La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova.

PubblicatoBernarda Fumagalli Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova."— Transcript della presentazione:

1 DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova

2  Servizio essenziale per ogni dominio  Essenziale per ogni utente  Aperto sulla rete Come ?  Intrusioni  DoS  Poisoning Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova DNS - Noto ! Progetto DNSSEC

3 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Progetto DNSSEC Si propone di certificare le risposte dei DNS con l’uso delle chiavi asimmetriche  Richiesta esplicita per dnssec  Risposta deve contenere le firme per ogni RR (answer, authority)  Verifica della correttezza del record contenente la firma  Convalida della chiave pubblica a partire da una trusted anchor scendendo lungo la gerarchia dei domini  Uso della chiave convalidata per verificare la firma della risposta Rispettare la compatibilità  Risposta standard  Comunque non cifrata

4 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Il prezzo da pagare  File di zona grandi + firme  Più dati scambiati  Verifica di chiavi e firme  Catena di trust  Manutenzione delle chiavi e problemi di cache  DoS  Meno lavoro per il server  Modifica del protocollo per udp > 512 bytes bit DO  bit cd e ad  Parzialmente risolto  Tools vari

5 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Generazione delle chiavi Servono due coppie di chiavi per ogni zona: ZSK per firmare tutti i Resource Record Set KSK per la catena di trust Il comando dnssec-keygen richiede il nome della zona e genera due file: K + +.key/private

6 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova La chiave pubblica va inserita nel file della zona ; This is a zone-signing key, keyid 35727, for rete-27.lan. ; Created: 20111104102319 (Fri Nov 4 11:23:19 2011) ; Publish: 20111104102319 (Fri Nov 4 11:23:19 2011) ; Activate: 20111104102319 (Fri Nov 4 11:23:19 2011) rete-27.lan. IN DNSKEY 256 3 5 AwEAAa2CBASsi+cpOLhiwZ8wzFQrwlDdW0zQZjDiImN8VZCvglQdhrbI 6t2NKAlzujPSbJJXbXIXKvs3klU5X+dMRTM3G/icXwj1/DzlQ1mSEny0 P0j6tYrlpU21iKTKPyypHQ == This is a key-signing key, keyid 27698, for rete-27.lan. ; Created: 20111104102828 (Fri Nov 4 11:28:28 2011) ; Publish: 20111104102828 (Fri Nov 4 11:28:28 2011) ; Activate: 20111104102828 (Fri Nov 4 11:28:28 2011) rete-27.lan. IN DNSKEY 257 3 3 CP/Hd6xGaZYuFbiL/iAKnRca9K+DqL2vYMgmEaShsh4Pl1JkMjFwuGOZ ReSCaAx29IN7oh4WjLJT9ySe8ppmBD4LLVHI12morSMDG7yNmbIXZVHw UKQrg22i6ZysnR919+S8KZOXx6XPhpTJzL2fVx1Catf8uajrz4n5iCok VHc/Xeq3ol5R858YeCCyGWpIZ/7GwQWjeXH7SiEBvoVxHMM3VK2twF3O dCa9IBFmbMgpAg2yP7MTEOjIEFdF+p/OaYMf29FlBlv8V/hNBbHCbRne RFHmiT9GTlZ/lVtIhdOvSDx6ZDTIE0n2s/YwbwNSEmRA7XRTb0AwV+4B WHuB0wPRZX9h9vlKKvU/2durBhZ+n+x3sjbVZACEEdY8m4ayvY69Cgoq mC6z++roAX3vYySvsul4EHd2Lx5UqmK+oDedZegJBt8Z5w5UD+79/G/D KNP+gl5GWRHMLg+wp+5BJqPVa0lZCnossr0vdstrjxpwhFD8X8ATJH2f +8ek4hiXjklD79/pJxvAzZuyHoNFm+qb2BJa Generazione delle chiavi (2)

7 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Firma della zona Ogni Resource Record Set ( nome, classe, tipo) deve essere firmato. Sistema manuale: copio la chiave pubblica nel file di zona firmo con dnssec-signzone con il nome della zona e il nome del file crea.signed Sostituisco nella configurazione il nome del file di zona Per ogni record nuovo si deve rifirmare Sistema automatico se ho abilitato gli update automatici: key-directory "dynamic/27“; Allo start carica le chiavi e firma nsupdate per gestione In ogni caso Abilito dnssec  dnssec-enable yes;

8 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Firma della zona (2) calib-1.rete-27.lan. A 192.168.39.131 RRSIG A 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. nYVoKZcTN2u9jhZ+2ReU+MPxSyFXiTs4Z7+fiW2+091H 1WGgQSpxqKfH1udAJSeFD7Dun/RVkGml6RpUFEwFDLDM X8qLdHXGxCsX8u8tQwaNlYlUW7NWe5EzeMAgg6TTVLec qsRLuZaCDDemjs+3L1kRtNOe9khSz+Wwv5IbYFg= ) NSEC calib-3.rete-27.lan. A RRSIG NSEC RRSIG NSEC 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. UovRIpfO8DBfeId+t4/wyu7Z0jj60aNJXWuc36jy97MJ pq/oAnw0a0hhNNwVK4TzD1jgq9nep6KaQsjC/z4sl/XH zyetwrts03KVIehpQzFE+NUMcmVndioIC/FlRlgHBEg2 symMHpdXrZBOA9UwDZPYJ45ZdmK61Yhj6J0CkDk= ) calib-3.rete-27.lan. A 192.168.39.132 RRSIG A 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. NMvAfYSTJghdcc5DIjGUMddB593Bgaug/xUTPMnXUvmi Yohb3vzofA/chSURcYJRsUSGyMqFOSBkUfeaYqfnTPEI HI0EGTxNwAysgnzfe5GK9bLCCEo0xkbKNt4TiCwW9KVT

