1 DNSSEC for dummies CZ.NIC z.s.p.o. Ondřej Surý /

Slides:



Advertisements
Podobné prezentace
Bezpečný digitální podpis v praxi
Advertisements

Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační.
Ing. David Pejčoch Tutorial
jak to funguje ? MUDr.Zdeněk Hřib
Elektronický podpis.
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_18 CZ.1.07/1.5.00/ Moderní škola.
Architektury a techniky DS Tvorba efektivních příkazů I Přednáška č. 3 RNDr. David Žák, Ph.D. Fakulta elektrotechniky a informatiky
B-Strom.
B-strom je dynamická indexová struktura.
David Škaroupka S49 FSI VUT Brno Systém DNS (Domain Name System) (v rámci cvičení VPN)
Bc. Jan Kotlařík. Pojmy  Naslouchání  Falšování  Napodobování – podvádění, zkreslení  Šifrování a dešifrování  Detekce falšování  Autentizace 
Vytvoření řadiče Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Šifrovaná elektronická pošta Petr Hruška
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Česká zemědělská univerzita v Praze Provozně ekonomická fakulta Administrace DNS serveru v prostředí OS Linux Vypracoval: Jiří Malák.
Číslo šablony: III/2 VY_32_INOVACE_P4_3.6 Tematická oblast: Aplikační software pro práci s informacemi II. Databáze - formulář Typ: DUM - kombinovaný Předmět:
Public Key Infrastructure Přednášky z Distribuovaných systémů Ing. Jiří Ledvina, CSc.
1 Počítačové sítě Aplikační vrstva Přístup k transportní vrstvě z vrstvy aplikační – rozhraní služeb – služby pro systémové aplikace, služby pro uživatelské.
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Mlhavost Fuzzy logika, fuzzy množiny, fuzzy čísla
Firewall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
1 Elektronický podpis v ČR Bezpečnost IS/IT Jaroslav Malý.
BIS Elektronický podpis Roman Danel VŠB – TU Ostrava.
Blíží se datové schránky,. aneb „Nepropadejte panice!“
Základy hudební abecedy
DNS a Windows 200x Služba DNS je vyžadována pro vytvoření Active Directory Problémy 1.Dle RFC 1123 lze v DNS použít znaky: ‘A’-’Z’, ‘a’-’z’, ‘0’-’9’, and.
Aplikační vrstva Přístup k transportní vrstvě z vrstvy aplikační – rozhraní služeb – služby pro systémové aplikace, služby pro uživatelské aplikace HTTP.
Feistlovy kryptosystémy Posuvné registry Lucifer DES, AES Horst Feistel Německo, USA IBM.
Hybridní kryptosystémy
Jak se volá doména - ENUM v Česku E E Jiří Peterka
1 Seminář 10 1 DNS (Domain Name System) Aplikační protokol Používá UDP i TCP Naslouchá na portu 53 hierarchický systém doménových jmen Pracuje způsobem.
Překlad jmen, instalace AD
David PETR, Kateřina VOISOVÁ
DNSSEC a CSIRT aneb co může udělat webhoster pro bezpečnější internet Ing. Tomáš Hála ACTIVE 24, s.r.o.
ELEKTRONICKÝ PODPIS Jiří Suchomel tel.: Přihlášení na:Tester kraj Heslo:ecibudrap.
Business Consulting Services © 2005 IBM Corporation 9. ICT Forum, Praha Elektronická daňová správa Klientský přístup k daňovým subjektům.
Aplikace MS2014+ Portál IS KP14+.
9/27/2016www.sutol.cz1 Lotus Sametime Gateway Josef Honc Praha.
DHCP a DNS a jak se dají využít v domácí síti. Úvod ● síťové protokoly ● spolupodílí se na fungování Internetu.
Copyright © 2008 Internet Systems Consortium DNSSEC během 6 minut Historie aktualizací Nečíslováno – Původní vydání 1.1 – Úpravy gramatiky, přidáno číslo.
Aplikace MS2014+ Portál IS KP14+.
Akademie DNSSEC Matej Dioszegi
Aplikace MS2014+ Portál IS KP14+. URL aplikace IS KP pro korektní fungování aplikace je nezbytně nutné dodržovat.
Informační bezpečnost VY_32_INOVACE _BEZP_17.  obdoba klasického podpisu, jež má zaručit jednoznačnou identifikaci osoby v prostředí digitálního světa.
1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma /
Internetová doména, její dostupnost a registrace Gymnázium a Jazyková škola s právem státní jazykové zkoušky Zlín Tematická oblastInternetové technologie,
Elektronický podpis a podepisování při přeshraničním styku Odbor koncepce a koordinace ISVS Elektronický podpis a podepisování při přeshraničním styku.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Aplikace MS2014+ Portál IS KP14+. URL aplikace IS KP pro korektní fungování aplikace je nezbytně nutné dodržovat.
Elektronické podávání v rámci daňového řízení; dopady nařízení eIDAS 9
Bezpečnostní technologie I
Aplikace Monitorovací systém
Prezentace – X33BMI Petr PROCHÁZKA
TÉMA: Počítačové systémy
TÉMA: Počítačové systémy
Ověřování první sbírky
Aplikace MS2014+ Portál IS KP14+.
NÁZEV ŠKOLY: Střední odborné učiliště a Základní škola AUTOR: Bc
Aplikace Monitorovací systém
DNS (Domain Name System)
Aplikace Monitorovací systém
Číslo projektu OP VK Název projektu Moderní škola Název školy
DNS (Domain Name System)
Aplikační vrstva Přístup k transportní vrstvě z vrstvy aplikační – rozhraní služeb – služby pro systémové aplikace, služby pro uživatelské aplikace HTTP.
Přednášky z distribuovaných systémů
Mikulášská kryptobesídka 2004 Praha, Hotel STEP,
Elektronický (digitální) podpis
Definiční obory. Množiny řešení. Intervaly.
Aplikace MS2014+ Portál IS KP14+.
Transkript prezentace:

