SlideShare ist ein Scribd-Unternehmen logo

DNSSEC

M
Matthias Lohr

Einführung in die Funktionsweise von DNSSEC (Vortrag an der Universität Trier, gehalten am 14.02.2013 an der Universität Trier).

Internet
1 von 36
Downloaden Sie, um offline zu lesen
DNSSEC Domain Name System Security Extension Referent: Matthias Lohr <lohr@uni-trier.de>
DNS - Geschichte ● Früher: – Master-Text-Datei – Abgleich über Download ● Jetzt: – Verteilte Datenbank – Abgleich über sog. Zonentransfers (AXFR)
DNS - Funktionsweise ● Aufteilung in Zonen de → uni-trier.de → syssoft.uni-trier.de ● Records speichern Informationen – Verschiedene Typen: ● A: IPv4-Adresse ● AAAA: IPv6-Adresse ● MX: Zuständiger Mailserver ● CNAME: Alias auf anderen Namen ● … ● Zonen können an andere Nameserver delegiert werden (Zuständigkeit abgeben)
DNS - Funktionsweise Quelle: http://en.wikipedia.org/wiki/File:Domain_name_space.svg
DNS - Sicherheit ● Keine Verschlüsselung → Daten offen lesbar ● Keine Signierung → Fälschungen möglich ● Bekannte Angriffsszenarien: – (D)DoS – DNS Rebinding – DNS Amplification Attack – Cache Poisoning (Fälschungen) DNS-Anfrage Antwort
DNSSEC ● DNSSEC verhindert Fälschungen – Unterschrift der Daten mit digitaler Signatur – Automatische Überprüfung der Signatur
DNSSEC – Signatur ● Client schickt Anfrage ● Server antwortet mit angefordertem Record ● Server fügt RRSIG-Record hinzu DNS-Anfrage Antwort
DNSSEC – Signatur – Beispiel ● ohne DNSSEC: $ dig -t A www.bund.de ; <<>> DiG 9.8.1-P1 <<>> -t A www.bund.de ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19122 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.bund.de. IN A ;; ANSWER SECTION: www.bund.de. 8653IN A 77.87.229.48
DNSSEC – Signatur – Beispiel ● mit DNSSEC: $ dig +dnssec -t A www.bund.de ; <<>> DiG 9.8.1-P1 <<>> +dnssec -t A www.bund.de ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8866 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; MBZ: 7eba , udp: 1460 ;; QUESTION SECTION: ;www.bund.de. IN A ;; ANSWER SECTION: www.bund.de. 8420IN A 77.87.229.48 www.bund.de. 8420IN RRSIG A 7 3 21600 20130118095801 20130108095801 39683 bund.de. Bz4M1BG2iO21Tu5vJX0i8K3oACOU0B/Zu9N69GQ/W7xhYFBsUAI/S9Mf BDyFM3eZqKs/R8EQHDzB61TJzOk9Ow6TVKqOsg89V4F0oK0B1tHkTWSO LHKwKMpGABofXtuRtemR1bhuKNuaOSxuZvk8JaF8fXfRJBiAFXKlsWVS LBk=
DNSSEC – Signatur – Aufbau www.bund.de. 8420 IN RRSIG A 7 3 21600 20130118095801 20130108095801 39683 bund.de. Bz4...www.bund.de. 8420 IN RRSIG A 7 3 21600 20130118095801 20130108095801 39683 bund.de. Bz4.. Signatur unterzeichnende Zone Key Tag (Schlüssel-ID) Beginn der Gültigkeit Ende der Gültigkeit TTL des Records (zum Zeitpunkt der Unterschrift) Anzahl Namenskomponenten (meistens #Punkte-1) Verwendeter Algorithmus Typ des unterschriebenen Records RRSIG für digitale Signatur Klasse TTL Name
DNSSEC – Signatur – Validierung ● Signatur ist da – aber gültig? ● Signatur wird mit Schlüsselpaar erzeugt – Signatur mit öffentlichem Schlüssel überprüfen ● Schlüssel: DNSKEY-Record – liegt in „unterzeichnender Zone“ DNSKEY A MX AAAA
DNSSEC – Schlüssel – Beispiel ~$ dig +dnssec -t DNSKEY bund.de ;; ANSWER SECTION: bund.de. 14372 IN DNSKEY 257 3 7 AwEAAbHZMsmY/eWFaa+l4jM6C/j5QDQeNuG6lFpDuUjszxaeFSYckTyL cmiGsSExC8movnKY9fc4X4GcM59bgSIX/ee+dgBBap5UCWmKTbO13rl1 nIm7jSSbo50MKSc00KX26shHaDUrMlF/wA4aJJEqZ0CVaL//JRNKEpuZ a6UpveaDrzi0pL9qtgKbKmPsjYpHfljtJrSdcSzmmhqRBN2845cIUgBo efBGfEuYNhLB8tGMXcq4uMwFH1qXcc5IUftf8c/wn0+9eo3Ga9N9eKKm PUT4ERlkg7a9S0mJytEV8SoB4eTQexg4uYTY5FtjCPeMZKc8roFwPQQy zBmkRqH1Jrs= bund.de. 14372 IN DNSKEY 256 3 7 AwEAAcU/GIh0YzrxVLOglF48JX0lnXZEV/KVka4zZzjfT41+W/V8le6x lyAfjzH4EA/tNbWD9ZSe6ugKefek+u2i5aSwcP4RaThOMvXPcB3VkO3n a0XYMbki4kjSG12DbfZcSpI3RYiL9ZhTkxO5U5h+rgXbA/oPByKHU87/ Z64BhJhZ bund.de. 14372 IN RRSIG DNSKEY 7 2 14400 20130120125001 20130110125001 5465 bund.de. MtCEcAa93W4lqe12TysfMMjs26Ej++LMJxAk6gFjnc7MG+PyXqtHBu2A FxqM/5qDwcS+4df0XZQoMzLkcpQPLxKUfJwY4ymr7fKly7dBqHXTN0v5 u6QwSKD/sK6QrEwVuMkpxIttF9EYad/fYmX5NBqnzsOWv/hYKp4SBSht 9Rw= bund.de. 14372 IN RRSIG DNSKEY 7 2 14400 20130120125001 20130110125001 28608 bund.de. rHwsga+lo3EvALUIdR974jcy8ThNx1fEFow5Ksx2jaxPTaTyb+QRwG9J 8eYFhzzON5/rEHATkIWVYZpStbg7sirhfcLEE6kTnnGSfywANjVF9rg+ ksvszGV0f8/zi42gzcegA0XfO695jmfSY3J3m2dCA6k9FuylCznPl4IH WL37XgYoui2GYltzvtXIOt7bjG6aFaTX/bvGuiBH+QrKt0gDZDk6wcvb T/TAgIaC/bwXNl+sHNyBOzKdDVuUXA8CwyEqjhGV4a+q6tkyfbroFMM5 Qvw5Rqtz9DtDNFyB0P0az9cock+zxlceNPm9xDniQTFM7m/ZZH6A6ZIN tMPLFw==
DNSSEC – Schlüssel – Aufbau bund.de. 14372 IN DNSKEY 257 3 7 AwE... Schlüssel (öffentlicher Teil) Verwendeter Algorithmus Verwendetes Protokoll (3 = DNSSEC) Flags DNSKEY für digitalen Schlüssel Klasse TTL Name
DNSSEC – Echtheit des Schlüssels ● Schlüssel bekannt, Signatur kann validiert werden ● Aber: Ist der Schlüssel überhaupt korrekt? ● Schlüssel-Authentifizierung – Übergeordnete Zone stellt Hash des Schlüssels bereit (DS-Record) DNSKEY DS
DNSSEC – Hash – Beispiel $ dig +dnssec -t DS bund.de ;; ANSWER SECTION: bund.de. 43144 IN DS 28608 7 2 5880A557096B6AA01BD37CDEA8CCC85FC966845A75A78ED63A4CBB64 9BF9BF68 bund.de. 43144 IN DS 10923 7 2 9C621225960D5837BB1CFE49F421CF341422AB206414E454245F055F 5581C75D bund.de. 43144 IN RRSIG DS 8 2 86400 20130123070000 20130116070000 1540 de. v7Ki/IZVdId/fcvlDISUGgPW2rNJj6fI87vriSwDDcUNFzZQMGtOpwqj xlw4VHt+gJn+NFKvWLGcKR7UgKn/IrDalV18HQgg5OeIOmez58vR5krH xE2KBt8JRonuX5Fjn3u2NntAvKmT/RBuBd4e99OgqFdp5l8nDbp4UnNY H10=
DNSSEC – Hash – Aufbau bund.de. 43144 IN DS 28608 7 2 588... Hash des öffentlichen Schlüssels Verwendeter Hash-Algorithmus (2 = SHA-256) Algorithmus des gehashten Schlüssels Key Tag (Schlüssel-ID) DS für Hash eines Schlüssels Klasse TTL Name
DNSSEC – Key Chain ● Key Chain komplett DNSKEY A MX AAAA DNSKEY DS A MX AAAA DS
DNSSEC – Key Chain ● Key Chain beliebig tief verschachtelt ● Validierung rekursiv bis zur obersten Ebene ● Schlüssel/Hashes der Root-Zone bekannt – Vom Betriebssystem mit ausgeliefert (wie die Liste der Root-Nameserver) ● Überprüfung möglich DNSKEY A MX AAAA DNSKEY DS A MX AAAA DS
DNSSEC – Nichtexistente Records ● Problem: Was, wenn ein Record nicht existiert? – Angreifer könnte einfach Pakete droppen und durch leere Antworten ersetzen – Leere Pakete haben keine Signatur ● Lösung: Namens-Ketten mit NSEC-Records – Alphabetische Sortierung ns1 ns2mail www NSEC NSEC NSEC NSEC
DNSSEC – NSEC – Beispiel $ dig +dnssec -t A test.bund.de ;; AUTHORITY SECTION: bund.de. 2924IN SOA radium.bund.de. uhd.bund.de. 2013011002 10800 3600 604800 14400 bund.de. 2924IN RRSIG SOA 7 2 21600 20130120125001 20130110125001 5465 bund.de. JJQ2GcZrrRSVc6LswX34ufy2uHKYFTo4oCe7L4mZ3TciDdui+Q635pPT qq3dBz4zCGV4Ry4uNm8iQNzK7IkBuzrIbLANUcP//CLJ4leNhgocRokQ vKFLDCWjtBQ52NOx1xE6fdRUMy6OWYWjHqiYouv2lrj0VMPLK+18VTSV p9M= mail.bund.de. 2924 IN RRSIG NSEC 7 3 14400 20130120125001 20130110125001 5465 bund.de. MNR1xwJhdpBG8+cDapgYpcwV9szf+w4ou15aqArcYwjGPR1R6rXBFbAd 4k2zcxTDtNY6Y+E7beDh0597r3NHIAfdMeB9IkMImaUcCKMMafciMrmh Q1HNwHZlgUiIAdIVdZRYOjxZcwxy93FOnSI3+cI+waNzgZjPq03uRiMz uFY= mail.bund.de. 2924 IN NSEC www.bund.de. A RRSIG
DNSSEC – NSEC – Aufbau mail.bund.de. 2924 IN NSEC www.bund.de. MX RRSIG Liste der Record-Typen von mail.bund.de Name des nachfolgenden Records NSEC für nächsten signierten Record Klasse TTL Name des vorherigen Records
DNSSEC – NSEC ● Nachteil: Iterationen möglich (zone walking) – Alle (auch möglicherweise interne) Records auflistbar ● Verbesserung: – Erste Idee: Mehrere NSEC-„Kreise“ ns1 ns2mail www NSEC NSEC NSEC NSEC ns1 ns2mail www NSEC NSEC
DNSSEC – NSEC ● Problem gelöst? – Zone Walking schwieriger – nicht unmöglich ● Neue Idee – Hashes statt lesbarer Domain-Namen
DNSSEC – NSEC3 – Beispiel $ dig +dnssec -t A test.bund.de ;; AUTHORITY SECTION: bund.de. 1800IN SOA radium.bund.de. uhd.bund.de. 2013011002 10800 3600 604800 14400 bund.de. 14400 IN RRSIG SOA 7 2 21600 20130120125001 20130110125001 5465 bund.de. JJQ2GcZrrRSVc6LswX34ufy2uHKYFTo4oCe7L4mZ3TciDdui+Q635pPT qq3dBz4zCGV4Ry4uNm8iQNzK7IkBuzrIbLANUcP//CLJ4leNhgocRokQ vKFLDCWjtBQ52NOx1xE6fdRUMy6OWYWjHqiYouv2lrj0VMPLK+18VTSV p9M= J97P86RAL50L5TPDPPTN84O5EJ4D90VQ.bund.de. 14400 IN NSEC3 1 0 10 3D0CB9 JC4KJO7B5E378QHM2997P7BQPR71E6F0 A NS SOA MX RRSIG DNSKEY NSEC3PARAM J97P86RAL50L5TPDPPTN84O5EJ4D90VQ.bund.de. 14400 IN RRSIG NSEC3 7 3 14400 20130120125001 20130110125001 5465 bund.de. MiepYCz9cK3uF0S8DN1HXYZdobv94yKpQkw9HwvrCrjF9xjwfoJIjVA2 Ms1TuzSW+zjND0YugL5LYdZmCkHA0iaIAY8efVj+VuEvZiql8iQL+2Sx T5AUISiYYbvL/ +JEBTUOZpnPiEx+S7o5hYoeVqjY2XU9VJYJMyuQ5c6m HPo= 81S3BC64ANM495CJ1QVSD0O44U0CFPLJ.bund.de. 14400 IN NSEC3 1 0 10 3D0CB9 866Q4IHC1L5Q0QREE8TSKKCHUDN0TKBE MX RRSIG 81S3BC64ANM495CJ1QVSD0O44U0CFPLJ.bund.de. 14400 IN RRSIG NSEC3 7 3 14400 20130120125001 20130110125001 5465 bund.de. VwdV+5ls9JrDZl3noG3wBJhkiAbRXO9KQgpB9YzBuB5L2/TbUCdTdqTP M+Cvnd2y0S0WFsLJqS5reEej6eXZiLZoFe9+dJFvlhfDP9vmbHQUw9hY oEIgzrM68M9a8giTVOZUrx9x6Vpus8aBDi3rZ2b0sMNqoY7ORV+6pxU+ geo= 2KIMSAR1Q5HUGJBN4UJEDBURHD7DI4DM.bund.de. 14400 IN NSEC3 1 0 10 3D0CB9 2L9KGADPISA77B7S2P1HVND15IAL7UO5 MX RRSIG 2KIMSAR1Q5HUGJBN4UJEDBURHD7DI4DM.bund.de. 14400 IN RRSIG NSEC3 7 3 14400 20130120125001 20130110125001 5465 bund.de. MNR1xwJhdpBG8+cDapgYpcwV9szf+w4ou15aqArcYwjGPR1R6rXBFbAd 4k2zcxTDtNY6Y+E7beDh0597r3NHIAfdMeB9IkMImaUcCKMMafciMrmh Q1HNwHZlgUiIAdIVdZRYOjxZcwxy93FOnSI3+cI+waNzgZjPq03uRiMz uFY=
DNSSEC – NSEC3 – Aufbau J97...0VQ.bund.de. 14400 IN NSEC3 1 0 10 3D0CB9 JC4...6F0 A ... RRSIG DNSKEY NSEC3PARAM Liste der Record-Typen Hash des nachfolgenden Record-Namens Salt (für Hash) Anzahl Iterationen Flags Hash-Algorithmus NSEC3 Klasse TTL Hash des vorherigen Record-Namens test.bund.de NSEC3 NSEC3
DNSSEC – Schlüsseltausch ● Schlüssel sind mit Ablaufdatum versehen – Je „höher“ in der Hierarchie desto länger die Gültigkeit ● Teilweise können mehrere Schlüssel parallel existieren ● Unterteilung in KSK und ZSK (Key Signing Key und Zone Signing Key)
DNSSEC – KSK und ZSK ● Schlüsselpaare aufgeteilt in KSK und ZSK: KSK ZSK 1 A AAAAMX DS ZSK 2
DNSSEC – nicht unterstützt? ● Was tun, wenn die übergeordnete Zone DNSSEC nicht unterstützt? ● DNSSEC Lookaside Validation DNSKEY A AAAA DLV DNSKEY MX DNSKEY
DNSSEC – DLV ● Gleiche Felder wie DS ● Schlüssel-Hash in beliebiger Zone statt parent zone ● Konfiguration eines sog. „trust anchor“ im Resolver, zeigt auf Zone mit DLV-Records ● DLV-Dienst: https://dlv.isc.org/
DNSSEC – Verbreitung ● Verbreitung steigt langsam, Gründe dafür sind – höhere Auslastung der Server – mehr Wartungsarbeiten ● Standardverhalten bei fehlender/ungültiger Signatur: Trotzdem akzeptieren. – Problematik ähnlich wie bei SSL-Zertifikaten
DNSSEC – Verbreitung ● Zeitlicher Verlauf vom 22.11.2010 bis 13.02.2013 0 50 100 150 200 250 300 350 in root-Zone signiert TLDs insgesamt 22.11.2010 bis 13.02.2013 Daten Stand 13.02.2013, Quelle: http://stats.research.icann.org/dns/tld_report/
DNSSEC – Verbreitung ● Aktueller Stand (Stand 13.02.2013, Quelle: http://stats.research.icann.org/dns/tld_report/) – 316 TLDs in der root-Zone – 108 TLDs sind signiert – 100 TLDs veröffentlichen DS-Record in der root-Zone ● Top Level Domains mit DNSSEC: ac, ag, am, arpa, asia, at, be, bg, biz, br, bz, ca, cat, cc, ch, cl, co, com, cr, cz, de, dk, edu, eu, fi, fo, fr, gi, gl, gov, gr, hn, in, info, io, jp, kg, kr, la, lb, lc, li, lk, lu, lv, me, mil, mm, mn, museum, my, na, nc, net, nl, nu, nz, org, pl, pm, post, pr, pt, pw, re, ru, sc, se, sh, si, su, sx, tf, th, tm, tt, tw, tz, ua, ug, uk, us, wf, xn--0zwm56d.&nbsp;&nbsp;&nbsp; 测试 , xn--11b5bs3a9aj6g.&nbsp;&nbsp;&nbsp;परीक्षा, xn--3e0b707e.&nbsp;&nbsp;&nbsp; 한국 , xn--80akhbyknj4f.&nbsp;&nbsp;&nbsp;испытание, xn--9t4b11yi5a.&nbsp;&nbsp;&nbsp; 테스트 , xn--deba0ad.&nbsp;&nbsp;&nbsp;‫,טעסט‬ xn--g6w251d.&nbsp;&nbsp;&nbsp; 測試 , xn--hgbk6aj7f53bba.&nbsp;&nbsp;&nbsp;‫,آزمایشی‬ xn--hlcj6aya9esc7a.&nbsp;&nbsp;&nbsp;பரிட்ைச, xn--jxalpdlp.&nbsp;&nbsp;&nbsp;δοκιμή, xn--kgbechtv.&nbsp;&nbsp;&nbsp;‫,إختبار‬ xn--kprw13d.&nbsp;&nbsp;&nbsp; 台湾 , xn--kpry57d.&nbsp;&nbsp;&nbsp; 台灣 , xn--mgbx4cd0ab.&nbsp;&nbsp;&nbsp;‫,مليسيا‬ xn--p1ai.&nbsp;&nbsp;&nbsp;рф, xn--zckzah.&nbsp;&nbsp;&nbsp; テスト , yt
DNSSEC Vielen Dank für Ihre Aufmerksamkeit!
DNSSEC – Software ● BIND – Daten liegen in Textdateien – Signatur wird über CLI-Tool erzeug – https://www.isc.org/software/bind ● PowerDNS – Daten liegen in SQL-Datenbank – Signierung und Schlüsselwechsel automatisiert ● Ausnahme: KSK, DS muss manuell abgefragt werden – http://www.powerdns.com/
DNSSEC – Anbieter ● Hostway Deutschland – Nur für Unternehmenskunden – DNSSEC per API steuerbar – Beta-Betrieb – http://www.hostway.de/webhosting/domains/s-dns/in dex.php ● InterNetworx – Privat- und Unternehmenskunden – DS-Eintrag über Support – https://www.inwx.de/
DNSSEC Domain Name System Security Extension Referent: Matthias Lohr <lohr@uni-trier.de>

Empfohlen

TYPO3-Passwörter sicher speichern mit saltedpasswords
TYPO3-Passwörter sicher speichern mit saltedpasswordsTYPO3-Passwörter sicher speichern mit saltedpasswords
TYPO3-Passwörter sicher speichern mit saltedpasswords
Steffen Gebert
 
5min analyse
5min analyse5min analyse
5min analyse
Hans-Jürgen Schönig
 
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen EinsatzSicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
SpeedPartner GmbH
 
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen EinsatzSicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
SpeedPartner GmbH
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
OPITZ CONSULTING Deutschland
 
Nagios Conference 2006 | Automatisierung von Performancecharts mit dem Nagios...
Nagios Conference 2006 | Automatisierung von Performancecharts mit dem Nagios...Nagios Conference 2006 | Automatisierung von Performancecharts mit dem Nagios...
Nagios Conference 2006 | Automatisierung von Performancecharts mit dem Nagios...
NETWAYS
 
GPU-Computing mit CUDA und OpenCL
GPU-Computing mit CUDA und OpenCLGPU-Computing mit CUDA und OpenCL
GPU-Computing mit CUDA und OpenCL
Jörn Dinkla
 
ILMSmobil - Arbeitsstand & Ausblick
ILMSmobil - Arbeitsstand & AusblickILMSmobil - Arbeitsstand & Ausblick
ILMSmobil - Arbeitsstand & Ausblick
Oliver Roick
 

Empfohlen

TYPO3-Passwörter sicher speichern mit saltedpasswords
TYPO3-Passwörter sicher speichern mit saltedpasswordsTYPO3-Passwörter sicher speichern mit saltedpasswords
TYPO3-Passwörter sicher speichern mit saltedpasswords
Steffen Gebert
 
5min analyse
5min analyse5min analyse
5min analyse
Hans-Jürgen Schönig
 
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen EinsatzSicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
SpeedPartner GmbH
 
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen EinsatzSicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
SpeedPartner GmbH
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
OPITZ CONSULTING Deutschland
 
Nagios Conference 2006 | Automatisierung von Performancecharts mit dem Nagios...
Nagios Conference 2006 | Automatisierung von Performancecharts mit dem Nagios...Nagios Conference 2006 | Automatisierung von Performancecharts mit dem Nagios...
Nagios Conference 2006 | Automatisierung von Performancecharts mit dem Nagios...
NETWAYS
 
GPU-Computing mit CUDA und OpenCL
GPU-Computing mit CUDA und OpenCLGPU-Computing mit CUDA und OpenCL
GPU-Computing mit CUDA und OpenCL
Jörn Dinkla
 
ILMSmobil - Arbeitsstand & Ausblick
ILMSmobil - Arbeitsstand & AusblickILMSmobil - Arbeitsstand & Ausblick
ILMSmobil - Arbeitsstand & Ausblick
Oliver Roick
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 

Weitere ähnliche Inhalte

Empfohlen

How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 

Empfohlen (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

DNSSEC

  • 1. DNSSEC Domain Name System Security Extension Referent: Matthias Lohr <lohr@uni-trier.de>
  • 2. DNS - Geschichte ● Früher: – Master-Text-Datei – Abgleich über Download ● Jetzt: – Verteilte Datenbank – Abgleich über sog. Zonentransfers (AXFR)
  • 3. DNS - Funktionsweise ● Aufteilung in Zonen de → uni-trier.de → syssoft.uni-trier.de ● Records speichern Informationen – Verschiedene Typen: ● A: IPv4-Adresse ● AAAA: IPv6-Adresse ● MX: Zuständiger Mailserver ● CNAME: Alias auf anderen Namen ● … ● Zonen können an andere Nameserver delegiert werden (Zuständigkeit abgeben)
  • 4. DNS - Funktionsweise Quelle: http://en.wikipedia.org/wiki/File:Domain_name_space.svg
  • 5. DNS - Sicherheit ● Keine Verschlüsselung → Daten offen lesbar ● Keine Signierung → Fälschungen möglich ● Bekannte Angriffsszenarien: – (D)DoS – DNS Rebinding – DNS Amplification Attack – Cache Poisoning (Fälschungen) DNS-Anfrage Antwort
  • 6. DNSSEC ● DNSSEC verhindert Fälschungen – Unterschrift der Daten mit digitaler Signatur – Automatische Überprüfung der Signatur
  • 7. DNSSEC – Signatur ● Client schickt Anfrage ● Server antwortet mit angefordertem Record ● Server fügt RRSIG-Record hinzu DNS-Anfrage Antwort
  • 8. DNSSEC – Signatur – Beispiel ● ohne DNSSEC: $ dig -t A www.bund.de ; <<>> DiG 9.8.1-P1 <<>> -t A www.bund.de ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19122 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.bund.de. IN A ;; ANSWER SECTION: www.bund.de. 8653IN A 77.87.229.48
  • 9. DNSSEC – Signatur – Beispiel ● mit DNSSEC: $ dig +dnssec -t A www.bund.de ; <<>> DiG 9.8.1-P1 <<>> +dnssec -t A www.bund.de ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8866 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; MBZ: 7eba , udp: 1460 ;; QUESTION SECTION: ;www.bund.de. IN A ;; ANSWER SECTION: www.bund.de. 8420IN A 77.87.229.48 www.bund.de. 8420IN RRSIG A 7 3 21600 20130118095801 20130108095801 39683 bund.de. Bz4M1BG2iO21Tu5vJX0i8K3oACOU0B/Zu9N69GQ/W7xhYFBsUAI/S9Mf BDyFM3eZqKs/R8EQHDzB61TJzOk9Ow6TVKqOsg89V4F0oK0B1tHkTWSO LHKwKMpGABofXtuRtemR1bhuKNuaOSxuZvk8JaF8fXfRJBiAFXKlsWVS LBk=
  • 10. DNSSEC – Signatur – Aufbau www.bund.de. 8420 IN RRSIG A 7 3 21600 20130118095801 20130108095801 39683 bund.de. Bz4...www.bund.de. 8420 IN RRSIG A 7 3 21600 20130118095801 20130108095801 39683 bund.de. Bz4.. Signatur unterzeichnende Zone Key Tag (Schlüssel-ID) Beginn der Gültigkeit Ende der Gültigkeit TTL des Records (zum Zeitpunkt der Unterschrift) Anzahl Namenskomponenten (meistens #Punkte-1) Verwendeter Algorithmus Typ des unterschriebenen Records RRSIG für digitale Signatur Klasse TTL Name
  • 11. DNSSEC – Signatur – Validierung ● Signatur ist da – aber gültig? ● Signatur wird mit Schlüsselpaar erzeugt – Signatur mit öffentlichem Schlüssel überprüfen ● Schlüssel: DNSKEY-Record – liegt in „unterzeichnender Zone“ DNSKEY A MX AAAA
  • 12. DNSSEC – Schlüssel – Beispiel ~$ dig +dnssec -t DNSKEY bund.de ;; ANSWER SECTION: bund.de. 14372 IN DNSKEY 257 3 7 AwEAAbHZMsmY/eWFaa+l4jM6C/j5QDQeNuG6lFpDuUjszxaeFSYckTyL cmiGsSExC8movnKY9fc4X4GcM59bgSIX/ee+dgBBap5UCWmKTbO13rl1 nIm7jSSbo50MKSc00KX26shHaDUrMlF/wA4aJJEqZ0CVaL//JRNKEpuZ a6UpveaDrzi0pL9qtgKbKmPsjYpHfljtJrSdcSzmmhqRBN2845cIUgBo efBGfEuYNhLB8tGMXcq4uMwFH1qXcc5IUftf8c/wn0+9eo3Ga9N9eKKm PUT4ERlkg7a9S0mJytEV8SoB4eTQexg4uYTY5FtjCPeMZKc8roFwPQQy zBmkRqH1Jrs= bund.de. 14372 IN DNSKEY 256 3 7 AwEAAcU/GIh0YzrxVLOglF48JX0lnXZEV/KVka4zZzjfT41+W/V8le6x lyAfjzH4EA/tNbWD9ZSe6ugKefek+u2i5aSwcP4RaThOMvXPcB3VkO3n a0XYMbki4kjSG12DbfZcSpI3RYiL9ZhTkxO5U5h+rgXbA/oPByKHU87/ Z64BhJhZ bund.de. 14372 IN RRSIG DNSKEY 7 2 14400 20130120125001 20130110125001 5465 bund.de. MtCEcAa93W4lqe12TysfMMjs26Ej++LMJxAk6gFjnc7MG+PyXqtHBu2A FxqM/5qDwcS+4df0XZQoMzLkcpQPLxKUfJwY4ymr7fKly7dBqHXTN0v5 u6QwSKD/sK6QrEwVuMkpxIttF9EYad/fYmX5NBqnzsOWv/hYKp4SBSht 9Rw= bund.de. 14372 IN RRSIG DNSKEY 7 2 14400 20130120125001 20130110125001 28608 bund.de. rHwsga+lo3EvALUIdR974jcy8ThNx1fEFow5Ksx2jaxPTaTyb+QRwG9J 8eYFhzzON5/rEHATkIWVYZpStbg7sirhfcLEE6kTnnGSfywANjVF9rg+ ksvszGV0f8/zi42gzcegA0XfO695jmfSY3J3m2dCA6k9FuylCznPl4IH WL37XgYoui2GYltzvtXIOt7bjG6aFaTX/bvGuiBH+QrKt0gDZDk6wcvb T/TAgIaC/bwXNl+sHNyBOzKdDVuUXA8CwyEqjhGV4a+q6tkyfbroFMM5 Qvw5Rqtz9DtDNFyB0P0az9cock+zxlceNPm9xDniQTFM7m/ZZH6A6ZIN tMPLFw==
  • 13. DNSSEC – Schlüssel – Aufbau bund.de. 14372 IN DNSKEY 257 3 7 AwE... Schlüssel (öffentlicher Teil) Verwendeter Algorithmus Verwendetes Protokoll (3 = DNSSEC) Flags DNSKEY für digitalen Schlüssel Klasse TTL Name
  • 14. DNSSEC – Echtheit des Schlüssels ● Schlüssel bekannt, Signatur kann validiert werden ● Aber: Ist der Schlüssel überhaupt korrekt? ● Schlüssel-Authentifizierung – Übergeordnete Zone stellt Hash des Schlüssels bereit (DS-Record) DNSKEY DS
  • 15. DNSSEC – Hash – Beispiel $ dig +dnssec -t DS bund.de ;; ANSWER SECTION: bund.de. 43144 IN DS 28608 7 2 5880A557096B6AA01BD37CDEA8CCC85FC966845A75A78ED63A4CBB64 9BF9BF68 bund.de. 43144 IN DS 10923 7 2 9C621225960D5837BB1CFE49F421CF341422AB206414E454245F055F 5581C75D bund.de. 43144 IN RRSIG DS 8 2 86400 20130123070000 20130116070000 1540 de. v7Ki/IZVdId/fcvlDISUGgPW2rNJj6fI87vriSwDDcUNFzZQMGtOpwqj xlw4VHt+gJn+NFKvWLGcKR7UgKn/IrDalV18HQgg5OeIOmez58vR5krH xE2KBt8JRonuX5Fjn3u2NntAvKmT/RBuBd4e99OgqFdp5l8nDbp4UnNY H10=
  • 16. DNSSEC – Hash – Aufbau bund.de. 43144 IN DS 28608 7 2 588... Hash des öffentlichen Schlüssels Verwendeter Hash-Algorithmus (2 = SHA-256) Algorithmus des gehashten Schlüssels Key Tag (Schlüssel-ID) DS für Hash eines Schlüssels Klasse TTL Name
  • 17. DNSSEC – Key Chain ● Key Chain komplett DNSKEY A MX AAAA DNSKEY DS A MX AAAA DS
  • 18. DNSSEC – Key Chain ● Key Chain beliebig tief verschachtelt ● Validierung rekursiv bis zur obersten Ebene ● Schlüssel/Hashes der Root-Zone bekannt – Vom Betriebssystem mit ausgeliefert (wie die Liste der Root-Nameserver) ● Überprüfung möglich DNSKEY A MX AAAA DNSKEY DS A MX AAAA DS
  • 19. DNSSEC – Nichtexistente Records ● Problem: Was, wenn ein Record nicht existiert? – Angreifer könnte einfach Pakete droppen und durch leere Antworten ersetzen – Leere Pakete haben keine Signatur ● Lösung: Namens-Ketten mit NSEC-Records – Alphabetische Sortierung ns1 ns2mail www NSEC NSEC NSEC NSEC
  • 20. DNSSEC – NSEC – Beispiel $ dig +dnssec -t A test.bund.de ;; AUTHORITY SECTION: bund.de. 2924IN SOA radium.bund.de. uhd.bund.de. 2013011002 10800 3600 604800 14400 bund.de. 2924IN RRSIG SOA 7 2 21600 20130120125001 20130110125001 5465 bund.de. JJQ2GcZrrRSVc6LswX34ufy2uHKYFTo4oCe7L4mZ3TciDdui+Q635pPT qq3dBz4zCGV4Ry4uNm8iQNzK7IkBuzrIbLANUcP//CLJ4leNhgocRokQ vKFLDCWjtBQ52NOx1xE6fdRUMy6OWYWjHqiYouv2lrj0VMPLK+18VTSV p9M= mail.bund.de. 2924 IN RRSIG NSEC 7 3 14400 20130120125001 20130110125001 5465 bund.de. MNR1xwJhdpBG8+cDapgYpcwV9szf+w4ou15aqArcYwjGPR1R6rXBFbAd 4k2zcxTDtNY6Y+E7beDh0597r3NHIAfdMeB9IkMImaUcCKMMafciMrmh Q1HNwHZlgUiIAdIVdZRYOjxZcwxy93FOnSI3+cI+waNzgZjPq03uRiMz uFY= mail.bund.de. 2924 IN NSEC www.bund.de. A RRSIG
  • 21. DNSSEC – NSEC – Aufbau mail.bund.de. 2924 IN NSEC www.bund.de. MX RRSIG Liste der Record-Typen von mail.bund.de Name des nachfolgenden Records NSEC für nächsten signierten Record Klasse TTL Name des vorherigen Records
  • 22. DNSSEC – NSEC ● Nachteil: Iterationen möglich (zone walking) – Alle (auch möglicherweise interne) Records auflistbar ● Verbesserung: – Erste Idee: Mehrere NSEC-„Kreise“ ns1 ns2mail www NSEC NSEC NSEC NSEC ns1 ns2mail www NSEC NSEC
  • 23. DNSSEC – NSEC ● Problem gelöst? – Zone Walking schwieriger – nicht unmöglich ● Neue Idee – Hashes statt lesbarer Domain-Namen
  • 24. DNSSEC – NSEC3 – Beispiel $ dig +dnssec -t A test.bund.de ;; AUTHORITY SECTION: bund.de. 1800IN SOA radium.bund.de. uhd.bund.de. 2013011002 10800 3600 604800 14400 bund.de. 14400 IN RRSIG SOA 7 2 21600 20130120125001 20130110125001 5465 bund.de. JJQ2GcZrrRSVc6LswX34ufy2uHKYFTo4oCe7L4mZ3TciDdui+Q635pPT qq3dBz4zCGV4Ry4uNm8iQNzK7IkBuzrIbLANUcP//CLJ4leNhgocRokQ vKFLDCWjtBQ52NOx1xE6fdRUMy6OWYWjHqiYouv2lrj0VMPLK+18VTSV p9M= J97P86RAL50L5TPDPPTN84O5EJ4D90VQ.bund.de. 14400 IN NSEC3 1 0 10 3D0CB9 JC4KJO7B5E378QHM2997P7BQPR71E6F0 A NS SOA MX RRSIG DNSKEY NSEC3PARAM J97P86RAL50L5TPDPPTN84O5EJ4D90VQ.bund.de. 14400 IN RRSIG NSEC3 7 3 14400 20130120125001 20130110125001 5465 bund.de. MiepYCz9cK3uF0S8DN1HXYZdobv94yKpQkw9HwvrCrjF9xjwfoJIjVA2 Ms1TuzSW+zjND0YugL5LYdZmCkHA0iaIAY8efVj+VuEvZiql8iQL+2Sx T5AUISiYYbvL/ +JEBTUOZpnPiEx+S7o5hYoeVqjY2XU9VJYJMyuQ5c6m HPo= 81S3BC64ANM495CJ1QVSD0O44U0CFPLJ.bund.de. 14400 IN NSEC3 1 0 10 3D0CB9 866Q4IHC1L5Q0QREE8TSKKCHUDN0TKBE MX RRSIG 81S3BC64ANM495CJ1QVSD0O44U0CFPLJ.bund.de. 14400 IN RRSIG NSEC3 7 3 14400 20130120125001 20130110125001 5465 bund.de. VwdV+5ls9JrDZl3noG3wBJhkiAbRXO9KQgpB9YzBuB5L2/TbUCdTdqTP M+Cvnd2y0S0WFsLJqS5reEej6eXZiLZoFe9+dJFvlhfDP9vmbHQUw9hY oEIgzrM68M9a8giTVOZUrx9x6Vpus8aBDi3rZ2b0sMNqoY7ORV+6pxU+ geo= 2KIMSAR1Q5HUGJBN4UJEDBURHD7DI4DM.bund.de. 14400 IN NSEC3 1 0 10 3D0CB9 2L9KGADPISA77B7S2P1HVND15IAL7UO5 MX RRSIG 2KIMSAR1Q5HUGJBN4UJEDBURHD7DI4DM.bund.de. 14400 IN RRSIG NSEC3 7 3 14400 20130120125001 20130110125001 5465 bund.de. MNR1xwJhdpBG8+cDapgYpcwV9szf+w4ou15aqArcYwjGPR1R6rXBFbAd 4k2zcxTDtNY6Y+E7beDh0597r3NHIAfdMeB9IkMImaUcCKMMafciMrmh Q1HNwHZlgUiIAdIVdZRYOjxZcwxy93FOnSI3+cI+waNzgZjPq03uRiMz uFY=
  • 25. DNSSEC – NSEC3 – Aufbau J97...0VQ.bund.de. 14400 IN NSEC3 1 0 10 3D0CB9 JC4...6F0 A ... RRSIG DNSKEY NSEC3PARAM Liste der Record-Typen Hash des nachfolgenden Record-Namens Salt (für Hash) Anzahl Iterationen Flags Hash-Algorithmus NSEC3 Klasse TTL Hash des vorherigen Record-Namens test.bund.de NSEC3 NSEC3
  • 26. DNSSEC – Schlüsseltausch ● Schlüssel sind mit Ablaufdatum versehen – Je „höher“ in der Hierarchie desto länger die Gültigkeit ● Teilweise können mehrere Schlüssel parallel existieren ● Unterteilung in KSK und ZSK (Key Signing Key und Zone Signing Key)
  • 27. DNSSEC – KSK und ZSK ● Schlüsselpaare aufgeteilt in KSK und ZSK: KSK ZSK 1 A AAAAMX DS ZSK 2
  • 28. DNSSEC – nicht unterstützt? ● Was tun, wenn die übergeordnete Zone DNSSEC nicht unterstützt? ● DNSSEC Lookaside Validation DNSKEY A AAAA DLV DNSKEY MX DNSKEY
  • 29. DNSSEC – DLV ● Gleiche Felder wie DS ● Schlüssel-Hash in beliebiger Zone statt parent zone ● Konfiguration eines sog. „trust anchor“ im Resolver, zeigt auf Zone mit DLV-Records ● DLV-Dienst: https://dlv.isc.org/
  • 30. DNSSEC – Verbreitung ● Verbreitung steigt langsam, Gründe dafür sind – höhere Auslastung der Server – mehr Wartungsarbeiten ● Standardverhalten bei fehlender/ungültiger Signatur: Trotzdem akzeptieren. – Problematik ähnlich wie bei SSL-Zertifikaten
  • 31. DNSSEC – Verbreitung ● Zeitlicher Verlauf vom 22.11.2010 bis 13.02.2013 0 50 100 150 200 250 300 350 in root-Zone signiert TLDs insgesamt 22.11.2010 bis 13.02.2013 Daten Stand 13.02.2013, Quelle: http://stats.research.icann.org/dns/tld_report/
  • 32. DNSSEC – Verbreitung ● Aktueller Stand (Stand 13.02.2013, Quelle: http://stats.research.icann.org/dns/tld_report/) – 316 TLDs in der root-Zone – 108 TLDs sind signiert – 100 TLDs veröffentlichen DS-Record in der root-Zone ● Top Level Domains mit DNSSEC: ac, ag, am, arpa, asia, at, be, bg, biz, br, bz, ca, cat, cc, ch, cl, co, com, cr, cz, de, dk, edu, eu, fi, fo, fr, gi, gl, gov, gr, hn, in, info, io, jp, kg, kr, la, lb, lc, li, lk, lu, lv, me, mil, mm, mn, museum, my, na, nc, net, nl, nu, nz, org, pl, pm, post, pr, pt, pw, re, ru, sc, se, sh, si, su, sx, tf, th, tm, tt, tw, tz, ua, ug, uk, us, wf, xn--0zwm56d.&nbsp;&nbsp;&nbsp; 测试 , xn--11b5bs3a9aj6g.&nbsp;&nbsp;&nbsp;परीक्षा, xn--3e0b707e.&nbsp;&nbsp;&nbsp; 한국 , xn--80akhbyknj4f.&nbsp;&nbsp;&nbsp;испытание, xn--9t4b11yi5a.&nbsp;&nbsp;&nbsp; 테스트 , xn--deba0ad.&nbsp;&nbsp;&nbsp;‫,טעסט‬ xn--g6w251d.&nbsp;&nbsp;&nbsp; 測試 , xn--hgbk6aj7f53bba.&nbsp;&nbsp;&nbsp;‫,آزمایشی‬ xn--hlcj6aya9esc7a.&nbsp;&nbsp;&nbsp;பரிட்ைச, xn--jxalpdlp.&nbsp;&nbsp;&nbsp;δοκιμή, xn--kgbechtv.&nbsp;&nbsp;&nbsp;‫,إختبار‬ xn--kprw13d.&nbsp;&nbsp;&nbsp; 台湾 , xn--kpry57d.&nbsp;&nbsp;&nbsp; 台灣 , xn--mgbx4cd0ab.&nbsp;&nbsp;&nbsp;‫,مليسيا‬ xn--p1ai.&nbsp;&nbsp;&nbsp;рф, xn--zckzah.&nbsp;&nbsp;&nbsp; テスト , yt
  • 34. DNSSEC – Software ● BIND – Daten liegen in Textdateien – Signatur wird über CLI-Tool erzeug – https://www.isc.org/software/bind ● PowerDNS – Daten liegen in SQL-Datenbank – Signierung und Schlüsselwechsel automatisiert ● Ausnahme: KSK, DS muss manuell abgefragt werden – http://www.powerdns.com/
  • 35. DNSSEC – Anbieter ● Hostway Deutschland – Nur für Unternehmenskunden – DNSSEC per API steuerbar – Beta-Betrieb – http://www.hostway.de/webhosting/domains/s-dns/in dex.php ● InterNetworx – Privat- und Unternehmenskunden – DS-Eintrag über Support – https://www.inwx.de/
  • 36. DNSSEC Domain Name System Security Extension Referent: Matthias Lohr <lohr@uni-trier.de>