Netzsicherheit Architekturen und Protokolle DNS Security. Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2.



Ähnliche Dokumente
Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2. DNSsec

DNS Grundlagen. ORR - November jenslink@quux.de. DNS Grundlagen 1

von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, Göttingen

DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13

The Cable Guy März 2004

Einleitung Details. Domain Name System. Standards

Intern: DNSSec Secure DNS

Windows 2008 Server R2. Peter Unger

DynDNS für Strato Domains im Eigenbau

8. Verzeichnisdienste: Der Domain Name Service

8. Verzeichnisdienste: Der Domain Name Service

Sicherheitserweiterungen im DNS nach RFC 2535

DNS Das Domain Name System

Domain Name System (DNS) Seminar: Internet Protokolle Theodor Heinze Jaroslaw Michalak

DNSSEC. Christoph Egger. 28. Februar Christoph Egger DNSSEC 28. Februar / 22

Verteilte Systeme - 2. Übung

Grundlagen DNS 1/5. DNS (Domain Name System)

Android VPN. Am Beispiel eines Netzwerktunnels für das Domain Name System (DNS) 1 Andiodine - Android DNS-VPN

Benutzerhandbuch. DNS Server Administrationstool. Für den Server: dns.firestorm.ch V

Netzsicherheit Architekturen und Protokolle Instant Messaging

DNS & DNSSEC. Simon Mittelberger. DNS und DNSSEC. Eine Einführung. 12. und 13. Januar, und 13. Januar, / 66

DNSSec-Workshop. Chemnitzer Linux-Tage Marcus Obst Heiko Schlittermann. schlittermann. Professur für Nachrichtentechnik

Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern

Überprüfen Active Directory und DNS Konfiguration Ver 1.0

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

Transition vom heutigen Internet zu IPv6

DNS vs. Sicherheit. the long story. equinox. CryptoCon15, Leipzig ...

DNS und Sicherheit. Domain Name System. Vortrag von Ingo Blechschmidt

Resolver! DNS: Liefert Resolver cached Antwort (mit Flag Time To Life, TTL)

DNSSEC Einführung. DNSSEC-Meeting 2. Juli 2009 Frankfurt

DNSSEC für Internet Service Provider. Ralf Weber

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

CDN SERVICE ICSS ROUTE MANAGED DNS DEUTSCHE TELEKOM AG INTERNATIONAL CARRIER SALES AND SOLUTIONS (ICSS)

Kurs Notizen Rene Dreher -DNS (Domain Name System)

CNAME-Record Verknüpfung einer Subdomain mit einer anderen Subdomain. Ein Alias für einen Domainnamen.

Themen. Anwendungsschicht DNS HTTP. Stefan Szalowski Rechnernetze Anwendungsschicht

DNSSEC Sichere Namensauösung im Internet

RARP, BOOTP, DHCP Wie ermittelt ein Client seine IP-Adresse?

Konfiguration eines DNS-Servers

Kommunikationsnetze 6. Domain Name System (DNS) University of Applied Sciences. Kommunikationsnetze. 6. Domain Name System (DNS)

DNSSEC. Überblick. ISPA Academy. ISPA Academy. Lessons learned Wie kann ich DNSSEC verwenden? DNSSEC in.at. in der Praxis

Grundlagen der Rechnernetze. Internetworking

Secure DNS Stand und Perspektiven

Dynamisches VPN mit FW V3.64

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Windows 2008R2 Server im Datennetz der LUH

Guide DynDNS und Portforwarding

Technische Grundlagen von Internetzugängen

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

MS-Windows: DNS und AD

Linux 08. Linux WS 04/05 by DNS - named: in /etc/named.conf. DNS Top-Level-DNS

Tutorübung zur Vorlesung Grundlagen Rechnernetze und Verteilte Systeme Übungsblatt 12 (8. Juli 12. Juli 2013)

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

IPv6 in der Realwelt

Windows 2008 Server im Datennetz der LUH

Kurzanleitung Hosting

Anbindung des eibport an das Internet

Informatik für Ökonomen II HS 09

Operatorwechsel bei DNSSEC-Domains

FL1 Hosting Technische Informationen

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Web Grundlagen zum Spidering

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

DNSSEC und DANE. Dimitar Dimitrov. Institut für Informatik Humboldt-Universität zu Berlin Seminar Electronic Identity Dr.

