La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova.

Presentazioni simili


Presentazione sul tema: "DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova."— Transcript della presentazione:

1 DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova

2  Servizio essenziale per ogni dominio  Essenziale per ogni utente  Aperto sulla rete Come ?  Intrusioni  DoS  Poisoning Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova DNS - Noto ! Progetto DNSSEC

3 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Progetto DNSSEC Si propone di certificare le risposte dei DNS con l’uso delle chiavi asimmetriche  Richiesta esplicita per dnssec  Risposta deve contenere le firme per ogni RR (answer, authority)  Verifica della correttezza del record contenente la firma  Convalida della chiave pubblica a partire da una trusted anchor scendendo lungo la gerarchia dei domini  Uso della chiave convalidata per verificare la firma della risposta Rispettare la compatibilità  Risposta standard  Comunque non cifrata

4 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Il prezzo da pagare  File di zona grandi + firme  Più dati scambiati  Verifica di chiavi e firme  Catena di trust  Manutenzione delle chiavi e problemi di cache  DoS  Meno lavoro per il server  Modifica del protocollo per udp > 512 bytes bit DO  bit cd e ad  Parzialmente risolto  Tools vari

5 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Generazione delle chiavi Servono due coppie di chiavi per ogni zona: ZSK per firmare tutti i Resource Record Set KSK per la catena di trust Il comando dnssec-keygen richiede il nome della zona e genera due file: K + +.key/private

6 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova La chiave pubblica va inserita nel file della zona ; This is a zone-signing key, keyid 35727, for rete-27.lan. ; Created: 20111104102319 (Fri Nov 4 11:23:19 2011) ; Publish: 20111104102319 (Fri Nov 4 11:23:19 2011) ; Activate: 20111104102319 (Fri Nov 4 11:23:19 2011) rete-27.lan. IN DNSKEY 256 3 5 AwEAAa2CBASsi+cpOLhiwZ8wzFQrwlDdW0zQZjDiImN8VZCvglQdhrbI 6t2NKAlzujPSbJJXbXIXKvs3klU5X+dMRTM3G/icXwj1/DzlQ1mSEny0 P0j6tYrlpU21iKTKPyypHQ == This is a key-signing key, keyid 27698, for rete-27.lan. ; Created: 20111104102828 (Fri Nov 4 11:28:28 2011) ; Publish: 20111104102828 (Fri Nov 4 11:28:28 2011) ; Activate: 20111104102828 (Fri Nov 4 11:28:28 2011) rete-27.lan. IN DNSKEY 257 3 3 CP/Hd6xGaZYuFbiL/iAKnRca9K+DqL2vYMgmEaShsh4Pl1JkMjFwuGOZ ReSCaAx29IN7oh4WjLJT9ySe8ppmBD4LLVHI12morSMDG7yNmbIXZVHw UKQrg22i6ZysnR919+S8KZOXx6XPhpTJzL2fVx1Catf8uajrz4n5iCok VHc/Xeq3ol5R858YeCCyGWpIZ/7GwQWjeXH7SiEBvoVxHMM3VK2twF3O dCa9IBFmbMgpAg2yP7MTEOjIEFdF+p/OaYMf29FlBlv8V/hNBbHCbRne RFHmiT9GTlZ/lVtIhdOvSDx6ZDTIE0n2s/YwbwNSEmRA7XRTb0AwV+4B WHuB0wPRZX9h9vlKKvU/2durBhZ+n+x3sjbVZACEEdY8m4ayvY69Cgoq mC6z++roAX3vYySvsul4EHd2Lx5UqmK+oDedZegJBt8Z5w5UD+79/G/D KNP+gl5GWRHMLg+wp+5BJqPVa0lZCnossr0vdstrjxpwhFD8X8ATJH2f +8ek4hiXjklD79/pJxvAzZuyHoNFm+qb2BJa Generazione delle chiavi (2)

7 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Firma della zona Ogni Resource Record Set ( nome, classe, tipo) deve essere firmato. Sistema manuale: copio la chiave pubblica nel file di zona firmo con dnssec-signzone con il nome della zona e il nome del file crea.signed Sostituisco nella configurazione il nome del file di zona Per ogni record nuovo si deve rifirmare Sistema automatico se ho abilitato gli update automatici: key-directory "dynamic/27“; Allo start carica le chiavi e firma nsupdate per gestione In ogni caso Abilito dnssec  dnssec-enable yes;

8 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Firma della zona (2) calib-1.rete-27.lan. A 192.168.39.131 RRSIG A 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. nYVoKZcTN2u9jhZ+2ReU+MPxSyFXiTs4Z7+fiW2+091H 1WGgQSpxqKfH1udAJSeFD7Dun/RVkGml6RpUFEwFDLDM X8qLdHXGxCsX8u8tQwaNlYlUW7NWe5EzeMAgg6TTVLec qsRLuZaCDDemjs+3L1kRtNOe9khSz+Wwv5IbYFg= ) NSEC calib-3.rete-27.lan. A RRSIG NSEC RRSIG NSEC 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. UovRIpfO8DBfeId+t4/wyu7Z0jj60aNJXWuc36jy97MJ pq/oAnw0a0hhNNwVK4TzD1jgq9nep6KaQsjC/z4sl/XH zyetwrts03KVIehpQzFE+NUMcmVndioIC/FlRlgHBEg2 symMHpdXrZBOA9UwDZPYJ45ZdmK61Yhj6J0CkDk= ) calib-3.rete-27.lan. A 192.168.39.132 RRSIG A 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. NMvAfYSTJghdcc5DIjGUMddB593Bgaug/xUTPMnXUvmi Yohb3vzofA/chSURcYJRsUSGyMqFOSBkUfeaYqfnTPEI HI0EGTxNwAysgnzfe5GK9bLCCEo0xkbKNt4TiCwW9KVT

9 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Associarsi alla catena Resource Record DS Pubblicato nel dominio padre Firmato dnssec-dsfromkey Krete-27.lan.+005+11026 rete-27.lan. IN DS 11026 5 1 E46C91BAF057E91E68E2236E6F56520FD9293D2E rete-27.lan. IN DS 11026 5 2 F2C12D6DE5DAD10D3F722EF29394D70346BF7302FCB7C4239B0 E3BBC BC0D8653 Hash della KSK pubblica

10 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Il cammino della convalida Da dove parto? Trusted anchor – nel file di configurazione dnssec-validation yes trusted-keys {… Chiave pubblica ZSKKSKDSKSKZSK…… RRSSIG root

11 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Root firmata Secure data center in Culpeper, VA - location of first DNSSEC key signing ceremony 16 Giugno 2010 dnssec-validation auto Isc Bind dalla 9.8 chiave delle root fornita Isc Bind dalla 9.7 istruzione managed-keys { “.” initial-key Isc Bind dalla 9.6 definizione statica della root trusted-keys dal sito http://data.iana.org/root-anchors/ Versioni precedenti root non supportata

12 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Nuove chiavi di zona: Opzioni nella creazione:  Stessi parametri della chiave precedente  Data di pubblicazione sul DNS in stand by  Data di attivazione usata per firmare  Data di disattivazione valida ma non più usata  Data di cancellazione tolta dal DNS auto-dnssec maintain Idem per KSK, stand by per chi usa managed-keys. Database delle trusted anchor in managed-keys.bind Record DS secondo le politiche del dominio padre Key Rollover e cache

13 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Situazione http://stats.research.icann.org/dns/tld_report TLD DNSSEC Report (2012-02-08) 312 TLDs in the root zone in total 88 TLDs are signed; 84 TLDs have trust anchors published as DS records in the root zone; 3 TLDs have trust anchors published in the ISC DLV Repository. Il dominio it non è firmato

14 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Dati di Ripe Agosto 2011

15 Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Conclusioni (1) Dati di fatto:  Per implementare dnssec servirebbe la firma di it  Firmato circa un quarto dei TLD  Qualche impennata, ma il numero sale molto lentamente  Firmati org, com, net, biz, edu, gov, ecc.  Lavoro di semplificazione: root firmata tools per server e client (plugin per firefox, app) appliance tool di debug http://dnsviz.net

16 Conclusioni (2) ….ma…. Necessario ? aprile 2005 Symantec luglio 2008Kaminsky novembre 2011Brasile Efficace ? forse Affidabile ? bug corretti DOD vigila, ma nasa.gov cade Alternative ? software migliorato politiche di sicurezza: manutenzione e ricursivita` Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova


Scaricare ppt "DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova."

Presentazioni simili


Annunci Google