Intern: DNSSec Secure DNS

Ähnliche Dokumente
DNS Grundlagen. ORR - November jenslink@quux.de. DNS Grundlagen 1

DNS & DNSSEC. Simon Mittelberger. DNS und DNSSEC. Eine Einführung. 12. und 13. Januar, und 13. Januar, / 66

von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, Göttingen

DNSSEC und DANE. Dimitar Dimitrov. Institut für Informatik Humboldt-Universität zu Berlin Seminar Electronic Identity Dr.

Externer DNS. Technologien und Herausforderungen. Amanox Solutions AG Speichergasse 39 CH-3008 Bern

DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech Babiel GmbH. dig

Hands-on DNSSEC. Armin Pech Babiel GmbH. dig

DNSSEC. Überblick. ISPA Academy. ISPA Academy. Lessons learned Wie kann ich DNSSEC verwenden? DNSSEC in.at. in der Praxis

DNSSEC, YET! DNSSEC und DANE einfach implementieren! Armin Pech Babiel GmbH dig

Secure Domain Name System DNSSEC

Lightning Talk: Kurzvorstellung DNSSEC

Einleitung Details. Domain Name System. Standards

DNSSec-Workshop. Chemnitzer Linux-Tage Marcus Obst Heiko Schlittermann. schlittermann. Professur für Nachrichtentechnik

DA(e)NEn lügen nicht. Patrick Ben Koetter Carsten Strotmann

Kommunikationsnetze 6. Domain Name System (DNS) University of Applied Sciences. Kommunikationsnetze. 6. Domain Name System (DNS)

Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2. DNSsec

Netzsicherheit Architekturen und Protokolle DNS Security. Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2.

Sichere Namensauflösung mit DNSSec

Sichere Wegweiser im Internet: DNSSEC im praktischen Einsatz

DNSSEC. Domain Name System Security Extension. Referent: Matthias Lohr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

Dynamisches DNSsec mit Bind 9.7 Linux höchstpersönlich.

DynDNS für Strato Domains im Eigenbau

DNS mit Bind9 von Martin Venty Ebnöther

DNSSEC Sichere Namensauösung im Internet

DNS Das Domain Name System

Systemsicherheit 15: DNSSEC

Kurzeinführung in DNSSEC und der Stand unter.at RTR Workshop Sicherheit

Dynamisches DNSSEC mit Bind 9.7 Linux höchstpersönlich.

DNS mit Bind9. Wolfgang Dautermann FH Joanneum 14. Mai Typeset by FoilTEX

ISPA Forum: DNSSEC DNSSEC. Stand der Einführung, Probleme und Entwicklungen. Datum: Otmar Lendl Michael Braunöder

DNSSEC im (Münchner) Wissenschaftsnetz

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

Verteilte Systeme. Verzeichnisdienste. Secure Identity Research Group

Kurzanleitung Domains Control Panel 2.1.6

Secure DNS Stand und Perspektiven

DNS Server - Fedorawiki.de

Domain Name System (DNS) Seminar: Internet Protokolle Theodor Heinze Jaroslaw Michalak

SSL-Absicherung mittels DANE. und. Sicheres DNSSEC mit Bind 9.x

[DNS & DNS SECURITY] 1. DNS & DNS Security

DNS Domain Name System

DNSSEC. Zonen Verwaltung. mit ZKT

DNSSEC für Internet Service Provider. Ralf Weber

Johannes Franken DNS & BIND GE-PACKT

Was Sie nie über DNSSEC wissen wollten, aber herauszufinden gezwungen sein werden. Otmar Lendl

Public Key Infrastructure (PKI) Funktion und Organisation einer PKI

DNS. u23 - Termin 3. AmP+mm Vortrag. Chaos Computer Club Cologne e.v. AmP+mm (CCC) DNS Vortrag 1 / 47

Einführung in das Domain Name System (DNS)

DNSSEC - Update. von. Holger Beck. Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen. Am Fassberg 11, Göttingen

DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13

3.5 SSL Verbindungen. JSSE (Java Secure Socket Extension) import javax.net.ssl.* Wesentliche Pattern) Änderung im Client Programm: (Factory.

Operatorwechsel bei DNSSEC-Domains

IIS 7.5 mit Exchange Server 2010 OWA FBA Intern und Extern ueber Forefront TMG

DNS Domain Name Service

Netzsicherheit 17: DNSSEC

DNSsec HOWTO. Secure the Domain Name System. DENIC Technisches Meeting 28./29. September

Kurs Notizen Rene Dreher -DNS (Domain Name System)

Möglichkeiten zur Provisionierung von DNSSEC- Schlüsselmaterial

Android VPN. Am Beispiel eines Netzwerktunnels für das Domain Name System (DNS) 1 Andiodine - Android DNS-VPN

8. Verzeichnisdienste: Der Domain Name Service

8. Verzeichnisdienste: Der Domain Name Service

SMTP Sicherheit mit DANE sys4.de

Tutorübung zur Vorlesung Grundlagen Rechnernetze und Verteilte Systeme Übungsblatt 11 (6. Juli 10. Juli 2015)

Basisdienste und Basisapplikationen

Ein Überblick über Security-Setups von E-Banking Websites

Einführung in Domain-Name-System für IPv6

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 7: DNS + DNSSec Dr. Erwin Hoffmann

Die Namensauflösung im Internet

Windows 2008 Server R2. Peter Unger

Introduction to DNS (RFC 1034, RFC 1035) DNS vulnerabilities

Benutzerhandbuch. DNS Server Administrationstool. Für den Server: dns.firestorm.ch V

Secure DNS. "Wer, wie, was wieso, weshalb, war um?" * Practical Linux. Giessen 27. Oktober Holger.Zuleger@hznet.de. Titellied der Sesamstrasse

The Cable Guy März 2004

IPv6 in der Realwelt

Linux 08. Linux WS 04/05 by DNS - named: in /etc/named.conf. DNS Top-Level-DNS

Certificate Transparency: Warum macht Google das?

FH Aargau [ ITSM ] 15. November 2004

Entwurf und Implementierung eines Authentifikations-Proxys für das WWW

DNS Nameserver BIND9 Installation und Konfiguration

Eco DNSSEC Workshop. DNSSEC Vertrauen ins DNS. Lutz Donnerhacke dig NAPTR e164.arpa. +dnssec DNSSEC/1

Collax Web Application

Nameserver Predelegation Check. Dokumentation. Copyright 2015 DENIC eg. Dok.-Version: 1.3 Dok.-Status: Final

DNS. Jan 2003 ( ) Holger Zuleger 1/26. > c

1 Umstellung auf die autoritativen Name Server und DNS Resolver

Sicherheiterweiterungen im DNS nach RFC 2535

DHCP und dynamischer Update eines DNS

Resolver! DNS: Liefert Resolver cached Antwort (mit Flag Time To Life, TTL)

Beispiel einer Anwendung: HTTP

Transkript:

Intern: DNSSec Secure DNS Simon Fromme 25.04.2017 Tralios IT GmbH www.tralios.de

URls Definition foo://example.com:8042/over/there?name=ferret#nose \_/ \ /\ / \ / \ / scheme authority path query fragment authority = [ userinfo "@" ] host [ ":" port ] Der Domain-Name kann ein Teil der URI sein (auch z.b. IPv4/IPv6 Adresse möglich): http://de.wikipedia.org/wiki/karlsruhe Domain-Name: de.wikipedia.org Simon Fromme Intern: DNSSec 25.04.2017 2/21

URLs/Domains Computer auf dem die Webseite der deutschen Wikipedia liegt, kann nur über die IP-Adresse, nicht aber über den Domain-Namen erreicht werden (gleiches gilt für E-Mail-Postfächer, u.a.) Frage: Wie übersetze ich den Domain-Namen in eine IP? Simon Fromme Intern: DNSSec 25.04.2017 3/21

DNS - Geschichte Hostname - Adressen Zuordnung in einziger Datei (HOSTS.TXT) BANDBREITE ZUR VERBREITUNG (#HOSTS) 2 Ersetzen der Time-Sharing Hosts des ursprünglichen ARPANET durch Netzwerke einzelner Workstations Lokale Organisationen verwalteten eigene Namen und Adressen, mussten allerdings auf Update der HOSTS.TXT durch die NIC 1 warten, um Änderungen dem ganzen Internet verfügbar zu machen. Bedarf nach lokaler Struktur des Namespaces anspruchsvollere Internetanwendungen machten die Entwicklung eines allgemeinen Nameservices notwendig 1983 DNS (Paul Mockapetris, RFC 882, 883) 1987 DNS-Erweiterung (RFC 1034, 1035) 1 Network Information Center, 1972-1991 durch Stanford Research Institute betrieben Simon Fromme Intern: DNSSec 25.04.2017 4/21

Lösung: hierarchisches DNS (Dynamic Name System) Simon Fromme Intern: DNSSec 25.04.2017 5/21

