La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Gestione, monitoraggio e criticità della sicurezza in INFN e IGI

PubblicatoCarmelo Viola Modificato 6 anni fa

Presentazioni simili

Presentazione sul tema: "Gestione, monitoraggio e criticità della sicurezza in INFN e IGI"— Transcript della presentazione:

1 Gestione, monitoraggio e criticità della sicurezza in INFN e IGI
DNSSEC Gestione, monitoraggio e criticità della sicurezza in INFN e IGI Bologna Dicembre 2011 Fulvia Costa Infn Padova

2 Fulvia Costa Infn Padova
DNS - Sicuro? Servizio essenziale Aperto sulla rete Usato da tutti Intrusioni DoS Poisoning Appetibile Progetto DNSSEC Bologna Dicembre 2011 Fulvia Costa Infn Padova

3 Fulvia Costa Infn Padova
Progetto DNSSEC Si propone di certificare le risposte dei DNS con l’uso delle chiavi asimmetriche Richiesta esplicita per dnssec Risposta deve contenere le firme per ogni RR (answer, authority) Verifica della correttezza del record contenente la firma Convalida della chiave pubblica a partire da una trusted anchor scendendo lungo la gerarchia dei domini Uso della chiave convalidata per verificare la firma della risposta Rispettare la compatibilità Risposta standard Comunque non cifrata Bologna Dicembre 2011 Fulvia Costa Infn Padova

4 Fulvia Costa Infn Padova
Il prezzo da pagare File di zona grandi + firme Più dati scambiati Verifica di chiavi e firme Catena di trust Manutenzione delle chiavi e problemi di cache DoS Meno lavoro per il server Modifica del protocollo per udp > 512 bytes bit DO bit cd e ad Parzialmente risolto Tools vari Bologna Dicembre 2011 Fulvia Costa Infn Padova

5 Generazione delle chiavi
Servono due coppie di chiavi per ogni zona: ZSK per firmare tutti i Resource Record Set KSK per la catena di trust Il comando dnssec-keygen richiede il nome della zona e genera due file: K<zona>+<algoritmo>+<label>.key/private Bologna Dicembre 2011 Fulvia Costa Infn Padova

6 Generazione delle chiavi (2)
La chiave pubblica va inserita nel file della zona ; This is a zone-signing key, keyid 35727, for rete-27.lan. ; Created: (Fri Nov 4 11:23: ) ; Publish: (Fri Nov 4 11:23: ) ; Activate: (Fri Nov 4 11:23: ) rete-27.lan. IN DNSKEY AwEAAa2CBASsi+cpOLhiwZ8wzFQrwlDdW0zQZjDiImN8VZCvglQdhrbI 6t2NKAlzujPSbJJXbXIXKvs3klU5X+dMRTM3G/icXwj1/DzlQ1mSEny0 P0j6tYrlpU21iKTKPyypHQ== This is a key-signing key, keyid 27698, for rete-27.lan. ; Created: (Fri Nov 4 11:28: ) ; Publish: (Fri Nov 4 11:28: ) ; Activate: (Fri Nov 4 11:28: ) rete-27.lan. IN DNSKEY CP/Hd6xGaZYuFbiL/iAKnRca9K+DqL2vYMgmEaShsh4Pl1JkMjFwuGOZ ReSCaAx29IN7oh4WjLJT9ySe8ppmBD4LLVHI12morSMDG7yNmbIXZVHw UKQrg22i6ZysnR919+S8KZOXx6XPhpTJzL2fVx1Catf8uajrz4n5iCok VHc/Xeq3ol5R858YeCCyGWpIZ/7GwQWjeXH7SiEBvoVxHMM3VK2twF3O dCa9IBFmbMgpAg2yP7MTEOjIEFdF+p/OaYMf29FlBlv8V/hNBbHCbRne RFHmiT9GTlZ/lVtIhdOvSDx6ZDTIE0n2s/YwbwNSEmRA7XRTb0AwV+4B WHuB0wPRZX9h9vlKKvU/2durBhZ+n+x3sjbVZACEEdY8m4ayvY69Cgoq mC6z++roAX3vYySvsul4EHd2Lx5UqmK+oDedZegJBt8Z5w5UD+79/G/D KNP+gl5GWRHMLg+wp+5BJqPVa0lZCnossr0vdstrjxpwhFD8X8ATJH2f +8ek4hiXjklD79/pJxvAzZuyHoNFm+qb2BJa Bologna Dicembre 2011 Fulvia Costa Infn Padova

