Steigerung der sicherheit in Bayern mit DNSSEC und DANE. Sven Duscha

Transkript

1 Steigerung der sicherheit in Bayern mit DNSSEC und DANE Sven Duscha 1

2 Themen Bayerisches Hochschulnetz DNS - Schwachpunkte DNSSEC DANE Umsetzung Fazit 2

3 Themen Bayerisches Hochschulnetz DNS - Schwachpunkte DNSSEC DANE Umsetzung Fazit 3

4 Herausforderungen im BHN DNSSEC Universitäten und Hochschulen sind autonom Vielzahl an Zonen, teilweise Verwaltung für angegliederte Hochschulen DNS und Mail sind essentielle Dienste - Ausfälle kritisch Veraltete legacy Nameserver, die kein DNSSEC können 4

5 Herausforderungen im BHN DANE Software, die kein DANE unterstützt (z.b. Exchange, Appliances) MTAs in anderer Zone als Hochschulen (z.b. DFN) wenig Erfahrung mit DNSSEC/DANE, wenig Manpower Integration ohne große Änderungen in die bestehende DNS- Verwaltung 5

6 Bayerisches Staatsministerium für Kultus, Bildung und Wissenschaft unterstützt die Absicherung der Nameserver mit DNSSEC DANE zur TLS-Absicherung der Mailserver-Kommunikation Unterstützung für die Systemadministratoren aller bayerischen Universitäten und Hochschulen unter Federführung des LRZ Expertise direkt von LRZ-Mitarbeitern 2 Jahre finanzielle Unterstützung des Projekts 6

7 Themen Bayerisches Hochschulnetz DNS - Schwachpunkte DNSSEC DANE Umsetzung Fazit 7

8 DNS - Domain Name System IP lrz.de? DNS für Internetdienste benötigt verbindungslos (UDP) und unverschlüsselt dezentral und hierarchische Abfragen über Zonen basiert auf Vertrauen IP 129..! Client lrz.de? Angreifbar durch IP-Umleitungen, fremde Resolver, cache poisoning usw. Vorbereitung für man-in-the-middle -Attacken, Malwareangriffe u.ä. IP 129..! lrz.de? Resolver lrz.de?.lrz.de NS! dns1.lrz.de. auth. NS.de. 8

9 Angriffe sind kein Selbstzweck sondern Vorbereitung für Man-in-the-Middle Angriffe Advertisement Fraud Drive-by Angriffe für Malware Hijacking von SMTP, dann Abgreifen von Passwortresetmails schwer zu erkennen, noch schwerer zu verhindern betrifft unter Umständen tausende von Nutzern auf einen Schlag 9

10 DNSSEC schützt vor diesen Attacken cache poisoning cache impersonation Zone file Dynamic Updates Master Caching Forwarder Resolver Slaves altered zone data cache poisoning

11 DNSSEC schützt vor diesen Attacken cache poisoning DNSSEC cache impersonation Zone file Dynamic Updates Master Caching Forwarder Resolver Slaves altered zone data cache poisoning DNSSEC

12 DNSSEC schützt vor diesen Attacken cache poisoning DNSSEC cache impersonation DNSSEC Zone file Dynamic Updates Master Caching Forwarder Resolver Slaves altered zone data cache poisoning DNSSEC

13 DNSSEC schützt vor diesen Attacken cache poisoning DNSSEC cache impersonation DNSSEC Zone file Dynamic Updates Master Caching Forwarder Resolver Slaves altered zone data NSSEC cache poisoning DNSSEC

14 Themen Bayerisches Hochschulnetz DNS - Schwachpunkte DNSSEC DANE Umsetzung Fazit 11

15 DNSSEC Parentzone de. Delegated Signer Zone lrz.de authoritative nameserver 12

16 DNSSEC Zone signieren Parentzone de. Delegated Signer Zone lrz.de authoritative nameserver public key private key 12

17 DNSSEC Zone signieren Parentzone de. Delegated Signer Zone lrz.de authoritative nameserver public key private key 12

18 DNSSEC Public key im DS Parentzone de. Delegated Signer public key Zone lrz.de authoritative nameserver public key private key 12

19 DNSSEC Public key im DS Parentzone de. Delegated Signer public key Delegation Zone lrz.de authoritative nameserver public key private key 12

20 DNSSEC DNS Anfrage Parentzone de. Delegated Signer Client Delegation public key Zone lrz.de resolving nameserver authoritative nameserver public key private key 12

21 DNSSEC DNS Anfrage Parentzone de. Delegated Signer ervicedesk.lrz.de? Client Delegation public key Zone lrz.de resolving nameserver authoritative nameserver public key private key 12

22 DNSSEC DNS Anfrage Parentzone de. Delegated Signer Client Delegation public key public key? Zone lrz.de resolving nameserver authoritative nameserver public key private key 12

23 DNSSEC DNS Anfrage Parentzone de. Delegated Signer Client Delegation public key public key! Zone lrz.de resolving nameserver authoritative nameserver public key public key private key 12

24 DNSSEC DNS Anfrage Parentzone de. Delegated Signer Client Delegation public key servicedesk.lrz.de? Zone lrz.de resolving nameserver authoritative nameserver public key public key private key 12

