IT-Sicherheitstag 2016

Transkript

1 IT-Sicherheitstag 2016 SPF, DNSSEC, DANE

2 IT-Sicherheitstag Sender Policy Framework SPF Domain Name System Security Extension DNSSEC DNS-Based Authentication of Named Entities DANE

3 SPF Sender Policy Framework Sender Policy-Framework -> ursprünglich zur Spam-Abwehr -> heute Verhinderung Fälschung Mail-Adressen Schutz der eigenen Domain vor Missbrauch durch Spamversand (Attraktivitätsverlust) SPF erleichtert die Unterscheidung von Spam und erwünschten s Entwicklung Version 1 veröffentlicht Ende 2003 SPFv1 am von der IETF in RFC 4408 veröffentlicht Status: Experimental Überarbeitete Version SPF bis (RFC 7208) in 2014 veröffentlicht Status: Proposed Standard Keine Erweiterung des SMTP-Protokolls Keine Erweiterung des DNS-Systems 3

4 SPF Funktion Seit Version v1: Definition der DNS-Regeln als RR TXT (zuvor als RR SPF) Ressource-Record: Definition der gültigen Absender-Adressen einer Domain Ermittlung der gültigen DNS-Absender-Adressen anhand der Absender-Domain durch empfangenden MTA Beispiel: GMX $ host -t TXT gmx.de gmx.de descriptive text "v=spf1 ip4: /23 ip4: /26 -all nur Rechner der ipv4-netze / /26 dürfen Mails mit der Absender-Domain gmx.de verschicken. Alle anderen Adressen ( -all ) = ausgeschlossen. Seit 2016 für ausgewählte Kunden-Domains im Einsatz Ab Oktober 2016 genereller Einsatz von SPF für alle Kunden-Domains (ISIMan) 4

5 SPF Funktion DNS: MX Empfänger? DNS: SPF Sender? Open Relay Gateway Sender MX Empfänger Client Empfänger Server/Client Sender 5

6 SPF Kritik TXT-Records in Kombination mit UDP unvollständige Informationen möglich Standard-DNS fehlende Authentizität und Integrität Geringe Wirksamkeit gegen Spam und Malware Unklare Positionierung von SPF Obwohl im Einsatz gegen Spam liegt Entwickler-Fokus auf Schutz gegen Adressfälschung Rückwirkungen auf z.b. Weiterleitungen, Mailing-Listen, Grußkartenversand bedürfen weiterer Mechanismen, wie Whitelisting oder SRS (Sender Rewriting Scheme) 6

7 IT-Sicherheitstag Sender Policy Framework SPF Domain Name System Security Extension DNSSEC DNS-Based Authentication of Named Entities DANE

8 Domain Name System Security Extention Absicherung von DNS-Daten mit einer eingebetteten Signatur und zwei kryptografischen Schlüsseln In der aktuellen Version seit 2005 verfügbar Seit 2007 für TLD.se. Standard In den Niederlande ca. 50% Durchdringung 2008 Bedingung für alle Subdomains in.gov. bis Dez (US-Goverment) Für die TLD.de. seit 2011 verfügbar 8

9 Domain Name System - Basics Alle namensbasierten Dienste des Internets beruhen auf dem DNS entwickelt Anfang der 1980er streng hierarchisch, weltweit verteilte Datenbank verbindungslose Kommunikation (udp) 9

10 Domain Name System - Basics 2 ISP-Resolver Root Nameserver de Nameserver.de. DENIC Anfragender Client z.b. webserver: mailserver: support@dvz.de DVZ Nameserver dvz-mv.de. 10

11 Domain Name System - Basics 1. Client fragt Resolver nach IP-Adresse (A-Record) für Resolver ermittelt ROOT-Nameserver in lokaler Konfiguration 2. Resolver fragt ROOT-Nameserver nach Autorität für de. 3. Resolver fragt de-nameserver nach Autorität für dvz-mv.de. 4. Resolver fragt dvz-mv.de.-nameserver nach IP für 5. Resolver gibt das Ergebnis an den Client aus 11

12 Domain Name System - Basics Fazit: Keine Berücksichtigung von Sicherheitsaspekten, insbesondere Keine Authentizitäts-Überprüfung der Antwort Keine Integritäts-Prüfung der Antwort Angriffspotential auf jeder Hierarchie-Ebene, wie z.b. DOS/DDOS-Attacken Cache Poisoning Man-in-the-Middle-Angriffe 12

