Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma / 28. 2. 2008

ZveřejnilPetr Fišer

Podobné prezentace

Prezentace na téma: "1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma / 28. 2. 2008"— Transkript prezentace:

1 1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma / pavel.tuma@nic.cz 28. 2. 2008 http://www.nic.cz

2 2 Obsah ● Jak funguje DNS ● Zranitelnosti a možná zneužití ● Co je a funguje DNSSEC

3 3 Jak funguje DNS

4 4 1. Kdo je www.seznam.cz? 2. Nevím, ale.cz spravují a.ns.nic.cz,... 3. Kdo je www.seznam.cz? 4. Nevím, ale.seznam.cz spravuje ns.seznam.cz,... 5. Kdo je www.seznam.cz? 6. www.seznam.cz je 77.75,76,3 77.75.76.3 7. Připojení na web server a přenos stránky Cache + Resolver Local DNS 199.7.83.42Master. a.ns.nic.czMaster.cz ns.seznam.cz Master seznam.cz

5 5 Jak funguje DNS

6 6 Zranitelnost DNS Cache + Resolver Local DNS 199.7.83.42Master. a.ns.nic.czMaster.cz ns.seznam.cz Master seznam.cz Vydávat se za lokální DNS Podvrhnout data a „znečistit“ cache Vydávat se za master Změnit data v zóně nebo provést neautorizovaný update Změnit data v zóně

7 7 Příklad zneužití - odposlech ● Každá doména má tzv. Mail eXchange záznam (MX) ● Určuje server pro příjem emailů Odesílající serverPřijímající server 1.2.3.4 uzivatel@firma.cz Kam předat poštu? Jaký je MX? MX je 1.2.3.4 Změní MX na 5.6.7.8 Padouchův server 5.6.7.8 Útočník je schopen číst emaily. A není to běžně poznat!

8 8 Příklad zneužití – phishing ● Dnes pomoci emailů ● Uživatel musí provést akci a má „šanci“ podvod odhalit

9 9 Síť ISP Příklad zneužití – phishing ●... ale pomocí DNS ● Bez akce uživatele a možnosti podvod odhalit! :( DNS serverwww.banka.cz 10.20.30.40 Kdo je www.banka.cz? www.banka.czwww.banka.cz je 10.20.30.40 Podvrhne odpověď 50.60.70.80 Všichni zákazníci ISP jdou na podvrženou stránku. A není to poznat! 50.60.70.80 se uloží do cache! Padouchův server 50.60.70.80

10 10 Další možná zneužití ● Spam – Obejít anti-spam ochranu v DNS ● Podvržení informací – Sledování akcií, způsobení paniky... ● Přesměrování telefonních hovorů v ENUM – Odposlech

11 11 DNSSEC ● Rozšíření zabezpečující DNS komunikaci ● Přináší – Ověření zdroje DNS údajů – Ověření integrity získaných údajů – Důvěryhodnou informaci o neexistenci údaje ● DNSSEC zajistí, že získané odpovědi můžeme důvěřovat ● DNSSEC nezajistí – Důvěrnost komunikačního kanálu při přenášení dat – Ochranu před Denial-Of-Service útoky

12 12 Jak DNSSEC funguje? ● Zavádí do DNS asymetrickou kryptografii – Soukromé + veřejné klíče – Veřejný klíč dokáže rozšifrovat data zašifrovaná soukromým klíčem (a naopak) – Pro DNSSEC pouze podpis (na rozdíl třeba od PGP) – Pomocí veřejného klíče ověřím podpis učiněný privátním klíčem ● Data v DNS jsou digitálně podepsána ● Klíče jsou také uloženy v DNS ● Ověření podpisů se provádí u nadřazené autority (=doména nižší úrovně) ● Řetěz důvěry – podobně jako u SSL

13 13 Jak DNSSEC funguje? 6. www.seznam.cz je 77.75.76.3 a má podpis 8beaa99f59e5e7cc 77.75.76.3 7. Připojení na web server a přenos stránky Cache + Resolver Local DNS 199.7.83.42 a.ns.nic.cz ns.seznam.cz Zóna.nic.cz: A 217.31.201.43 SIG 8beaa99f59e5e7cc Klíč pro.cz: be271f81f8771fc7 (Private) a69adbcdf38c323e (Public) Zóna.cz: DS be271f81f8771fc7 SIG d2a5e5bde52361e5 Klíč pro.cz: m61ac25e5febf351 (Private) n550f30618be204e (Public) Zóna.: DS n550f30618be204e SIG 31088aa325d9c403 Klíč pro.: xd253c5f92441741 (Private) y46ea4256ad4b6a5 (Public) Root: 199.7.83.42 y46ea4256ad4b6a5 = =

14 14 Co se změní s DNSSEC? ● Pro běžného uživatele nic... – DNS funguje nadále jako doposud ● Musí se zapnout používání DNSSEC – U sebe v SW – Na úrovni organizace – Na úrovni ISP ● Poskytovatelé služeb mohou využít pro zvýšení bezpečnosti 1) Vygeneruji dvojici klíčů 2) Podepíšu své zóny 3) Publikuji veřejnou část do registru.cz

15 15 Otázky a odpovědi...

16 16 Konec Děkuji za pozornost Pavel Tůma pavel.tuma@nic.czpavel.tuma@nic.cz http://www.nic.cz

Stáhnout ppt "1 DNSSEC Důvěryhodné DNS CZ.NIC z.s.p.o. Pavel Tůma / 28. 2. 2008"

Podobné prezentace

Úvod Roviny bezpečnosti Softwarová bezpečnost AntiviryFirewall Bezpečnost na internetu PhishingSpam Datová komunikace Soutěž Bezpečně na netu 2014.

Úvod Roviny bezpečnosti Softwarová bezpečnost AntiviryFirewall Bezpečnost na internetu PhishingSpam Datová komunikace Soutěž Bezpečně na netu 2014.
Bližší informace o Spyware, adwere, spam.

Bližší informace o Spyware, adwere, spam.
jak to funguje ? MUDr.Zdeněk Hřib

jak to funguje ? MUDr.Zdeněk Hřib
Elektronický podpis.

Elektronický podpis.
Princip fungování pošty Vnitřní členění zpráv Protokoly

Princip fungování pošty Vnitřní členění zpráv Protokoly
Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)

Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_15 CZ.1.07/1.5.00/34.1021 Moderní škola.

Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_15 CZ.1.07/1.5.00/ Moderní škola.
Co je ENUM? aneb: ENUM v kostce Jiří Peterka 12.9. 2007 E E.

Co je ENUM? aneb: ENUM v kostce Jiří Peterka E E.
Elektronická pošta Elektronická pošta (e-mail) je obdobou běžné pošty a umožňuje přijímat a distribuovat dokumenty v textové podobě na jednu nebo více.

Elektronická pošta Elektronická pošta ( ) je obdobou běžné pošty a umožňuje přijímat a distribuovat dokumenty v textové podobě na jednu nebo více.
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.

ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Adresářová služba Active directory

Adresářová služba Active directory
Vytvoření řadiče Windows Serveru 2008 28.3.20151 Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.

Vytvoření řadiče Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Šifrovaná elektronická pošta Petr Hruška

Šifrovaná elektronická pošta Petr Hruška
Elektronický podpis  Zákon č. 227/2000 Sb. o elektronickém podpisu  ve vyjmenovaných případech staví elektronický dokument opatřený bezpečnostními.

Elektronický podpis  Zákon č. 227/2000 Sb. o elektronickém podpisu  ve vyjmenovaných případech staví elektronický dokument opatřený bezpečnostními.
Ochrana aktiv v malé firmě Bakalářská práce Pavel Šnajdr – Aplikovaná informatika.

Ochrana aktiv v malé firmě Bakalářská práce Pavel Šnajdr – Aplikovaná informatika.
Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník

Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník
HOAX,PHISHING,SPYWARE.

HOAX,PHISHING,SPYWARE.
INFORMATIKA 4_5 5. TÝDEN 1.-4. 10. 2013 9.-10. HODINA.

INFORMATIKA 4_5 5. TÝDEN HODINA.
Základy počítačových sítí elektronická pošta Základy počítačových sítí Lekce 5 Ing. Jiří ledvina, CSc.

Základy počítačových sítí elektronická pošta Základy počítačových sítí Lekce 5 Ing. Jiří ledvina, CSc.
Podnikání na Internetu letní semestr 2004 Jana Holá VIII.

Podnikání na Internetu letní semestr 2004 Jana Holá VIII.

Podobné prezentace

Reklamy Google