DNSSEC a CSIRT aneb co může udělat webhoster pro bezpečnější internet Ing. Tomáš Hála ACTIVE 24, s.r.o.

Slides:



Advertisements
Podobné prezentace
Program pro rychlé hlášení poruch strojů a zařízení
Advertisements

MSN vs. Skype MSN vs. Skype souboj IM. MSN vs. Skype MSN vs. Skype IM souboj Instant Messaging • zasílání textových, okamžitě zobrazovaných zpráv mezi.
SÍŤOVÉ PROTOKOLY.
Projekt na podporu malých a středních podnikatelů
Zkušenosti s utvářením konsorcií v České republice Jaroslav Šilhánek VŠCHT Praha.
SÍŤOVÉ SLUŽBY DNS SYSTÉM
Bezpečnost na internetu. V širším smyslu do této oblasti náleží také ochrana před úniky nevhodných osobních informací, například, manipulace s lidmi na.
Internet - historie.
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Přínosy a druhy počítačových sítí. Jednou z nejvýznamnějších technologií používaných v oblasti výpočetních systémů jsou již řadu let počítačové sítě.
Co je ENUM? aneb: ENUM v kostce Jiří Peterka E E.
1IT T ŘI PILÍŘE WEBU Ing. Jiří Šilhán. T ŘI PILÍŘE WWW WWW využívá počítačovou architekturu Klient/server, uživatel musí mít nainstalován prohlížeč, který.
Elektronická pošta Elektronická pošta ( ) je obdobou běžné pošty a umožňuje přijímat a distribuovat dokumenty v textové podobě na jednu nebo více.
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Představujeme službu Samepage
Adresářová služba Active directory
Informatika Internet.
3IT A RCHITEKTURA INTERNETU ISOC,INCANN,IAB,IANA… Ing. Jiří Šilhán.
Architektura databází Ing. Dagmar Vítková. Centrální architektura V této architektuře jsou data i SŘBD v centrálním počítači. Tato architektura je typická.
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
Doména Pro připojení do internetu musí mít každý počítač přidělenu tzv. IP adresu, která se skládá z dekadických čísel. Pro připojení do internetu musí.
ICQ. Co je ICQ? ICQ je nejpoužívanější a nejpopulárnější komunikační program. ICQ je zkratka slangového výrazu „I seek you“ (hledám tě). Slouží ke komunikaci.
Databázové systémy Architektury DBS.
Internet Eva Suchardová. Co je to internet Internet je celosvětová síť (WAN). Prakticky se skládá z mnoha menších sítí, jež jsou vzájemně propojeny. Pro.
Internet.
1 iptelefonie denis kosař. 2 obsah Co je ip-telefonie Jak to funguje Protokoly Kodeky Jak to použít Skype Zdroje.
Protokoly a adresy na internetu
TAXONOMIE POČÍTAČOVÝCH SÍTÍ. 2 ROZDĚLENÍ POČÍTAČOVÝCH SÍTÍ Pokud nás bude zajímat dosah sítí, rozdělí se na sítě lokální (LAN, Local Area Network), na.
Komponent 3 Situační analýza 3.1 Komunikační strategie 3.2 Zlepšování přístupnosti a obsahu informací na Internetu 3.3 Model vzdělávání Podpůrné dokumenty.
INTERNET Filip Fiala, 4C.  Internet je globální systém vzájemně propojených počítačových sítí. (World Wide Web)  Pro vzájemnou komunikaci v síti se.
Portál veřejné správy © 2002 IBM Corporation ISSS 2003 ePUSA – elektronický portál územních samospráv Krajský úřad Plzeňského krajeMinisterstvo vnitra.
DATABÁZOVÉ SYSTÉMY. 2 DATABÁZOVÝ SYSTÉM SYSTÉM ŘÍZENÍ BÁZE DAT (SŘBD) PROGRAM KTERÝ ORGANIZUJE A UDRŽUJE NASHROMÁŽDĚNÉ INFORMACE DATABÁZOVÁ APLIKACE PROGRAM.
NázevInternet Předmět, ročník ICT, sekunda Tematická oblast Základy digitálních technologií AnotaceVýuková prezentace s obrázky a úkoly Klíčová slovaArpanet,
Corpus Solutions a.s. Zkušenosti s budováním komunikační bezpečnosti Ing. Martin Pavlica.
CZ.1.07/1.4.00/ VY_32_INOVACE_166_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
1 iMUNIS Portálové řešení pro obce Mgr. Jan Brychta Mgr. Tomáš Lechner Triada, spol. s r. o.
Elektronické spisy před branami českých soudů - Nabídne justice zákazníkům nové moderní služby?
Strana 1 Decentralizovaná správa ccTLD domény.CZ ISSS, Hradec Králové, 2004.
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
JEDEN CÍL, SPOLEČNÁ CESTA Ministerstvo vnitra České republiky Příspěvek Ministerstva vnitra k informatizaci územních samospráv Ing. Tomáš Holenda ředitel.
1 Řízení znalostí z pohledu práva Seminář č. 4. Opakování Software pro tvorbu projektu jako platforma pro přenos znalostí – pro tým připravující projekt.
Typy počítačových sítí Střední odborná škola Otrokovice Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je PaedDr. Pavel.
Problematika informační kriminality
IEC 61850: Soubor norem pro komunikaci v energetice
Inovace výuky a její implementace v oborech Fakulty bezpečnostního inženýrstvíCZ.1.07/2.2.00/ Se zvyšováním technologické a technické úrovně průmyslu.
Jak se volá doména - ENUM v Česku E E Jiří Peterka
Elektronická pošta, zkráceně (zkráceně také mail) je způsob odesílání, doručování a přijímání zpráv přes elektronické komunikační systémy.
Spojení základních registrů s okolním světem Hradec Králové 2012.
CZ.NIC a jeho aktivity na poli počítačové bezpečnosti Konference Internet&komunikace 2015 Martin Peterka
Internet. je celosvětový systém navzájem propojených počítačových sítí („síť sítí“), ve kterých mezi sebou počítače komunikují pomocí rodiny protokolů.
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
Pojmy internetu - test Gymnázium a Jazyková škola s právem státní jazykové zkoušky Zlín Tematická oblastInternetové technologie, programování Datum vytvoření2013.
EU peníze školám Registrační číslo projektu CZ.1.07/1.4.00/ Název projektu Inovace školství Šablona - název Inovace a zkvalitnění výuky prostřednictvím.
Internet Internet je celosvětový systém navzájem propojených počítačových sítí („síť sítí“), ve kterých mezi sebou počítače komunikují pomocí rodiny.
1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma /
Anotace Materiál je určen pro 1. ročník studijního oboru M/01 PROVOZ A EKONOMIKA DOPRAVY, předmětu Informační a komunikační technologie, inovuje.
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
Přednášky o výpočetní technice Internet. přednášky o výpočetní technice Informační hyperdálnice ● Jedna mohutná počítačová síť ● Neplést Internet a Worldwide.
Základní škola a mateřská škola Lázně Kynžvart Autor: Mgr. Petra Šandová Název: VY_32_INOVACE_5B_INF3_17_Obsah ové zprávy Téma: Obsah ové zprávy.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Internet Historie, adresy serverů
Kybernetická kriminalita
Petra Martináková , ČJ+AJ se zaměřením na vzdělávání
Internet - historie.
Informačních systémů veřejné správy
Číslo projektu OP VK Název projektu Moderní škola Název školy
Adresace v Internetu (1)
Veřejný ochránce práv.
Informatika Internet.
Transkript prezentace:

DNSSEC a CSIRT aneb co může udělat webhoster pro bezpečnější internet Ing. Tomáš Hála ACTIVE 24, s.r.o.

Bezpečnost ze dvou pohledů - technologické zabezpečení - neustálé sledování nových technologií či postupů a jejich následné nasazování do praxe - rychlé a efektivní řešení bezpečnostních incidentů - spolupráce s jinými subjekty

DNSSEC - co je DNSSEC? - už podle jména si většina lidí udělá základní představu (viz naše nedávné výběrové řízení na Linux administrátora) - jedná se o standardizované doplnění klasického DNS protokolu o prvky elektronického podepisování za účelem eliminace řady bezpečnostních nedostatků současného systému DNS

Příklad nové technologie v praxi I. - DNSSEC

DNS – útok podle Kaminského - nezáplatované DNS servery používají vždy stejný zdrojový port - drtivá většina DNS dotazů a odpovědí používá UDP, tedy je relativně jednoduché podvrhnout zdrojovou IP adresu - DNS dotazy a odpovědi v sobě mají uloženo 2-bytové Transaction ID, tedy počet kombinací je přibližně 65 tisíc. - útok využívá časového okna mezi dotazem a odpovědí - postup dle Kaminského nevyžaduje čekání na vypršení TTL, tedy tímto způsobem je možné útočit kdykoliv - v praxi je dnes možné podvrhnout cache DNS serveru s nainstalovanými všemi aktualizacemi řádově během pouhých desítek hodin

Zpět k DNSSEC - teorie - zajišťuje elektronické podepsání údajů v DNS zóně, čímž umožňuje klientovi, aby si ověřil, že odpověď od DNS serveru, kterou obdržel, je platná a cestou nedošlo k její modifikaci - vytváří podobný řetězec důvěry, jaký známe z každodenně používaného protokolu SSL (např. HTTPS) - je zpětně kompatibilní s původním DNS protokolem, tedy i klienti, kteří DNSSEC nepodporují, mohou běžným způsobem zpracovávat odpovědi DNS na doméně s DNSSEC, jen neověří původ a integritu - používání DNSSEC omezuje možnosti útoků na mailové služby či obsah www (např. phishing)

DNSSEC - historie a současnost - na konci září 2008 byla na CZ doméně spuštěna podpora DNSSEC - jako jediný registrátor CZ domén jsme spustili podporu DNSSEC pro naše zákazníky ve stejný den jako CZ.NIC - v březnu 2009 (loňský InstallFest) chránil DNSSEC cca 600 českých domén, přičemž 550 z nich bylo registrováno přes ACTIVE 24 - k dnešnímu dni chrání DNSSEC přes českých domén, přičemž necelých z nich je registrováno přes ACTIVE 24 - DNSSEC je automaticky a zdarma aktivní na každé u nás registrované CZ doméně provozované na našich DNS serverech

DNSSEC - historie a současnost - uvedené údaje mj. znamenají, že ACTIVE 24 je největším registrátorem domén chráněných pomocí DNSSEC na světě! - zároveň s námi se tak český registr CZ.NIC spravující národní doménu.CZ a tedy i celá Česká republika stávají největšími uživateli technologie DNSSEC v celosvětovém měřítku - v počtu domén jsme tak překonali i Švédsko, které DNSSEC nasazovalo jako první a stále jej aktivně propaguje a rozšiřuje - chráněno je nyní cca 15% českých domén (je to hodně nebo málo?)

DNSSEC - historie a současnost - v březnu 2009 fungoval DNSSEC pouze na pěti národních doménách včetně té naší

DNSSEC - historie a současnost zdroj:

DNSSEC - historie a současnost byla podepsána kořenová zóna na L-Root - Early May, 2010: All root servers are now serving the DURZ (deliberately unvalidatable root zone). The effects of the larger responses from the signed root, if any, would now be encountered. - May and June, 2010: The deployment results are studied and a final decision to deploy DNSSEC in the root zone is made. - July 1, 2010: ICANN publishes the root zone trust anchor and root operators begin to serve the signed root zone with actual keys The signed root zone is available! zdroj:

DNSSEC v praxi - nárůst velikosti zón až dvacetinásobně (při uvažování velikosti bloku filesystému jen cca 3 násobně) - několikanásobně vyšší potřeba výpočetního výkonu při generovaní podepsané zóny - ačkoliv to procentuálně zní děsivě, v reálu jde v absolutních číslech o více-méně zanedbatelný nárůst - důležité bylo správné ošetření manipulace s NSSETy a KEYSETy

DNSSEC – co dál? - systém DNS má vždy dvě strany – autoritativní servery na straně jedné a DNS cache servery resp. resolvery na straně druhé - na straně autoritativních serverů došlo díky ACTIVE 24 ke značnému rozšíření této technologie v ČR - na straně druhé, tedy zejména u ISP zajišťujících připojení k internetu, se stále čeká, až se ledy pohnou a to i přesto, že validace DNSSECu je výrazně jednodušší na zprovoznění než správné podepisování a propagace zón - v současnosti je tedy největší výzvou přesvědčení velkých českých ISP, aby na svých DNS cache serverech pro zákazníky zapnuli DNSSEC validaci

DNSSEC – několik tipů - podrobné info na (provozuje CZ.NIC) - plugin do Firefoxu od CZ.NIC laboratoře - základní debug pomocí „dig +dnssec +cd - rhybar.cz – fungující doména se záměrně nevalidním podpisem - zprovoznění validace je práce na pár minut (bind, unbound) - pozor při použití více cache DNS serverů na klientské straně

CSIRT/CERT

- Computer Security Incident Response Team resp. Computer Emergency Response Team - hierarchický koncept bezpečnostních týmů, které spolupracují při řešení bezpečnostních incidentů na síti - obvykle jsou to týmy v rámci společností jako ISP, poskytovatelé obsahu, banky apod. a nad nimi týmy národní - národní týmy fungují ve většině civilizovaných zemí světa, ale jsou různě organizovány resp. spadají pod různé instituce

CSIRT/CERT – jako to vypadá v Evropě (r. 2008)?

CSIRT/CERT – jako to vypadá v Evropě (r. 2009)?

CSIRT/CERT – co tyto týmy řeší? - nejlépe si to ilustrujeme na příkladech: - banka XYZ sídlící např. v Austrálii zjistí, že na serveru provozovaném v České republice jsou umístěny phishing stránky vykrádající přístupové údaje klientům banky - banka potřebuje kontakt na někoho, s kým řešit urychlené odstranění tohoto obsahu, aby své klienty chránila - oficiální cesta přes policii je v praxi nepoužitelná kvůli době trvání - další příklady?

CSIRT/CERT – co tyto týmy řeší? - nespolupracující provideři – jak je přesvědčit ke spolupráci? - spolupráce při odhalování škodlivého provozu na síti - národní týmy pomáhají koordinovat rychlý společný postup v případě rozsáhlých distribuovaných útoků

CSIRT.CZ – jak to vypadá v ČR? - oficiální CSIRT týmy existují pouze dva – v rámci akademické sítě CESNET a centrálního registru CZ.NIC - národní CSIRT.CZ funguje od r jen jako modelový pilotní provoz na základě grantu MV ČR a jeho chod zajišťují členové CESNET-CERTS - funguje pracovní skupina CSIRT.CZ, v rámci které řeší zainteresované subjekty v ČR další směřování národního týmu - ACTIVE 24 se této skupiny účastní jako jediný webhoster a doménový registrátor v ČR (?!)

CSIRT.CZ – jak to vypadá v ČR? - kromě oficiálních CSIRT týmů funguje u alespoň trochu zodpovědných institucí kontakt prostřednictvím - skutečně zodpovědné instituce incidenty nahlášené na tuto adresu reálně řeší a to bez zbytečných odkladů - většina institucí nahlášené incidenty řeší až v případech, kdy způsobují škodu jim samotným - existuje řada institucí/providerů, kde bezpečnostní incidenty neřeší nikdo a na zaslaná hlášení nikdo nereaguje!

CSIRT.CZ – jak to vypadá v ČR? - koncepce CSIRT týmů vyžaduje zejména spolupráci - v případě subjektů, které nekomunikují resp. nespolupracují, nastupuje národní tým, aby komunikaci zprostředkoval - podobně pomáhá zprostředkovat komunikaci se subjekty, u kterých není zřejmý kontakt na bezpečnostní tým - s výhodou zprostředkovává komunikaci také se zahraničními subjekty oslovováním příslušných národních CSIRT týmů

CSIRT.CZ – jak to vypadá v ČR? - spolupráce probíhá zejména na dobrovolné bázi, ale může být i vynucena tam, kde mají národní CSIRT týmy širší pravomoci vyplývající ze zákona (např. Estonsko) - aktuální informace z politické stránky věci: - materiál „Řešení problematiky kybernetické bezpečnosti České republiky“, který tuto oblast zahrnuje, byl projednán bezpečnostní radou státu a čeká se na jeho schválení vládou (cca za 14 dní) - na post ředitele odboru kybernetické bezpečnosti MV ČR, který se touto oblastí začal od 1. února 2010 oficiálně zabývat, byl jmenován Ing. Aleš Špidla, který bude přítomen na zasedání pracovní skupiny CSIRT.CZ koncem března

CSIRT tým u ACTIVE24 - tým nemá oficiální registraci, ale je ve všech ohledech aktivní - drtivá většina komunikace probíhá přes - fungování zajišťuje tým Linuxových administrátorů a to i v rámci pohotovostního provozu mimo pracovní dobu - řeší se nejčastěji spam, phishing, ale také závažná trestná činnost (např. šíření dětské pornografie)

CSIRT tým u ACTIVE24 - okamžité řešení každé příchozí stížnosti na spam, který pochází z naší sítě či propaguje stránky hostované na našich serverech - následné nalezení zdroje a jeho technické zablokování - předání informací a doporučení zákazníkovi tak, aby se situace již neopakovala - v případě phishingu okamžité odstranění obsahu, dohledání způsobu, jak byl obsah na server umístěn a dále ve spolupráci se zákazníkem odstranění příčiny

CSIRT tým u ACTIVE24 - objevuje se i phishing na podvodně registrovaných doménách nasměrovaných na mnoho IP po celém světě – slouží-li doména prokazatelně pouze k tomuto účelu, je zrušena její delegace - v případě šíření dětské pornografie nebo jiné závažné trestné činnosti je kromě dříve uvedených postupů i aktivně zahájena spolupráce s orgány činnými v trestním řízení - toto vše se zdá jako samozřejmost, ale v praxi je to bohužel spíše vzácné – provideři velice často alibisticky poukazují na mezery v českých zákonech a incidenty neřeší, dokud neobdrží soudní příkaz

Závěr - vyzkoušejte DNSSEC – není to nic složitého! - ptejte se po validaci u svého ISP - podepsání můžete realizovat svépomocí (na svých DNS serverech) nebo stačí zaregistrovat či převést svou doménu k tomu správnému registrátorovi :-) - spolupracujte při řešení incidentů, ať se svou nečinností nepodílíte na kriminalitě na internetu

Prostor pro Vaše dotazy