Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoBernarda Fumagalli Modificato 8 anni fa
1
DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova
2
Servizio essenziale per ogni dominio Essenziale per ogni utente Aperto sulla rete Come ? Intrusioni DoS Poisoning Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova DNS - Noto ! Progetto DNSSEC
3
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Progetto DNSSEC Si propone di certificare le risposte dei DNS con l’uso delle chiavi asimmetriche Richiesta esplicita per dnssec Risposta deve contenere le firme per ogni RR (answer, authority) Verifica della correttezza del record contenente la firma Convalida della chiave pubblica a partire da una trusted anchor scendendo lungo la gerarchia dei domini Uso della chiave convalidata per verificare la firma della risposta Rispettare la compatibilità Risposta standard Comunque non cifrata
4
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Il prezzo da pagare File di zona grandi + firme Più dati scambiati Verifica di chiavi e firme Catena di trust Manutenzione delle chiavi e problemi di cache DoS Meno lavoro per il server Modifica del protocollo per udp > 512 bytes bit DO bit cd e ad Parzialmente risolto Tools vari
5
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Generazione delle chiavi Servono due coppie di chiavi per ogni zona: ZSK per firmare tutti i Resource Record Set KSK per la catena di trust Il comando dnssec-keygen richiede il nome della zona e genera due file: K + +.key/private
6
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova La chiave pubblica va inserita nel file della zona ; This is a zone-signing key, keyid 35727, for rete-27.lan. ; Created: 20111104102319 (Fri Nov 4 11:23:19 2011) ; Publish: 20111104102319 (Fri Nov 4 11:23:19 2011) ; Activate: 20111104102319 (Fri Nov 4 11:23:19 2011) rete-27.lan. IN DNSKEY 256 3 5 AwEAAa2CBASsi+cpOLhiwZ8wzFQrwlDdW0zQZjDiImN8VZCvglQdhrbI 6t2NKAlzujPSbJJXbXIXKvs3klU5X+dMRTM3G/icXwj1/DzlQ1mSEny0 P0j6tYrlpU21iKTKPyypHQ == This is a key-signing key, keyid 27698, for rete-27.lan. ; Created: 20111104102828 (Fri Nov 4 11:28:28 2011) ; Publish: 20111104102828 (Fri Nov 4 11:28:28 2011) ; Activate: 20111104102828 (Fri Nov 4 11:28:28 2011) rete-27.lan. IN DNSKEY 257 3 3 CP/Hd6xGaZYuFbiL/iAKnRca9K+DqL2vYMgmEaShsh4Pl1JkMjFwuGOZ ReSCaAx29IN7oh4WjLJT9ySe8ppmBD4LLVHI12morSMDG7yNmbIXZVHw UKQrg22i6ZysnR919+S8KZOXx6XPhpTJzL2fVx1Catf8uajrz4n5iCok VHc/Xeq3ol5R858YeCCyGWpIZ/7GwQWjeXH7SiEBvoVxHMM3VK2twF3O dCa9IBFmbMgpAg2yP7MTEOjIEFdF+p/OaYMf29FlBlv8V/hNBbHCbRne RFHmiT9GTlZ/lVtIhdOvSDx6ZDTIE0n2s/YwbwNSEmRA7XRTb0AwV+4B WHuB0wPRZX9h9vlKKvU/2durBhZ+n+x3sjbVZACEEdY8m4ayvY69Cgoq mC6z++roAX3vYySvsul4EHd2Lx5UqmK+oDedZegJBt8Z5w5UD+79/G/D KNP+gl5GWRHMLg+wp+5BJqPVa0lZCnossr0vdstrjxpwhFD8X8ATJH2f +8ek4hiXjklD79/pJxvAzZuyHoNFm+qb2BJa Generazione delle chiavi (2)
7
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Firma della zona Ogni Resource Record Set ( nome, classe, tipo) deve essere firmato. Sistema manuale: copio la chiave pubblica nel file di zona firmo con dnssec-signzone con il nome della zona e il nome del file crea.signed Sostituisco nella configurazione il nome del file di zona Per ogni record nuovo si deve rifirmare Sistema automatico se ho abilitato gli update automatici: key-directory "dynamic/27“; Allo start carica le chiavi e firma nsupdate per gestione In ogni caso Abilito dnssec dnssec-enable yes;
8