7 Fulvia Costa Infn Padova
Firma della zona Ogni Resource Record Set ( nome, classe, tipo) deve essere firmato. Sistema manuale: copio la chiave pubblica nel file di zona firmo con dnssec-signzone con il nome della zona e il nome del file crea .signed Sostituisco nella configurazione il nome del file di zona Per ogni record nuovo si deve rifirmare Sistema automatico se ho abilitato gli update automatici: key-directory "dynamic/27“; Allo start carica le chiavi e firma nsupdate per gestione In ogni caso Abilito dnssec  dnssec-enable yes; Bologna Dicembre 2011 Fulvia Costa Infn Padova

8 Fulvia Costa Infn Padova
Firma della zona (2) calib-1.rete-27.lan A RRSIG A ( rete-27.lan. nYVoKZcTN2u9jhZ+2ReU+MPxSyFXiTs4Z7+fiW2+091H 1WGgQSpxqKfH1udAJSeFD7Dun/RVkGml6RpUFEwFDLDM X8qLdHXGxCsX8u8tQwaNlYlUW7NWe5EzeMAgg6TTVLec qsRLuZaCDDemjs+3L1kRtNOe9khSz+Wwv5IbYFg= ) NSEC calib-3.rete-27.lan. A RRSIG NSEC RRSIG NSEC ( UovRIpfO8DBfeId+t4/wyu7Z0jj60aNJXWuc36jy97MJ pq/oAnw0a0hhNNwVK4TzD1jgq9nep6KaQsjC/z4sl/XH zyetwrts03KVIehpQzFE+NUMcmVndioIC/FlRlgHBEg2 symMHpdXrZBOA9UwDZPYJ45ZdmK61Yhj6J0CkDk= ) calib-3.rete-27.lan A NMvAfYSTJghdcc5DIjGUMddB593Bgaug/xUTPMnXUvmi Yohb3vzofA/chSURcYJRsUSGyMqFOSBkUfeaYqfnTPEI HI0EGTxNwAysgnzfe5GK9bLCCEo0xkbKNt4TiCwW9KVT Bologna Dicembre 2011 Fulvia Costa Infn Padova

9 Associarsi alla catena
Resource Record DS Pubblicato nel dominio padre Firmato dnssec-dsfromkey Krete-27.lan rete-27.lan. IN DS E46C91BAF057E91E68E2236E6F56520FD9293D2E rete-27.lan. IN DS F2C12D6DE5DAD10D3F722EF29394D70346BF7302FCB7C4239B0E3BBC BC0D8653 Hash della KSK pubblica Bologna Dicembre 2011 Fulvia Costa Infn Padova

10 Il cammino della convalida
RRSIG RRSIG DS RRSIG RR + ZSK + KSK + ZSK-P. ecc…. Dove mi fermo? Trusted anchor – nel file di configurazione dnssec-validation yes trusted-keys {… Chiave pubblica Root firmata Bologna Dicembre 2011 Fulvia Costa Infn Padova

11 Fulvia Costa Infn Padova
Root firmata 16 Giugno 2010 Secure data center in Culpeper, VA - location of first DNSSEC key signing ceremony dnssec-validation auto Isc Bind dalla 9.8 chiave delle root fornita Isc Bind dalla 9.7 istruzione managed-keys { “.” initial-key Isc Bind dalla 9.6 definizione statica della root trusted-keys dal sito Versioni precedenti root non supportata Bologna Dicembre 2011 Fulvia Costa Infn Padova

12 Fulvia Costa Infn Padova
Key Rollover e cache Nuove chiavi di zona: Opzioni nella creazione: Stessi parametri della chiave precedente Data di pubblicazione sul DNS in stand by Data di attivazione usata per firmare Data di disattivazione valida ma non più usata Data di cancellazione tolta dal DNS auto-dnssec maintain Idem per KSK, stand by per chi usa managed-keys. Database delle trusted anchor in managed-keys.bind Record DS secondo le politiche del dominio padre Bologna Dicembre 2011 Fulvia Costa Infn Padova

13 Fulvia Costa Infn Padova
Situazione TLD DNSSEC Report ( ) 310 TLDs in the root zone in total 86 TLDs are signed; 80 TLDs have trust anchors published as DS records in the root zone; 3 TLDs have trust anchors published in the ISC DLV Repository. Il dominio it non è firmato Bologna Dicembre 2011 Fulvia Costa Infn Padova