25 DNSSEC DNS Anfrage Parentzone de. Delegated Signer Client Delegation public key Zone lrz.de resolving nameserver authoritative nameserver public key public key private key 12

26 DNSSEC DNS Anfrage Parentzone de. Delegated Signer Client Delegation public key Zone lrz.de resolving nameserver authoritative nameserver public key public key private key 12

27 DNSSEC DNS Anfrage Parentzone de. Delegated Signer Client public key Delegation Zone lrz.de resolving nameserver authoritative nameserver Hash public key public key private key 12

28 DNSSEC DNS Anfrage Parentzone de. Delegated Signer Client Delegation public key Zone lrz.de =? resolving nameserver authoritative nameserver Hash public key public key private key 12

29 DNSSEC Authenticated Data Parentzone de. Delegated Signer Client AD Flag Delegation public key Zone lrz.de =! resolving nameserver authoritative nameserver Hash public key public key private key 12

30 DNSSEC - Schlüssel DNS besteht aus Zonen, die Vertrauen garantieren, mit Delegation an andere dieser Zonen Elternteil ( Parent ) muss auf die Schlüssel der Kinder ( children keys ) verweisen - um diese zu signieren - DS Records bewerkstelligen dies Notwendige Interaktion zwischen Parent und Child sollte minimal sein Key Signing Key (KSK) - signiert nur DNSKEY RRset Zone Signing Key (ZSK) - signiert alle RRsets in der Zone 13

31 ZSK und KSK in den DS Records Parent Zone Parent key signs DS Record publishes publishes Child Zone DS Record Child KSK Child ZSK signs Grandchild Zone Grandchild KSK Grandchild ZSK Bild: RIPE NCC 14

32 Erfahrungen aus der DNSSEC-Praxis

33 Autoritative Seite am LRZ RSASHA256 mit 2048 Bit KSK/ZSK DNSSEC-fähige Registrars DFN und InternetX Nebenschauplatz: Aufteilung der Nameserver auf drei TLDs Große Hauptdomains mit Infrastruktur signiert (wenn s kracht, dann richtig) lrz.de tum.de lmu.de einige kleinere Domains ebenfalls, zum Teil schon länger badw-muenchen.de - Dezember

34 Monitoring am LRZ DNSSEC-Signierungsfehler sind tödlich fallen je nach lokaler Resolverstruktur gar nicht auf Tägliche Prüfung am LRZ für jede DNSSEC-Zone Prüfen der signierten Zone durch ldns-verify-zone (ldns) prüft NSEC-Chaining, Keys, RSSIG-Validity (>30 Tage) Prüfen der signierten Zone durch dnssec-verify (BIND) prüft NSEC-Chaining, Keys Abfrage des SOA-Records bei Google DNS, DNS-OARC prüft sichere Delegation (ad-flag) prüft Funktionsfähigkeit aus Nutzersicht Nutzung lokaler validierender Resolver auf wichtigen Servern 17

35 Themen Bayerisches Hochschulnetz DNS - Schwachpunkte DNSSEC DANE Umsetzung Fazit 18

36 DANE - Was ist das? Domain name system based Authenticated Named Entity Einer Entität kann ein Zertifikat authentisch zugeordnet werden DNSSEC garantiert Authentizität für einen Eintrag auf DNS TLSA = TLS certificate association : Zertifikatshash im DNS Public Key erlaubt Verifizierung dieses Hashes über den DNS 19

37 DANE - Probleme der CA-Zertifizierung TLS: Authentifikation über Zertifikatskette Root-CA-Zertifkate müssen vorgehalten werden Root-CAs stellten oftmals falsche Zertifikate aus (Diginotar, Wosign, Startcom ) DANE liegt in der Hand des Zonenbetreibers eines Nameservers DNS muss sowieso vertraut werden DNSSEC authentifiziert dieses Vertrauen DNS TLSA + RRSIG Zertifikat Server 20

38 DANE - Probleme der CA-Zertifizierung TLS: Authentifikation über Zertifikatskette Root-CA-Zertifkate müssen vorgehalten werden Root-CAs stellten oftmals falsche Zertifikate aus (Diginotar, Wosign, Startcom ) DANE liegt in der Hand des Zonenbetreibers eines Nameservers DNS muss sowieso vertraut werden DNSSEC authentifiziert dieses Vertrauen DNS TLSA + RRSIG Zertifikat Server 20

39 DANE - Beispiel Absicherung eines servers

40 TLS-verschlüsselte SMTP-Verbindung STARTTLS-Erweiterung für SMTP wurde erst 2002 spezifiziert, 20 Jahre nach RFC821 signalisiert durch STARTTLS-Keyword EHLO (unauthentifizierte Plaintext-Session!) Triviale Downgrade-Attacke auf unverschlüsselte Verbindung Opportunistische Verschlüsselung ohne Zertifikatsprüfung (70% gültiges Zertifikat, 20% selbstsigniert, 10% kein TLS) Schützt lediglich gegen passive Lauscher, aber nicht gegen aktive Angriffe (MitM) 22

