1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma /
2 Obsah ● Jak funguje DNS ● Zranitelnosti a možná zneužití ● Co je a funguje DNSSEC
3 Jak funguje DNS
4 1. Kdo je 2. Nevím, ale.cz spravují a.ns.nic.cz, Kdo je 4. Nevím, ale.seznam.cz spravuje ns.seznam.cz, Kdo je je 77.75,76, Připojení na web server a přenos stránky Cache + Resolver Local DNS Master. a.ns.nic.czMaster.cz ns.seznam.cz Master seznam.cz
5 Jak funguje DNS
6 Zranitelnost DNS Cache + Resolver Local DNS Master. a.ns.nic.czMaster.cz ns.seznam.cz Master seznam.cz Vydávat se za lokální DNS Podvrhnout data a „znečistit“ cache Vydávat se za master Změnit data v zóně nebo provést neautorizovaný update Změnit data v zóně
7 Příklad zneužití - odposlech ● Každá doména má tzv. Mail eXchange záznam (MX) ● Určuje server pro příjem ů Odesílající serverPřijímající server Kam předat poštu? Jaký je MX? MX je Změní MX na Padouchův server Útočník je schopen číst y. A není to běžně poznat!
8 Příklad zneužití – phishing ● Dnes pomoci ů ● Uživatel musí provést akci a má „šanci“ podvod odhalit
9 Síť ISP Příklad zneužití – phishing ●... ale pomocí DNS ● Bez akce uživatele a možnosti podvod odhalit! :( DNS serverwww.banka.cz Kdo je je Podvrhne odpověď Všichni zákazníci ISP jdou na podvrženou stránku. A není to poznat! se uloží do cache! Padouchův server
10 Další možná zneužití ● Spam – Obejít anti-spam ochranu v DNS ● Podvržení informací – Sledování akcií, způsobení paniky... ● Přesměrování telefonních hovorů v ENUM – Odposlech
11 DNSSEC ● Rozšíření zabezpečující DNS komunikaci ● Přináší – Ověření zdroje DNS údajů – Ověření integrity získaných údajů – Důvěryhodnou informaci o neexistenci údaje ● DNSSEC zajistí, že získané odpovědi můžeme důvěřovat ● DNSSEC nezajistí – Důvěrnost komunikačního kanálu při přenášení dat – Ochranu před Denial-Of-Service útoky
12 Jak DNSSEC funguje? ● Zavádí do DNS asymetrickou kryptografii – Soukromé + veřejné klíče – Veřejný klíč dokáže rozšifrovat data zašifrovaná soukromým klíčem (a naopak) – Pro DNSSEC pouze podpis (na rozdíl třeba od PGP) – Pomocí veřejného klíče ověřím podpis učiněný privátním klíčem ● Data v DNS jsou digitálně podepsána ● Klíče jsou také uloženy v DNS ● Ověření podpisů se provádí u nadřazené autority (=doména nižší úrovně) ● Řetěz důvěry – podobně jako u SSL
13 Jak DNSSEC funguje? 6. je a má podpis 8beaa99f59e5e7cc Připojení na web server a přenos stránky Cache + Resolver Local DNS a.ns.nic.cz ns.seznam.cz Zóna.nic.cz: A SIG 8beaa99f59e5e7cc Klíč pro.cz: be271f81f8771fc7 (Private) a69adbcdf38c323e (Public) Zóna.cz: DS be271f81f8771fc7 SIG d2a5e5bde52361e5 Klíč pro.cz: m61ac25e5febf351 (Private) n550f30618be204e (Public) Zóna.: DS n550f30618be204e SIG 31088aa325d9c403 Klíč pro.: xd253c5f (Private) y46ea4256ad4b6a5 (Public) Root: y46ea4256ad4b6a5 = =
14 Co se změní s DNSSEC? ● Pro běžného uživatele nic... – DNS funguje nadále jako doposud ● Musí se zapnout používání DNSSEC – U sebe v SW – Na úrovni organizace – Na úrovni ISP ● Poskytovatelé služeb mohou využít pro zvýšení bezpečnosti 1) Vygeneruji dvojici klíčů 2) Podepíšu své zóny 3) Publikuji veřejnou část do registru.cz
15 Otázky a odpovědi...
16 Konec Děkuji za pozornost Pavel Tůma