Einführung in Domain-Name-System für IPv6

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009

ICMP Internet Control Message Protocol. Michael Ziegler

Testbed: DNSSEC für DE

Checkliste für Domain-Migration zu Swisscom/IP-Plus

LINK Konfiguration. Inhaltsverzeichnis

Mail encryption Gateway

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Zeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI

Modul 13: DHCP (Dynamic Host Configuration Protocol)

Grundkurs Routing im Internet mit Übungen

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Tutorübung zur Vorlesung Grundlagen Rechnernetze und Verteilte Systeme Übungsblatt 11 (6. Juli 10. Juli 2015)

Beschreibung einer Musterkonfiguration für PBS-Software in einem WINDOWS 2003 Netzwerk - Rel. 2 (mit NPL Runtime Package Rel. 5.

7. TCP-IP Modell als Rollenspiel

Firewall oder Router mit statischer IP

Sicherheiterweiterungen im DNS nach RFC 2535

Lokaler KMS Server im Schulnetzwerk (Kurzanleitung)

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

1 Änderungen bei Windows Server 2008 R2

DNS Server einrichten unter Debian Linux. DHCP Server einrichten unter Debian Linux. Querschnittsaufgaben.

Ist das so mit HTTPS wirklich eine gute Lösung?

Exchange Verbund WOLFGANG FECKE

Windows Server 2012 RC2 konfigurieren

IPv6. Übersicht. Präsentation von Mark Eichmann Klasse WI04f 22. November 2005

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Einführung in das Domain Name System (DNS)

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

Netzwerkeinstellungen unter Mac OS X

Konfiguration des Domänennamensdienstes und Automatische Vergabe von IP-Adressen

Whitepaper. Produkt: combit address manager / Relationship Manager. Client-Verbindungsprobleme beheben. combit GmbH Untere Laube Konstanz

Systemsicherheit 15: DNSSEC

Transkript:

1. Einführung DNS 2. DNSsec 1. Einführung DNS 2. DNSsec

DNS Überblick DNS Namensraum Domain Name System (DNS) (RFC 1034 / 1035) Namensauflösung von Domainnamen nach IP Adresse Verteilter hierarchischer Verzeichnisdienst Standard UDP Port 53 Backup TCP Port 53 Maximale Paketgröße: 512 Byte Einführung von EDNS (RFC 2671) Variable UDP-Größe Erweiterung um 16 neue Flags DNSsec erfordert zwingend EDNS wegen neuem Flag und Größe der DNS Antwort Modi: Rekursive Namensauflösung Iterative Namensauflösung Domain Names (RFC1035) Max. Länge: 255 Zeichen Delegation von rechts nach links Hirarchischer Aufbau in Form eines Baums Erste Ebene: Top-Level- Domains (TLD) Blätterbezeichner zwischen 1 und 63 Zeichen com kit tm www. edu eu...... neclab...... www Beispiel FQDN: www.tm.kit.edu 2 3

DNS Infrastruktur Rekursive Namensauflösung 1. Resolver (Client) stellt Anfrage an lokalen NS (z.b. des ISP) NS Kennt die Abbildung Name IP nicht 2. Wählt einen Root-NS und leitet die Anfrage weiter Dieser kennt die Antwort nicht und delegiert an GTLD (global TLD) 3. Wählt einen GTLD-NS und wiederholt die Anfrage Kennt die Antwort auch nicht und delegiert 4. Wiederholung der Anfrage bis zum zuständigen (autoritativen) NS Sendet die Abbildung als Antwort 5. Lokaler NS sendet Antwort an Client Antwort ist nicht autoritativ! Client- Resolver autoritativer... GTLD Lokaler Root Pharming Namensauflösung gesteuert durch Konfiguration des Resolvers Hosts-Datei statisch konfiguriert Standard Auflösungsreihenfolge: hosts, dns Pharming manipuliert die hosts-datei Eintragen von statischen Abbildungen Meist durch Virus oder Trojaner Umleiten von Verkehr auf gefälschte Seite um Login-Daten abzugreifen Personen-bezogene Daten zu stehlen Für den Benutzer absolut nicht erkennbar 4 5 Dig +trace <name> zeigt alle Anfragen and Antworten an

DNS Terminologie DNS Root-Server Resolver Client Software des DNS, das Anfragen stellt und Antworten entgegennimmt Besitze eigene minimal Konfiguration Zone Administrative Domäne eines Netzanbieters Resource Record DB-Typ der Abbildung Z.B. Name IPv4 IPv6, MX, NS, SOA (NS) Server software Autoritativer NS Löst die angefragte Abbildung auf Delegation Verweis auf einen anderen NS, um die angefragte Abbildung aufzulösen Rekursiver NS Ein NS, der alle Delegation bis zum autoritativen NS folgt 13 Root-Server weltweit verteilt 7 zentralistisch 6 verteilt auf Anycast-Basis Verteilung 6 7 GNU FDL: Picture by Matthäus Wander

