwendung Certificate 12. und 13. Januar, / 66

75 Gliederung AC Hash-Algorithmus Anwendung Certificate PKI PKI 4 Asymmetric Cryptography Hash-Algorithmus Anwendung Certificate 5 Public Key Infrastructure Public Key Infrastructure 12. und 13. Januar, / 66

76 Gliederung AC Hash-Algorithmus Anwendung Certificate PKI PKI 4 Asymmetric Cryptography Hash-Algorithmus Anwendung Certificate 5 Public Key Infrastructure Public Key Infrastructure und 13. Januar, / 66

77 Asymmetric Cryptography AC Hash-Algorithmus Anwendung Certificate Warum Asymmetrische Verschlüsselung? PKI PKI 12. und 13. Januar, / 66

78 Asymmetric Cryptography AC Hash-Algorithmus Anwendung Certificate PKI PKI Warum Asymmetrische Verschlüsselung? Digitale Signatur 12. und 13. Januar, / 66

79 Asymmetric Cryptography AC Hash-Algorithmus Anwendung Certificate PKI PKI Warum Asymmetrische Verschlüsselung? Digitale Signatur Authentizität 12. und 13. Januar, / 66

80 Asymmetric Cryptography AC Hash-Algorithmus Anwendung Certificate PKI PKI Warum Asymmetrische Verschlüsselung? Digitale Signatur Authentizität Verschlüsselung 12. und 13. Januar, / 66

81 Asymmetric Cryptography AC Hash-Algorithmus Anwendung Certificate PKI PKI Warum Asymmetrische Verschlüsselung? Digitale Signatur Authentizität Verschlüsselung Vetraulichkeit 12. und 13. Januar, / 66

82 - Eavesdropping AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

83 - Eavesdropping AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

84 - Eavesdropping AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

85 - Eavesdropping AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

86 - Eavesdropping AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

87 - Spoofing AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

88 - Spoofing AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

89 - Spoofing AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

90 - Spoofing AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

91 - Spoofing AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

92 Hash-Algorithmus AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

93 Hash-Algorithmus AC Hash-Algorithmus Anwendung Certificate PKI PKI bildet viele Bits auf wenige Bits ab 12. und 13. Januar, / 66

94 Hash-Algorithmus AC Hash-Algorithmus Anwendung Certificate PKI PKI bildet viele Bits auf wenige Bits ab sehr einfach in Hinrichtung 12. und 13. Januar, / 66

95 Hash-Algorithmus AC Hash-Algorithmus Anwendung Certificate PKI PKI bildet viele Bits auf wenige Bits ab sehr einfach in Hinrichtung sehr schwer in Rückrichtung 12. und 13. Januar, / 66

96 Schlüsselpaar: AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

97 Schlüsselpaar: privater Schlüssel geheim, nur Besitzer bekannt AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

98 AC Hash-Algorithmus Anwendung Certificate Schlüsselpaar: privater Schlüssel geheim, nur Besitzer bekannt öffentlicher Schlüssel für alle einsehbar PKI PKI 12. und 13. Januar, / 66

99 AC Hash-Algorithmus Anwendung Certificate Schlüsselpaar: privater Schlüssel geheim, nur Besitzer bekannt öffentlicher Schlüssel für alle einsehbar Schlüssellänge Mehr = Besser PKI PKI 12. und 13. Januar, / 66

100 AC Hash-Algorithmus Anwendung Certificate Schlüsselpaar: privater Schlüssel geheim, nur Besitzer bekannt öffentlicher Schlüssel für alle einsehbar Schlüssellänge Mehr = Besser PKI PKI 12. und 13. Januar, / 66

101 AC Hash-Algorithmus Anwendung Certificate Schlüsselpaar: privater Schlüssel geheim, nur Besitzer bekannt öffentlicher Schlüssel für alle einsehbar Schlüssellänge Mehr = Besser PKI PKI 12. und 13. Januar, / 66

102 AC Hash-Algorithmus Anwendung Certificate Schlüsselpaar: privater Schlüssel geheim, nur Besitzer bekannt öffentlicher Schlüssel für alle einsehbar Schlüssellänge Mehr = Besser PKI PKI 12. und 13. Januar, / 66

103 AC Hash-Algorithmus Anwendung Certificate Schlüsselpaar: privater Schlüssel geheim, nur Besitzer bekannt öffentlicher Schlüssel für alle einsehbar Schlüssellänge Mehr = Besser PKI PKI 12. und 13. Januar, / 66

104 AC Hash-Algorithmus Anwendung Certificate Schlüsselpaar: privater Schlüssel geheim, nur Besitzer bekannt öffentlicher Schlüssel für alle einsehbar Schlüssellänge Mehr = Besser PKI PKI 12. und 13. Januar, / 66

105 AC Hash-Algorithmus Anwendung Certificate Schlüsselpaar: privater Schlüssel geheim, nur Besitzer bekannt öffentlicher Schlüssel für alle einsehbar Schlüssellänge Mehr = Besser PKI PKI 12. und 13. Januar, / 66

106 Anwendung - Vorgaben AC Hash-Algorithmus Anwendung Certificate Alice besitzt einen privaten Schlüssel A PRIV und einen öffentlichen Schlüssel A PUB PKI PKI 12. und 13. Januar, / 66

107 Anwendung - Vorgaben AC Hash-Algorithmus Anwendung Certificate PKI PKI Alice besitzt einen privaten Schlüssel A PRIV und einen öffentlichen Schlüssel A PUB Bob besitzt einen privaten Schlüssel B PRIV und einen öffentlichen Schlüssel B PUB 12. und 13. Januar, / 66

108 Anwendung - Vorgaben AC Hash-Algorithmus Anwendung Certificate PKI PKI Alice besitzt einen privaten Schlüssel A PRIV und einen öffentlichen Schlüssel A PUB Bob besitzt einen privaten Schlüssel B PRIV und einen öffentlichen Schlüssel B PUB Öffentlicher Schlüssel ist dem jeweils Anderen bekannt 12. und 13. Januar, / 66

109 Anwendung - Vertrauliche Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob verschlüsselt Nachricht: 12. und 13. Januar, / 66

110 Anwendung - Vertrauliche Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob verschlüsselt Nachricht: Cypher = Encryption(Text, A PUB ) 12. und 13. Januar, / 66

111 Anwendung - Vertrauliche Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob verschlüsselt Nachricht: Cypher = Encryption(Text, A PUB ) Alice empfängt Cypher und entschlüsselt: 12. und 13. Januar, / 66

112 Anwendung - Vertrauliche Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob verschlüsselt Nachricht: Cypher = Encryption(Text, A PUB ) Alice empfängt Cypher und entschlüsselt: Text = Decryption(Cypher, A PRIV ) 12. und 13. Januar, / 66

113 Anwendung - Authentische Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob hasht Nachricht: 12. und 13. Januar, / 66

114 Anwendung - Authentische Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob hasht Nachricht: Hash = Hash(Text) 12. und 13. Januar, / 66

115 Anwendung - Authentische Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob hasht Nachricht: Hash = Hash(Text) Bob signiert Nachricht: 12. und 13. Januar, / 66

116 Anwendung - Authentische Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob hasht Nachricht: Hash = Hash(Text) Bob signiert Nachricht: Signature = Encryption(Hash, B PRIV ) 12. und 13. Januar, / 66

117 Anwendung - Authentische Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob hasht Nachricht: Hash = Hash(Text) Bob signiert Nachricht: Signature = Encryption(Hash, B PRIV ) Alice empfängt Text und Signature und validiert: 12. und 13. Januar, / 66

118 Anwendung - Authentische Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob hasht Nachricht: Hash = Hash(Text) Bob signiert Nachricht: Signature = Encryption(Hash, B PRIV ) Alice empfängt Text und Signature und validiert: Hash = Decryption(Signature, B PUB ) 12. und 13. Januar, / 66

119 Anwendung - Authentische Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob hasht Nachricht: Hash = Hash(Text) Bob signiert Nachricht: Signature = Encryption(Hash, B PRIV ) Alice empfängt Text und Signature und validiert: Hash = Decryption(Signature, B PUB ) Hash = Hash(Text ) 12. und 13. Januar, / 66

120 Anwendung - Authentische Nachricht AC Hash-Algorithmus Anwendung Certificate PKI PKI Bob hasht Nachricht: Hash = Hash(Text) Bob signiert Nachricht: Signature = Encryption(Hash, B PRIV ) Alice empfängt Text und Signature und validiert: Hash = Decryption(Signature, B PUB ) Hash = Hash(Text ) Hash == Hash 12. und 13. Januar, / 66

