November 14, 2013

Dmitrij Petrov, Artur Beikel,
Samuel Abt, Betuelle Ndem a Kedi

Domain Name System
Security Extensions ...
Overview
Allgemein

zu DNS

Geschichte
Funktionsweise

3

Typen von DNS Angriffen

2 Beispiele aus dem Jahr 2013

DN...
DNS Geschichte
4

Generationen DNS(SEC)

1)

RFC 1034(35) gelten als Anfang vom Protokoll (1987)

2)

RFC 2136/2181/2308 ...
Domain Name System
 Übersetzt

Domainnamen in IP Adressen -> leicht zu
merken (facebook.com == 31.13.81.81)

 Erst

in h...
So (einfach) funktioniert es
 Ich

mochte www.google.com besuchen, tippe URL ein

 Browser wird URL in IP Adresse
 Dial...
http://thecybersaviours.com/dns-changer-malware

Dmitrij Petrov
3 Typen von DNS Angriffe
 “DNS Cache poisoning attack”
 „inject“ bösartigen DNS-Daten in die rekursive DNS-Server, die v...
Beispiel von Cache Poisoning Attack

http://www.cira.ca/assets/Uplo
ads/_resampled/resizedimage6
00593-Cache-Poisoning2.jp...
Beispiele von 2 Angriffen

http://www.pcworld.com/article/2054120/googles-malaysia-site-latest-to-be-felled-in-dns-attacks...
DNS Security Extensions – Geschichte
 1995:

Diskussionen über Sicherheit von DNS

 1999:

Erste Implementierung von DNS...
DNSSEC
 Der

Zonenschlüssel besteht aus einem Schlüsselpaar

 Identifikation
 Beinhalten

durch eine Nummer (Key Tag)

...
Funktionsweise
Ohne DNSSEC

Mit DNSSEC

http://www.d
enic.de/dom
ains/dnssec.h
tml

Artur Beikel
Keys – KSK and ZSK
Zone Signing Key

Key Signing Key

signs

Artur Beikel
“Each field must represent a fact about the key, the Whole Key and
Nothing but the Key” (Bill Kent)

http://iiw.idcommons....
Implementierung

Registrar

DNSSEC
Registrant

Samuel Abt
Implementierung: Registrar

TLD muss
signiert sein

Public und
Private Key
werden
erzeugt

Private Key
wird auf
Nameserver...
Implementation: Registrant
 Registrar

has to support DNSSEC

 Delegate
 OR

the implementation to the registrar

imple...
Überprüfen
http://dnssec-

debugger.verisignlabs.com/

Samuel Abt
Fragen & Diskussion
http://www.slideshare.net/F789GH/domain-name-systemsecurity-extensions
Nächste SlideShare
Wird geladen in …5
×

Domain name system security extension

1.241 Aufrufe

Veröffentlicht am

We explain how DNS and DNSSEC works, in German. The presentation was held on 14th of November 2013. It was made by students in the 3rd semester and presented in "Rechnernetze"-course.

For best experience we ask you to download the presentation (otherwise you won't see any animations).