Was passiert bei einem DNS-Request? Nutzer will Seite www.tralios.de aufrufen DNS-Server kontaktiert Root-Server mit der Anfrage nach "www.tralios.de" Root-Server sender die IP-Adressen der für ".de" zuständigen Nameserver (NS RRs und A) an den DNS-Server zurück DNS-Server fragt die angegebenen DNS-Server nach "www.tralios.de" DNS-Server sucht in seinem Cache nach einem passenden Eintrag für www.tralios.de Der für.de zuständige Nameserver sender den NS-RR an den DNS-Server zurück, in dem der Nameserver für www.tralios.de und dessen Adresse enthalten ist (falls die Nameserver ebenfalls in der.de-domäne sind) Der DNS-Server fragt den tralios.de-nameserver nach der IP-Adresse für www.tralios.de, welcher sie dann zurücksendet Simon Fromme Intern: DNSSec 25.04.2017 6/21

häufig verwendete RR-Typen A (IPv4) AAAA (IPv6) CNAME DNAME NS (Nameserver) MX (Mail exchange record) SOA (Start of Authority) TXT (Text) Simon Fromme Intern: DNSSec 25.04.2017 7/21

DNS-Query: $ dig @144.76.49.198 www.tralios.de A 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 ID Q R Opcode A A T C R D R A Z RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT QNAME QTYPE QCLASS. NAME TYPE CLASS TTL RDLENGTH RDATA DNS Header Question- Section Resource- Records 0 1 2 3 4 5 6 7 8 9 101112131415 1000 0000 1101 0111 1 0000 1 0 1 0 000 0000 0000 0000 0000 0001 (1) 0000 0000 0000 0001 (1) 0000 0000 0000 0010 (2) 0000 0000 0000 0101 (5) 0000 0011 0111 0111 (3w) 0111 0111 0111 0111 (ww) 0000 0111 0111 0100 (7t) 0111 0010 0110 0001 (ra) 0110 1100 0110 1001 (li) 0110 1111 0111 0011 (os) 0000 0010 0100 0100 (2d) 0100 0101 0000 0000 (e0) 1100 0000 0000 1100 (Pointer, Offset 12) 0000 0000 0000 0001 (1) 0000 0000 0000 0001 (1) 0000 0000 0000 0000 0000 1110 0001 0000 (3600) 0000 0000 0000 0100 (4) DNS Header Question- Section 0010 1110 1110 1000 (46.232). 1110 0100 0100 0110 (228.70) Simon Fromme Intern: DNSSec 25.04.2017 8/21 Authoritative Resource- Record

Probleme mit DNS Wie kann ich sicher sein, dass die Antwort, die ich vom DNS-Resolver bekomme auch wirklich stimmt und nicht unterwegs verändert wurde? mögliche Missbrauchsfälle: gefälschte Bankwebseite Diebstahl von Kontodaten gefälschte Nachrichtenseite ( Fake News... ) u.v.m Antwort: DNSSEC (Domain Name System Security Extensions) Nachdem Schwachstellen verschiedener Vorgängerversionen behoben wurden, wurde DNSSEC am 5. Mai 2010 auf allen 13 Rootservern eingeführt 1386/1531 TLDs signiert (Stand: 25.04.2017) http://stats.research.icann.org/dns/tld_report/ Simon Fromme Intern: DNSSec 25.04.2017 9/21

DNS/DNSSec - Ein Vergleich $ dig www.tralios.de A ;; ANSWER SECTION: www.tralios.de. 3142 IN A 46.232.228.70 $ dig +dnssec www.tralios.de A ;; ANSWER SECTION: www.tralios.de. 2710 IN A 46.232.228.70 www.tralios.de. 2710 IN RRSIG A 8 3 3600 ( 20170422002145 20170408024920 33480 tralios.de. WrqeY//vgdeV36cwKdJL1SfgF0OuTsu/U5bKmWg8NBMe hpyti/jwznboafhk49gbb7wnlrdgkbtbxu9ftqgb3zjs AdNvZU1k3w4MadupEdsLeYvFHVQgR7Kup/vNBCKfL+wr s/iatr6zbnraa/q/8n3tex8grmcztxk9ypjlg7u= ) Simon Fromme Intern: DNSSec 25.04.2017 10/21

DNSSEC - Neue Resource Records RRSIG (Resource Record Signatur) DNSKEY (DNS Schlüssel) DS (Delegation Signer) NSEC/NSEC3 Simon Fromme Intern: DNSSec 25.04.2017 11/21

RRSIG digitale Signatur eines (beliebigen) Record Sets Kann mit dem Public ZSK auf Authentizität überprüft werden aus Sicherheitsgründen begrenzte Gültigkeitsdauer, vor Ablauf muss jeweils neu signiert werden! Simon Fromme Intern: DNSSec 25.04.2017 12/21

DNSKEY Public ZSK (Zone Signing Key) Zur Überprüfung der Authentizität der mit dem Private ZSK signierten Resource Records Der dazugehörige RRSIG RR wird als (!) einziger RRSIG RR mit dem Private KSK erzeugt Public KSK (Key Signing Key) Zur Überprüfung der Authentizität des DNSKEY RRSIG RR (ZSK) Besitzt keinen RRSIG RR, Authentizität kann durch den DS RR der übergeordneten Zone überprüft werden Simon Fromme Intern: DNSSec 25.04.2017 13/21

DS dient zur Verkettung von DNSSEC signierten Zonen Chain of Trust bis zum Public ZSK der Root Zone (dem vertraut werden muss) Wird als Hash des Public KSK der nachgeordneten Zone berechnet Simon Fromme Intern: DNSSec 25.04.2017 14/21

NSEC/NSEC3 Beweist kryptografisch, dass eine Domain innerhalb einer Zone nicht existiert NSEC RR enthält Vorgänger- und Nachfolge-Domain der nicht existierenden Domain und wird wiederum mit einem RRSIG-Eintrag gesichert z.b. example.de. NSEC name1 name1 NSEC name2 name2 NSEC name5 name5 NSEC example.de. bzw. name2 NSEC ; Typ name5 ; alphabetischer Nachfolger NS DS RRSIG NSEC ; Liste der Typen des Labels name2 Simon Fromme Intern: DNSSec 25.04.2017 15/21

DNSSEC Anwendungen SSHFP (SSH Fingerprint Resource Record) DANE (TLSA Resource Record mit Zertifikat, Fingerprint/Public Key) 3 Arten von Antwort möglich: Service Certificate Constraints ( akzeptiere nur ein definiertes Zertifikat, Zertifikat muss Prüfung auf Vertrauenswürdigkeit bestehen ) Domain-Issued Certificate ( Vertraue Zertifikat in TLSA Record, keine Prüfung auf Vertrauenswürdigkeit ) Trust Anchor Assertion ( Client wird aufgefordert, für die Validierung des Zertifikats nur einen definierten Trust Anchor zu benutzen ) Simon Fromme Intern: DNSSec 25.04.2017 16/21

BIND-Konfiguration DNS zone "example.com" IN { type master; file "db/example.com.db"; allow-transfer { any; }; }; DNSSEC zone "example.com" IN { type master; file "db/example.com.db"; key-directory "keys/example.com"; inline-signing yes; auto-dnssec maintain; }; allow-transfer { any; }; key-directory "keys/example.com"; Verzeichnis in dem die Keys liegen inline-signing yes; Veränderungen an der unsignierten Zone werden automatisch erkannt auto-dnssec maintain; Bind kümmert sich automatisch um das Neu-Signieren u. Key-Management Simon Fromme Intern: DNSSec 25.04.2017 17/21

OpenDNSSEC Unterstützt im Gegensatz zu Bind voll-automatisches Key-Management Einzige Nutzer-Interaktion: Upload des DS-Records zur übergeordneten Zone Signieren von mehren Zonen mit einem einzigen ZSK möglich Simon Fromme Intern: DNSSec 25.04.2017 18/21

Komponenten Konfiguration (Kryptografische Parameter, Gültigkeitszeiträume,...) Enforcer (Key Management und Auslösen des Zone-Signing) Signer (Signiert Zonen nach Anweisungen des Enforcers) (virtuelles) HSM (Key-Management und Speicherung) Simon Fromme Intern: DNSSec 25.04.2017 19/21

Simon Fromme Intern: DNSSec 25.04.2017 20/21

Bildquellen Das DNS-Flussdiagramm auf Seite 6 ist eine modifizierte Version des Bildes https://commons.wikimedia.org/wiki/file:dns-query-to-wikipedia.svg, welches unter der CC BY-SA 3.0 Lizenz steht. Das OpenDNSSEC Organigram ist der Webseite https://wiki.opendnssec.org/display/docs/overview+of+opendnssec entnommen. Veränderungen an der Grafik wurden nicht vorgenommen. Simon Fromme Intern: DNSSec 25.04.2017 21/21

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback