Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

VOICE+IP Germany - Workshop DNSSEC-Testbed

Veröffentlicht von:Lutgard Leiendecker Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "VOICE+IP Germany - Workshop DNSSEC-Testbed"—  Präsentation transkript:

1 VOICE+IP Germany - Workshop DNSSEC-Testbed
Frankfurt 04. November 2009

2 Agenda DENIC – Kurzvorstellung DNS – Grundlagen und Sicherheitsaspekte
DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

3 Bundesweit zentrale Registrierung von .de und ENUM-Domains
DENIC eG - Aufgaben Bundesweit zentrale Registrierung von .de und ENUM-Domains Betrieb der Nameserver Betrieb des Registrierungssystems und der Domaindatenbank Bereitstellung von Informationsdiensten wie whois Einrichten von DISPUTEs bei Domainstreitigkeiten

4 DENIC eG – Entwicklung Domainstand zum 01. Oktober 2009:

5 DENIC eG - NSL-Standorte 2010 (IPv4)
Ffm, Amsterdam Amsterdam, Ffm Stockholm Berlin Paris, London Wien Ulm Hongkong Los Angeles Beijing Miami Seoul Sao Paulo DECIX, KleyReX B-CIX, E-CIX, BER, HKIX, NOTA Any2 VIX PTTMetro IPv6: Unicast von Frankfurt/Amsterdam, Vienna, man könnte v6 und v4 mischen Legende: Unicast Standorte, gleiche Farbe entspricht Partnerstandorten Anycast Standorte, gleiche Farbe indiziert gleiche Wolke a.nic (grün) bzw. z.nic (gelb) 16 Standorte, 10 Exchanges

6 DENIC eG – Internationaler Vergleich
Anzahl Domains .com .de .cn (Stand 07/09) .net .uk .org .info .nl .eu .ru .biz Recherche DENIC, Stand 1. Oktober 2009

7 DENIC eG - Historie Ende Erster freiwilliger Nameserverdienst an der Uni Dortmund 80er „Interessenverbunds Deutsches Network Information Center“ Ausschreibung des Nameserverdienstes Aufnahme des Betriebs an der Uni Karlsruhe Gründung der DENIC eG Aufnahme des Geschäftsbetriebs in Frankfurt/Main. Der technische Betrieb blieb zunächst in Karlsruhe und folgte 1999 2006 ENUM für .9.4.e164.arpa geht in die produktive Phase 2009 Start des DNSSEC-Testbeds für Deutschland

8 DENIC – Kurzvorstellung
DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

9 Die Hierarchie des DNS:
DNS – Grundlagen und Sicherheitsaspekte Die Hierarchie des DNS:

10 DNS – Grundlagen und Sicherheitsaspekte
mail.example.TLD 1 2 TLD 3 4 5 7 6 example.TLD Internet-Anwendung Resolver Zone

11 DNS – Grundlagen und Sicherheitsaspekte
DNS-Datenfluss:

12 DNS – Grundlagen und Sicherheitsaspekte
Bedrohungen des DNS-Datenflusses:

13 DNS – Grundlagen und Sicherheitsaspekte
Beispiel DNS Spoofing / Cache Poisoning: Idee des Angriffs: Einpflanzung einer falschen IP-Adressauflösung für einen bestimmten Hostnamen Jede DNS-Anfrage für diesen Host liefert dann bis auf weiteres diese falsche IP-Adresse zurück. möglich, weil: die Echtheit der Daten im DNS grundsätzlich angenommen wird die Adressinformationen über Netzwerk ausgetauscht werden aufgelöste Adressen im Cache des DNS-Servers gehalten werden

14 DNS – Grundlagen und Sicherheitsaspekte
Beispiel DNS Spoofing / Cache Poisoning: Angreifer täuscht vor, ein bestimmter Server zu sein um gefälschte Daten zu verbreiten Angreifer antwortet schneller als das Original - dazu muß er Die Adresse des Ziels kennen Die Anfrage kennen Die Parameter der Anfrage kennen Opfer erhält gefälschte Adressinformationen und wird z.B. auf eine nachgemachte Online Banking Webseite umgelenkt Passwörter oder andere Zugangscodes können ermittelt werden