1 DNSSEC for dummies CZ.NIC z.s.p.o. Ondřej Surý /

2 DNSSEC a DNS ● Nemění se základní princip fungování DNS - na dotaz se opět odpoví seznamem záznamů publikovaných v zóně ● Přidává se několik nových bitových příznaků do protokolu ● Ke známým typům záznamů se zavádí čtyři nové typy záznamů – RRSIG – podpis nějakého záznamu – DNSKEY – veřejný klíč určený k podepisování – DS – delegace veřejného klíče o úroveň víš – NSEC – pro vyřešení negativních odpovědí ● DNS server přidají tyto nové záznamy k originální odpovědi

3 RRSIG – podpis záznamů ● Protože v odpovědi jsou vždy záznamy stejného typu, podepisuje se jedním podpisem celá skupina těchto záznamů v zóně ● RRSIG záznam obsahuje hash těchto záznamů podepsaných privátním klíčem ● Klient obdrží kromě originální odpovědi související RRSIG záznam a pokud má veřejný klíč může odpověď ověřit ● RRSIG záznam kromě vlastního podpisu obsahuje: – Identifikaci klíče, kterým se podepisovalo – Algoritmus použitý pro podepsání

4 DNSKEY – veřejný klíč ● Aby klient mohl ověřit data proti jejich RRSIG záznamu, potřebuje veřejný klíč ● Klíč je zveřejněn v zóně v podobě DNSKEY záznamu ● DNSKEY záznam obsahuje: – Identifikaci klíče pro jeho rychlé vyhledání (stejná jako v RRSIG) – Algoritmus použitý pro podepisování ● Klíčů může být několik (například s různou dobou platnosti) ● ZSK – klíč podepisující všechny záznamy v zóně s krátkou dobou platnosti ● KSK – klíč podepisující KSK s dlouhou dobou platnosti, který se zveřejňuje ven

5 DS – vytvoření „chain of trust“ ● Jak vím, že zveřejněný klíč který mám, patří dané doméně? ● Tento klíč je vložen do nadřazené domény v podobě DS záznamu ● DS záznam je spolu s ostatními záznamy této domény podepsán jejím privátním klíčem ● Tím se vytvoří řetěz důvěry, který vede až ke kořenové zóně ● K fungování celého mechanismu ověřování stačí jediný klíč – klíč kořenové zóny ● Pro urychlení mechanismu se tyto klíče kešují v resolverech ● DS záznam obsahuje hash klíče, jeho identifikaci pro vyhledání a algoritmus jakým byl vytvořen

6 NSEC – záporná odpověď ● Jak odpovědět, když dotazovaný záznam neexistuje? ● DNS standardně nevrací žádný záznam, jen příznak že záznam neexistuje ● Řešením je NSEC záznam, který reprezentuje prázdná místa v zónovém souboru ● NSEC záznam obsahuje předchozí a následující existující doménu – Domény musí být abecedně setříděné ● NSEC záznam je standardně podepsán jako ostatní záznamy ● Odpovědí na neexistující doménu je tedy podepsaný NSEC záznam dokazující, že tam daná doména opravdu není

7 Podpora v software ● Autoritativní servery – BIND, NSD, ANS ● Rekurzivní servery – BIND, Unbound ● Toolkity – Net::DNS::SEC, ldns, DNSRuby ● Nástroje – ldns, drill, dig, dnssec-tools ● Více na

8 Rekurzivní BIND ● Konfigurace důvěryhodných klíčů – Podepsat ROOT zónu! – Lookaside validace (DLV) ● Zapnutí DNSSEC ověřování

9 Zapnutí ověřování options { // zapneme DNSSEC dnssec-enable yes; // zapneme ověřování DNSSEC podpisů dnssec-validation yes; };

10 Důvěryhodné klíče // Klíče, kterým věříme // trusted-keys { "." "AwEAAbWMiPoQlFp+snq84lbEPx2kPgessP91ieS+jeab Isxi9tE9MCbEeCrRqPtKT1p50l+C0cvapYFAsg8VhyDI M1Tpyw8KHTgh267GciKfVkxRRZy68ndKRHC/bq8zqD4c YxVdJofTbIAmbxdX8OdYwtJ7ZFS7B14aSSQ/1y/8stX+ l3oAPgSbcIhjCMKzHOloR9npD6gGJpUud5zoyG1+GkVv uD7XPQpzmqO8KAyMz7/Nh2MmJHzfWp4LglqT4cdCT/S8 YTdE46I9+vDGlhknHIyEyI5mP9kZWXZa58wWbv9ZBTzN 0PNPWQHfPWp045wUAqrRagTbRs7sWw/fpKgC5I0=“; "in-addr.arpa." "AwEAAcNF+NK6ZTvr6JNptCBtDVB404U+AZ89E2r3tN1s StDTsgFZ7/9ZORS6NJ+68e56g5V2Tak7+KFTylXwQhj3 w3o84iu/8V4YxDUcXfKd8H2dK4ow5nJJcbYoaObKULCv 0VjuZ/5UKXLh56rCpiNrTmS1ixJcnWV/TjCHcTrPT5o/ NbsulfhHKDCGwSoRho298f0IJsYFFNM8+5/QqDY07Rmh xWLL030W6ur/EeT8GfRzVORExYlmgSqvhDAXsvP5WbPz lmcfyrJgaMQDSI+N0Jy+qRafCQbJubQRDpVXSvAj5LJL efttEkon1DQKJX5+oWKlGz7fOU5VUnV4axsLsmU=“ };

11 DLV registr options { // zapneme DNSSEC dnssec-enable yes; // zapneme ověřování DNSSEC podpisů dnssec-validation yes; // Náš DLV registr bude „dlv.isc.org“ dnssec-lookaside "." trust-anchor "dlv.isc.org."; }; trusted-keys { dlv.isc.org "BEAAAAPp1USu3BecNerrrd78zxJIslqFaJ9csRkxd9LCMzvk9Z0wFzoF kWAHMmMhWFpSLjPLX8UL6zDg85XE55hzqJKoKJndRqtncUwHkjh6zERN uymtKZSCZvkg5mG6Q9YORkcfkQD2GIRxGwx9BW7y3ZhyEf7ht/jEh01N ibG/uAhj4qkzBM6mgAhSGuaKdDdo40vMrwdv0CHJ74JYnYqU+vsTxEIw c/u+5VdA0+ZOA1+X3yk1qscxHC24ewPoiASE7XlzFqIyuKDlOcFySchT Ho/UhNyDra2uAYUH1onUa7ybtdtQclmYVavMplcay4aofVtjU9NqhCtv f/dbAtaWguDB"; };

12 Podepsání vlastní zóny ● Vygenerování KSK ● Vygenerování ZSK ● Vložení klíčů do zóny ● Podepsání zóny ● Zveřejnění DS záznamů

13 Vygenerování KSK a ZSK # dnssec-keygen -f KSK -a RSASHA1 -b n ZONE cz Kcz # dnssec-keygen -a RSASHA1 -b n ZONE cz Kcz

14 Vložení klíčů do zóny cz. IN DNSKEY AwEAAbCk0Gtxx/VY/fP4xSiNf+qhaD6Ng6Ukf4rj981Qtd96yaZJ 06q6lbfh0s9zwenOmizupAGYLhSVJQwCwbCH0waI5yZy/dFADaCg ho+47s+a5wHgTqOGhCqxlaVPH72taU6cLTRXqgg1qHkGjuY+cUQe dbE39EV/Y99rOKyXc55IfK+K8Tp2NtEo0nLSz0ZV+n+OPDvXWx7M /UwTxs19kqqulHMm GYHCa9ksa0ODyp9rUi6AvlJKl4rmyv2vId1 oUOSCTUE+egBTXGKR3Z/rFZc6wbcRKvsuhnPTiJsur45OswuWqLH TbioTQKCUlDnY89B1fKMo1h+H MhVXl82L/i0= cz. IN DNSKEY AwEAAeTTHMR3LVzgMyBUudaN6+6gdvloATdrERnMAaFMOQXyKBFC/DZL 1LNHGUQSm/76gALNTA2XPzCdT836z0h7zjfKbgw9NteDYQO56opz9d2m y5ryf4wtW46e2QrIwREvIPFY10rDPQ01n+pzvirmSsvwFtv79zXGau9f qbF9b+47

15 Podepsání zóny # dnssec-signzone -o cz -k Kcz db.cz Kcz cz IN SOA a.ns.nic.cz. hostmaster.nic.cz. ( ; serial 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) ; expire (1 week) 900 ; minimum (15 minutes) ) RRSIG SOA ( cz. bapUMQULITCurLHSvZTKnrw5NNar5r92CwOX l7+Jdd0WwYU/QaMCSL0ckQ4/RcYQs5CY0bsc JnM5bZdq1VnSzo/ejx6RN3ucWsRkPLG5K6Vd eI2XNvilqqHnKKySJCsLMqrGx0kdzUxUhkr6 VLbPcnlO9gHb5RpU03jgT8joZt8= )

16 Zveřejnění DS záznamů # dnssec-signzone -g -o cz -k Kcz db.cz Kcz # cat dsset-cz. cz. IN DS AB0766D2A67E3A6C15D2DF9244A54E1D66172 cz. IN DS E214CCEBF D320D02D39BC8F4237A48E744FB858F394DAE86A 615D8CA0 # dnssec-signzone -l dlv.isc.org -o cz -k Kcz db.cz Kcz # cat dlvset-cz. cz.dlv.isc.org. IN DLV AB0766D2A67E3A6C15D2DF9244A54E1D66172 cz.dlv.isc.org. IN DLV E214CCEBF D320D02D39BC8F4237A48E744FB858F394DAE86A 615D8CA0

17 Otázky?