14 Fulvia Costa Infn Padova
Dati di Ripe Agosto 2011 Bologna Dicembre 2011 Fulvia Costa Infn Padova

15 Fulvia Costa Infn Padova
Dati di Ripe Agosto 2011 Bologna Dicembre 2011 Fulvia Costa Infn Padova

16 Fulvia Costa Infn Padova
Dati di Ripe Agosto 2011 Bologna Dicembre 2011 Fulvia Costa Infn Padova

17 Fulvia Costa Infn Padova
Conclusioni Dati di fatto: Per implementare dnssec servirebbe la firma di it Firmato circa un quarto dei TLD Un anno fa era un quinto Firmati org, com, net, biz, edu, gov, ecc. Lavoro di semplificazione, root firmata, tools, appliance Dubbi: Necessario ? Efficace ? Affidabile ? Alternative ? Bologna Dicembre 2011 Fulvia Costa Infn Padova

Scaricare ppt "Gestione, monitoraggio e criticità della sicurezza in INFN e IGI"

Presentazioni simili

Introduzione ad Active Directory

Introduzione ad Active Directory
La sicurezza nelle Griglie

La sicurezza nelle Griglie
DNS: Il Servizio Directory di Internet

DNS: Il Servizio Directory di Internet
DNSSEC COME GARANTIRE LA PROTEZIONE DEL TRASFERIMENTO DEI DATI DEL DNS CON LAUSILIO DELLA CRITTOGRAFIA Seminario per il corso di Reti di calcolatori e.

DNSSEC COME GARANTIRE LA PROTEZIONE DEL TRASFERIMENTO DEI DATI DEL DNS CON LAUSILIO DELLA CRITTOGRAFIA Seminario per il corso di Reti di calcolatori e.
1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.

1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.
Fare clic per modificare lo stile del titolo Fare clic per modificare stili del testo dello schema – Secondo livello Terzo livello – Quarto livello » Quinto.

Fare clic per modificare lo stile del titolo Fare clic per modificare stili del testo dello schema – Secondo livello Terzo livello – Quarto livello » Quinto.
Università degli Studi G. dAnnunzio Chieti-Pescara Corso di Laurea Specialistica in Economia Informatica Seminario per il corso di Reti di calcolatori.

Università degli Studi G. dAnnunzio Chieti-Pescara Corso di Laurea Specialistica in Economia Informatica Seminario per il corso di Reti di calcolatori.
Secure Socket Layer (SSL) Transport Layer Security (TLS)

Secure Socket Layer (SSL) Transport Layer Security (TLS)
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.

Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
IPSec Fabrizio Grossi.

IPSec Fabrizio Grossi.
Analisi e sperimentazione di una Certification Authority

Analisi e sperimentazione di una Certification Authority
Database Elaborato da: Claudio Ciavarella & Marco Salvati.

Database Elaborato da: Claudio Ciavarella & Marco Salvati.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.

1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.

Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
DNSSEC Sicurezza & Windows Frascati 15-17 Febbraio 2012 Fulvia Costa Infn Padova.

DNSSEC Sicurezza & Windows Frascati Febbraio 2012 Fulvia Costa Infn Padova.
Aggiornamento attivita’ gruppo Windows Gian Piero Siroli, Dip. di Fisica, Università di Bologna e INFN CCR, ottobre 2007.

Aggiornamento attivita’ gruppo Windows Gian Piero Siroli, Dip. di Fisica, Università di Bologna e INFN CCR, ottobre 2007.
EGEE is a project funded by the European Union under contract IST-2003-508833 L'infrastruttura di produzione attuale A. Cavalli - INFN- CNAF D. Cesini.

EGEE is a project funded by the European Union under contract IST L'infrastruttura di produzione attuale A. Cavalli - INFN- CNAF D. Cesini.
Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.

Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.
Mag 2010 1 La Firma Digitale Sommaruga Andrea Guido Collegio dei Geometri e Geometri Laureati della Provincia di Lodi.

Mag La Firma Digitale Sommaruga Andrea Guido Collegio dei Geometri e Geometri Laureati della Provincia di Lodi.
Corso di Alta formazione in TL&OS Modulo 1.3 Reti e Servizi - lezione 1 Modulo 1.3 Reti e servizi 1. Introduzione al Networking Connettere il PC in rete;

Corso di Alta formazione in TL&OS Modulo 1.3 Reti e Servizi - lezione 1 Modulo 1.3 Reti e servizi 1. Introduzione al Networking Connettere il PC in rete;

Presentazioni simili

Annunci Google