15 Mail oder Webseite mit xx.foo.com
DNS – Grundlagen und Sicherheitsaspekte Caching Resolver Query xx.insecure.com DNS Answer DNS Server Query xx.insecure.com DNS Answer DNS Answer DNS Answer DNS Answer DNS Answer Mail oder Webseite mit xx.foo.com Am 6. August 2008 wurde auf der Blackhat-Konferenz eine deutliche „Verbesserung“ eines DNS-Cache-Poisoning-Angriffs vorgestellt. In den davor liegenden sechs Monaten hatten viele DNS-Softwarehersteller eine Verbesserung („Quellportrandomisierung“) erarbeitet, die den status quo ante wiederherstellen half, das Problem jedoch nicht dauerhaft bekämpfte. Beispiel: DNS Spoofing / Cache Poisoning

16 DENIC – Kurzvorstellung
DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

17 Sicherheit durch Authentifizierung
DNSSEC – Funktionsweise Caching Resolver Query xx.secure.com DNS Answer DNS Server Query xx.secure.com Sicherheit durch Authentifizierung DNS Answer DNS Answer DNS Answer DNS Answer DNS Answer DNS Answer

18 DNSSEC-Grundbausteine:
DNSSEC – Funktionsweise DNSSEC-Grundbausteine: DNS-Zonen sind die Datenquellen Ein Public-Key(-Paar) pro Zone Zonenverwalter unterschreibt alle Records Trust Chain folgt der Delegationskette Elternzone unterschreibt Schlüssel der Kindzonen Schlüssel (Trust Anchor) der Root-Zone wird verteilt

19 DNSSEC – Funktionsweise
DNSSEC-Trust Chain:

20 Was kann DNSSEC leisten?
DNSSEC – Funktionsweise Was kann DNSSEC leisten? Das DNS-Protokoll enthält derzeit keine Maßnahmen zum Schutz seiner transportierten Daten. Insbesondere enthält es keine Sicherung der Daten gegen Veränderungen auf dem Transportweg oder in den durchlaufenden Servern und Caches. DNSSEC bietet eine Quellenauthentisierung und damit die Sicherung des Pfades zwischen DNS-Servern und DNSSEC-fähigen Klienten, wobei auch dazwischen liegende Server und Resolver mit ihren Caches in die Sicherheitskette eingeschlossen sind. Anhand der verwendeten Signatur lässt sich prüfen, ob die beim Resolver eintreffenden Daten vollständig und unverändert sind.

21 DNSSEC – Funktionsweise
DNSSEC gewährleistet Quellenauthenzität und Integrität der DNS-Daten und bietet dadurch Schutz vor folgenden derzeit bekannte Angriffen: Cache Poisoning Zonenfile-Modifikation Kompromittierung eines Nameservers „Untreue“ Secondaries

22 DENIC – Kurzvorstellung
DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

23 DNSSEC – Vor- und Nachteile
Dreiecksverhältnis: Registrierungsstelle (DENIC) Registrar/Registrant (DNS Operator) Resolver-Operator (ISP) Internetnutzer

24 DNSSEC – Vor- und Nachteile
Wie sieht das Dreiecksverhältnis aus? Registrierungsstelle: Registry benötigt entsprechende Nachfrage von Registraren und Konsumenten für den wirtschaftlichen Betrieb Resolver-Operator (ISP): Validierung und/oder Trust Anchor Management nur wirtschaftlich bei aus-reichender Anzahl Zonen, die DNSSEC unterstützen Registrar: Registrar benötigt eine Nachfrage von Registranten/Domaininhabern, um wirtschaftlich zu sein. Registrant ist auf die Veröffentlichung seines Schlüssels durch den Registrar angewiesen

25 DNSSEC – Vor- und Nachteile
CONS Kritische Masse zum erfolgreichen Betrieb notwendig Datenpflegemodell wird dynamisch Komplexität erhöht sich Signaturen vergrößern Datenmengen PROS Wirkt proaktiv gegen Cache Poisoning an der Wurzel Einzige bekannte, verfügbare, standardisierte Gegenmaßnahme ICANN und Verisign haben die Signierung der DNS-Rootzone zum 1. Juli 2010 angekündigt.

26 DENIC – Kurzvorstellung
DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

27 DNSSEC-Testbed: Zielsetzung und Gesamtsicht
Zielsetzung des Testbeds: Erprobung von DNSSEC unter realistischen Einsatzbedingungen Ermittlung der technischen und operativen Reife Protokoll ist stabil Operative Details sind aber z.T. offen Test der Akzeptanz im Markt

28 DNSSEC-Testbed: Zielsetzung und Gesamtsicht
Gesamtsicht des Testbeds: Initiative von DENIC, eco und BSI Kickoff am 2. Juli 2009 in Frankfurt (DENIC) Nächste Veranstaltung: Januar 2010, Frankfurt Studie zu SoHo/DSL-Router (BSI) Juli-Dezember 2009

29 DNSSEC-Testbed: Roadmap
Testbed Phase 0 - DNS Betrieb des Setups mit unsignierter de-Zone Testbed Phase 1 – DNSSEC Betrieb signierte de-Zone Testbed Phase 2 – DNSEC +DS Betrieb signierte de-Zone incl. DS-Records Übergabe Schlüsselmaterial KSK Rollover Entscheidung über Produktionsbetrieb nach dem Testbed

30 DNSSEC-Testbed: Infrastruktur
Infrastruktur des Testbeds: eigenständige Infrastruktur zur Beantwortung von DNS-Querys existiert parallel zur Nameserver-Infrastruktur für die de-Zone drei dedizierte Nameserver-Standorte in Europa und Asien gemäß Standortspezifikation der neuesten Generation der DENIC Nameserver-Infrastruktur redundante Nameserver Hardware redundante Anbindung an gut vernetzten Internet-Exchanges Unterschiedliche Nameserver-Software (BIND, NSD) Out-of-band-Management => leistungsfähige, sichere und hochverfügbare Infrastruktur mit Produktionsqualität

31 DNSSEC-Testbed: Daten
Die Daten des Testbeds sind eine 1:1 Kopie der de-Zone: NSEC3 Opt-Out (-> BIND, Unbound, [Nominum]) wirkt „zone walking“ entgegen begrenzt das Zonenwachstum Zonenaktualisierungen anfangs 1-2 Versionen pro Tag (statt 12) kontinuierliche Frequenzerhöhung (folgt der neuen de-Infrastruktur) DS-Records ab März 2010

32 DNSSEC-Testbed: Zugang zum Testbed
Resolver-Operator (ISP): Einsatz DNSSEC- und NSEC3-fähiger SW Konfiguration des DE-Trust-Anchors Ggf. Auch weitere TAs Umlenkung der Querys für DE in Richtung Testbed Stub/forward-Zonen Aktive Mitwirkung durch Verkehrsbeobachtung, Statistiken Teilnahme an Diskussionen, Fehlersuche

33 DNSSEC-Testbed: Zugang zum Testbed
DNS-Operator: Einsatz DNSSEC auch Key-Managementwerkzeuge Schlüsselerzeugung und –verwaltung Prozess für die Re-Signierung DNSSEC-“fähiger“ Registrar Registriert Schlüssel bei der DENIC für das Testbed

34 DNSSEC-Testbed: Zu klärende Fragen
Key-Rollover (Child Zone) Key-Rollover DE EDNS-Infrastrukturverträglichkeit (CPE-Devices) BSI-Studie Auswirkungen auf TCP-Last Provider-/Operatorwechsel ...

35 Testbed: Teilnahme Wer kann am Testbed teilnehmen? Registrar
Domaininhaber DNS-Operator (autoritativ) Resolver-Operator (Endnutzer) Anmeldung für die Teilnahme am Testbed und für die Mailingliste:

36 DENIC – Kurzvorstellung
DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

37 Zusammenfassung Sicherheitsrisiken im Internet wie Cache-Poisoning, DNS-Umleitungen und Spoofing sind bekannt, zunehmend zugänglich und erfolgversprechend. Als vorbeugende Gegenmaßnahme existiert mit DNSSEC ein ausgereiftes Protokoll. Die Einführung des Protokolls wird durch seine Komplexität und Kosten infrage gestellt. Erst mit zunehmender Akzeptanz entsteht auch ein ausgereiftes Umfeld für Einführung, Betrieb und Nutzung des Protokolls. Im "DNSSEC-Testbed für Deutschland", einer Initiative von DENIC, eco und BSI, werden in einer konzertierten Aktion die operative Umsetzbarkeit und die wirtschaftliche Akzeptanz unter möglichst breiter Beteiligung mit realitätsnahen Bedingungen ermittelt.

38 Kaiserstrasse 75-77, 60329 Frankfurt am Main
Phone: Fax: Mail: Internet: Kaiserstrasse 75-77, Frankfurt am Main

Herunterladen ppt "VOICE+IP Germany - Workshop DNSSEC-Testbed"

Ähnliche Präsentationen

Powerpoint-Präsentation

Powerpoint-Präsentation
Anzahl der ausgefüllten und eingesandten Fragebögen: 211

Anzahl der ausgefüllten und eingesandten Fragebögen: 211
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
CPCP Institute of Clinical Pharmacology AGAH Annual Meeting, 29. Februar 2004, Berlin, Praktischer Umgang mit den Genehmigungsanträgen gemäß 12. AMG Novelle.

CPCP Institute of Clinical Pharmacology AGAH Annual Meeting, 29. Februar 2004, Berlin, Praktischer Umgang mit den Genehmigungsanträgen gemäß 12. AMG Novelle.
Pflege der Internetdienste

Pflege der Internetdienste
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.

Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
1 JIM-Studie 2010 Jugend, Information, (Multi-)Media Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.

1 JIM-Studie 2010 Jugend, Information, (Multi-)Media Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.
Standortfaktoren INTERN - Ausdrucksstark präsentieren.

Standortfaktoren INTERN - Ausdrucksstark präsentieren.
E / IDE Enhanced / Integrated Device Elektronics

E / IDE Enhanced / Integrated Device Elektronics
Microsoft Windows 2000 Terminal Services

Microsoft Windows 2000 Terminal Services
Klicke Dich mit der linken Maustaste durch das Übungsprogramm! Vereinfachung von Termen Ein Übungsprogramm der IGS - Hamm/Sieg © IGS-Hamm/Sieg 2006 Dietmar.

Klicke Dich mit der linken Maustaste durch das Übungsprogramm! Vereinfachung von Termen Ein Übungsprogramm der IGS - Hamm/Sieg © IGS-Hamm/Sieg 2006 Dietmar.
Algorithmentheorie 04 –Hashing

Algorithmentheorie 04 –Hashing
DNS – Domain Name System

DNS – Domain Name System
An's Netz An's Netz An's.

An's Netz An's Netz An's.
Rechneraufbau & Rechnerstrukturen, Folie 14.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 14.

Rechneraufbau & Rechnerstrukturen, Folie 14.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 14.
Internet facts 2006-I Graphiken zu dem Berichtsband AGOF e.V. September 2006.

Internet facts 2006-I Graphiken zu dem Berichtsband AGOF e.V. September 2006.
Internet facts 2006-II Graphiken zu dem Berichtsband AGOF e.V. November 2006.

Internet facts 2006-II Graphiken zu dem Berichtsband AGOF e.V. November 2006.
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.

Ähnliche Präsentationen

Google-Anzeigen