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.241
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
208
Aktionen
Geteilt
0
Downloads
6
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie
  • Good morning, to all of you. We begin – of course you can ask your question during the presentation. Today, we are going to present you a topic which deals with security of Domain name servers. Without security which we are going to introduce to you, there can be 3 different types of DNS attacks such as on high profile websites including Facebook, Twitter or NYTimes. We will explain how the DNSSEC works and what it does. Due to the fact that this is just a security extension we will also explain or rather recap how Domain Name Server works.Confidencualityavaylibility
  • Hiersiehtihr also unsereStruktur.WirhabenvierPunktezu den wirkommenwerden. Wiegesagt, fangenwirnocheinmalmiteinerkurzenErkalrunguber DNS. 3 Attackenvorstellen und erklaren. BetuelleMassnahme - zugleichistauchunserReferatWirhabenauch 2 Interaktionenmiteuchvorbereitet, eine Davon ist Life demo.
  • SO jetztkommenwirzu der Geschichte von DNS. Allgemeinkann man sie in 4 Generationenaufteilen. Die erste gab es am Ende der 80 Jahren – namlichdiese 2 RFC geltenalserstesAngang von demganzenProtokol. Es gab schoneinpaar RFC bevordiesenJahr, die sichmit DNS beschaftigthaben, aber in der LiteraturgeltendiesealserstevolligfunktionaleBeschreibung von der Spezifikation.Die 2. generation istnicht so extremmwichtig, deswegenkommeichsofortzu der 3. Diese gab es 10 jahre spatter und brachtemitsichvielewichtigeanderungen, unteranderen NOTIFY. Hiersollte man vielleichtnurkurzerwahnen, dassbevor notify funktioniert DNS so, dass man wenn man etwasanderte an master server, dannmusste man auch slave server “von hand” aktualisieren. Mit notify kamesabermoglichkeit, dass man die Nachricht an der Slave schickte und der wurdeschon “automatisch” aktualisiert.Die 4 generation beschreibt die DNSSEC und zudnssecwirdeuchmehrhierdanach xxx sagen. Die anfange von DNSSEC gab esschon am ende der 90 jahrenEsgibtubrigensweiseeinsehrschonen Paper dazu: 35 seiten wie entstand DNS, er behauptet DNS protokol entstand aus z.B dass 90% war politik, rest 10 % technicalien
  • OK, also warum DNS -> IPadresseandernsich standing und schwerzumerken.Ping facebook.com > 3 mal schonverandert in der zeit von 2 wochenWie am anfanggesagt war das alleserst in hosts dateiengemacht. - > dannverteiltedatenbank. 10 is usa, 2 in Europa, 1 in japan. Das sindabernurlogische, die pshysichenutzensogenanneteanycast (nachstgelegenen – nearest one) methode und sind fast in jedem land.DB ist also verteilt und jederkanneigenen DNS server haben. So. Z.B hat Microsoft/ google immereinen. Diese databank bekommt dergrossteanzahl von request und gibtgrossteanzahl von responses. Das machtsie die grosste in der Welt.http://blog.neustar.biz/dns-matters/the-evolution-of-dns-starting-from-the-beginning/http://www.byte.org/blog/one-history-of-dns.pdfhttp://wiki.bravenet.com/How_the_domain_name_system_workshttp://gigaom.com/2013/08/27/anatomy-of-a-hack-how-the-sea-took-down-the-nyt-and-twitter/
  • jeder Root Server wird abgefragt bis man die Antwort bekommt; gibt IP für .com  Name Server abdann wieder an comnameserver> gibt adresse von domenanameserver abund wir sind hierWeil dort alle IP für alle domane gespeichert werden Einfachstevariante, dns server sindz.Bihre ISP, nearest oneoderauchein von obengenanten 370 server
  • Hierist die mehrakadameschevariante, namlich…..Hierfehlt die ganzeweg von root bis name der webseitip
  • Leutesollenentscheiden was welche von demzweiattakenwelcheist
  • Hierdie geschichte von Der VerschlusseltevarianteBulgaria, Czech republic, Puerto rico,Early-Adopters: .cz .pr .br .buBrasil
  • http://www.verisigninc.com/de_DE/why-verisign/innovation-initiatives/dnssec/benefits/index.xhtmlhttp://registrars.nominet.org.uk/registration-and-domain-management/dns/dnssec-signing-servicehttp://registrars.nominet.org.uk/registration-and-domain-management/dns/dnssec/for-registrars
  • http://www.internetsociety.org/deploy360/resources/step-by-step-how-to-use-a-dnssec-ds-record-to-link-a-registar-to-a-dns-hosting-provider/http://www.denic.de/domains/dnssec.htmlhttp://www.zdnet.de/41525491/denic-fuehrt-dnssec-ein-neue-technik-mit-kleinen-tuecken/4/https://indico.fnal.gov/getFile.py/access?sessionId=8&resId=0&materialId=1&confId=2643
  • So jetztmachenwir live demo. ZEIT???????????? Ansonstenbilder.Anderfalls an die webseitegehen und dort die leutelasseneinfachunssagenwelchedomanesiedenken DNSSEC geschutztist.
  • Domain name system security extension

    1. 1. November 14, 2013 Dmitrij Petrov, Artur Beikel, Samuel Abt, Betuelle Ndem a Kedi Domain Name System Security Extensions (DNSSEC) “…authentication of DNS data, …, and data integrity, but not availability or confidentiality”(Wikipedia) Dmitrij Petrov
    2. 2. Overview Allgemein zu DNS Geschichte Funktionsweise 3 Typen von DNS Angriffen 2 Beispiele aus dem Jahr 2013 DNSSEC Funktionsweise Keys (KSK, ZSK) Implementierung Registrar und Registrant Dmitrij Petrov
    3. 3. DNS Geschichte 4 Generationen DNS(SEC) 1) RFC 1034(35) gelten als Anfang vom Protokoll (1987) 2) RFC 2136/2181/2308 „heutige Version“ (1997) a) NOTIFY b) Dynamic Updates c) Incremental Zone Transfer (IXFR) 3) RFC 2535 erste Schritte zu DNSSEC (1999) „One History of DNS“ von Ross Rader (2001) [2] http://blog.neustar.biz/dns-matters/the-evolution-of-dns-starting-from-the-beginning/ [2] http://www.byte.org/blog/one-history-of-dns.pdf Dmitrij Petrov
    4. 4. Domain Name System  Übersetzt Domainnamen in IP Adressen -> leicht zu merken (facebook.com == 31.13.81.81)  Erst in hosts-dateien, dann in Datenbanken über 370 Root Name Server, die über 13 IP Adressen erreichbar sind [1]  Verteilte Datenbank (jeder kann eigenen DNS haben) -> Extrem zuverlässig  Aber mit Redundanz (3 verschiedene Name Server fur e.g. domane.de) [1] http://goo.gl/maps/FYxDU [Rest] http://wiki.bravenet.com/How_the_domain_name_system_works http://www.netnod.se/sites/default/files/dns.png Dmitrij Petrov
    5. 5. So (einfach) funktioniert es  Ich mochte www.google.com besuchen, tippe URL ein  Browser wird URL in IP Adresse  Dialog mit Name Server  Name konvertieren Server (z.B.: bei ISP) kann IP Adresse zurückgeben In Cache Nicht in Cache • IP wir an Browser abgegeben • Frage an Root Name Server • Frage an .com Name Server • Frage an google.com Name Server http://technet.microsoft.com/en-us/library/bb962069.aspx Dmitrij Petrov
    6. 6. http://thecybersaviours.com/dns-changer-malware Dmitrij Petrov
    7. 7. 3 Typen von DNS Angriffe  “DNS Cache poisoning attack”  „inject“ bösartigen DNS-Daten in die rekursive DNS-Server, die von vielen ISPs betrieben werden  DNSSEC hilft das zu sichern  Angriff an den autoritativen DNS Server  Angriff an den Registrator von Domänen und Änderung von autoritativen DNS-Server Betuelle
    8. 8. Beispiel von Cache Poisoning Attack http://www.cira.ca/assets/Uplo ads/_resampled/resizedimage6 00593-Cache-Poisoning2.jpg Betuelle
    9. 9. Beispiele von 2 Angriffen http://www.pcworld.com/article/2054120/googles-malaysia-site-latest-to-be-felled-in-dns-attacks.html http://rt.com/news/sea-hack-nyt-site-twitter-077/ Betuelle
    10. 10. DNS Security Extensions – Geschichte  1995: Diskussionen über Sicherheit von DNS  1999: Erste Implementierung von DNSSEC (RFC2535)  2001: Die Implementierung  Hatte Korrekturen zur Folge  2002/03/04:  2005: Funktionsfähig, Testen, Standardisieren Schweden (.se) unterschreibt als 1.Land die Zone  1.12.2009-1.6.2010  Im „ hatte Fehler werden alle (13) Root-Server unterschrieben 2011 Q1: .com .net .org Zonen unterschrieben .de ist DNSSEC seit Mai 2011“ [2] http://cs.wikipedia.org/wiki/DNSSEC [2] http://www.denic.de/domains/dnssec.html Artur Beikel
    11. 11. DNSSEC  Der Zonenschlüssel besteht aus einem Schlüsselpaar  Identifikation  Beinhalten durch eine Nummer (Key Tag) Gültigkeits- und Enddatum Public Key Private Key Zone Signing Key Artur Beikel
    12. 12. Funktionsweise Ohne DNSSEC Mit DNSSEC http://www.d enic.de/dom ains/dnssec.h tml Artur Beikel
    13. 13. Keys – KSK and ZSK Zone Signing Key Key Signing Key signs Artur Beikel
    14. 14. “Each field must represent a fact about the key, the Whole Key and Nothing but the Key” (Bill Kent) http://iiw.idcommons.net/DNSSEC http://www.pravinshetty.com/DbSys/Course/Semester12005/Lect03.ppt Artur Beikel
    15. 15. Implementierung Registrar DNSSEC Registrant Samuel Abt
    16. 16. Implementierung: Registrar TLD muss signiert sein Public und Private Key werden erzeugt Private Key wird auf Nameservern gespeichert Public Key wird an NICs gereicht DNSKey wird in Resource Records eingebunden Samuel Abt
    17. 17. Implementation: Registrant  Registrar has to support DNSSEC  Delegate  OR the implementation to the registrar implement DNSSEC on your dedicated Nameserver  Recommended to change the ZSK and the KSK regularly Samuel Abt
    18. 18. Überprüfen http://dnssec- debugger.verisignlabs.com/ Samuel Abt
    19. 19. Fragen & Diskussion http://www.slideshare.net/F789GH/domain-name-systemsecurity-extensions

    ×