DNS vs Sicherheit the long story equinox CryptoCon15, Leipzig
Übersicht 1 Kurzwiederholung DNS 2 Was sind DNSsec 3 Nachteile von DNSsec 4 DANE & Vorteile von DNSsec
DNS "PirateBay ist gesperrt" "stell mal den DNS auf 8888"
;; QUESTION SECTION: ;thepiratebayorg IN A ;; ANSWER SECTION: thepiratebayorg 3600 IN A 809265144
DNS Telefonbuch Name IP-Adresse Frage & Antwort, je ein Datenpaket hierarchisch organisiert
(root) NS d0orgafilias-nstorg NS ns1torprojectorg A 9395227222 Antwort von aroot-serversnet = ICANN org Antwort von d0orgafilias-nstorg = Afilias torproject Antwort von ns1torprojectorg = Tor www
Caches durchlaufen der Hierarchie dauert & belastet Server Ergebnisse zwischenspeichern WLAN-Router Provider PC Telefon aroot-serversnet d0orgafilias-nstorg ns1torprojectorg
Sicherheit Protokoll ist von 1987 Einzige Sicherheitsüberlegung war Ausfallschutz ( jeweils mehr als 1 Server)
Sicherheit Protokoll ist von 1987 Einzige Sicherheitsüberlegung war Ausfallschutz ( jeweils mehr als 1 Server) Anfang der 2000er begannen Fälschungsangriffe (unterschieben inkorrekter Antworten)
Cache Poisoning Zielname aussuchen Massenhaftes Senden von Antworten mit gefälschtem Absender (zuständiger DNS-Server) Auslösen einer Anfrage für Zielname Cache merkt sich falsche Antwort und liefert diese aus
WLAN-Router Provider PC Telefon aroot-serversnet d0orgafilias-nstorg ns1torprojectorg ns1torprojectorg (nicht)
DNSsec Sicherheitserweiterung (1994-)2003-2005 entwickelt Legt Verwendung von Schlüsseln und Unterschriften fest
DNSsec DNSKEY: Schlüssel (2 Arten) Key Signing Key - langlebig, sicher Zone Signing Key - kurzlebig, weniger sicher RRSIG: Unterschrift für Daten DS: Schlüssel(abdruck) des nächsten Servers
(root) NS d0orgafilias-nstorg NS ns1torprojectorg A 9395227222 org torproject www
NS d0orgafilias-nstorg NS ns1torprojectorg A 9395227222 (root) org torproject www DS 21366 7 1 E6C1716 DNSKEY + RRSIG DS 32884 8 2 5428CCB DNSKEY + RRSIG RRSIG
Beispiele http://dnsviznet/d/debianorg/dnssec/ http://dnsviznet/d/auroranoxtf/dnssec/
Probleme DNS arbeitet mit einzelnen Paketen Pakete haben Maximalgrößen Anfragen mit gefälschten Absendern möglich
Probleme Fälsche Absender von unliebsamem Ziel Sende (kurze) Anfrage DNS-Server schickt (lange) Antwort an unliebsames Ziel
Probleme Fälsche Absender von unliebsamem Ziel Sende (kurze) Anfrage DNS-Server schickt (lange) Antwort an unliebsames Ziel Rate Limiting
Probleme Fälsche Absender von unliebsamem Ziel Sende (kurze) Anfrage DNS-Server schickt (lange) Antwort an unliebsames Ziel Rate Limiting Schlüssel müssen möglichst kurz sein Elliptische Kurven
Probleme (2) Management der Krypto an Domainverwalter gebunden Braucht Support zb vom Serverhoster Politische Einflüsse auf Länderdomains
Probleme (3) Hoher Betriebsaufwand (Regelmässiger Schlüsseltausch) Kaputte Unterschriften kaputte Domains Kaputte Caches kaputte Domains http://sockpuppetorg/blog/2015/01/15/ against-dnssec/
"Vorteile" Sperrversuche werden als Sicherheitsbruch erkannt DPI-Kram, komische WLAN-Router & WLAN-Loginseiten können DNS nicht mehr "verbiegen"
Vorteile DANE Eindeutige Hierarchie Live-System
DANE Wenn die IP-Adresse schon unterschreiben ist kann auch das SSL/TLS-Zertifikat notiert & unterschrieben werden
DANE NS d0orgafilias-nstorg NS ns1torprojectorg A 9395227222 (root) org torproject www DS 21366 7 1 E6C1716 DNSKEY + RRSIG DS 32884 8 2 5428CCB DNSKEY + RRSIG RRSIG
DANE NS d0orgafilias-nstorg NS ns1torprojectorg (root) org torproject DS 21366 7 1 E6C1716 DNSKEY + RRSIG DS 32884 8 2 5428CCB DNSKEY + RRSIG A 9395227222 RRSIG www TLSA 3 1 1 578582E _443_tcpwww X509 cert: EA:16:D6:DA:76:9B: /CN = *torprojectorg/
Eindeutige Hierarchie zu jedem Namen nur ein möglicher Unterschriftspfad laufend nachprüfbar bei Manipulationen eindeutig "Schuldiger"
DNSsec + Tor DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS Domainbesitzer User
DNSsec + Tor DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS tor tor tor tor tor tor tor tor Domainbesitzer mein Key? konsistente Keys? User
Live-System DNS-Antworten haben kurze Gültigkeit (Stunden, Tage) Unterschriften haben kurze Gültigkeit (Tage) Rückruf von gebrochenen Zertifikaten als automatisches Feature
Benutzbarkeit? Browsersupport fehlt leider Plugin von CZnic: https://wwwdnssec-validatorcz/
Benutzbarkeit? Browsersupport fehlt leider Plugin von CZnic: https://wwwdnssec-validatorcz/ Domains mit DNSsec sehr selten Domainverwalter nur mässig interessiert
Fragen? Fragen? equinox@diac24net