13 Domain Name System Security Extention Ziel des Secure Domain Name Systems -> Gewährleistung von Authentizität und Integrität der Anfrageergebnisse, z.b. für: Anfrage der IP-Adresse (5) Anfrage der Autorität für.dvz-mv.de. (4) Anfrage der Autorität für.de. (3) Umsetzung mittels Public Key Cryptography und Einführung zusätzlicher DNS-Ressource Records (RR), u.a. RRSIG (digital signature) DNSKEY (public key) DS (parent-child) 13

14 Domain Name System Security Extention - Implementierung 2 ISP-Resolver 4e 4d Root Nameserver 1 5 4c 3 4b 4a Anfragender Client z.b. webserver: mailserver: support@dvz.de 4 de Nameserver.de. DENIC DVZ Nameserver dvz-mv.de. 14

15 Domain Name System Security Extention Implementierung DNSSEC wird in Schritt 4 einer DNS-Anfrage eingefügt, in dem zur eigentlichen Frage auch DNSSEC-Informationen angefordert werden. 4 Anfrage des A-Record und zugehörigen RRSIG-Record (dvz-mv.de.) 4a Anfrage DNSKEY/RRSIG-Records (dvz-mv.de.) Vergleich 4 und 4a muss gültig sein 4b Anfrage DS-Record für dvz-mv.de (de.) Vergleich 4a und 4b muss gültig sein (Eltern-Kind-Beziehung) 4c Anfrage DNSKEY/RRSIG-Records (de.) Vergleich 4b und 4c 4d Anfrage DS-Record für de. (.) Vergleich 4c und 4d 4e Anfrage DNSKEY/RRSIG-Records (.) Vergleich von 4d und 4e 4f Vergleich von 4e mit lokal gespeicherten key für. 5 Resolver gibt das authentifizierte Ergebnis an den Client aus 15

16 Domain Name System Security Extention Implementierung Erst wenn alle Bedingungen von 4a bis 4f erfüllt sind, ist die Validierung erfolgreich und das Ergebnis der Anfrage wird an den Client zurückgegeben. Ist die Vertrauenskette an einer beliebigen Stelle unterbrochen, wird ein SERVFAIL zurückgegeben. 16

17 Domain Name System Security Extention Vorteile Welche Vorteile ergeben sich aus DNSSEC? Netiquette (be a goog netizen) Compliance wenn gefordert, s. US-Goverment und ICANN (Internet Corporation for Assigned Names and Numbers) Verbesserte Sicherheit Neue Features, z.b. Veröffentlichung von SSL-Zertifikaten, Pgp-keys, Ssh-fingerprints DANE (DNS-Based Authentication of Named Entities) 17

18 IT-Sicherheitstag Sender Policy Framework SPF Domain Name System Security Extension DNSSEC DNS-Based Authentication of Named Entities DANE

19 DANE Basics Vorteilsgewinnung einer DNSSEC-Infrastruktur durch DANE Konzept veröffentlicht 2011 (RFC 6394) Letzte Updates in RFC 7671, 7672, 7673 in 2015 Ermöglicht die Nutzung von x.509 Zertifikaten auf Basis von DNSSEC TLS-Authentifikation ohne CAs möglich 19

20 DANE Basics Vorteilsgewinnung einer DNSSEC-Infrastruktur durch DANE Definition eines TLSA-Records im DNS (Absicherung durch DNSSEC) ein TLS-Zertifikat, oder den Fingerprint eines TLS-Zertifikates oder den öffentlichen Schlüssel des Zertifikats Definition der Art der hinterlegten Information Service Certificate Constraints, durch Root-CAs ausgestellte Zertifikate Domain-Issued Certificates, eigene, auch self signed Zertifikate Trust Anchor Assertion, Angabe einer eigenen PKI (Private-CA) 20

21 DANE Implementierung Die Implementierung von DANE erfolgt auf Applikationsebene Unterstützendende Applikationen/Dienste sind u.a. Browser: Server: Dienste: Google Chrome (via Add-on) und Mozilla Firefox (via Add-on) Postfix, Exim (mail transport agents) mail.de, Posteo, mailbox.org, Dotplex, tutanota.de 21

22 DANE Vorteile Durch die Hinterlegung des Zertifikats, dessen Finger Prints oder aber dessen öffentlichen Schlüssels wird: die Manipulation für Angreifer erschwert, eine Entkopplung von nicht überprüfbaren Vertrauensstellungen ermöglicht und eine Vereinheitlichung bei der verschlüsselten -Übertragung erreicht. 22

23 IT-Sicherheitstag Sachgebietsleiter SCM Andreas Lübbe a.luebbe@dvz-mv.de