41 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver autoritativer Nameserver Sender Empfänger MTA1 (Sender) 23

42 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver MX? autoritativer Nameserver MTA1 (Sender) 23

43 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE MX? DNS Resolver autoritativer Nameserver MTA1 (Sender) 23

44 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE MX? SOA tum.de. IN MX 100 postrelay1.lrz.de IN MX 100 postrelay2.lrz.de DNS Resolver autoritativer Nameserver MTA1 (Sender) 23

45 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver MX RRSIG autoritativer Nameserver SOA tum.de. IN MX 100 postrelay1.lrz.de IN MX 100 postrelay2.lrz.de MTA1 (Sender) 23

46 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNSSEC Prüfung DNS Resolver autoritativer Nameserver SOA tum.de. IN MX 100 postrelay1.lrz.de IN MX 100 postrelay2.lrz.de MTA1 (Sender) 23

47 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNSSEC Prüfung DNS Resolver MX AD FLAG autoritativer Nameserver SOA tum.de. IN MX 100 postrelay1.lrz.de IN MX 100 postrelay2.lrz.de MTA1 (Sender) 23

48 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver LRZ autoritativer Nameserver MTA1 (Sender) 23

49 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver IP postrelay1.lrz.de? LRZ autoritativer Nameserver MTA1 (Sender) 23

50 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE IP postrelay1.lrz.de? DNS Resolver LRZ autoritativer Nameserver MTA1 (Sender) 23

51 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver IP postrelay1.lrz.de RRSIG LRZ autoritativer Nameserver MTA1 (Sender) 23

52 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNSSEC Prüfung DNS Resolver LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de 23

53 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver IP AD FLAG LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de 23

54 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver _25._.postrelay1.lrz.de? LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de 23

55 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE _25._.postrelay1.lrz.de? DNS Resolver LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de 23

56 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver TLSA RRSIG LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de 23

57 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNSSEC Prüfung DNS Resolver TLSA RRSIG LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de 23

58 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver TLSA RRSIG AD FLAG LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de 23

59 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver LRZ autoritativer Nameserver STARTTLS? MTA1 (Sender) postrelay1.lrz.de 23

60 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver LRZ autoritativer Nameserver MTA1 (Sender) TLS-Zertifikat postrelay1.lrz.de 23

61 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de 23

62 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver LRZ autoritativer Nameserver DANE Prüfung MTA1 (Sender) postrelay1.lrz.de Hash = TSLA RRSIG? 23

63 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de Zertifikat DANE verifiziert. 23

64 TLS-SMTP Verbindung mit DANE Mailtransport via SMTP, TLS-verschlüsselt und DANE DNS Resolver LRZ autoritativer Nameserver MTA1 (Sender) postrelay1.lrz.de Zertifikat DANE verifiziert. 23

65 Themen Bayerisches Hochschulnetz DNS - Schwachpunkte DNSSEC DANE Umsetzung Fazit 24

66 Umsetzung des Projekts - Wissensvermittlung Bestandsaufnahme der verwendeten Systeme Kurse zu DNSSEC und DANE November 2016 am LRZ, Garching 2 Tage März 2017 am RRZE, Erlangen 2 Tage November 2017 am LRZ, Garching 1 Tag Q & A -Treffen Kursunterlagen und Video verfügbar Theorie und hands-on -Sessions auf VMs Bericht über Erfahrungen aus der Praxis am LRZ 25

67 Umsetzung - Informationsaustausch Wiki mit Howto -Artikeln, confluence.lrz.de Skripte-Repository, gitlab.lrz.de Austausch über Mailingliste, dnssec-bhn@lists.lrz.de Support und Problemlösungen durch LRZ direkte Ansprechpartner am LRZ, duscha@lrz.de 26

68 Bisheriger Fortschritt. Drei Viertel der Projektzeit verstrichen großes Interesse an DNSSEC und DANE 80% der Hochschulen in den Kursen erreicht 12x DANE 2x DNSSEC 8x derzeit in der Einführung 13x noch nicht begonnen Monitoring-Konzept für DNSSEC und DANE Benachrichtigung für DNSSEC/DANE-Betrieb gezielte Hilfe zur Einrichtung, auch Vor-Ort 27

69 28

70 DNSSEC über LRZ für kleinere Hochschulen 29

71 Themen Bayerisches Hochschulnetz DNS - Schwachpunkte DNSSEC DANE Umsetzung Fazit 30

72 Fazit nach 18 Monaten Sehr guter Durchdringungsgrad, auch wenn noch nicht alle Haupt-Domains signiert sind Kurse und hands-on -Sessions als guter Einstieg DANE-Einführung an beteiligten Hochschulen/Unis in direktem Kontakt unterstützt Schwierigkeit sind nicht die technischen Probleme!. organisatorische Probleme mit anderen Projekten ausgelastet oft in Verbindung mit sonstigem Update (z.b. SLES 11 12) Exchange oder Appliances können gar kein DANE Lösung: Postfix-basierter Mailrelay-Server 31

73 Vielen Dank für Ihre Aufmerksamkeit! Fragen?