Über die Auswirkungen von DNSSEC auf das Internet

Transkript

1 Über die Auswirkungen von DNSSEC auf das Internet Originaltitel: The Impact of DNSSEC on the Internet Landscape Matthäus Wander Schloss Dagstuhl, 3. Mai 2016

2 Domain Name System (DNS) Stub-Resolver Rekursiver Resolver Rekursiver Resolver Löst Domainname zu Bezeichner auf Man-in-the-Middle-Angreifer: Erhält Anfrage, sendet gefälschte Antwort (DNS-Spoofing) Zweck: z. B. Phishing-Angriff, Internetzensur Autoritative Nameserver Matthäus Wander 2

3 Domain Name System (DNS) Stub-Resolver Rekursiver Resolver Rekursiver Resolver Löst Domainname zu Bezeichner auf Man-in-the-Middle-Angreifer: Erhält Anfrage, sendet gefälschte Antwort (DNS-Spoofing) Zweck: z. B. Phishing-Angriff, Internetzensur Autoritative Nameserver Matthäus Wander 3

4 Domain Name System (DNS) Stub-Resolver Rekursiver Resolver Löst Domainname zu Bezeichner auf Man-in-the-Middle-Angreifer: Erhält Anfrage, sendet gefälschte Antwort (DNS-Spoofing) Zweck: z. B. Phishing-Angriff, Internetzensur Autoritative Nameserver Matthäus Wander 4

5 Domain Name System (DNS) Stub-Resolver ISP-Router Rekursiver Resolver DNS-Injection durch IP-Router: Deep Packet Inspection aller DNS-Anfragen Router sieht Anfrage, sendet gefälschte Antwort Autoritative Nameserver Effektive Filterung aller DNS-Anfragen im Netzwerk Matthäus Wander 5

6 DNS-Injection lokalisieren Veröffentlicht in: IEEE Access, 2014 Sender Matthäus Wander 6

7 Kumulierte Antworten DNS-Injection lokalisieren Veröffentlicht in: IEEE Access, 2014 Antworten für facebook.com Sender Round-Trip Time [s] Matthäus Wander 7

8 DNS-Injection im Zeitverlauf Veröffentlicht in: IEEE Access, 2014 Antworten für facebook.com Matthäus Wander 8

9 Auswirkungen auf Dritte Veröffentlicht in: IEEE Access, 2014 in Routing durch ein zensiertes Land Matthäus Wander 9

10 DNSSEC Matthäus Wander 10

11 Konzept DNS Zone Stub- Resolver Rekursiver Resolver Rekursiver Resolver Autoritativer Nameserver Sicherheitsziele: Datenintegrität und Authentizität Signaturen über DNS-Einträge vorgeneriert Ende-zu-Ende-Sicherheit Validator Signierer Matthäus Wander 11

12 Privatheit und Vertraulichkeit Veröffentlicht in: IEEE NCA, 2014 Client: keine Privatheit Domainname im Klartext Server: offenbart Hash-Werte von Domainnamen Indirekter Beweis der Nichtexistenz Client-Anfragen h( test )=80a1 DNS Zone Server-Datenbank Hashing soll Namen verstecken 78a1 NSEC3 8e5d Domain test existiert nicht, da h(x) < h( test ) < h(y) NSEC3/SHA-1 Hash-Funktion durch GPU angreifbar Matthäus Wander 12

13 GPU-basierte NSEC3-Hash-Angriffe Veröffentlicht in: IEEE NCA, 2014 Stand: Mai 2014 Matthäus Wander 13

14 Verbreitung: Signierte Domains DNS Zone Server- Datenbank TLD Domains 1. nl 2,279, br 566, cz 448, com 426, se 349, eu 320, fr 205,662 Stand: März no 119, be 92, net 81, org 46, ovh 29, nu 21, de 20,004 Gesamt: signierte Domains Matthäus Wander 14

15 Verbreitung: Validierende Clients Veröffentlicht in: LNCS PAM, Unsichtbare 1px Grafik SigOk SigFail DNSKEY Rekursiver Resolver Autoritativer Nameserver Matthäus Wander 15

16 DNSSEC-Validierung nach Land Veröffentlicht in: LNCS PAM, Median per country: 1% Matthäus Wander

17 DNSSEC-Validierung nach Land Median per country: 1% 20% Matthäus Wander

18 Fazit DNS-Spoofing wird tagtäglich praktiziert China und Iran: großflächiges DNS-Injection auf Routern Kann Dritte betreffen Beobachtung von außen möglich DNSSEC sichert Authentizität, aber keine Privatheit NSEC3/SHA-1 Hash-Funktion effizient mit GPU angreifbar Verbreitung von DNSSEC nimmt zu 5M signierte Domains, 20% Validierung pro Land im Median Matthäus Wander 18

19 Referenzierte Publikationen M. Wander, T. Weis: Measuring Occurrence of DNSSEC Validation, Passive and Active Measurement (PAM), LNCS Springer, M. Wander, C. Boelmann, L. Schwittmann, T. Weis: Measurement of Globally Visible DNS Injection, IEEE Access, M. Wander, L. Schwittmann, C. Boelmann, T. Weis: GPU-based NSEC3 Hash Breaking, IEEE NCA, Ausgezeichnet als Best Student Paper. Matthäus Wander 19