Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma / 28. 2. 2008

Podobné prezentace


Prezentace na téma: "1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma / 28. 2. 2008"— Transkript prezentace:

1 1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma / pavel.tuma@nic.cz 28. 2. 2008 http://www.nic.cz

2 2 Obsah ● Jak funguje DNS ● Zranitelnosti a možná zneužití ● Co je a funguje DNSSEC

3 3 Jak funguje DNS

4 4 1. Kdo je www.seznam.cz? 2. Nevím, ale.cz spravují a.ns.nic.cz,... 3. Kdo je www.seznam.cz? 4. Nevím, ale.seznam.cz spravuje ns.seznam.cz,... 5. Kdo je www.seznam.cz? 6. www.seznam.cz je 77.75,76,3 77.75.76.3 7. Připojení na web server a přenos stránky Cache + Resolver Local DNS 199.7.83.42Master. a.ns.nic.czMaster.cz ns.seznam.cz Master seznam.cz

5 5 Jak funguje DNS

6 6 Zranitelnost DNS Cache + Resolver Local DNS 199.7.83.42Master. a.ns.nic.czMaster.cz ns.seznam.cz Master seznam.cz Vydávat se za lokální DNS Podvrhnout data a „znečistit“ cache Vydávat se za master Změnit data v zóně nebo provést neautorizovaný update Změnit data v zóně

7 7 Příklad zneužití - odposlech ● Každá doména má tzv. Mail eXchange záznam (MX) ● Určuje server pro příjem emailů Odesílající serverPřijímající server 1.2.3.4 uzivatel@firma.cz Kam předat poštu? Jaký je MX? MX je 1.2.3.4 Změní MX na 5.6.7.8 Padouchův server 5.6.7.8 Útočník je schopen číst emaily. A není to běžně poznat!

8 8 Příklad zneužití – phishing ● Dnes pomoci emailů ● Uživatel musí provést akci a má „šanci“ podvod odhalit

9 9 Síť ISP Příklad zneužití – phishing ●... ale pomocí DNS ● Bez akce uživatele a možnosti podvod odhalit! :( DNS serverwww.banka.cz 10.20.30.40 Kdo je www.banka.cz? www.banka.czwww.banka.cz je 10.20.30.40 Podvrhne odpověď 50.60.70.80 Všichni zákazníci ISP jdou na podvrženou stránku. A není to poznat! 50.60.70.80 se uloží do cache! Padouchův server 50.60.70.80

10 10 Další možná zneužití ● Spam – Obejít anti-spam ochranu v DNS ● Podvržení informací – Sledování akcií, způsobení paniky... ● Přesměrování telefonních hovorů v ENUM – Odposlech

11 11 DNSSEC ● Rozšíření zabezpečující DNS komunikaci ● Přináší – Ověření zdroje DNS údajů – Ověření integrity získaných údajů – Důvěryhodnou informaci o neexistenci údaje ● DNSSEC zajistí, že získané odpovědi můžeme důvěřovat ● DNSSEC nezajistí – Důvěrnost komunikačního kanálu při přenášení dat – Ochranu před Denial-Of-Service útoky

12 12 Jak DNSSEC funguje? ● Zavádí do DNS asymetrickou kryptografii – Soukromé + veřejné klíče – Veřejný klíč dokáže rozšifrovat data zašifrovaná soukromým klíčem (a naopak) – Pro DNSSEC pouze podpis (na rozdíl třeba od PGP) – Pomocí veřejného klíče ověřím podpis učiněný privátním klíčem ● Data v DNS jsou digitálně podepsána ● Klíče jsou také uloženy v DNS ● Ověření podpisů se provádí u nadřazené autority (=doména nižší úrovně) ● Řetěz důvěry – podobně jako u SSL

13 13 Jak DNSSEC funguje? 6. www.seznam.cz je 77.75.76.3 a má podpis 8beaa99f59e5e7cc 77.75.76.3 7. Připojení na web server a přenos stránky Cache + Resolver Local DNS 199.7.83.42 a.ns.nic.cz ns.seznam.cz Zóna.nic.cz: A 217.31.201.43 SIG 8beaa99f59e5e7cc Klíč pro.cz: be271f81f8771fc7 (Private) a69adbcdf38c323e (Public) Zóna.cz: DS be271f81f8771fc7 SIG d2a5e5bde52361e5 Klíč pro.cz: m61ac25e5febf351 (Private) n550f30618be204e (Public) Zóna.: DS n550f30618be204e SIG 31088aa325d9c403 Klíč pro.: xd253c5f92441741 (Private) y46ea4256ad4b6a5 (Public) Root: 199.7.83.42 y46ea4256ad4b6a5 = =

14 14 Co se změní s DNSSEC? ● Pro běžného uživatele nic... – DNS funguje nadále jako doposud ● Musí se zapnout používání DNSSEC – U sebe v SW – Na úrovni organizace – Na úrovni ISP ● Poskytovatelé služeb mohou využít pro zvýšení bezpečnosti 1) Vygeneruji dvojici klíčů 2) Podepíšu své zóny 3) Publikuji veřejnou část do registru.cz

15 15 Otázky a odpovědi...

16 16 Konec Děkuji za pozornost Pavel Tůma pavel.tuma@nic.czpavel.tuma@nic.cz http://www.nic.cz


Stáhnout ppt "1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma / 28. 2. 2008"

Podobné prezentace


Reklamy Google