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Firma della zona (2) calib-1.rete-27.lan. A 192.168.39.131 RRSIG A 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. nYVoKZcTN2u9jhZ+2ReU+MPxSyFXiTs4Z7+fiW2+091H 1WGgQSpxqKfH1udAJSeFD7Dun/RVkGml6RpUFEwFDLDM X8qLdHXGxCsX8u8tQwaNlYlUW7NWe5EzeMAgg6TTVLec qsRLuZaCDDemjs+3L1kRtNOe9khSz+Wwv5IbYFg= ) NSEC calib-3.rete-27.lan. A RRSIG NSEC RRSIG NSEC 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. UovRIpfO8DBfeId+t4/wyu7Z0jj60aNJXWuc36jy97MJ pq/oAnw0a0hhNNwVK4TzD1jgq9nep6KaQsjC/z4sl/XH zyetwrts03KVIehpQzFE+NUMcmVndioIC/FlRlgHBEg2 symMHpdXrZBOA9UwDZPYJ45ZdmK61Yhj6J0CkDk= ) calib-3.rete-27.lan. A 192.168.39.132 RRSIG A 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. NMvAfYSTJghdcc5DIjGUMddB593Bgaug/xUTPMnXUvmi Yohb3vzofA/chSURcYJRsUSGyMqFOSBkUfeaYqfnTPEI HI0EGTxNwAysgnzfe5GK9bLCCEo0xkbKNt4TiCwW9KVT
9
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Associarsi alla catena Resource Record DS Pubblicato nel dominio padre Firmato dnssec-dsfromkey Krete-27.lan.+005+11026 rete-27.lan. IN DS 11026 5 1 E46C91BAF057E91E68E2236E6F56520FD9293D2E rete-27.lan. IN DS 11026 5 2 F2C12D6DE5DAD10D3F722EF29394D70346BF7302FCB7C4239B0 E3BBC BC0D8653 Hash della KSK pubblica
10
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Il cammino della convalida Da dove parto? Trusted anchor – nel file di configurazione dnssec-validation yes trusted-keys {… Chiave pubblica ZSKKSKDSKSKZSK…… RRSSIG root
11
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Root firmata Secure data center in Culpeper, VA - location of first DNSSEC key signing ceremony 16 Giugno 2010 dnssec-validation auto Isc Bind dalla 9.8 chiave delle root fornita Isc Bind dalla 9.7 istruzione managed-keys { “.” initial-key Isc Bind dalla 9.6 definizione statica della root trusted-keys dal sito http://data.iana.org/root-anchors/ Versioni precedenti root non supportata
12
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Nuove chiavi di zona: Opzioni nella creazione: Stessi parametri della chiave precedente Data di pubblicazione sul DNS in stand by Data di attivazione usata per firmare Data di disattivazione valida ma non più usata Data di cancellazione tolta dal DNS auto-dnssec maintain Idem per KSK, stand by per chi usa managed-keys. Database delle trusted anchor in managed-keys.bind Record DS secondo le politiche del dominio padre Key Rollover e cache
13
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Situazione http://stats.research.icann.org/dns/tld_report TLD DNSSEC Report (2012-02-08) 312 TLDs in the root zone in total 88 TLDs are signed; 84 TLDs have trust anchors published as DS records in the root zone; 3 TLDs have trust anchors published in the ISC DLV Repository. Il dominio it non è firmato
14
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Dati di Ripe Agosto 2011
15
Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova Conclusioni (1) Dati di fatto: Per implementare dnssec servirebbe la firma di it Firmato circa un quarto dei TLD Qualche impennata, ma il numero sale molto lentamente Firmati org, com, net, biz, edu, gov, ecc. Lavoro di semplificazione: root firmata tools per server e client (plugin per firefox, app) appliance tool di debug http://dnsviz.net
16
Conclusioni (2) ….ma…. Necessario ? aprile 2005 Symantec luglio 2008Kaminsky novembre 2011Brasile Efficace ? forse Affidabile ? bug corretti DOD vigila, ma nasa.gov cade Alternative ? software migliorato politiche di sicurezza: manutenzione e ricursivita` Frascati 15-17 Febbraio 2012Fulvia Costa Infn Padova
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.