DNS Updates DNS Paketformat Neue Daten Aufspielen neuer Abbildungen NS-Replizierung Master-Slave Ansatz in einer Zone Lastverteilung und Ausfallsicherheit Dynamische Updates Änderungen per DNS- Request TSIG Resource Record Meta-RR Integritätssicherung der DNS Daten mittles MD5 Vorverteiltes Geheimnis Keine Verschlüsselung Nachteil Schlechte Skalierbarkeit Nur in kleinen isolierten Netzen sinnvoll einsetzbar IP Adressen Fälschen der Quell IP- Adresse einfach UDP Port Nummer Server: 53/udp Client: 53/udp, fixed config, fixed on random init Query ID Eindeutige ID, um Anfrage und Antwort zuzuordnen Häufig: 1-er Inkrement für jede Anfrage Ver hlen protocol Packet length identification flg offset TTL protocol Header checksum Source IP address Destination IP address Source. Port UDP length Query ID Question count Authority count Destination Port UDP ckecksum Q OP ATRR R code ACDA Z rcode Answer Count Add Record Count DNS question or DNS answer data IP header UDP header DNS Data 8 9 QR: 0 zeigt Anfrage (Query) an, 1 Antwort (Response) AA (Authorative Answer): 1 bei Antwort von authorativen NS, sonst 0 TC (Truncated): 1, wenn Antwort größer als 512 Byte; Client kann Anfrage über TCP wiederholen RD (Recursion Desired): Client setzt 1, wenn rekursive Namensauflösung durch lokalen NS gewünscht; 0, wenn Resolver selbst iterative den Namen auflöst RA (Recursion Available): Server unterstützt rekursive Namensauflösung (1) oder nicht (0) Z reserved: muss auf 0 gesetzt sein Rcode (response code): Server zeigt Erfolg oder Misserfolg der Namensauflösung an

MS1 DNS Paketformat Beispiel I Folie 11 10 Anfrage nach www.neclab.eu Lokaler NS: kyoto.neclab.eu Gesucht IPv4 Adresse Beispiel: Nachricht von Kyoto an TLD NS Query Count = 1 zeigt an, dass im Datenfeld ein Anfrage enthalten ist QR = 0: Anfrage OP = 0: Standardanfrage RD = 1: Rekursive Auflösung gewünscht Ver hlen protocol Packet length identification flg offset TTL protocol Header checksum 195.37.70.24 (kyoto.neclab.eu) 192.112.36.4 (g.root-servers.net) 1234 UDP length 53 UDP ckecksum AT R 54321 0 0 1 AC A Z rcode Question count = 1 Answer Count = 0 Authority count = 0 Add Record Count = 0 Qu: Wie ist die IPv4 Adresse von www.neclab.eu? IP header UDP header DNS Data MS1 Change to UKA NS Marcus Schoeller; 28.04.2010 dig +trace www.neclab.eu any +multiline +all +answer

DNS Paketformat Beispiel II DNS Paketformat Beispiel III 11 Antwort des TLD QR = 1: Antwort AA = 0: nicht authorativ RA = 0: Rekursion nicht unterstützt Delegierung Liste von NS für nächsten Rekursionsschritt (Authority Count = 2) List von A-Records für diese NS (Add Record Count = 2) Anfrage-Antwort Verknüpfung NS hält Liste von ausstehenden Anfragen (Query-ID) Ignorieren von Antworten ohne Query-ID in Liste Ver hlen protocol Packet length identification flg offset TTL protocol Header checksum 192.112.36.4 (g.root-servers.net) 195.37.70.24 (kyoto.neclab.eu) 53 UDP length 54321 Question count = 1 Authority count = 2 1234 UDP ckecksum TR 1 0 0 0 CD Z ok Answer Count Add Record Count = 2 Qu: Wie ist die IPv4 Adresse von www.neclab.eu? Au: neclab.eu NS = x.nic.eu Au: neclab.eu NS = l.eu.dns.be Ad: x.nic.eu A = 194.0.1.19 Ad: l.eu.dns.be A = 193.2.221.60 IP header UDP header DNS Data Authority Glue 12 Antwort von kyoto.neclab.eu QR = 1: Antwort AA = 1: autoritativ RA = 0: Rekursion nicht unterstützt Canonical Name Alias oder alternativer Name Antwort enthält keine Abbildung zu IPv4 Adresse Weitere Namensauflösung notwendig Ver hlen protocol Packet length identification flg offset TTL protocol Header checksum 192.112.36.4 (g.root-servers.net) 195.37.70.24 (kyoto.neclab.eu) 53 UDP length 54322 Question count = 1 Authority count = 2 1234 UDP ckecksum TR 1 0 1 0 CD Z ok Answer Count = 1 Add Record Count = 2 Qu: Wie ist die IPv4 Adresse von www.neclab.eu? An: www.neclab.eu CNAME = www.netlab.nec.de Au: nec.de NS = a.nic.de Au: nec.de NS = l.de.net Ad: a.nic.de A = 194.0.0.53 Ad: l.de.net A = 77.67.63.105 IP header UDP header DNS Data Answer Authority Glue dig +trace www.neclab.eu any +multiline +all +answer dig +trace www.neclab.eu any +multiline +all +answer

Team-Diskussion DNS cache poisoning Was muss man tun, damit der lokale NS eine gefälscht/gespoofte DNS- Antwort annimt? Client autoritativer... GTLD Lokaler Root DNS cache poisoning Angriff Eintrag gefälschter Abbildungen in den DNS Cache Übernahme von Zonen möglich Kein Phishing! Resultat ähnlich Phishing kann von Benutzer erkannt werden Vorbereitung DNS Anfrage eines Namens, für den ein kontrollierter NS autoritativ ist Auslesen, des UDP Source Ports und des aktuellen Query-ID-Werts unter Kontrolle des Angreifers Angreifer Lokaler 13 14 Dig +trace <name> zeigt alle Anfragen and Antworten an

DNS cache poisoning II The Dan Kaminsky Threat Annahme UDP source port statisch Query-ID wird für jede Anfrage inkrementiert Abbildung nicht im DNS-cache Angriff auf lokalen NS DNS-Anfrage nach www.trustedbank.com Senden von DNS-Antworten mittels IP- Spoofing und verschiedenen Query-Ids Enthalten gefälschte Abbildung Angriff erfolgreich, wenn die richtige Query-ID erraten wird Antwort den lokalen NS vor der richtigen DNS Antwort erreicht Angreifer gefälschte DNS-Antworten Lokaler Erweiterung des einfachen Angriffs Setup eines NS für trustedbank.com DNS-Anfrage für einen Namen, der nicht im Cache ist Vorschläge? Angreifer Fälschen der Root- oder GTLD-Antwort Gefälschte Glue-Einträge Übernahme der geasmten Zone Erfolgswahrscheinlichkeit pro Zone gering, aber einfach automatisierbar gefälschte DNS-Antworten Lokaler 15 16

DNS Fixes Keine echte Lösung des Problems, aber schnell ausrollbar Zufällige Query-ID Beschränkt auf 16-bit wegen Kompatibilität Zufällige UDP-Portnummer Speichern der verwendeten Portnummer mit DNS-Anfrage Beispiel: Microsoft DNS Server reserviert 2500 Portnummern Echte Lösung: DNSsec Problem: Umstellen der Infrastruktur erst begonnen 1. Einführung DNS 2. DNSsec 17

DNSsec Geschichte Formulieren Sie Designkriterien für eine sicheres Namensauflösungssystem Wie können diese technisch umgesetzt werden? Welche Vorteile bzw. Nachteile haben die unterschiedlichen Ansätze? Schwachstellen des DNS bekannt seit 90er Steven Bellovin: Using the Domain Name System for System Break-ins, veröffentlicht 1995 IETF WG: 1997: RFC 2065 veröffentlicht 1999: Überarbeitung als RFC 2535 standardisiert 2001: Skalierungsprobleme entdeckt Schlüsselerneuerung erfordert 6 Nachrichten zwischen Zone und Vaterzone Schlüsselerneuerung einer TLD-Zone hätte Millionen Update- Nachrichten zu allen Kindzonen erfordert 2005: RFCs 4033 4035 veröffentlicht 25.01.2010: L-Rootserver signiert (DURZ) Mai 2010: Alle Rootserver DNSSec fähig 01.07.2010: Umstellung auf echten Schlüssel Deliberately Unvalidatable Root Zone (DURZ)

