Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

VOICE+IP Germany - Workshop DNSSEC-Testbed Frankfurt 04. November 2009.

Ähnliche Präsentationen


Präsentation zum Thema: "VOICE+IP Germany - Workshop DNSSEC-Testbed Frankfurt 04. November 2009."—  Präsentation transkript:

1 VOICE+IP Germany - Workshop DNSSEC-Testbed Frankfurt 04. November 2009

2 2 Agenda DENIC – Kurzvorstellung DNSSEC – Vor- und Nachteile Zusammenfassung und Diskussion DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Testbed DNSSEC – Funktionsweise

3 3 DENIC eG - Aufgaben Bundesweit zentrale Registrierung von.de und ENUM-Domains Betrieb der Nameserver Betrieb des Registrierungssystems und der Domaindatenbank Bereitstellung von Informationsdiensten wie whois Einrichten von DISPUTEs bei Domainstreitigkeiten

4 4 DENIC eG – Entwicklung Domainstand zum 01. Oktober 2009:

5 5 DENIC eG - NSL-Standorte 2010 (IPv4) Legende: Unicast Standorte, gleiche Farbe entspricht Partnerstandorten Anycast Standorte, gleiche Farbe indiziert gleiche Wolke a.nic (grün) bzw. z.nic (gelb) Los Angeles Miami Sao Paulo Seoul Hongkong Beijing Paris, London Ffm, Amsterdam Stockholm Wien Ulm Berlin Amsterdam, Ffm 16 Standorte, 10 Exchanges

6 6 Anzahl Domains com.de.cn (Stand 07/09).net.uk.org.info.nl.eu.ru.biz DENIC eG – Internationaler Vergleich Recherche DENIC, Stand 1. Oktober 2009

7 7 Ende Erster freiwilliger Nameserverdienst an der Uni Dortmund 80er 1993 Interessenverbunds Deutsches Network Information Center Ausschreibung des Nameserverdienstes 1994 Aufnahme des Betriebs an der Uni Karlsruhe 1996 Gründung der DENIC eG 1997 Aufnahme des Geschäftsbetriebs in Frankfurt/Main. Der technische Betrieb blieb zunächst in Karlsruhe und folgte ENUM für.9.4.e164.arpa geht in die produktive Phase 2009Start des DNSSEC-Testbeds für Deutschland DENIC eG - Historie

8 8 DENIC – Kurzvorstellung DNSSEC – Vor- und Nachteile Zusammenfassung und Diskussion DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Testbed DNSSEC – Funktionsweise

9 9 DNS – Grundlagen und Sicherheitsaspekte Die Hierarchie des DNS:

10 10 DNS – Grundlagen und Sicherheitsaspekte Resolver TLD example.TLD 0 7 mail.example.TLD Zone Internet-Anwendung

11 11 DNS-Datenfluss: DNS – Grundlagen und Sicherheitsaspekte

12 12 Bedrohungen des DNS-Datenflusses: DNS – Grundlagen und Sicherheitsaspekte

13 13 Beispiel DNS Spoofing / Cache Poisoning: Idee des Angriffs: Einpflanzung einer falschen IP-Adressauflösung für einen bestimmten Hostnamen Jede DNS-Anfrage für diesen Host liefert dann bis auf weiteres diese falsche IP- Adresse zurück. möglich, weil: die Echtheit der Daten im DNS grundsätzlich angenommen wird die Adressinformationen über Netzwerk ausgetauscht werden aufgelöste Adressen im Cache des DNS-Servers gehalten werden DNS – Grundlagen und Sicherheitsaspekte

14 14 Beispiel DNS Spoofing / Cache Poisoning: Angreifer täuscht vor, ein bestimmter Server zu sein um gefälschte Daten zu verbreiten Angreifer antwortet schneller als das Original - dazu muß er Die Adresse des Ziels kennen Die Anfrage kennen Die Parameter der Anfrage kennen Opfer erhält gefälschte Adressinformationen und wird z.B. auf eine nachgemachte Online Banking Webseite umgelenkt Passwörter oder andere Zugangscodes können ermittelt werden DNS – Grundlagen und Sicherheitsaspekte

15 15 Beispiel: DNS Spoofing / Cache Poisoning DNS Server Query xx.insecure.com DNS Answer Mail oder Webseite mit xx.foo.com DNS Answer Caching Resolver Am 6. August 2008 wurde auf der Blackhat-Konferenz eine deutliche Verbesserung eines DNS-Cache-Poisoning-Angriffs vorgestellt. In den davor liegenden sechs Monaten hatten viele DNS-Softwarehersteller eine Verbesserung (Quellportrandomisierung) erarbeitet, die den status quo ante wiederherstellen half, das Problem jedoch nicht dauerhaft bekämpfte. DNS – Grundlagen und Sicherheitsaspekte

16 16 DENIC – Kurzvorstellung DNSSEC – Vor- und Nachteile Zusammenfassung und Diskussion DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Testbed DNSSEC – Funktionsweise

17 17 DNS Server Query xx.secure.com DNS Answer Sicherheit durch Authentifizierung DNS Answer Caching Resolver DNSSEC – Funktionsweise

18 18 DNS-Zonen sind die Datenquellen Ein Public-Key(-Paar) pro Zone Zonenverwalter unterschreibt alle Records Trust Chain folgt der Delegationskette Elternzone unterschreibt Schl ü ssel der Kindzonen Schl ü ssel (Trust Anchor) der Root-Zone wird verteilt DNSSEC-Grundbausteine: DNSSEC – Funktionsweise

19 19 DNSSEC-Trust Chain: DNSSEC – Funktionsweise

20 20 Das DNS-Protokoll enthält derzeit keine Maßnahmen zum Schutz seiner transportierten Daten. Insbesondere enthält es keine Sicherung der Daten gegen Veränderungen auf dem Transportweg oder in den durchlaufenden Servern und Caches. DNSSEC bietet eine Quellenauthentisierung und damit die Sicherung des Pfades zwischen DNS-Servern und DNSSEC-fähigen Klienten, wobei auch dazwischen liegende Server und Resolver mit ihren Caches in die Sicherheitskette eingeschlossen sind. Anhand der verwendeten Signatur lässt sich prüfen, ob die beim Resolver eintreffenden Daten vollständig und unverändert sind. Was kann DNSSEC leisten? DNSSEC – Funktionsweise

21 21 Cache Poisoning Zonenfile-Modifikation Kompromittierung eines Nameservers Untreue Secondaries DNSSEC gewährleistet Quellenauthenzität und Integrität der DNS-Daten und bietet dadurch Schutz vor folgenden derzeit bekannte Angriffen: DNSSEC – Funktionsweise

22 22 DNSSEC – Vor- und Nachteile DENIC – Kurzvorstellung Zusammenfassung und Diskussion DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Testbed DNSSEC – Funktionsweise

23 23 Registrierungsstelle (DENIC) Registrar/Registrant (DNS Operator) Resolver-Operator (ISP) DNSSEC – Vor- und Nachteile Dreiecksverhältnis: Internetnutzer

24 24 Registrierungsstelle: Registry benötigt entsprechende Nachfrage von Registraren und Konsumenten für den wirtschaftlichen Betrieb Resolver-Operator (ISP): Validierung und/oder Trust Anchor Management nur wirtschaftlich bei aus- reichender Anzahl Zonen, die DNSSEC unterstützen Registrar: Registrar benötigt eine Nachfrage von Registranten/Domaininhabern, um wirtschaftlich zu sein. Registrant ist auf die Veröffentlichung seines Schlüssels durch den Registrar angewiesen Wie sieht das Dreiecksverhältnis aus? DNSSEC – Vor- und Nachteile

25 25 PROS Wirkt proaktiv gegen Cache Poisoning an der Wurzel Einzige bekannte, verfügbare, standardisierte Gegenmaßnahme CONS Kritische Masse zum erfolgreichen Betrieb notwendig Datenpflegemodell wird dynamisch Komplexität erhöht sich Signaturen vergrößern Datenmengen ICANN und Verisign haben die Signierung der DNS-Rootzone zum 1. Juli 2010 angekündigt. DNSSEC – Vor- und Nachteile

26 26 DENIC – Kurzvorstellung DNSSEC – Vor- und Nachteile Zusammenfassung und Diskussion DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Testbed DNSSEC – Funktionsweise

27 27 Erprobung von DNSSEC unter realistischen Einsatzbedingungen Ermittlung der technischen und operativen Reife Protokoll ist stabil Operative Details sind aber z.T. offen Test der Akzeptanz im Markt DNSSEC-Testbed: Zielsetzung und Gesamtsicht Zielsetzung des Testbeds:

28 28 Initiative von DENIC, eco und BSI Kickoff am 2. Juli 2009 in Frankfurt (DENIC) N ä chste Veranstaltung: Januar 2010, Frankfurt Studie zu SoHo/DSL-Router (BSI) Juli-Dezember 2009 DNSSEC-Testbed: Zielsetzung und Gesamtsicht Gesamtsicht des Testbeds:

29 29 DNSSEC-Testbed: Roadmap Testbed Phase 0 - DNS Betrieb des Setups mit unsignierter de-Zone Testbed Phase 1 – DNSSEC Betrieb signierte de-Zone Testbed Phase 2 – DNSEC +DS Betrieb signierte de-Zone incl. DS-Records Übergabe Schlüsselmaterial KSK Rollover Entscheidung ü ber Produktionsbetrieb nach dem Testbed

30 30 eigenständige Infrastruktur zur Beantwortung von DNS-Querys existiert parallel zur Nameserver-Infrastruktur für die de-Zone drei dedizierte Nameserver-Standorte in Europa und Asien gemäß Standortspezifikation der neuesten Generation der DENIC Nameserver-Infrastruktur redundante Nameserver Hardware redundante Anbindung an gut vernetzten Internet-Exchanges Unterschiedliche Nameserver-Software (BIND, NSD) Out-of-band-Management => leistungsfähige, sichere und hochverfügbare Infrastruktur mit Produktionsqualität DNSSEC-Testbed: Infrastruktur Infrastruktur des Testbeds:

31 31 NSEC3 Opt-Out (-> BIND, Unbound, [Nominum]) wirkt zone walking entgegen begrenzt das Zonenwachstum Zonenaktualisierungen anfangs 1-2 Versionen pro Tag (statt 12) kontinuierliche Frequenzerh ö hung (folgt der neuen de-Infrastruktur) DS-Records ab M ä rz 2010 DNSSEC-Testbed: Daten Die Daten des Testbeds sind eine 1:1 Kopie der de-Zone:

32 32 DNSSEC-Testbed: Zugang zum Testbed Einsatz DNSSEC- und NSEC3-f ä higer SW Konfiguration des DE-Trust-Anchors Ggf. Auch weitere TAs Umlenkung der Querys f ü r DE in Richtung Testbed Stub/forward-Zonen Aktive Mitwirkung durch Verkehrsbeobachtung, Statistiken Teilnahme an Diskussionen, Fehlersuche Resolver-Operator (ISP):

33 33 Einsatz DNSSEC auch Key-Managementwerkzeuge Schl ü sselerzeugung und – verwaltung Prozess f ü r die Re-Signierung DNSSEC- f ä higer Registrar Registriert Schl ü ssel bei der DENIC f ü r das Testbed DNSSEC-Testbed: Zugang zum Testbed DNS-Operator:

34 34 DNSSEC-Testbed: Zu kl ä rende Fragen Key-Rollover (Child Zone) Key-Rollover DE EDNS-Infrastrukturvertr ä glichkeit (CPE-Devices) BSI-Studie Auswirkungen auf TCP-Last Provider-/Operatorwechsel...

35 35 Testbed: Teilnahme Wer kann am Testbed teilnehmen? Registrar Domaininhaber DNS-Operator (autoritativ) Resolver-Operator (Endnutzer) Anmeldung für die Teilnahme am Testbed und für die Mailingliste:

36 36 DENIC – Kurzvorstellung DNSSEC – Vor- und Nachteile Zusammenfassung und Diskussion DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Testbed DNSSEC – Funktionsweise

37 37 Zusammenfassung Sicherheitsrisiken im Internet wie Cache-Poisoning, DNS-Umleitungen und Spoofing sind bekannt, zunehmend zugänglich und erfolgversprechend. Als vorbeugende Gegenmaßnahme existiert mit DNSSEC ein ausgereiftes Protokoll. Die Einführung des Protokolls wird durch seine Komplexität und Kosten infrage gestellt. Erst mit zunehmender Akzeptanz entsteht auch ein ausgereiftes Umfeld für Einführung, Betrieb und Nutzung des Protokolls. Im "DNSSEC-Testbed für Deutschland", einer Initiative von DENIC, eco und BSI, werden in einer konzertierten Aktion die operative Umsetzbarkeit und die wirtschaftliche Akzeptanz unter möglichst breiter Beteiligung mit realitätsnahen Bedingungen ermittelt.

38 38 Phone: Fax: Mail: Internet: Kaiserstrasse 75-77, Frankfurt am Main


Herunterladen ppt "VOICE+IP Germany - Workshop DNSSEC-Testbed Frankfurt 04. November 2009."

Ähnliche Präsentationen


Google-Anzeigen