DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova.

Slides:



Advertisements
Presentazioni simili
XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.
Advertisements

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Certification Authority
Introduzione ad Active Directory
Microsoft Visual Basic MVP
Certification Authority
Configuring Network Access
Public Key Infrastructure
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
XmlBlackBox La presentazione Alexander Crea 7 Giugno 2010 La presentazione Alexander Crea 7 Giugno 2010.
DNS.
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Active Directory.
DNS: Il Servizio Directory di Internet
La gestione delle acquisizioni in Aleph500
DNSSEC COME GARANTIRE LA PROTEZIONE DEL TRASFERIMENTO DEI DATI DEL DNS CON LAUSILIO DELLA CRITTOGRAFIA Seminario per il corso di Reti di calcolatori e.
Secure Shell Giulia Carboni
Carotenuto Raffaele Distante Federico Picaro Luigi
Prof. Zambetti -Majorana © 2008
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Presentazione del progetto di: Reti di calcolatori L-S Matteo Corbelli.
Microsoft Windows Installazione, gestione ed utilizzo delle risorse Microsoft nella sezione INFN di BOLOGNA.
Linux Riunione Referenti-CCL 2-Luglio Utilizzo di Linux Principale (unica) piattaforma di calcolo per HEP Grid Supportato dalle maggiori industrie.
Protocollo di autenticazione KERBEROS
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
1 Applicazioni contabili
E. Ferro / CNAF / 14 febbraio /13 GRID.it servizi di infrastruttura Enrico Ferro INFN-LNL.
UTILIZZARE UNA CHIAVETTA DATI USB COME SUPPORTO DI BACKUP IN WINDOWS XP Con la presente guida verrà spiegato come utilizzare un supporto USB come valido.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Guida IIS 6 A cura di Nicola Del Re.
Guida all’installazione dei certificati su Internet Explorer e Mozilla Firefox per l’accesso remoto al Donor Manager Softime90 S.n.c.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Università degli Studi G. dAnnunzio Chieti-Pescara Corso di Laurea Specialistica in Economia Informatica Seminario per il corso di Reti di calcolatori.
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Secure Socket Layer (SSL) Transport Layer Security (TLS)
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
Firenze – Festival della Creatività 2009 Comm.it s.r.l. – Ing. Davide Rogai, Ph.D. – Software >> fast on demand software.
La versione 18 di Aleph500: le novità CATALOGAZIONE Rita Vanin Ottobre 2007.
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
Un problema importante
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
IPSec Fabrizio Grossi.
Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.
Attivazione protocollo SSL al sistema di posta elettronica
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Analisi e sperimentazione di una Certification Authority
Francesco M. Taurino 1 NESSUS IL Security Scanner.
Esperienze relative all’unità didattica “Domain Name System (DNS)”
Database Elaborato da: Claudio Ciavarella & Marco Salvati.
Certificati e VPN.
La Crittografia nell’ambito del protocollo HTTP Classe: V istituto professionale (gestione aziendale) Obiettivo 1: Generazione di competenze e preparazione.
Publishing Platform Presentazione: Cinzia Colacicco Support Account Manager.
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 1 - Domain Name System Ernesto Damiani Lezione 2 – Caratteristiche.
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 1 -Domain Name System Ernesto Damiani Lezione 3 – Complementi.
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Corso di Reti di Calcolatori LS Progetto di un server FTP in grado di coordinarsi con altri mirror per garantire QoS di Marco Buccione.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA Ingegneria Informatica e dell’Automazione.
CREAZIONE UTENTE SU ORACLE1 Lanciate Enterprise Manager Console dal Menu Start -> Programmi -> Oracle - OraHome92 (modalità standalone) Scegliete di adottare.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
IV Corso di formazione INFN per amministratori di siti GRID Tutorial di amministrazione DGAS Giuseppe Patania.
04/06/2016Francesco Serafini INDICO Corso Nazionale Novembre 2007.
ASP – Active Server Pages - 1 -Giuseppe Tandoi ASP – Active Server Pages Tecnologia per lo sviluppo di pagine dinamiche.
Gestione, monitoraggio e criticità della sicurezza in INFN e IGI
Transcript della presentazione:

DNSSEC Sicurezza & Windows Frascati Febbraio 2012 Fulvia Costa Infn Padova

 Servizio essenziale per ogni dominio  Essenziale per ogni utente  Aperto sulla rete Come ?  Intrusioni  DoS  Poisoning Frascati Febbraio 2012Fulvia Costa Infn Padova DNS - Noto ! Progetto DNSSEC

Frascati Febbraio 2012Fulvia Costa Infn Padova Progetto DNSSEC Si propone di certificare le risposte dei DNS con l’uso delle chiavi asimmetriche  Richiesta esplicita per dnssec  Risposta deve contenere le firme per ogni RR (answer, authority)  Verifica della correttezza del record contenente la firma  Convalida della chiave pubblica a partire da una trusted anchor scendendo lungo la gerarchia dei domini  Uso della chiave convalidata per verificare la firma della risposta Rispettare la compatibilità  Risposta standard  Comunque non cifrata

Frascati Febbraio 2012Fulvia Costa Infn Padova Il prezzo da pagare  File di zona grandi + firme  Più dati scambiati  Verifica di chiavi e firme  Catena di trust  Manutenzione delle chiavi e problemi di cache  DoS  Meno lavoro per il server  Modifica del protocollo per udp > 512 bytes bit DO  bit cd e ad  Parzialmente risolto  Tools vari

Frascati Febbraio 2012Fulvia Costa Infn Padova Generazione delle chiavi Servono due coppie di chiavi per ogni zona: ZSK per firmare tutti i Resource Record Set KSK per la catena di trust Il comando dnssec-keygen richiede il nome della zona e genera due file: K + +.key/private

Frascati Febbraio 2012Fulvia Costa Infn Padova La chiave pubblica va inserita nel file della zona ; This is a zone-signing key, keyid 35727, for rete-27.lan. ; Created: (Fri Nov 4 11:23: ) ; Publish: (Fri Nov 4 11:23: ) ; Activate: (Fri Nov 4 11:23: ) rete-27.lan. IN DNSKEY AwEAAa2CBASsi+cpOLhiwZ8wzFQrwlDdW0zQZjDiImN8VZCvglQdhrbI 6t2NKAlzujPSbJJXbXIXKvs3klU5X+dMRTM3G/icXwj1/DzlQ1mSEny0 P0j6tYrlpU21iKTKPyypHQ == This is a key-signing key, keyid 27698, for rete-27.lan. ; Created: (Fri Nov 4 11:28: ) ; Publish: (Fri Nov 4 11:28: ) ; Activate: (Fri Nov 4 11:28: ) rete-27.lan. IN DNSKEY CP/Hd6xGaZYuFbiL/iAKnRca9K+DqL2vYMgmEaShsh4Pl1JkMjFwuGOZ ReSCaAx29IN7oh4WjLJT9ySe8ppmBD4LLVHI12morSMDG7yNmbIXZVHw UKQrg22i6ZysnR919+S8KZOXx6XPhpTJzL2fVx1Catf8uajrz4n5iCok VHc/Xeq3ol5R858YeCCyGWpIZ/7GwQWjeXH7SiEBvoVxHMM3VK2twF3O dCa9IBFmbMgpAg2yP7MTEOjIEFdF+p/OaYMf29FlBlv8V/hNBbHCbRne RFHmiT9GTlZ/lVtIhdOvSDx6ZDTIE0n2s/YwbwNSEmRA7XRTb0AwV+4B WHuB0wPRZX9h9vlKKvU/2durBhZ+n+x3sjbVZACEEdY8m4ayvY69Cgoq mC6z++roAX3vYySvsul4EHd2Lx5UqmK+oDedZegJBt8Z5w5UD+79/G/D KNP+gl5GWRHMLg+wp+5BJqPVa0lZCnossr0vdstrjxpwhFD8X8ATJH2f +8ek4hiXjklD79/pJxvAzZuyHoNFm+qb2BJa Generazione delle chiavi (2)

Frascati Febbraio 2012Fulvia Costa Infn Padova Firma della zona Ogni Resource Record Set ( nome, classe, tipo) deve essere firmato. Sistema manuale: copio la chiave pubblica nel file di zona firmo con dnssec-signzone con il nome della zona e il nome del file crea.signed Sostituisco nella configurazione il nome del file di zona Per ogni record nuovo si deve rifirmare Sistema automatico se ho abilitato gli update automatici: key-directory "dynamic/27“; Allo start carica le chiavi e firma nsupdate per gestione In ogni caso Abilito dnssec  dnssec-enable yes;

Frascati Febbraio 2012Fulvia Costa Infn Padova Firma della zona (2) calib-1.rete-27.lan. A RRSIG A ( rete-27.lan. nYVoKZcTN2u9jhZ+2ReU+MPxSyFXiTs4Z7+fiW2+091H 1WGgQSpxqKfH1udAJSeFD7Dun/RVkGml6RpUFEwFDLDM X8qLdHXGxCsX8u8tQwaNlYlUW7NWe5EzeMAgg6TTVLec qsRLuZaCDDemjs+3L1kRtNOe9khSz+Wwv5IbYFg= ) NSEC calib-3.rete-27.lan. A RRSIG NSEC RRSIG NSEC ( rete-27.lan. UovRIpfO8DBfeId+t4/wyu7Z0jj60aNJXWuc36jy97MJ pq/oAnw0a0hhNNwVK4TzD1jgq9nep6KaQsjC/z4sl/XH zyetwrts03KVIehpQzFE+NUMcmVndioIC/FlRlgHBEg2 symMHpdXrZBOA9UwDZPYJ45ZdmK61Yhj6J0CkDk= ) calib-3.rete-27.lan. A RRSIG A ( rete-27.lan. NMvAfYSTJghdcc5DIjGUMddB593Bgaug/xUTPMnXUvmi Yohb3vzofA/chSURcYJRsUSGyMqFOSBkUfeaYqfnTPEI HI0EGTxNwAysgnzfe5GK9bLCCEo0xkbKNt4TiCwW9KVT

Frascati Febbraio 2012Fulvia Costa Infn Padova Associarsi alla catena Resource Record DS Pubblicato nel dominio padre Firmato dnssec-dsfromkey Krete-27.lan rete-27.lan. IN DS E46C91BAF057E91E68E2236E6F56520FD9293D2E rete-27.lan. IN DS F2C12D6DE5DAD10D3F722EF29394D70346BF7302FCB7C4239B0 E3BBC BC0D8653 Hash della KSK pubblica

Frascati Febbraio 2012Fulvia Costa Infn Padova Il cammino della convalida Da dove parto? Trusted anchor – nel file di configurazione dnssec-validation yes trusted-keys {… Chiave pubblica ZSKKSKDSKSKZSK…… RRSSIG root

Frascati Febbraio 2012Fulvia Costa Infn Padova Root firmata Secure data center in Culpeper, VA - location of first DNSSEC key signing ceremony 16 Giugno 2010 dnssec-validation auto Isc Bind dalla 9.8 chiave delle root fornita Isc Bind dalla 9.7 istruzione managed-keys { “.” initial-key Isc Bind dalla 9.6 definizione statica della root trusted-keys dal sito Versioni precedenti root non supportata

Frascati Febbraio 2012Fulvia Costa Infn Padova Nuove chiavi di zona: Opzioni nella creazione:  Stessi parametri della chiave precedente  Data di pubblicazione sul DNS in stand by  Data di attivazione usata per firmare  Data di disattivazione valida ma non più usata  Data di cancellazione tolta dal DNS auto-dnssec maintain Idem per KSK, stand by per chi usa managed-keys. Database delle trusted anchor in managed-keys.bind Record DS secondo le politiche del dominio padre Key Rollover e cache

Frascati Febbraio 2012Fulvia Costa Infn Padova Situazione TLD DNSSEC Report ( ) 312 TLDs in the root zone in total 88 TLDs are signed; 84 TLDs have trust anchors published as DS records in the root zone; 3 TLDs have trust anchors published in the ISC DLV Repository. Il dominio it non è firmato

Frascati Febbraio 2012Fulvia Costa Infn Padova Dati di Ripe Agosto 2011

Frascati Febbraio 2012Fulvia Costa Infn Padova Conclusioni (1) Dati di fatto:  Per implementare dnssec servirebbe la firma di it  Firmato circa un quarto dei TLD  Qualche impennata, ma il numero sale molto lentamente  Firmati org, com, net, biz, edu, gov, ecc.  Lavoro di semplificazione: root firmata tools per server e client (plugin per firefox, app) appliance tool di debug

Conclusioni (2) ….ma…. Necessario ? aprile 2005 Symantec luglio 2008Kaminsky novembre 2011Brasile Efficace ? forse Affidabile ? bug corretti DOD vigila, ma nasa.gov cade Alternative ? software migliorato politiche di sicurezza: manutenzione e ricursivita` Frascati Febbraio 2012Fulvia Costa Infn Padova