9 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Associarsi alla catena Resource Record DS Pubblicato nel dominio padre Firmato dnssec-dsfromkey Krete-27.lan.+005+11026 rete-27.lan. IN DS 11026 5 1 E46C91BAF057E91E68E2236E6F56520FD9293D2E rete-27.lan. IN DS 11026 5 2 F2C12D6DE5DAD10D3F722EF29394D70346BF7302FCB7C4239B0 E3BBC BC0D8653 Hash della KSK pubblica

10 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Il cammino della convalida Da dove parto? Trusted anchor – nel file di configurazione dnssec-validation yes trusted-keys {… Chiave pubblica ZSKKSKDSKSKZSK…… RRSSIG root

11 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Root firmata Secure data center in Culpeper, VA - location of first DNSSEC key signing ceremony 16 Giugno 2010 dnssec-validation auto Isc Bind dalla 9.8 chiave delle root fornita Isc Bind dalla 9.7 istruzione managed-keys { “.” initial-key Isc Bind dalla 9.6 definizione statica della root trusted-keys dal sito http://data.iana.org/root-anchors/ Versioni precedenti root non supportata

12 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Nuove chiavi di zona: Opzioni nella creazione:  Stessi parametri della chiave precedente  Data di pubblicazione sul DNS in stand by  Data di attivazione usata per firmare  Data di disattivazione valida ma non più usata  Data di cancellazione tolta dal DNS auto-dnssec maintain Idem per KSK, stand by per chi usa managed-keys. Database delle trusted anchor in managed-keys.bind Record DS secondo le politiche del dominio padre Key Rollover e cache

13 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Situazione http://stats.research.icann.org/dns/tld_report TLD DNSSEC Report (2012-02-08) 312 TLDs in the root zone in total 88 TLDs are signed; 84 TLDs have trust anchors published as DS records in the root zone; 3 TLDs have trust anchors published in the ISC DLV Repository. Il dominio it non è firmato

14 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Dati di Ripe Agosto 2011

15 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Conclusioni (1) Dati di fatto:  Per implementare dnssec servirebbe la firma di it  Firmato circa un quarto dei TLD  Qualche impennata, ma il numero sale molto lentamente  Firmati org, com, net, biz, edu, gov, ecc.  Lavoro di semplificazione: root firmata tools per server e client (plugin per firefox, app) appliance tool di debug http://dnsviz.net

16 Conclusioni (2) ….ma…. Necessario ? aprile 2005 Symantec luglio 2008Kaminsky novembre 2011Brasile Efficace ? forse Affidabile ? bug corretti DOD vigila, ma nasa.gov cade Alternative ? software migliorato politiche di sicurezza: manutenzione e ricursivita` Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova

Scaricare ppt "DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova."

Presentazioni simili

XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.

XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.

Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Certification Authority

Certification Authority
Introduzione ad Active Directory

Introduzione ad Active Directory
Microsoft Visual Basic MVP

Microsoft Visual Basic MVP
Certification Authority

Certification Authority
Configuring Network Access

Configuring Network Access
Public Key Infrastructure

Public Key Infrastructure
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.

Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
XmlBlackBox La presentazione Alexander Crea 7 Giugno 2010 La presentazione Alexander Crea 7 Giugno 2010.

XmlBlackBox La presentazione Alexander Crea 7 Giugno 2010 La presentazione Alexander Crea 7 Giugno 2010.
DNS.

DNS.
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.

Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Active Directory.

Active Directory.
DNS: Il Servizio Directory di Internet

DNS: Il Servizio Directory di Internet
La gestione delle acquisizioni in Aleph500

La gestione delle acquisizioni in Aleph500
DNSSEC COME GARANTIRE LA PROTEZIONE DEL TRASFERIMENTO DEI DATI DEL DNS CON LAUSILIO DELLA CRITTOGRAFIA Seminario per il corso di Reti di calcolatori e.

DNSSEC COME GARANTIRE LA PROTEZIONE DEL TRASFERIMENTO DEI DATI DEL DNS CON LAUSILIO DELLA CRITTOGRAFIA Seminario per il corso di Reti di calcolatori e.
Secure Shell Giulia Carboni

Secure Shell Giulia Carboni
Carotenuto Raffaele Distante Federico Picaro Luigi

Carotenuto Raffaele Distante Federico Picaro Luigi
Prof. Zambetti -Majorana © 2008

Prof. Zambetti -Majorana © 2008

Presentazioni simili

Annunci Google