Beispiel aus RFC 4034 DNS KEY (DNSKEY) RR Besitzer TTL Class Type dskey.example.com. 86400 IN DNSKEY 256 3 5 ( AQOeiiR0GOMYkDshWoSKz9Xz fwjr1aytsmx3tgkjanxvbfi/ 2pHm822aJ5iI9BMzNXxeYCmZ DRD99WYwYqUSdjMmmAphXdvx Öffentlicher egxd/m5+x7orzkbambcvdflu Schlüssel Uh6DhweJBjEVv5f2wwjM9Xzc nof+epbtg9dmbmadjfdc2w/r ljwvfw== ) ; key id = 60485 Key-Tag ZSK Protokol Alg. Delgation der Signierung Zone Signing Key (ZSK) Öffentlicher Schlüssel abgelegt in Zonendatei Signierung der RRs der Zone Signiert durch KSK der Zone Flag: 256 Key Signing Key (KSK) Öffentlicher Schlüssel abgelegt in Zonendatei Signierung des ZSK der Zone Signiert durch den ZSK der Vaterzone Flag: 257 Trennung in zwei Schlüssel erleichter Schlüsselerneuerung

Beispiel aus RFC 4034 Delegation Signer (DS) RR Protokol Besitzer TTL Class Type Key-Tag Alg. dskey.example.com. 86400 IN DS 60485 5 1 ( 2BB183AF5F22588179A53B0A 98631FAD1A292118 ) RR Signature (RRSIG) Beispiel aus RFC 4034 Alg. #Labels Type Orig. Besitzer TTL Class Type covered TTL Expiration date host.example.com. 86400 IN RRSIG A 5 3 86400 20030322173103 ( Hash des KSK 20030220173103 2642 example.com. Inception date Key-Tag Signer s name ojb1w6wngv+ldvq3wdg0mqkg5iehjrip8wtr PYGv07h108dUKGMeDPKijVCHX3DDKdfb+v6o B9wfuh3DTJXUAfI/M0zmO/zz8bW0Rznl8O3t Signature Base64 GNazPwQKkRN20XPXV6nwwfoXmJQbsLNrLfkG J5D6fwFm8nN+6pBzeDQfsS3Ap3o= )

Next SECure (NSEC) RR Beispiel aus RFC 4034 Name TTL Class Type Next Name alfa.example.com. 86400 IN NSEC host.example.com. ( A MX RRSIG NSEC TYPE1234 ) Associated RRs Authentizität bestätigt durch RRSIG Aufzählung der Zoneneinträge DNS Daten sind als öffentlich anzusehen Gefahr: Information für neue Angriffe It's the difference between letting random folks call your company's switchboard and ask for John Q. Cubicle's phone number [versus] sending them a copy of your corporate phone directory DNSSec mit NSEC kann möglicherweise nicht legal in allen Ländern eingesetzt werden

NSEC3 RR DNSSec Paketformat Zusicherung, dass ein Name nicht exisitiert ohne Namen der Zone offenzulegen NSEC3 RR enthalten Hashwerte an Stelle von Name Anfrage vergleicht Hash des angefragten Namens mit den Hashwerten der Antwort Hash ungleich der beiden Hashwerte Name exisitert nicht in der Zone Antwort des TLD QR = 1: Antwort AA = 0: nicht authorativ RA = 0: Rekursion nicht unterstützt Delegierung Liste von NS für nächsten Rekursionsschritt (Authority Count = 2) List von A-Records für diese NS (Add Record Count = 2) Anfrage-Antwort Verknüpfung NS hält Liste von ausstehenden Anfragen (Query-ID) Ignorieren von Antworten ohne Query-ID in Liste 54321 Question count = 1 Authority count = 2 IP header UDP header 1 0 0 TR 0 CD Z ok Answer Count Add Record Count = 2 Qu: Wie ist die IPv4 Adresse von www.neclab.eu? Au: neclab.eu NS = x.nic.eu Au: neclab.eu NS = l.eu.dns.be Au: RRSig Ad: x.nic.eu A = 194.0.1.19 Ad: l.eu.dns.be A = 193.2.221.60 Ad: RRSig Ad: DNSKEY Ad: RRSig DNS Data Authority Glue Key 28 dig +trace www.neclab.eu any +multiline +all +answer

Offene Punkte Größere DNS-Pakete Firewalls filtern DNS-Pakete größer als 512Byte Höhere Last auf n Krypto-Operationen führen zu langsamern Auflösung DDoS-Angriffe Anwednungsverhalten bei DNSSec Problem unklar Definition von Fehlerverhalten Zeitsynchronisation der DNS-Server Literatur [2.1] Off-the-record communication, or, why not to use PGP, Nikita Borisov, Ian Goldberg, Eric Brewer; Workshop On Privacy In The Electronic Society, Pages: 77 84, 2004; http://doi.acm.org/10.1145/1029179.1029200 Erfahrung Konfiguration Betrieb 30

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback