DNS vs. Sicherheit. the long story. equinox. CryptoCon15, Leipzig ...

Ähnliche Dokumente
DNS Grundlagen. ORR - November jenslink@quux.de. DNS Grundlagen 1

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

In 1 Sekunde rund um die Welt. Regine Bolter, Patrick Ritschel

Wie funktioniert das WWW? Sicher im WWW

Kryptographie. Ich doch hab nichts zu verbergen. IT-Security Bootcamp. Ziel. Was also tun? asymmetrisch. symmetrisch

7. TCP-IP Modell als Rollenspiel

Technische Grundlagen von Internetzugängen

Angebot. UVV-Prüfungen und Wartungen von mobilen Abfallpressen

Angebot. UVV-Prüfungen und Wartungen von mobilen Abfallpressen

Algorithmische Kryptographie

Kommunikation. Sitzung /11. Dezember 2015

Wir machen neue Politik für Baden-Württemberg

Preisliste Alle Preise sind Endkundenpreise inkl. 19 % MWSt. Tobias Bauer

Anleitung für die Teilnahme an den Platzvergaben "Studio II, Studio IV und Studio VI" im Studiengang Bachelor Architektur SS15

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Anbindung des eibport an das Internet

Dann zahlt die Regierung einen Teil der Kosten oder alle Kosten für den Dolmetscher.

SCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...

DNSSEC. Christoph Egger. 28. Februar Christoph Egger DNSSEC 28. Februar / 22

Konfiguration eines DNS-Servers

Gefahren aus dem Internet 1 Grundwissen April 2010

Was meinen die Leute eigentlich mit: Grexit?

Rechtsfolgen der Digitalen Identität

Electronic Systems GmbH & Co. KG

Eco DNSSEC Workshop. DNSSEC Vertrauen ins DNS. Lutz Donnerhacke dig NAPTR e164.arpa. +dnssec DNSSEC/1

Gelebtes Scrum. Weg vom Management hin zur Führung

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

DynDNS für Strato Domains im Eigenbau

Routing im Internet Wie findet ein IP Paket den Weg zum Zielrechner?

Erfahrungen mit Hartz IV- Empfängern

Einrichten der konten

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

1 Belastung. 1.1 Standortbestimmung 1.2 Belastungsvorhersage 1.3 Favoriten

teamsync Kurzanleitung

Grundkenntnisse am PC Das Internet

Information zum Projekt. Mitwirkung von Menschen mit Demenz in ihrem Stadtteil oder Quartier

Registry-Registrar Partnership DENIC - A Co-operative Model. 6. Februar 2004 Zürich

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

Leitfaden E-Books Apple. CORA E-Books im ibook Store kaufen. Liebe Leserinnen und Leser, vielen Dank für Ihr Interesse an unseren CORA E-Books.

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Ist das so mit HTTPS wirklich eine gute Lösung?

Mietkaution? NEIN DANKE! Die Kautionsbürgschaft von EuroKaution macht aus Ihrer Mietkaution bares Geld.

CNAME-Record Verknüpfung einer Subdomain mit einer anderen Subdomain. Ein Alias für einen Domainnamen.

Simulation LIF5000. Abbildung 1

Fragen und Antworten. Kabel Internet

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Überblick. Netzprogrammierung 7b. Zustand in Web Anwendungen. Zustand in HTTP HTTP ist zustandslos Zwei Interaktionen sind unabhängig voneinander

HOTEL BÄREN. Familie Sauter Beobachtungen & Problembereiche. Interview mit Stefan Sauter (Miteigentümer)

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Schlüsselaustausch. Version 1.1. APCS Power Clearing and Settlement AG

Mit dem Tool Stundenverwaltung von Hanno Kniebel erhalten Sie die Möglichkeit zur effizienten Verwaltung von Montagezeiten Ihrer Mitarbeiter.

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Wenn der PC Kinder bekommt

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

Preis- und Leistungsverzeichnis der Host Europe GmbH. Domain & Mail V 2.1. Stand:

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

STRATO Mail Einrichtung Mozilla Thunderbird

VDW Statistik Portal Häufig gestellte Fragen. Version 1.2 ( Katharina Düngfelder & Markus A. Litters) Vorwort

FAMILIENSTAND ALLEINERZIEHENDE MÜTTER

Wärmebildkamera. Arbeitszeit: 15 Minuten

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

1 Lizenzkey Wo finde ich den Lizenzkey? Lizenzkey hochladen Nameserver einrichten Domains einrichten 7

Ein Vorwort, das Sie lesen müssen!

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Anleitung Grundsetup C3 Mail & SMS Gateway V

Step by Step Webserver unter Windows Server von Christian Bartl

Was ist sigmail.de? Sigmail ist der -Server auf www. signaturportal.de. Eine Adresse auf signaturportal.de lautet

Das Roaming Cockpit. Inhalt. 1 Das Roaming Cockpit Aufrufen des Roaming Cockpit über den Browser... 3

Universität Zürich Informatikdienste. SpamAssassin. Spam Assassin Go Koordinatorenmeeting 27. April

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Der Vollstreckungsbescheid. 12 Fragen und Antworten

Sichere für Rechtsanwälte & Notare

W o h nen im P o. Wohnen im Pott. Inklusiv zuhause sein in Oberhausen. MieterFührerschein. für alle Orte. Mein Weg in die eigene Wohnung

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar Vortrag für den PC-Treff Böblingen

SMS-Tool. Seite 1 von 8

Benutzerhandbuch MedHQ-App

Bedarfsmeldungen für Studentische Hilfskräfte und Tutoren erstellen und ändern

von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, Göttingen

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Beantragung einer Freigabeerklärung für Lösungen zur Spielerstatusabfrage unter Verwendung von OASIS WS

Elliptische Kurven in der Kryptographie

Anmeldung & Information

1 WEB ANALYTICS: PROFESSIONELLE WEB-ANALYSEN UND REPORTING FÜR IHR ONLINE MARKETING.

Überprüfen Active Directory und DNS Konfiguration Ver 1.0

Angaben zu einem Kontakt...1 So können Sie einen Kontakt erfassen...4 Was Sie mit einem Kontakt tun können...7

Clusterportal Interaktiv Text

Konfigurieren mit Mozilla Thunderbird

Arbeit zur Lebens-Geschichte mit Menschen mit Behinderung Ein Papier des Bundesverbands evangelische Behindertenhilfe e.v.

DNS-325/-320 und FXP

D a s P r i n z i p V o r s p r u n g. Anleitung. - & SMS-Versand mit SSL (ab CHARLY 8.11 Windows)

Kategorien der Hauptpreise (Bitte ankreuzen!)

Statuten in leichter Sprache

SCHNELLEINSTIEG FÜR HOSTED EXCHANGE BASIC / PREMIUM

Info-Veranstaltung zur Erstellung von Zertifikaten

Ephorus Handbuch für Dozenten und Lehrer

Transkript:

DNS vs Sicherheit the long story equinox CryptoCon15, Leipzig

Übersicht 1 Kurzwiederholung DNS 2 Was sind DNSsec 3 Nachteile von DNSsec 4 DANE & Vorteile von DNSsec

DNS "PirateBay ist gesperrt" "stell mal den DNS auf 8888"

;; QUESTION SECTION: ;thepiratebayorg IN A ;; ANSWER SECTION: thepiratebayorg 3600 IN A 809265144

DNS Telefonbuch Name IP-Adresse Frage & Antwort, je ein Datenpaket hierarchisch organisiert

(root) NS d0orgafilias-nstorg NS ns1torprojectorg A 9395227222 Antwort von aroot-serversnet = ICANN org Antwort von d0orgafilias-nstorg = Afilias torproject Antwort von ns1torprojectorg = Tor www

Caches durchlaufen der Hierarchie dauert & belastet Server Ergebnisse zwischenspeichern WLAN-Router Provider PC Telefon aroot-serversnet d0orgafilias-nstorg ns1torprojectorg

Sicherheit Protokoll ist von 1987 Einzige Sicherheitsüberlegung war Ausfallschutz ( jeweils mehr als 1 Server)

Sicherheit Protokoll ist von 1987 Einzige Sicherheitsüberlegung war Ausfallschutz ( jeweils mehr als 1 Server) Anfang der 2000er begannen Fälschungsangriffe (unterschieben inkorrekter Antworten)

Cache Poisoning Zielname aussuchen Massenhaftes Senden von Antworten mit gefälschtem Absender (zuständiger DNS-Server) Auslösen einer Anfrage für Zielname Cache merkt sich falsche Antwort und liefert diese aus

WLAN-Router Provider PC Telefon aroot-serversnet d0orgafilias-nstorg ns1torprojectorg ns1torprojectorg (nicht)

DNSsec Sicherheitserweiterung (1994-)2003-2005 entwickelt Legt Verwendung von Schlüsseln und Unterschriften fest

DNSsec DNSKEY: Schlüssel (2 Arten) Key Signing Key - langlebig, sicher Zone Signing Key - kurzlebig, weniger sicher RRSIG: Unterschrift für Daten DS: Schlüssel(abdruck) des nächsten Servers

(root) NS d0orgafilias-nstorg NS ns1torprojectorg A 9395227222 org torproject www

NS d0orgafilias-nstorg NS ns1torprojectorg A 9395227222 (root) org torproject www DS 21366 7 1 E6C1716 DNSKEY + RRSIG DS 32884 8 2 5428CCB DNSKEY + RRSIG RRSIG

Beispiele http://dnsviznet/d/debianorg/dnssec/ http://dnsviznet/d/auroranoxtf/dnssec/

Probleme DNS arbeitet mit einzelnen Paketen Pakete haben Maximalgrößen Anfragen mit gefälschten Absendern möglich

Probleme Fälsche Absender von unliebsamem Ziel Sende (kurze) Anfrage DNS-Server schickt (lange) Antwort an unliebsames Ziel

Probleme Fälsche Absender von unliebsamem Ziel Sende (kurze) Anfrage DNS-Server schickt (lange) Antwort an unliebsames Ziel Rate Limiting

Probleme Fälsche Absender von unliebsamem Ziel Sende (kurze) Anfrage DNS-Server schickt (lange) Antwort an unliebsames Ziel Rate Limiting Schlüssel müssen möglichst kurz sein Elliptische Kurven

Probleme (2) Management der Krypto an Domainverwalter gebunden Braucht Support zb vom Serverhoster Politische Einflüsse auf Länderdomains

Probleme (3) Hoher Betriebsaufwand (Regelmässiger Schlüsseltausch) Kaputte Unterschriften kaputte Domains Kaputte Caches kaputte Domains http://sockpuppetorg/blog/2015/01/15/ against-dnssec/

"Vorteile" Sperrversuche werden als Sicherheitsbruch erkannt DPI-Kram, komische WLAN-Router & WLAN-Loginseiten können DNS nicht mehr "verbiegen"

Vorteile DANE Eindeutige Hierarchie Live-System

DANE Wenn die IP-Adresse schon unterschreiben ist kann auch das SSL/TLS-Zertifikat notiert & unterschrieben werden

DANE NS d0orgafilias-nstorg NS ns1torprojectorg A 9395227222 (root) org torproject www DS 21366 7 1 E6C1716 DNSKEY + RRSIG DS 32884 8 2 5428CCB DNSKEY + RRSIG RRSIG

DANE NS d0orgafilias-nstorg NS ns1torprojectorg (root) org torproject DS 21366 7 1 E6C1716 DNSKEY + RRSIG DS 32884 8 2 5428CCB DNSKEY + RRSIG A 9395227222 RRSIG www TLSA 3 1 1 578582E _443_tcpwww X509 cert: EA:16:D6:DA:76:9B: /CN = *torprojectorg/

Eindeutige Hierarchie zu jedem Namen nur ein möglicher Unterschriftspfad laufend nachprüfbar bei Manipulationen eindeutig "Schuldiger"

DNSsec + Tor DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS Domainbesitzer User

DNSsec + Tor DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS tor tor tor tor tor tor tor tor Domainbesitzer mein Key? konsistente Keys? User

Live-System DNS-Antworten haben kurze Gültigkeit (Stunden, Tage) Unterschriften haben kurze Gültigkeit (Tage) Rückruf von gebrochenen Zertifikaten als automatisches Feature

Benutzbarkeit? Browsersupport fehlt leider Plugin von CZnic: https://wwwdnssec-validatorcz/

Benutzbarkeit? Browsersupport fehlt leider Plugin von CZnic: https://wwwdnssec-validatorcz/ Domains mit DNSsec sehr selten Domainverwalter nur mässig interessiert

Fragen? Fragen? equinox@diac24net

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback