11-mal heruntergeladen
![DNS Geschichte
4
Generationen DNS(SEC)
1)
RFC 1034(35) gelten als Anfang vom Protokoll (1987)
2)
RFC 2136/2181/2308 „heutige Version“ (1997)
a) NOTIFY
b) Dynamic Updates
c) Incremental Zone Transfer (IXFR)
3)
RFC 2535 erste Schritte zu DNSSEC (1999)
„One History of DNS“ von Ross Rader (2001) [2]
http://blog.neustar.biz/dns-matters/the-evolution-of-dns-starting-from-the-beginning/
[2] http://www.byte.org/blog/one-history-of-dns.pdf
Dmitrij Petrov](https://image.slidesharecdn.com/domainnamesystemsecurityextensions-131113092123-phpapp02/75/Domain-name-system-security-extension-3-2048.jpg)
![Domain Name System
Übersetzt
Domainnamen in IP Adressen -> leicht zu
merken (facebook.com == 31.13.81.81)
Erst
in hosts-dateien, dann in Datenbanken
über 370 Root Name Server, die über 13 IP Adressen
erreichbar sind [1]
Verteilte
Datenbank (jeder kann eigenen DNS
haben) -> Extrem zuverlässig
Aber
mit Redundanz (3 verschiedene Name Server
fur e.g. domane.de)
[1] http://goo.gl/maps/FYxDU
[Rest] http://wiki.bravenet.com/How_the_domain_name_system_works
http://www.netnod.se/sites/default/files/dns.png
Dmitrij Petrov](https://image.slidesharecdn.com/domainnamesystemsecurityextensions-131113092123-phpapp02/75/Domain-name-system-security-extension-4-2048.jpg)
![DNS Security Extensions – Geschichte
1995:
Diskussionen über Sicherheit von DNS
1999:
Erste Implementierung von DNSSEC (RFC2535)
2001: Die Implementierung
Hatte Korrekturen zur Folge
2002/03/04:
2005:
Funktionsfähig, Testen, Standardisieren
Schweden (.se) unterschreibt als 1.Land die Zone
1.12.2009-1.6.2010
Im
„
hatte Fehler
werden alle (13) Root-Server unterschrieben
2011 Q1: .com .net .org Zonen unterschrieben
.de ist DNSSEC seit Mai 2011“ [2]
http://cs.wikipedia.org/wiki/DNSSEC
[2] http://www.denic.de/domains/dnssec.html
Artur Beikel](https://image.slidesharecdn.com/domainnamesystemsecurityextensions-131113092123-phpapp02/75/Domain-name-system-security-extension-10-2048.jpg)
Domain name system security extension
- 1. November 14, 2013 DmitrijPetrov, Artur Beikel, Samuel Abt, Betuelle Ndem a Kedi Domain Name System Security Extensions (DNSSEC) “…authentication of DNS data, …, and data integrity, but not availability or confidentiality”(Wikipedia) Dmitrij Petrov
- 2. Overview Allgemein zu DNS Geschichte Funktionsweise 3 Typen vonDNS Angriffen 2 Beispiele aus dem Jahr 2013 DNSSEC Funktionsweise Keys (KSK, ZSK) Implementierung Registrar und Registrant Dmitrij Petrov
- 3. DNS Geschichte 4 Generationen DNS(SEC) 1) RFC1034(35) gelten als Anfang vom Protokoll (1987) 2) RFC 2136/2181/2308 „heutige Version“ (1997) a) NOTIFY b) Dynamic Updates c) Incremental Zone Transfer (IXFR) 3) RFC 2535 erste Schritte zu DNSSEC (1999) „One History of DNS“ von Ross Rader (2001) [2] http://blog.neustar.biz/dns-matters/the-evolution-of-dns-starting-from-the-beginning/ [2] http://www.byte.org/blog/one-history-of-dns.pdf Dmitrij Petrov
- 4. Domain Name System Übersetzt Domainnamen in IP Adressen -> leicht zu merken (facebook.com == 31.13.81.81) Erst in hosts-dateien, dann in Datenbanken über 370 Root Name Server, die über 13 IP Adressen erreichbar sind [1] Verteilte Datenbank (jeder kann eigenen DNS haben) -> Extrem zuverlässig Aber mit Redundanz (3 verschiedene Name Server fur e.g. domane.de) [1] http://goo.gl/maps/FYxDU [Rest] http://wiki.bravenet.com/How_the_domain_name_system_works http://www.netnod.se/sites/default/files/dns.png Dmitrij Petrov
- 5. So (einfach) funktioniertes Ich mochte www.google.com besuchen, tippe URL ein Browser wird URL in IP Adresse Dialog mit Name Server Name konvertieren Server (z.B.: bei ISP) kann IP Adresse zurückgeben In Cache Nicht in Cache • IP wir an Browser abgegeben • Frage an Root Name Server • Frage an .com Name Server • Frage an google.com Name Server http://technet.microsoft.com/en-us/library/bb962069.aspx Dmitrij Petrov
- 6.
- 7. 3 Typen vonDNS Angriffe “DNS Cache poisoning attack” „inject“ bösartigen DNS-Daten in die rekursive DNS-Server, die von vielen ISPs betrieben werden DNSSEC hilft das zu sichern Angriff an den autoritativen DNS Server Angriff an den Registrator von Domänen und Änderung von autoritativen DNS-Server Betuelle
- 8. Beispiel von CachePoisoning Attack http://www.cira.ca/assets/Uplo ads/_resampled/resizedimage6 00593-Cache-Poisoning2.jpg Betuelle
- 9. Beispiele von 2Angriffen http://www.pcworld.com/article/2054120/googles-malaysia-site-latest-to-be-felled-in-dns-attacks.html http://rt.com/news/sea-hack-nyt-site-twitter-077/ Betuelle
- 10. DNS Security Extensions– Geschichte 1995: Diskussionen über Sicherheit von DNS 1999: Erste Implementierung von DNSSEC (RFC2535) 2001: Die Implementierung Hatte Korrekturen zur Folge 2002/03/04: 2005: Funktionsfähig, Testen, Standardisieren Schweden (.se) unterschreibt als 1.Land die Zone 1.12.2009-1.6.2010 Im „ hatte Fehler werden alle (13) Root-Server unterschrieben 2011 Q1: .com .net .org Zonen unterschrieben .de ist DNSSEC seit Mai 2011“ [2] http://cs.wikipedia.org/wiki/DNSSEC [2] http://www.denic.de/domains/dnssec.html Artur Beikel
- 11. DNSSEC Der Zonenschlüssel bestehtaus einem Schlüsselpaar Identifikation Beinhalten durch eine Nummer (Key Tag) Gültigkeits- und Enddatum Public Key Private Key Zone Signing Key Artur Beikel
- 12.
- 13. Keys – KSKand ZSK Zone Signing Key Key Signing Key signs Artur Beikel
- 14. “Each field mustrepresent a fact about the key, the Whole Key and Nothing but the Key” (Bill Kent) http://iiw.idcommons.net/DNSSEC http://www.pravinshetty.com/DbSys/Course/Semester12005/Lect03.ppt Artur Beikel
- 15.
- 16. Implementierung: Registrar TLD muss signiertsein Public und Private Key werden erzeugt Private Key wird auf Nameservern gespeichert Public Key wird an NICs gereicht DNSKey wird in Resource Records eingebunden Samuel Abt
- 17. Implementation: Registrant Registrar hasto support DNSSEC Delegate OR the implementation to the registrar implement DNSSEC on your dedicated Nameserver Recommended to change the ZSK and the KSK regularly Samuel Abt
- 18.
- 19.
Hinweis der Redaktion
- #2 Good morning, to all of you. We begin – of course you can ask your question during the presentation. Today, we are going to present you a topic which deals with security of Domain name servers. Without security which we are going to introduce to you, there can be 3 different types of DNS attacks such as on high profile websites including Facebook, Twitter or NYTimes. We will explain how the DNSSEC works and what it does. Due to the fact that this is just a security extension we will also explain or rather recap how Domain Name Server works.Confidencualityavaylibility
- #3 Hiersiehtihr also unsereStruktur.WirhabenvierPunktezu den wirkommenwerden. Wiegesagt, fangenwirnocheinmalmiteinerkurzenErkalrunguber DNS. 3 Attackenvorstellen und erklaren. BetuelleMassnahme - zugleichistauchunserReferatWirhabenauch 2 Interaktionenmiteuchvorbereitet, eine Davon ist Life demo.
- #4 SO jetztkommenwirzu der Geschichte von DNS. Allgemeinkann man sie in 4 Generationenaufteilen. Die erste gab es am Ende der 80 Jahren – namlichdiese 2 RFC geltenalserstesAngang von demganzenProtokol. Es gab schoneinpaar RFC bevordiesenJahr, die sichmit DNS beschaftigthaben, aber in der LiteraturgeltendiesealserstevolligfunktionaleBeschreibung von der Spezifikation.Die 2. generation istnicht so extremmwichtig, deswegenkommeichsofortzu der 3. Diese gab es 10 jahre spatter und brachtemitsichvielewichtigeanderungen, unteranderen NOTIFY. Hiersollte man vielleichtnurkurzerwahnen, dassbevor notify funktioniert DNS so, dass man wenn man etwasanderte an master server, dannmusste man auch slave server “von hand” aktualisieren. Mit notify kamesabermoglichkeit, dass man die Nachricht an der Slave schickte und der wurdeschon “automatisch” aktualisiert.Die 4 generation beschreibt die DNSSEC und zudnssecwirdeuchmehrhierdanach xxx sagen. Die anfange von DNSSEC gab esschon am ende der 90 jahrenEsgibtubrigensweiseeinsehrschonen Paper dazu: 35 seiten wie entstand DNS, er behauptet DNS protokol entstand aus z.B dass 90% war politik, rest 10 % technicalien
- #5 OK, also warum DNS -> IPadresseandernsich standing und schwerzumerken.Ping facebook.com > 3 mal schonverandert in der zeit von 2 wochenWie am anfanggesagt war das alleserst in hosts dateiengemacht. - > dannverteiltedatenbank. 10 is usa, 2 in Europa, 1 in japan. Das sindabernurlogische, die pshysichenutzensogenanneteanycast (nachstgelegenen – nearest one) methode und sind fast in jedem land.DB ist also verteilt und jederkanneigenen DNS server haben. So. Z.B hat Microsoft/ google immereinen. Diese databank bekommt dergrossteanzahl von request und gibtgrossteanzahl von responses. Das machtsie die grosste in der Welt.http://blog.neustar.biz/dns-matters/the-evolution-of-dns-starting-from-the-beginning/http://www.byte.org/blog/one-history-of-dns.pdfhttp://wiki.bravenet.com/How_the_domain_name_system_workshttp://gigaom.com/2013/08/27/anatomy-of-a-hack-how-the-sea-took-down-the-nyt-and-twitter/
- #6 jeder Root Server wird abgefragt bis man die Antwort bekommt; gibt IP für .com Name Server abdann wieder an comnameserver> gibt adresse von domenanameserver abund wir sind hierWeil dort alle IP für alle domane gespeichert werden Einfachstevariante, dns server sindz.Bihre ISP, nearest oneoderauchein von obengenanten 370 server
- #7 Hierist die mehrakadameschevariante, namlich…..Hierfehlt die ganzeweg von root bis name der webseitip
- #10 Leutesollenentscheiden was welche von demzweiattakenwelcheist
- #11 Hierdie geschichte von Der VerschlusseltevarianteBulgaria, Czech republic, Puerto rico,Early-Adopters: .cz .pr .br .buBrasil
- #17 http://www.verisigninc.com/de_DE/why-verisign/innovation-initiatives/dnssec/benefits/index.xhtmlhttp://registrars.nominet.org.uk/registration-and-domain-management/dns/dnssec-signing-servicehttp://registrars.nominet.org.uk/registration-and-domain-management/dns/dnssec/for-registrars
- #18 http://www.internetsociety.org/deploy360/resources/step-by-step-how-to-use-a-dnssec-ds-record-to-link-a-registar-to-a-dns-hosting-provider/http://www.denic.de/domains/dnssec.htmlhttp://www.zdnet.de/41525491/denic-fuehrt-dnssec-ein-neue-technik-mit-kleinen-tuecken/4/https://indico.fnal.gov/getFile.py/access?sessionId=8&resId=0&materialId=1&confId=2643
- #19 So jetztmachenwir live demo. ZEIT???????????? Ansonstenbilder.Anderfalls an die webseitegehen und dort die leutelasseneinfachunssagenwelchedomanesiedenken DNSSEC geschutztist.