121 Certificate AC Hash-Algorithmus Anwendung Certificate PKI PKI Grundlegende Nachweisen der Gültigkeit eines Schlüssels. 12. und 13. Januar, / 66

122 Certificate AC Hash-Algorithmus Anwendung Certificate PKI PKI Was steht in einem Zertifikat? Certificate... Issuer Validity Not Before Not After Subject Subject Public Key Info... Subject Public Key Certificate Signature 12. und 13. Januar, / 66

123 Public Key Infrastructure AC Hash-Algorithmus Anwendung Certificate PKI PKI Grundlegende mit Vertrauensanker, zur Validierung verteilter Schlüssel. 12. und 13. Januar, / 66

124 AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

125 AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

126 AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

127 AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

128 AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

129 AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

130 AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

131 AC Hash-Algorithmus Anwendung Certificate Asymmetrische Kryptografie PKI PKI 12. und 13. Januar, / 66

132 AC Hash-Algorithmus Anwendung Certificate Asymmetrische Kryptografie Authentizität PKI PKI 12. und 13. Januar, / 66

133 AC Hash-Algorithmus Anwendung Certificate Asymmetrische Kryptografie Authentizität Vertraulichkeit PKI PKI 12. und 13. Januar, / 66

134 AC Hash-Algorithmus Anwendung Certificate PKI PKI Asymmetrische Kryptografie Authentizität Vertraulichkeit Certificate 12. und 13. Januar, / 66

135 AC Hash-Algorithmus Anwendung Certificate PKI PKI Asymmetrische Kryptografie Authentizität Vertraulichkeit Certificate Gültigkeit der Schlüssel 12. und 13. Januar, / 66

136 AC Hash-Algorithmus Anwendung Certificate PKI PKI Asymmetrische Kryptografie Authentizität Vertraulichkeit Certificate Gültigkeit der Schlüssel Public Key Infrastructure 12. und 13. Januar, / 66

137 AC Hash-Algorithmus Anwendung Certificate PKI PKI Asymmetrische Kryptografie Authentizität Vertraulichkeit Certificate Gültigkeit der Schlüssel Public Key Infrastructure Vertrauensanker 12. und 13. Januar, / 66

138 AC Hash-Algorithmus Anwendung Certificate PKI PKI Asymmetrische Kryptografie Authentizität Vertraulichkeit Certificate Gültigkeit der Schlüssel Public Key Infrastructure Vertrauensanker Verteilung der Schlüssel vereinfacht 12. und 13. Januar, / 66

139 Fragen? AC Hash-Algorithmus Anwendung Certificate PKI PKI 12. und 13. Januar, / 66

140 ify Domain Name System Security Extensions 12. und 13. Januar, / 66

141 Gliederung ify 7 ify 12. und 13. Januar, / 66

142 Gliederung ify 7 ify und 13. Januar, / 66

143 Domain Name System Security Extensions ify Warum? 12. und 13. Januar, / 66

144 Domain Name System Security Extensions ify Warum? Verhinderung von Angriffen 12. und 13. Januar, / 66

145 Domain Name System Security Extensions ify Warum? Verhinderung von Angriffen Aufgaben 12. und 13. Januar, / 66

146 Domain Name System Security Extensions ify Warum? Verhinderung von Angriffen Aufgaben Schützen der DNS-Antworten der Nameserver 12. und 13. Januar, / 66

147 Domain Name System Security Extensions ify Warum? Verhinderung von Angriffen Aufgaben Schützen der DNS-Antworten der Nameserver Muss global angewandt werden 12. und 13. Januar, / 66

148 ify Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS DNS-Amplification DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

149 DNS-Cache-Poisoning ify 12. und 13. Januar, / 66

150 ify Grundlegende Schützen der DNS-Antworten bzw. Resource durch digitale Signatur 12. und 13. Januar, / 66

151 ify Grundlegende Schützen der DNS-Antworten bzw. Resource durch digitale Signatur Was bedeutet das? 12. und 13. Januar, / 66

152 ify Grundlegende Schützen der DNS-Antworten bzw. Resource durch digitale Signatur Was bedeutet das? asymmetrische Kryptografie 12. und 13. Januar, / 66

153 ify Grundlegende Schützen der DNS-Antworten bzw. Resource durch digitale Signatur Was bedeutet das? asymmetrische Kryptografie Private Schlüssel 12. und 13. Januar, / 66

154 ify Grundlegende Schützen der DNS-Antworten bzw. Resource durch digitale Signatur Was bedeutet das? asymmetrische Kryptografie Private Schlüssel Öffentliche Schlüssel 12. und 13. Januar, / 66

155 ify Grundlegende Schützen der DNS-Antworten bzw. Resource durch digitale Signatur Was bedeutet das? asymmetrische Kryptografie Private Schlüssel Öffentliche Schlüssel 12. und 13. Januar, / 66

156 ify Zwei Möglichkeiten: 12. und 13. Januar, / 66

157 ify Zwei Möglichkeiten: Signieren der DNS-Antwort 12. und 13. Januar, / 66

158 ify Zwei Möglichkeiten: Signieren der DNS-Antwort Signieren der 12. und 13. Januar, / 66

159 ify 12. und 13. Januar, / 66

160 ify 12. und 13. Januar, / 66

161 ify 12. und 13. Januar, / 66

162 ify 12. und 13. Januar, / 66

163 Neue ify DNSKEY Öffentlicher Schlüssel 12. und 13. Januar, / 66

164 Neue ify DNSKEY Öffentlicher Schlüssel RRSIG Signatur 12. und 13. Januar, / 66

165 Neue ify DNSKEY Öffentlicher Schlüssel RRSIG Signatur IST DOCH EINFACH! 12. und 13. Januar, / 66

166 ify Schlüssellänge 12. und 13. Januar, / 66

167 ify Schlüssellänge Schlüsselgültigkeit 12. und 13. Januar, / 66

168 ify Schlüssellänge Schlüsselgültigkeit Rechenaufwand für Signatur 12. und 13. Januar, / 66

169 ify Schlüssellänge Schlüsselgültigkeit Rechenaufwand für Signatur öffentliche Schlüssel durch Parent Zone signiert 12. und 13. Januar, / 66

170 ify Schlüssellänge Schlüsselgültigkeit Rechenaufwand für Signatur öffentliche Schlüssel durch Parent Zone signiert Sehr, sehr viele Schlüssel 12. und 13. Januar, / 66

171 ify Schlüssellänge Schlüsselgültigkeit Rechenaufwand für Signatur öffentliche Schlüssel durch Parent Zone signiert Sehr, sehr viele Schlüssel Signaturen mitliefern: UDP TCP 12. und 13. Januar, / 66

172 ify Schlüssellänge Schlüsselgültigkeit Rechenaufwand für Signatur öffentliche Schlüssel durch Parent Zone signiert Sehr, sehr viele Schlüssel Signaturen mitliefern: UDP TCP Antwort für nicht-existente Domains? 12. und 13. Januar, / 66

173 ify 12. und 13. Januar, / 66

174 ify ZSK Zone Signing Key: signiert alle Resource der Zone 12. und 13. Januar, / 66

175 ify ZSK Zone Signing Key: signiert alle Resource der Zone KSK Key Signing Key: signiert alle ZSK der eigenen Zone 12. und 13. Januar, / 66

176 ify Vorteile: ZSK Zone Signing Key: signiert alle Resource der Zone KSK Key Signing Key: signiert alle ZSK der eigenen Zone 12. und 13. Januar, / 66

177 ify Vorteile: ZSK Zone Signing Key: signiert alle Resource der Zone KSK Key Signing Key: signiert alle ZSK der eigenen Zone ZSK Rollover vereinfacht 12. und 13. Januar, / 66

178 ify Vorteile: ZSK Zone Signing Key: signiert alle Resource der Zone KSK Key Signing Key: signiert alle ZSK der eigenen Zone ZSK Rollover vereinfacht ZSK weniger Bits 12. und 13. Januar, / 66

179 ify Vorteile: ZSK Zone Signing Key: signiert alle Resource der Zone KSK Key Signing Key: signiert alle ZSK der eigenen Zone ZSK Rollover vereinfacht ZSK weniger Bits Schnelleres Signieren 12. und 13. Januar, / 66

180 ify Vorteile: ZSK Zone Signing Key: signiert alle Resource der Zone KSK Key Signing Key: signiert alle ZSK der eigenen Zone ZSK Rollover vereinfacht ZSK weniger Bits Schnelleres Signieren Sicherer 12. und 13. Januar, / 66

181 ify Rollover von KSK(12 Monate) und ZSK(1 Monat) 12. und 13. Januar, / 66

182 ify Rollover von KSK(12 Monate) und ZSK(1 Monat) Probleme: 12. und 13. Januar, / 66

183 ify Rollover von KSK(12 Monate) und ZSK(1 Monat) Probleme: Schlüsselpublizierung in Zone und in TLD benötigt Zeit 12. und 13. Januar, / 66

184 ify Rollover von KSK(12 Monate) und ZSK(1 Monat) Probleme: Schlüsselpublizierung in Zone und in TLD benötigt Zeit Alte Schlüssel noch unterwegs 12. und 13. Januar, / 66

185 ify Rollover von KSK(12 Monate) und ZSK(1 Monat) Probleme: Schlüsselpublizierung in Zone und in TLD benötigt Zeit Alte Schlüssel noch unterwegs mit alten Signaturen noch unterwegs 12. und 13. Januar, / 66

186 (pre-publish-verfahren) ify 12. und 13. Januar, / 66

187 (pre-publish-verfahren) ify 12. und 13. Januar, / 66

188 (pre-publish-verfahren) ify 12. und 13. Januar, / 66

189 (pre-publish-verfahren) ify 12. und 13. Januar, / 66

190 (pre-publish-verfahren) ify 12. und 13. Januar, / 66

191 (pre-publish-verfahren) ify 12. und 13. Januar, / 66

192 (pre-publish-verfahren) ify 12. und 13. Januar, / 66

193 (pre-publish-verfahren) ify 12. und 13. Januar, / 66

194 ify 4 KB Schlüssel pro Zone 12. und 13. Januar, / 66

195 ify 4 KB Schlüssel pro Zone 14 Millionen Zonen (.de) 12. und 13. Januar, / 66

196 ify 4 KB Schlüssel pro Zone 14 Millionen Zonen (.de) ca. 53 GB Daten 12. und 13. Januar, / 66

197 ify 4 KB Schlüssel pro Zone 14 Millionen Zonen (.de) ca. 53 GB Daten Lösung: Hash statt Schlüssel ca. 2 GB Daten 12. und 13. Januar, / 66

198 ify DNSKEY Öffentlicher Schlüssel RRSIG Signatur eines DS Delegation Signer, Hash eines öffentlichen Schlüssels 12. und 13. Januar, / 66

199 ify 12. und 13. Januar, / 66

200 ify 12. und 13. Januar, / 66

201 ify 12. und 13. Januar, / 66

202 ify 12. und 13. Januar, / 66

203 ify 12. und 13. Januar, / 66

204 ify 12. und 13. Januar, / 66

205 - Next Secure ify a.domain.tld. IN A b.domain.tld. IN A d.domain.tld. IN A e.domain.tld. IN A mail.domain.tld. IN A ns.domain.tld. IN A und 13. Januar, / 66

206 - Next Secure ify 12. und 13. Januar, / 66

207 - Next Secure ify a.domain.tld b.domain.tld b.domain.tld d.domain.tld d.domain.tld e.domain.tld e.domain.tld mail.domain.tld mail.domain.tld ns.domain.tld ns.domain.tld a.domain.tld 12. und 13. Januar, / 66

208 - Next Secure ify Suche nach c.domain.tld a.domain.tld b.domain.tld b.domain.tld d.domain.tld d.domain.tld e.domain.tld e.domain.tld mail.domain.tld mail.domain.tld ns.domain.tld ns.domain.tld a.domain.tld 12. und 13. Januar, / 66

209 - Next Secure ify Suche nach c.domain.tld a.domain.tld b.domain.tld b.domain.tld d.domain.tld d.domain.tld e.domain.tld e.domain.tld mail.domain.tld mail.domain.tld ns.domain.tld ns.domain.tld a.domain.tld 12. und 13. Januar, / 66

210 ify DNSKEY Öffentlicher Schlüssel RRSIG Signatur eines DS Delegation Signer, Hash eines öffentlichen Schlüssels Nicht-Existenz-Beweis einer Domain 12. und 13. Januar, / 66

211 ify ify 12. und 13. Januar, / 66

212 ify ify 12. und 13. Januar, / 66

213 ify ify 12. und 13. Januar, / 66

214 ify ify 12. und 13. Januar, / 66

215 ify ify 12. und 13. Januar, / 66

216 ify ify 12. und 13. Januar, / 66

217 ify ify 12. und 13. Januar, / 66

218 ify ify 12. und 13. Januar, / 66

219 ify ify 12. und 13. Januar, / 66

220 ify ify 12. und 13. Januar, / 66

221 ify ify 12. und 13. Januar, / 66

222 ify ify 12. und 13. Januar, / 66

223 ify ify 12. und 13. Januar, / 66

224 ify ify 12. und 13. Januar, / 66

225 ify ify 12. und 13. Januar, / 66

226 ify ify 12. und 13. Januar, / 66

227 ify ify 12. und 13. Januar, / 66

228 ify ify 12. und 13. Januar, / 66

229 ify ify 12. und 13. Januar, / 66

230 ify ify 12. und 13. Januar, / 66

231 ify ify 12. und 13. Januar, / 66

232 ify ify 12. und 13. Januar, / 66

233 ify ify 12. und 13. Januar, / 66

234 ify ify 12. und 13. Januar, / 66

235 ify DNS DNS DNS DNS 12. und 13. Januar, / 66

236 ify DNS DNS wie bisher DNS DNS 12. und 13. Januar, / 66

237 ify DNS DNS wie bisher DNS umziehen, dann signieren DNS 12. und 13. Januar, / 66

238 ify DNS DNS wie bisher DNS umziehen, dann signieren DNS Spezialfall und 13. Januar, / 66

239 ify DNS DNS wie bisher DNS umziehen, dann signieren DNS Spezialfall 1 Spezialfall und 13. Januar, / 66

240 : DNS ify neuer NS in TLD 12. und 13. Januar, / 66

241 : DNS ify neuer NS in TLD alten NS und DS aus TLD entfernen 12. und 13. Januar, / 66

242 : DNS ify neuer NS in TLD alten NS und DS aus TLD entfernen alte RRSIGs, DNSKEYs müssen weiterhin ausgeliefert werden 12. und 13. Januar, / 66

243 : DNS ify neuer NS in TLD alten NS und DS aus TLD entfernen alte RRSIGs, DNSKEYs müssen weiterhin ausgeliefert werden alte records in allen Caches verloschen: Zone nur mehr als DNS ausliefern 12. und 13. Januar, / 66

244 : DNS ify neuer NS in TLD alten NS und DS aus TLD entfernen alte RRSIGs, DNSKEYs müssen weiterhin ausgeliefert werden alte records in allen Caches verloschen: Zone nur mehr als DNS ausliefern Problem: Zone benötigt Resign, wenn Caches noch nicht verloschen 12. und 13. Januar, / 66

245 : DNS ify neuer NS in TLD alten NS und DS aus TLD entfernen alte RRSIGs, DNSKEYs müssen weiterhin ausgeliefert werden alte records in allen Caches verloschen: Zone nur mehr als DNS ausliefern Problem: Zone benötigt Resign, wenn Caches noch nicht verloschen Alter Registrar müsste Resign machen 12. und 13. Januar, / 66

246 : neuer Registrar signiert Zone ify 12. und 13. Januar, / 66

247 : ify neuer Registrar signiert Zone neuer NS und neuer DS in TLD 12. und 13. Januar, / 66

248 : ify neuer Registrar signiert Zone neuer NS und neuer DS in TLD alten NS und DS aus TLD entfernen 12. und 13. Januar, / 66

249 : ify neuer Registrar signiert Zone neuer NS und neuer DS in TLD alten NS und DS aus TLD entfernen alte und neue RRSIGs, DNSKEYs müssen ausgeliefert werden 12. und 13. Januar, / 66

250 : ify neuer Registrar signiert Zone neuer NS und neuer DS in TLD alten NS und DS aus TLD entfernen alte und neue RRSIGs, DNSKEYs müssen ausgeliefert werden alte in allen Caches verloschen: nur mehr neue ausliefern 12. und 13. Januar, / 66

251 : ify neuer Registrar signiert Zone neuer NS und neuer DS in TLD alten NS und DS aus TLD entfernen alte und neue RRSIGs, DNSKEYs müssen ausgeliefert werden alte in allen Caches verloschen: nur mehr neue ausliefern Problem: Zone benötigt Resign, wenn Caches noch nicht verloschen 12. und 13. Januar, / 66

252 : ify neuer Registrar signiert Zone neuer NS und neuer DS in TLD alten NS und DS aus TLD entfernen alte und neue RRSIGs, DNSKEYs müssen ausgeliefert werden alte in allen Caches verloschen: nur mehr neue ausliefern Problem: Zone benötigt Resign, wenn Caches noch nicht verloschen Alter Registrar müsste Resign machen 12. und 13. Januar, / 66

253 Rootzone signiert seit 15. Juli 2010 ify 12. und 13. Januar, / 66

254 Rootzone signiert seit 15. Juli TLDs insgesamt ify 12. und 13. Januar, / 66

255 Rootzone signiert seit 15. Juli TLDs insgesamt 64 signiert ify 12. und 13. Januar, / 66

256 ify Rootzone signiert seit 15. Juli TLDs insgesamt 64 signiert 9 signiert, aber kein DS in ROOT 12. und 13. Januar, / 66

257 ify Rootzone signiert seit 15. Juli TLDs insgesamt 64 signiert 9 signiert, aber kein DS in ROOT 55 signiert mit DS in ROOT [http://stats.research.icann.org] 12. und 13. Januar, / 66

258 ify [http://www.dnssec-deployment.org] 12. und 13. Januar, / 66

259 für Registrare ify jede Domain ist eigene Zone 12. und 13. Januar, / 66

260 für Registrare ify jede Domain ist eigene Zone jede Zone 2-4 Schlüssel 12. und 13. Januar, / 66

261 für Registrare ify jede Domain ist eigene Zone jede Zone 2-4 Schlüssel mindestens ein neuer Schlüssel pro Zone pro Monat 12. und 13. Januar, / 66

262 für Registrare ify jede Domain ist eigene Zone jede Zone 2-4 Schlüssel mindestens ein neuer Schlüssel pro Zone pro Monat jede Zone muss monatlich signiert werden 12. und 13. Januar, / 66

263 für Registrare ify jede Domain ist eigene Zone jede Zone 2-4 Schlüssel mindestens ein neuer Schlüssel pro Zone pro Monat jede Zone muss monatlich signiert werden eine Million Domains theoretisch folgender Aufwand: 12. und 13. Januar, / 66

264 für Registrare ify jede Domain ist eigene Zone jede Zone 2-4 Schlüssel mindestens ein neuer Schlüssel pro Zone pro Monat jede Zone muss monatlich signiert werden eine Million Domains theoretisch folgender Aufwand: 4 Millionen Schlüssel 12. und 13. Januar, / 66

265 für Registrare ify jede Domain ist eigene Zone jede Zone 2-4 Schlüssel mindestens ein neuer Schlüssel pro Zone pro Monat jede Zone muss monatlich signiert werden eine Million Domains theoretisch folgender Aufwand: 4 Millionen Schlüssel 23 Schlüssel generieren pro Minute 12. und 13. Januar, / 66

266 für Registrare ify jede Domain ist eigene Zone jede Zone 2-4 Schlüssel mindestens ein neuer Schlüssel pro Zone pro Monat jede Zone muss monatlich signiert werden eine Million Domains theoretisch folgender Aufwand: 4 Millionen Schlüssel 23 Schlüssel generieren pro Minute 23 Zonen signieren pro Minute 12. und 13. Januar, / 66

267 ify Schutz der durch digitale Signatur 12. und 13. Januar, / 66

268 ify Schutz der durch digitale Signatur neue (DNSKEY, RRSIG, DS, ) 12. und 13. Januar, / 66

269 ify Schutz der durch digitale Signatur neue (DNSKEY, RRSIG, DS, ) Schlüsselhierachie (KSK ZSK) 12. und 13. Januar, / 66

270 ify Schutz der durch digitale Signatur neue (DNSKEY, RRSIG, DS, ) Schlüsselhierachie (KSK ZSK) 12. und 13. Januar, / 66

271 ify Schutz der durch digitale Signatur neue (DNSKEY, RRSIG, DS, ) Schlüsselhierachie (KSK ZSK) 12. und 13. Januar, / 66

272 ify Schutz der durch digitale Signatur neue (DNSKEY, RRSIG, DS, ) Schlüsselhierachie (KSK ZSK) Nicht-Existenz-Beweiß 12. und 13. Januar, / 66

273 ify Schutz der durch digitale Signatur neue (DNSKEY, RRSIG, DS, ) Schlüsselhierachie (KSK ZSK) Nicht-Existenz-Beweiß UDP TCP 12. und 13. Januar, / 66

274 ify Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? DDOS DNS-Amplification DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

275 ify Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? Lösbar durch? DDOS DNS-Amplification DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

276 ify Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? Lösbar durch? DDOS - NEIN, Gefahr sogar erhöht DNS-Amplification DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

277 ify Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? Lösbar durch? DDOS - NEIN, Gefahr sogar erhöht DNS-Amplification - NEIN, zur Zeit nicht lösbar DNS-Spoofing DNS-Cache-Poisoning 12. und 13. Januar, / 66

278 ify Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? Lösbar durch? DDOS - NEIN, Gefahr sogar erhöht DNS-Amplification - NEIN, zur Zeit nicht lösbar DNS-Spoofing - JA, lösbar mit DNS-Cache-Poisoning 12. und 13. Januar, / 66

279 ify Ist DNS sicher? - NEIN! Was passiert bei einem Angriff? Ziel nicht erreichbar Rechner außer Gefecht Falsches Ziel wird erreicht Angriffsarten? Lösbar durch? DDOS - NEIN, Gefahr sogar erhöht DNS-Amplification - NEIN, zur Zeit nicht lösbar DNS-Spoofing - JA, lösbar mit DNS-Cache-Poisoning - JA, lösbar mit 12. und 13. Januar, / 66

280 Fragen? ify 12. und 13. Januar, / 66

DNS Grundlagen. ORR - November 2015. jenslink@quux.de. DNS Grundlagen 1

DNS Grundlagen. ORR - November 2015. jenslink@quux.de. DNS Grundlagen 1 DNS Grundlagen ORR - November 2015 jenslink@quux.de DNS Grundlagen 1 /me Freelancer Linux seit es das auf 35 Disketten gab IPv6 DNS und DNSSEC Monitoring mit Icinga, LibreNMS,... Netzwerke (Brocade, Cisco,

Mehr

DNSSEC. Domain Name System Security Extension. Referent: Matthias Lohr

DNSSEC. Domain Name System Security Extension. Referent: Matthias Lohr <lohr@uni-trier.de> DNSSEC Domain Name System Security Extension Referent: Matthias Lohr DNS - Geschichte Früher: Master-Text-Datei Abgleich über Download Jetzt: Verteilte Datenbank Abgleich über sog.

Mehr

von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, 37077 Göttingen

von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, 37077 Göttingen DNSSEC und seine Auswirkungen auf DNS-Dienste Dienste in der MPG von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, 37077 Göttingen Fon: 0551 201-1510 Fax:

Mehr

Kurzeinführung in DNSSEC und der Stand unter.at RTR Workshop E-Mail Sicherheit

Kurzeinführung in DNSSEC und der Stand unter.at RTR Workshop E-Mail Sicherheit Kurzeinführung in DNSSEC und der Stand unter.at RTR Workshop E-Mail Sicherheit Otmar Lendl 2015/11/05 1 Überblick Vorstellung Mag. Otmar Lendl Computerwissenschaften und Mathematik an der

Mehr

DNSSEC. Christoph Egger. 28. Februar 2015. Christoph Egger DNSSEC 28. Februar 2015 1 / 22

DNSSEC. Christoph Egger. 28. Februar 2015. Christoph Egger DNSSEC 28. Februar 2015 1 / 22 DNSSEC Christoph Egger 28. Februar 2015 Christoph Egger DNSSEC 28. Februar 2015 1 / 22 Einführung Wikipedia The Domain Name System Security Extensions (DNSSEC) is a suite of Internet Engineering Task Force

Mehr

Externer DNS. Technologien und Herausforderungen. Amanox Solutions AG Speichergasse 39 CH-3008 Bern

Externer DNS. Technologien und Herausforderungen. Amanox Solutions AG Speichergasse 39 CH-3008 Bern Externer DNS Technologien und Herausforderungen Amanox Solutions AG Speichergasse 39 CH-3008 Bern Wieso brauchen wir externen DNS Alle Internetservices nutzen DNS E-Mail Geschäftskritische Business Applikationen

Mehr

DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech Babiel GmbH. dig 07.11.2015. @openrheinruhr.de.

DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech <a.pech@babiel.com> Babiel GmbH. dig 07.11.2015. @openrheinruhr.de. DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech Babiel GmbH dig 07.11.2015. @openrheinruhr.de. Agenda Vorstellung DNSSEC: Überblick & Funktion Setup mit BIND DANE, TLSA,

Mehr

Hands-on DNSSEC. Armin Pech Babiel GmbH. dig 19.03.2016. @chemnitzer.linux-tag.de

Hands-on DNSSEC. Armin Pech <a.pech@babiel.com> Babiel GmbH. dig 19.03.2016. @chemnitzer.linux-tag.de Hands-on DNSSEC Armin Pech Babiel GmbH dig 19.03.2016. @chemnitzer.linux-tag.de Agenda Überblick & Funktion Hands-on #1 DNSSEC nutzen DNSSEC verwalten Hands-on #2 Q&A, Diskussion 2

Mehr

DNSSEC und DANE. Dimitar Dimitrov. Institut für Informatik Humboldt-Universität zu Berlin Seminar Electronic Identity Dr.

DNSSEC und DANE. Dimitar Dimitrov. Institut für Informatik Humboldt-Universität zu Berlin Seminar Electronic Identity Dr. DNSSEC und DANE Dimitar Dimitrov Institut für Informatik Humboldt-Universität zu Berlin Seminar Electronic Identity Dr. Wolf Müller 17. November 2014 Inhaltsverzeichnis 1 Motivation 2 DNS 3 DNSSEC 4 DANE

Mehr

Secure Domain Name System DNSSEC

Secure Domain Name System DNSSEC Secure Domain Name System DNSSEC Einführ ung und Überblick in die Funktionsweise Secure Linux Administration Conference Ber lin 2. Dezember 2011 Holger.Zuleger@hznet.de 02. Dez 2011 1/19 > c DNS / DNSSEC

Mehr

DNSSec-Workshop. Chemnitzer Linux-Tage 2010. Marcus Obst Heiko Schlittermann. schlittermann. Professur für Nachrichtentechnik

DNSSec-Workshop. Chemnitzer Linux-Tage 2010. Marcus Obst Heiko Schlittermann. schlittermann. Professur für Nachrichtentechnik Marcus Obst Heiko Schlittermann Professur für Nachrichtentechnik schlittermann Inhalt Warum DNSSec / Motivation Bisherige Mechanismen (TSIG) DNSSec Grundlagen DNSSec-Server Setup (neue Zone) DNSSec-Resolver

Mehr

ISPA Forum: DNSSEC DNSSEC. Stand der Einführung, Probleme und Entwicklungen. Datum: 25.3.2009. Otmar Lendl Michael Braunöder

ISPA Forum: DNSSEC DNSSEC. Stand der Einführung, Probleme und Entwicklungen. Datum: 25.3.2009. Otmar Lendl Michael Braunöder DNSSEC Stand der Einführung, Probleme und Entwicklungen Datum: 25.3.2009 Otmar Lendl Michael Braunöder Programm Warum DNSSEC? Wie funktioniert DNSSEC? Alternativen? Was heißt es, DNSSEC einzuführen? Fragen

Mehr

Was Sie nie über DNSSEC wissen wollten, aber herauszufinden gezwungen sein werden. Otmar Lendl

Was Sie nie über DNSSEC wissen wollten, aber herauszufinden gezwungen sein werden. Otmar Lendl <lendl@cert.at> Was Sie nie über DNSSEC wissen wollten, aber herauszufinden gezwungen sein werden. Otmar Lendl Programm Warum DNSSEC Wie funktioniert DNSSEC Internationaler Stand der Dinge Technische Probleme

Mehr

talk@ DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech Babiel GmbH dig 24.11.2015. @babiel.com.

talk@ DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech <a.pech@babiel.com> Babiel GmbH dig 24.11.2015. @babiel.com. talk@ DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech Babiel GmbH dig 24.11.2015. @babiel.com. Agenda DNSSEC: Überblick & Funktion Setup: Beispiel mit BIND9 Nutzen:

Mehr

Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2. DNSsec

Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2. DNSsec 1. Einführung DNS 2. DNSsec 1. Einführung DNS 2. DNSsec DNS Überblick Domain Name System (DNS) (RFC 1034 / 1035) Namensauflösung von Domainnamen nach IP Adresse Verteilter hierarchischer Verzeichnisdienst

Mehr

Dynamisches DNSsec mit Bind 9.7 Linux höchstpersönlich.

Dynamisches DNSsec mit Bind 9.7 Linux höchstpersönlich. Dynamisches DNSsec mit Bind 9.7 Heinlein Support IT-Consulting und 24/7 Linux-Support mit ~25 Mitarbeitern Eigener Betrieb eines ISPs seit 1992 Täglich tiefe Einblicke in die Herzen der IT aller Unternehmensgrößen

Mehr

Operatorwechsel bei DNSSEC-Domains

Operatorwechsel bei DNSSEC-Domains Operatorwechsel bei DNSSEC-Domains Dok.-Version: 1.0 Dok.-Status: Final Dok.-Stand: 25.05.2011 Dok.-Name: DENIC-30 v1.0 public.doc Impressum Autor(en) Abteilung Telefon E-Mail DENIC eg DBS +49 69 27 235

Mehr

DNSSEC. ISPA Academy, DNSSEC Workshop, 21.11.2012 Otmar Lendl

DNSSEC. ISPA Academy, DNSSEC Workshop, 21.11.2012 Otmar Lendl <lendl@nic.at> DNSSEC ISPA Academy, DNSSEC Workshop, 21.11.2012 Otmar Lendl Programm Warum DNSSEC Wie funktioniert DNSSEC Internationaler Stand der Dinge Technische Probleme Policy Implikationen Danke

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet DNSSEC Für ein sicheres Internet Was ist DNSSEC? DNSSEC ist eine Erweiterung des Domain Namen Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Netzsicherheit Architekturen und Protokolle DNS Security. Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2.

Netzsicherheit Architekturen und Protokolle DNS Security. Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2. 1. Einführung DNS 2. DNSsec 1. Einführung DNS 2. DNSsec DNS Überblick DNS Namensraum Domain Name System (DNS) (RFC 1034 / 1035) Namensauflösung von Domainnamen nach IP Adresse Verteilter hierarchischer

Mehr

[DNS & DNS SECURITY] 1. DNS & DNS Security

[DNS & DNS SECURITY] 1. DNS & DNS Security [DNS & DNS SECURITY] 1 DNS & DNS Security Thomas Vogel & Johannes Ernst Funktionsweise von DNS und deren Security Eigenschaften. Was es für Angriffe gibt, welche Gegenmaßnahmen dafür erforderlich sind

Mehr

DNS und Sicherheit. Domain Name System. Vortrag von Ingo Blechschmidt

DNS und Sicherheit. Domain Name System. Vortrag von Ingo Blechschmidt Domain Name System Vortrag von Ingo Blechschmidt Gliederung Geschichte Design Lookup- und Record-Typen Zonentransfer Cache Poisoning Cache Snooping Speicherung beliebiger Daten im DNS Geschichte Problem:

Mehr

Eco DNSSEC Workshop. DNSSEC Vertrauen ins DNS. Lutz Donnerhacke dig NAPTR 1.6.5.3.7.5.1.4.6.3.9.4.e164.arpa. +dnssec DNSSEC/1

Eco DNSSEC Workshop. DNSSEC Vertrauen ins DNS. Lutz Donnerhacke dig NAPTR 1.6.5.3.7.5.1.4.6.3.9.4.e164.arpa. +dnssec DNSSEC/1 Eco DNSSEC Workshop DNSSEC Vertrauen ins DNS Lutz Donnerhacke dig NAPTR 1.6.5.3.7.5.1.4.6.3.9.4.e164.arpa. +dnssec DNSSEC/1 DNS Security Klassische Public-Key Signaturen: RRSIG Signaturen der Nichtexistenz:

Mehr

Dynamisches DNSSEC mit Bind 9.7 Linux höchstpersönlich.

Dynamisches DNSSEC mit Bind 9.7 Linux höchstpersönlich. Dynamisches DNSSEC mit Bind 9.7 Heinlein Support IT-Consulting und 24/7 Linux-Support mit ~25 Mitarbeitern Eigener Betrieb eines ISPs seit 1992 Täglich tiefe Einblicke in die Herzen der IT aller Unternehmensgrößen

Mehr

Sichere Namensauflösung mit DNSSec

Sichere Namensauflösung mit DNSSec Sichere Namensauflösung mit DNSSec Chemnitzer Linux Tage 2010 Heiko Schlittermann Marcus Obst http://www./doc/clt2010/ Inhalt Stand der Technik Motivation zum DNSSEC-Einsatz Sicherung mit TSIG Sicherung

Mehr

DNS. u23 - Termin 3. AmP+mm. 07.09.2009 Vortrag. Chaos Computer Club Cologne e.v. http://koeln.ccc.de. AmP+mm (CCC) DNS 07.09.2009 Vortrag 1 / 47

DNS. u23 - Termin 3. AmP+mm. 07.09.2009 Vortrag. Chaos Computer Club Cologne e.v. http://koeln.ccc.de. AmP+mm (CCC) DNS 07.09.2009 Vortrag 1 / 47 DNS u23 - Termin 3 AmP+mm Chaos Computer Club Cologne e.v. http://koeln.ccc.de 07.09.2009 Vortrag AmP+mm (CCC) DNS 07.09.2009 Vortrag 1 / 47 Gliederung I 1 Einführung in DNS 2 Aufbau und Verwendung von

Mehr

E-mail Zertifikate an der RWTH

E-mail Zertifikate an der RWTH E-mail e an der RWTH Elekronische Signatur fortgeschrittene elektronische Signatur, mit Adobe Reader erstellt einfache elektronische Signatur 2 von 15 Elekronische Signatur fortgeschrittene elektronische

Mehr

DNSSEC. Überblick. ISPA Academy. ISPA Academy. Lessons learned Wie kann ich DNSSEC verwenden? DNSSEC in.at. in der Praxis 27.12.

DNSSEC. Überblick. ISPA Academy. ISPA Academy. Lessons learned Wie kann ich DNSSEC verwenden? DNSSEC in.at. in der Praxis 27.12. DNSSEC in der Praxis Datum: 21.11.2012 Michael Braunöder R&D Überblick Lessons learned Wie kann ich DNSSEC verwenden? DNSSEC in.at 2 1 Lessons learned Software: möglichst aktuelle Versionen benutzen Weniger

Mehr

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009 Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)

Mehr

SSL-Absicherung mittels DANE. und. Sicheres DNSSEC mit Bind 9.x

SSL-Absicherung mittels DANE. und. Sicheres DNSSEC mit Bind 9.x SSL-Absicherung mittels DANE und Sicheres DNSSEC mit Bind 9.x Heinlein Support IT-Consulting und 24/7 Linux-Support mit ~25 Mitarbeitern Eigener Betrieb eines ISPs seit 1992 Täglich tiefe Einblicke in

Mehr

DNS vs. Sicherheit. the long story. equinox. CryptoCon15, Leipzig ...

DNS vs. Sicherheit. the long story. equinox. CryptoCon15, Leipzig ... DNS vs Sicherheit the long story equinox CryptoCon15, Leipzig Übersicht 1 Kurzwiederholung DNS 2 Was sind DNSsec 3 Nachteile von DNSsec 4 DANE & Vorteile von DNSsec DNS "PirateBay ist gesperrt" "stell

Mehr

DNSSEC im (Münchner) Wissenschaftsnetz

DNSSEC im (Münchner) Wissenschaftsnetz DNSSEC im (Münchner) Wissenschaftsnetz Bernhard Schmidt 3. März 2015 Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März 2015 1 / 26 Agenda Einleitung Motivation, was ist DNS-Spoofing? DNSSEC

Mehr

Netzwerksicherheit Übung 5 Transport Layer Security

Netzwerksicherheit Übung 5 Transport Layer Security Netzwerksicherheit Übung 5 Transport Layer Security Tobias Limmer, Christoph Sommer, Christian Berger Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg,

Mehr

Einleitung Details. Domain Name System. Standards

Einleitung Details. Domain Name System. Standards Standards Das Domain Name System bildet ein verteiltes Verzeichnis zur Umwandlung von Namen und Adressen. Der Internet Standard 13 (DOMAIN) umfaßt RFC1034 Domain Names - Concepts and Facilities RFC1035

Mehr

Frankfurt, 26. Januar 2010

Frankfurt, 26. Januar 2010 Das DNSSEC-Testbed - 21 Tage und ein bißchen weiser - Peter Koch, Marcos Sanz Frankfurt, 26. Januar 2010 Agenda DNSSEC-Testbed - Überblick und Infrastruktur Krypto- und andere Parameter Erste Zahlen Nächste

Mehr

USB-Tokens. Technik und Einsatzgebiete

USB-Tokens. Technik und Einsatzgebiete USB-Tokens Technik und Einsatzgebiete Vortrag im Rahmen der Lehrveranstaltung Chipkartensysteme und E-Payment im SS05 an der Fachhochschule Bonn-Rhein-Sieg Outline Passwortmanager PKI Smartcards USB-Tokens

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

DNSSEC - Update. von. Holger Beck. Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen. Am Fassberg 11, 37077 Göttingen

DNSSEC - Update. von. Holger Beck. Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen. Am Fassberg 11, 37077 Göttingen DNSSEC - Update von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 201-2150 gwdg@gwdg.de www.gwdg.de Zur Wiederholung

Mehr

DNSSEC vs. DNSCurve for Securing the Net

DNSSEC vs. DNSCurve for Securing the Net DNSSEC vs. DNSCurve for Securing the Net Daniel Raumer Betreuer: Ralph Holz Seminar Future Internet SS2011 Lehrstuhl Netzarchitekturen und Netzdienste Fakultät für Informatik, Technische Universität München

Mehr

Sichere E-Mail für Rechtsanwälte & Notare

Sichere E-Mail für Rechtsanwälte & Notare Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator

Mehr

Lightning Talk: Kurzvorstellung DNSSEC

Lightning Talk: Kurzvorstellung DNSSEC Lightning Talk: Kurzvorstellung DNSSEC Seite: 1 / 21 Über mich Stefan Neufeind Aus Neuss Tätig für SpeedPartner GmbH (Consulting, Entwicklung, Administration) Individuelle Software-Entwicklungen, z.b.

Mehr

Netzwerksicherheit Übung 5 Transport Layer Security

Netzwerksicherheit Übung 5 Transport Layer Security Netzwerksicherheit Übung 5 Transport Layer Security Tobias Limmer, Christoph Sommer, David Eckhoff Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg,

Mehr

Sichere Wegweiser im Internet: DNSSEC im praktischen Einsatz

Sichere Wegweiser im Internet: DNSSEC im praktischen Einsatz Sichere Wegweiser im Internet: Seite: 1 / 32 Inhalte Einführung/Überblick DNSSEC Tools Mögliche Einsatzszenarien Stolpersteine / Praxis Links / Hilfen Seite: 2 / 32 Über mich Stefan Neufeind Aus Neuss

Mehr

DynDNS für Strato Domains im Eigenbau

DynDNS für Strato Domains im Eigenbau home.meinedomain.de DynDNS für Strato Domains im Eigenbau Hubert Feyrer Hubert Feyrer 1 Intro homerouter$ ifconfig pppoe0 pppoe0: flags=8851...

Mehr

CryptoCampagne. Thomas Funke Fachbereich Informatik Universität Hamburg

CryptoCampagne. Thomas Funke Fachbereich Informatik Universität Hamburg CryptoCampagne Thomas Funke Fachbereich Informatik Universität Hamburg Die Tour Intro & Motivation Public Key Encryption Alice and Bob Web of Trust OpenPGP Motivation or why the hell bother Kommunikation

Mehr

Nameserver Predelegation Check. Dokumentation. Copyright 2015 DENIC eg. Dok.-Version: 1.3 Dok.-Status: Final

Nameserver Predelegation Check. Dokumentation. Copyright 2015 DENIC eg. Dok.-Version: 1.3 Dok.-Status: Final Dok.-Version: 1.3 Dok.-Status: Final Dok.-Stand: 20.08.2015 Dok.-Name: Nameserver Predelegation Check- -DBS-V1.3-2015-08-20 Copyright 2015 DENIC eg Impressum Autor(en) Abteilung Telefon E-Mail DBS DBS

Mehr

DNSSEC. Zonen Verwaltung. mit ZKT

DNSSEC. Zonen Verwaltung. mit ZKT DNSSEC Zonen Verwaltung mit ZKT 53. DFN Betriebstagung Ber lin 26. Oktober 2010 Holger.Zuleger@hznet.de 26. Okt 2010 Holger Zuleger 1/12 > c Secure DNS Erweiter ung des DNS Protokoll (EDNS0 DO flag) Er

Mehr

D N S S E C in der Praxis

D N S S E C in der Praxis D N S S E C in der Praxis Werkzeuge für Key Management und Zone Signing DENIC Technisches Meeting 4. April 2006 Holger.Zuleger@hznet.de 4. April 2006 Holger Zuleger 1/15 > c DNSsec oder "Wie signiert man

Mehr

Handeln mit Adressen ARP, DHCP, DNS

Handeln mit Adressen ARP, DHCP, DNS Handeln mit Adressen ARP, DHCP, DNS Wie finden Rechner ihre Nachbarn, Partner und sich selbst? Es funktioniert meistens, aber warum? Jochen Reinwand Vorlesung Praxis der Datenkommunikation 12. Januar 2011

Mehr

Einführung in Domain-Name-System für IPv6

Einführung in Domain-Name-System für IPv6 Einführung in Domain-Name-System für IPv6 michael dienert Walther-Rathenau-Gewerbeschule Freiburg 7. Juli 2009 Inhalt Namen und Adressen im Internet Das Domain Name System Zone und Domäne BIND9 der Standard

Mehr

DNSsec HOWTO. Secure the Domain Name System. DENIC Technisches Meeting 28./29. September 2004. Holger.Zuleger@hznet.de

DNSsec HOWTO. Secure the Domain Name System. DENIC Technisches Meeting 28./29. September 2004. Holger.Zuleger@hznet.de HOWTO Secure the Domain Name System DENIC Technisches Meeting 28./29. September 2004 Holger.Zuleger@hznet.de 29. Sep 2004 Holger Zuleger 1/29 > c Agenda Einführ ung Secure DNS Anwendungen Histor ie Resource

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

DNSSEC-Sicherheitsinitiative in.de

DNSSEC-Sicherheitsinitiative in.de DNSSEC-Sicherheitsinitiative in.de Thorsten Dietrich Bundesamt für Sicherheit in der Informationstechnik DFN Betriebstagung / 02. März 2010 02.03.2010 Folie 1 Inhalt Motivation Grundlagen Testbed in Deutschland

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 7: DNS + DNSSec Dr. Erwin Hoffmann

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 7: DNS + DNSSec Dr. Erwin Hoffmann Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 7: DNS + DNSSec Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de https://www.fehcom.net/itsec/ Geschichte des DNS

Mehr

Möglichkeiten zur Provisionierung von DNSSEC- Schlüsselmaterial

Möglichkeiten zur Provisionierung von DNSSEC- Schlüsselmaterial Möglichkeiten zur Provisionierung von DNSSEC- Schlüsselmaterial Dok.-Version: 0.1 Dok.-Status: Draft Dok.-Stand: 23.11.2009 Dok.-Name: Provisionierung_DNSSEC-Schlüsselmaterial-- V0.1-2009-11-23 Impressum

Mehr

IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 6: Einführung in die Kryptographie 26.10.15 1 Literatur I mit ein paar Kommentaren [6-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser Theoretische Informatik Prof. Johannes Buchmann Technische Universität Darmstadt Graduiertenkolleg Enabling Technologies for Electronic Commerce

Mehr

Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern

Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern IKS GmbH Jena Information Kommunikation - Systeme Leutragraben 1 D-07743 Jena Telefon: +49-3641-460850 Fax: +49-3641-460855 email: L.Donnerhacke@iks-jena.de

Mehr

Kryptographie. Ich doch hab nichts zu verbergen. IT-Security Bootcamp. Ziel. Was also tun? asymmetrisch. symmetrisch

Kryptographie. Ich doch hab nichts zu verbergen. IT-Security Bootcamp. Ziel. Was also tun? asymmetrisch. symmetrisch Ich doch hab nichts zu verbergen Dann muss mich auch niemand überwachen! IT-Security Bootcamp Regierungen definieren was richtig und falsch ist! Was heute richtig ist, kann morgen falsch sein! 21.11.2013

Mehr

Zertifikate und Trust-Center

Zertifikate und Trust-Center Zertifikate und Trust-Center Public-Key-Infrastrukturen Im ersten Teil des Seminares haben wir Verfahren zur Verschlüsselung kennengelernt. Es ging dabei hauptsächlich um asymetrische Verschlüsselung.

Mehr

DNSSEC Sichere Namensauösung im Internet

DNSSEC Sichere Namensauösung im Internet DNSSEC Sichere Namensauösung im Internet Marcus Obst marcus.obst@etit.tu-chemnitz.de http://www.tu-chemnitz.de/~maob/nt Heiko Schlittermann hs@schlittermann.de http://www.schlittermannn.de Chemnitzer Linux-Tage

Mehr

Grundfach Informatik in der Sek II

Grundfach Informatik in der Sek II Grundfach Informatik in der Sek II Kryptologie 2 3 Konkrete Anwendung E-Mail- Verschlüsselung From: To: Subject: Unterschrift Date: Sat,

Mehr

DNSSEC für Internet Service Provider. Ralf Weber (rw@colt.net)

DNSSEC für Internet Service Provider. Ralf Weber (rw@colt.net) DNSSEC für Internet Service Provider Ralf Weber (rw@colt.net) 1 Was für DNS Dienste bietet ein ISP an > Autoritative Zonen für Kunden und > Rekursive Resolver Dienste für Kunden Client 213.86.182.108!

Mehr

DNSsec. Sichere Namensauflösung im Internet. IT-Fachtage Nordhessen 24./25. September 2004. Holger.Zuleger@hznet.de

DNSsec. Sichere Namensauflösung im Internet. IT-Fachtage Nordhessen 24./25. September 2004. Holger.Zuleger@hznet.de Sichere Namensauflösung im Internet IT-Fachtage Nordhessen 24./25. September 2004 Holger.Zuleger@hznet.de 25. September 2004 Holger Zuleger 1/30 > c Agenda Einführ ung in das Domain Name System (DNS) Anwendungsgebiete

Mehr

Ein Überblick über Security-Setups von E-Banking Websites

Ein Überblick über Security-Setups von E-Banking Websites Ein Überblick über Security-Setups von E-Banking Websites Stefan Huber www.sthu.org Linuxwochen Linz 2015 31. Mai 2015 Basierend auf Testergebnissen vom 28.03.2015 aus https://www.sthu.org/blog/11-tls-dnssec-ebanking/

Mehr

Authentication and Credential Management

Authentication and Credential Management Authentication and Credential Management Christopher Kunz & Ralf Gröper Seminar Grid-Computing WS 05/06 Agenda Einführung Asymmetrische Verschlüsselung Digitale Signaturen Zertifikate, CAs Authentifizierung

Mehr

Windows 2008 Server R2. Peter Unger

Windows 2008 Server R2. Peter Unger Windows 2008 Server R2 Peter Unger Domain Name Service (DNS) Dynamic Host Conf. Prot. (DHCP) Internet Information Services (IIS) Netzwerk- und Freigabe Technik Terminaldienste und Fernverwaltung Backoffice-Produkte

Mehr

Verteilte Systeme. Verzeichnisdienste. Secure Identity Research Group

Verteilte Systeme. Verzeichnisdienste. Secure Identity Research Group Verteilte Systeme Verzeichnisdienste Verzeichnisdienste Problem: Wie finde ich in einem großen verteilten System (z.b. dem Internet) eine(n) Dienst/Station/Person/ Datum? Idee: Ein zentraler Dienst, den

Mehr

DA(e)NEn lügen nicht. Patrick Ben Koetter Carsten Strotmann

DA(e)NEn lügen nicht. Patrick Ben Koetter Carsten Strotmann DA(e)NEn lügen nicht Patrick Ben Koetter Carsten Strotmann TLS und SMTP 2 TLS und SMTP STARTTLS? 3 TLS und SMTP STARTTLS! STARTTLS? 4 TLS und SMTP STARTTLS? STARTTLS! Fälschung 5 TLS und SMTP STARTTLS?

Mehr

Secure DNS Stand und Perspektiven

Secure DNS Stand und Perspektiven Secure DNS Stand und Perspektiven Dipl.-Inform. Technische Fakultät Universität Bielefeld pk@techfak.uni-bielefeld.de 8. DFN-CERT Workshop 2001 Secure DNS - Stand und Perspektiven 1 von 29 Was Sie erwartet...

Mehr

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase Verteilte Systeme Sicherheit Prof. Dr. Oliver Haase 1 Einführung weitere Anforderung neben Verlässlichkeit (zur Erinnerung: Verfügbarkeit, Zuverlässigkeit, Funktionssicherheit (Safety) und Wartbarkeit)

Mehr

Transition vom heutigen Internet zu IPv6

Transition vom heutigen Internet zu IPv6 Transition vom heutigen Internet zu IPv6 Dr. Hannes P. Lubich Bank Julius Bär Zürich IP Next Generation - Transition vom heutigen Internet zu IPv6 (1) Migration von IPv4 zu IPv6 Das IPv6-Adressformat bleibt

Mehr

DNS mit Bind9. Wolfgang Dautermann FH Joanneum wolfgang.dautermann@fh-joanneum.at. 14. Mai 2005. Typeset by FoilTEX

DNS mit Bind9. Wolfgang Dautermann FH Joanneum wolfgang.dautermann@fh-joanneum.at. 14. Mai 2005. Typeset by FoilTEX DNS mit Bind9 Wolfgang Dautermann FH Joanneum wolfgang.dautermann@fh-joanneum.at 14. Mai 2005 Typeset by FoilTEX Übersicht DNS - Domain Name System: Geschichte und Konzepte von DNS. Installation von Bind9:

Mehr

Einführung in das Domain Name System (DNS)

Einführung in das Domain Name System (DNS) Einführung in das Domain Name System (DNS) fukami Chaosdorf 17. Mai 2013 Inhalt Überblick Protokoll, Paketaufbau DNS Informationen abfragen DNS aus Angreifersicht Zone Transfer DNS Recursion / DNS Amplification

Mehr

Sicherer E-Mail-Dienste-Anbieter

Sicherer E-Mail-Dienste-Anbieter Sicherer E-Mail-Dienste-Anbieter basierend auf Domain Name System Security Extension (DNSSec) & DNS-based Authentication of Named Entities (DANE) Gunnar Haslinger Sicherer E-Mail-Dienste-Anbieter basierend

Mehr

Vertrauenswürdige Kommunikation durch digitale Signaturen

Vertrauenswürdige Kommunikation durch digitale Signaturen Vertrauenswürdige Kommunikation durch digitale Signaturen Sicherheitstage WS 05/06 Birgit Gersbeck-Schierholz, RRZN Ideen Schlüsselweitwurf Zum besseren Verständnis alles auf symmetrische V. projezieren:

Mehr

Digitale Zertifikate von der UH-CA (Certification Authority der Universität Hannover)

Digitale Zertifikate von der UH-CA (Certification Authority der Universität Hannover) Digitale Zertifikate von der UH-CA (Certification Authority der Universität Hannover) Sicherheitstage SS/06 Birgit Gersbeck-Schierholz, RRZN Einleitung und Überblick Motivation und Grundlagen: Sicherheitsziele

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

Robert Schischka GovCERT.at / CERT.at

Robert Schischka GovCERT.at / CERT.at CERT-Strukturen in Österreich und Maßnahmen zur DNS-SicherheitSicherheit Robert Schischka GovCERT.at / CERT.at Teams in Österreich CERT.at nationales CERT GovCERT öffentliche Verwaltung Weitere Teams

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Basisdienste und Basisapplikationen

Basisdienste und Basisapplikationen Basisdienste und Basisapplikationen Domain Name System (Vertiefung) Dynamic Host Configuration MIME-Signalisierung Verzeichnisdienste Funktionen des DNS Das Domain Name System hält Namen und Adressen des

Mehr

Testbed: DNSSEC für DE

Testbed: DNSSEC für DE Testbed: DNSSEC für DE - Kurz vor dem Halbzeitpfiff - Peter Koch Marcos Sanz Frankfurt/Main, 16. Juni 2010 DNSSEC-Testbed: Roadmap Testbed Phase 0 -- DNS 1.12.2009 Betrieb

Mehr

PKI Was soll das? LugBE. Public Key Infrastructures - PKI

PKI Was soll das? LugBE. Public Key Infrastructures - PKI Key Infrastructures - PKI PKI Was soll das? K ennt jemand eine nette G rafik z u PKI s? LugBE 23. März 2006 Markus Wernig Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell

Mehr

Checkliste für Domain-Migration zu Swisscom/IP-Plus

Checkliste für Domain-Migration zu Swisscom/IP-Plus "n ans Internet" Checkliste für Domain-Migration zu /IP-Plus Laufweg: : Kantonale Koordinationsstelle für "n ans Internet" Für : (Name, Adresse, Ortschaft) Migration existierender DNS-Records zu IP-Plus

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

X.509v3 Zertifizierungsinstanz der Universität Würzburg

X.509v3 Zertifizierungsinstanz der Universität Würzburg X.509v3 Zertifizierungsinstanz der Universität Würzburg Markus Krieger Rechenzentrum Uni Würzburg ca@uni-wuerzburg.de 22.01.06 1 Notwendigkeit von Zertifikaten Steigende Anzahl von Kommunikationsbeziehungen

Mehr

DNS Domain Name Service

DNS Domain Name Service DNS Domain Name Service DNS übersetzt verwendete Rechnernamen in numerische IP-Adressen (forward lookup www.wu-wien.ac.at -> 137.208.3.82) und umgekehrt (reverse lookup 137.208.3.82 -> www.wu-wien.ac.at).

Mehr

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick

Mehr

Stephan Groth (Bereichsleiter IT-Security) 03.05.2007. CIO Solutions. Zentrale E-Mail-Verschlüsselung und Signatur

Stephan Groth (Bereichsleiter IT-Security) 03.05.2007. CIO Solutions. Zentrale E-Mail-Verschlüsselung und Signatur Stephan Groth (Bereichsleiter IT-Security) 03.05.2007 CIO Solutions Zentrale E-Mail-Verschlüsselung und Signatur 2 Wir stellen uns vor Gegründet 2002 Sitz in Berlin und Frankfurt a. M. Beratung, Entwicklung

Mehr

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate Community Zertifizierungsstelle für Digitale Identität & Privatsphäre SSL / S/MIME Zertifikate www.cacert.org 2010 / ab OSS an Schulen, Zürich, 2010-05-29, Folie 1 Agenda Identität und Vertrauen WoT und

Mehr

Secure DNS. "Wer, wie, was wieso, weshalb, war um?" * Practical Linux. Giessen 27. Oktober 2007. Holger.Zuleger@hznet.de. Titellied der Sesamstrasse

Secure DNS. Wer, wie, was wieso, weshalb, war um? * Practical Linux. Giessen 27. Oktober 2007. Holger.Zuleger@hznet.de. Titellied der Sesamstrasse Secure DNS "Wer, wie, was wieso, weshalb, war um?" * Practical Linux Giessen 27. Oktober 2007 Holger.Zuleger@hznet.de * Titellied der Sesamstrasse 27. Okt 2007 Holger Zuleger 1/35 > c Agenda Einführ ung

Mehr

DNS mit Bind9 von Martin Venty Ebnöther

DNS mit Bind9 von Martin Venty Ebnöther DNS mit Bind9 von Martin Venty Ebnöther Was ist das Domain Name System? Eine netzweit verteilte Datenbank Hierarchischer Aufbau Beliebig skalierbar Wie funktioniert DNS? Clients schauen in /etc/hosts nach

Mehr

O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo

O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo DNS & BIND Kochbuch Cricket Liu Deutsche Übersetzung von Sascha Kersken HLuHB rinn Darmstadt im 15654031 O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo Vorwort IX 1 Vorbereitungen

Mehr

Bei falscher Zuordnung: Verlust der Vertraulichkeit. Bei falscher Zuordnung: Verlust der Datenauthentizität

Bei falscher Zuordnung: Verlust der Vertraulichkeit. Bei falscher Zuordnung: Verlust der Datenauthentizität Vorlesung am 12.05.2014 7 Vertrauensmodelle Problem: Zuordnung eines Schlüssels zum Schlüsselinhaber Beispiel 1: Verschlüsselung mit pk, Entschlüsselung mit sk: Bei falscher Zuordnung: Verlust der Vertraulichkeit

Mehr

Systemsicherheit 15: DNSSEC

Systemsicherheit 15: DNSSEC Systemsicherheit 15: DNSSEC Gliederung Einführung Domain Name System Domainnamen und die DNS-Hierarchie Delegation und Zonen Ressource Records (RR) DNS-Server und DNS-Resolver Auflösung von Domainnamen

Mehr

Domain Name System (DNS) Seminar: Internet Protokolle Theodor Heinze Jaroslaw Michalak

Domain Name System (DNS) Seminar: Internet Protokolle Theodor Heinze Jaroslaw Michalak Domain Name System (DNS) Seminar: Internet Protokolle Theodor Heinze Jaroslaw Michalak Gliederung Geschichte Struktur des DNS Domain / Zone Root-Server Nameserver Namensauflösung DNS-Nachrichten Protokolle

Mehr